发信人: mark_chang()
整理人: ipaq(2001-05-27 14:37:13), 站内信件
|
如今,Internet上采用Windows NT Server作为服务器操作系统的网站越来越多,
同时,很多企业采用NT平台作为其Intranet解决方案的基石。Windows NT具有典
型的Windows操作界面,简单易用。然而简单和安全是互相矛盾的两个因素,简单
就不安全,安全可能就不简单。安全和稳定又是相互联系的,不安全的系统,其
稳定性也直接受到影响。随着Internet开放性的发展,网上信息的泄露和篡改,
黑客入侵,病毒传播等经常发生,这使Windows NT的安全问题更加值得关注。
口令安全
Windows NT口令的安全性比UNIX要脆弱得多,这是由其采用的数据库存储和
加密机制所直接导致的。NT4.0将用户信息和加密口令保存在注册表中的SAM(安全
帐户管理)文件中。口令的加密名义上分两层进行,实际上只有一层。第一层用R
SA MD4系统对口令进行加密,第二层却不采取任何附加措施,因此缺乏基本的口
令复杂性,形同虚设。用PW Dump或NT Crack之类的解密工具即可解码SAM数据库
并破解口令。
口令是对系统的最大安全威胁,口令被盗意味着用户在这台机器上的一切信
息将全部丧失。为加强NT口令的安全性,首先需要安装SP3以上的补丁,根据使用
经验,SP5效果较好些,SP4和SP6的稳定性和可靠性都不及SP5。但SP3以上的补丁
对NT口令都有所加强;其次改变管理员帐户的名字,防止黑客攻击缺省命名的帐
户,并使用更安全的口令。安全的口令应该大小写字母混合(注意只有一个大写
字母时,不要放在开头或结尾),8位以上字符,将数字无序地加在字母中,系统
用户的口令包含~!@#$等符号。另外设置跟踪管理员帐户,几次登录失败后即
锁定帐户等。
文件系统安全
Windows NT支持两种文件系统:FAT和NTFS。二者的区别在于NTFS是针对500
M以上容量的硬盘驱动器设计的,支持文件和目录访问权限的设置,适用于存储应
用程序和用户文件,而FAT对500M以下容量的硬盘进行了优化,且不支持文件和目
录访问权限的设置。
Windows NT的安全机制是以用户为核心的,试图访问受保护对象的每一行代
码,该用户必须用口令向客户机证明自己的身份,每次安全性检查都要依靠用户
鉴别。文件和目录可以有两种许可权限:共享许可权(Share Permissions)和文
件许可权(File Permissions)。共享许可权用于用户远程访问共享文件系统,
当用户试图以共享方式访问文件时,系统会检查用户是否拥有访问权限。文件许
可权是直接分配给文件和目录的访问权限,无论用户使用何种方式访问文件系统
都起作用,需要将用户或工作组与特定的访问级别相联系。另外通过文件的属性
可设置文件许可权、文件审核和文件所有者。
对文件权限的错误设置有可能带来安全上的问题,在复制或移动文件时,其
权限设置会发生改变,如文件复制到一个目录下,它会继承该目录的权限,而移
动文件时,无论移动到哪个目录下,它会保留原来的权限设置。因此需要经常检
查文件的权限设置,尤其在文件被复制或移动之后。缺省的权限设置允许所有人
改变关键目录的访问权,如NTFS卷的根目录,System32目录等,可以将这些关键
目录的权限改为只读。另外可以通过FTP进行无授权的文件访问,要合理配置FTP
服务器,确保服务器必须验证所有FTP申请。
Web服务器安全
IIS (Internet Information Server)集成了多种Internet服务如WWW服务,
FTP服务,Gopher服务等,利用它和Windows NT Server密切配合,可以方便地构
造Web站点。IIS中存在许多弱点,在缺省情况下,安装IIS会生成InetPub目录,
其中又含有四个子目录。其中三个子目录是三种Internet服务器的根目录,用于
存放三种服务的所有文件和目录,另外有一个目录用于文本存储,使用CGI,Vis
ual Basic或Perl开发的WEB应用程序可以存储在此目录下。管理员应定时检查II
S的目录结构,并设置适当的许可权限。
与IIS流行的同时,ASP也成为系统程序员用来作网络管理编程的偏爱。ASP的
开发和维护都比较简单,而且具有强大的功能,但存在一些安全方面的漏洞。在
IIS3.0的时候就曾发现,在ASP程序后面加某字符串可以看到ASP的源代码。由于
ASP的源代码中含有数据库的访问口令等关键数据,因此这直接影响到Web服务器
的安全。
同IIS3.0比较,IIS4.0的安全性已经有很大的改进,例如其FTP帐户不是开在
域内,而是在本机上。如果要作FTP服务器,用IIS本身所带的FTP比较好,据统计
其安全性要高于其他FTP服务器端软件。另外要注意的是,一定要保证安装了所有
可靠的安全补丁。
NTFS分区安全
如果在同一台主机上存在多种操作系统如DOS,Windows,Linux,就有可能通
过访问其它操作系统,绕开NTFS本身的安全设置。有些工具可以不需要授权即访
问Intel系统上的NTFS格式的硬盘驱动器,从而操纵NT的各种安全设置。如DOS/W
indows的NTFS文件系统重定向器,Linux NTFS Reader, SAMBA等。在这种情况下
就要使用专门的分区,并限制系统管理员组和备份操作员组,同时限制管理员使
用的操作程序,禁止此类跨越操作系统的访问。
总的说来,Windows NT的安全性有一定的保障,其安全方面的漏洞基本上都
被SP补上,同时它不大容易通过远程管理被修改,但需要用户按照程序对缺省配
置进行修改,而且系统管理员通过细微而谨慎的工作,才能获得一个安全而稳定
的网络操作环境。
--
※ 来源:.月光程序代码网 http://www.moon-soft.com.[FROM: 61.128.136.114]
|
|