发信人: steve-song(沙宁)
整理人: ipaq(2001-05-27 14:37:41), 站内信件
|
据微软公司声称,Windows NT 是迄今为止最安全的网络操作系统,唯一能对Windows NT造成威胁的是非授权用户获得系统管理员的用户名和口令。因此,根据微软公司的说法,只需保管好系统管理员的账号,就完全可以高枕无忧。然而,事实却并非如此简单。Windows NT的确有很多很好的安全特色,但只有在手工配置启动后才能发挥其安全方面的功能和优势,而且Windows NT缺省的安装配置还很不安全。在设置Windows NT时,应该时时本着“安全第一”的原则来构建网络,下面介绍的这些方面则应充分引起注意。
一、保护用户名和口令的安全
保护所有的管理员和普通用户的账号,对于网络安全来说是极其重要的。首先应该确保每个用户拥有一个账号及其相应的合法用户名和自定义口令。
用户名同用户口令一样重要。在登录的过程中为了验证合法的存储权限和许可权,必须配合使用正确的用户名和用户口令。有些网络管理员让用户自己选择用户名,这不是一个好的策略,最好还是由网络管理员来统一指定用户名。用户名在本NT域中必须是惟一的,并且在整个网络域中也应该惟一标识该用户。像选择口令一样,不要害怕长的用户名(Windows NT支持长达20个字符的用户名)。
上面提到的自定义口令足以让有经验的网络管理员感到头疼。因为众所周知,让用户选择被黑客难以猜测到的口令并不是一件容易的事情。在共享型的以太网中,用户名与口令是以明文形式传输的,这是一个令人担忧的安全隐患。现在,就有几种新的工具能使黑客获得一串的用户名甚至于杂乱无序的口令。即使更改管理员的账号名称,一种叫Red Button的程序也能使黑客获取到管理员的账号。一旦他们拥有了一个用户名,黑客就能肆无忌惮地攻击你的网络。这种程序能穷尽字母、数字和各种特殊字符的组合直到猜出用户的口令。如果黑客能访问你的系统,那么他们有可能将SAM数据库的数据下载,这样的话,他们就可以坐在自己计算机前一边悠闲地吸着香烟,一边等候结果的出来,而不用担心被系统察觉。在获取口令以后,黑客可以模仿别的用户进入你的系统,让你的系统经受灾难。通过口令的复杂化,系统管理员能使口令被猜出的可能性减小。
当今的各种网络操作系统均有各自的口令保护方式。在Windows NT中,至少有三种方法保护你的口令。
方法一:Windows NT default。在域用户管理器->规则->账号中,你能强制一种策略,用户的口令必须满足一定的长度以及口令的有效期。设置口令有效期是很重要的,因为设置了口令有效期可以强制用户定时修改他们的口令,从而充分保证口令的机密性。
方法二:安装Service Pack 4。安装新版本的DLL文件,使系统拥有更强壮的口令保护方法。这种策略规定口令长度必须不小于6个字符,为大写、小写、特殊字符和数字的组合。除这些之外,用户不能以用户名和全名中的任一部分作为口令。下面是在域控制器实现这种口令过滤的方法。
*把passfilt.dll从Service Pack 4光盘拷贝到\winnt\system32。
*运行[Start]->Run->regedt32->[Enter]。
*创造或(编辑)下面的键:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Control\Lsa
*增加一个regmulti_SZ类型键,叫"NotificationPackages",输入值passfilt(如果值fpnwclnt已经存在,那么在fpnwclnt增加值passfilt)。
*退出Registry Editor[Alt+F4]。
*重新启动服务器。
此外,虽然用户通常不希望锁定限制,但它却可以增加网络的安全性。锁定限制在“域用户管理器->规则->账号”中进行设置。锁定限制是指在若干次口令验证失败的情况下,使该账号无效。启动该选项后的缺省的失败次数是5次、并在30分钟后重新计数并且解除锁定。但锁定限制不属于NT缺省设置,必须经过系统管理员的启动才有效。这意味着如果合法用户不小心被锁定账户,账户的锁定在30分钟之后会自动解除,这会带来一定的危险。除非总是在监视黑客,否则黑客可以每30分钟尝试3个口令。因此,系统管理员应该将锁定期限设置为 “永久”,这意味着只有管理员才能解除锁定。
方法三:passprop.exe。这个文件在Windows NT Resource Kit光盘\I386\netadmin目录中,它能实现一种牢固的口令策略,在命令行方式下运行passprop.exe。管理员有以下多种方式能够加强口令的保护:
1:simple
恢复简单的口令方式(Windows NT的缺省方式)
2:/complex
强迫口令必须是大写、小写、特殊字符和数字的组合
3:/adminlockout
在域控制器上,除了在本机登录的情况下,允许在口令错误输入若干次后锁定administrator账号。
4:/noadminlockout
当administrator账号不能锁定时,恢复简单的口令方式(Windows NT的缺省方式)
二、权限管理
Windows NT在安全管理方面具有不少优点。它在用户权力的控制方面应用起来既严格,又不乏灵活性。但许多初次接触Windows NT的人对它在权限管理方面的重要概念难以理解,因此使用起来便觉得过于繁琐,不得要领,甚至无意中制造了安全隐患,自己却被蒙在鼓里。
Windows NT的权限管理涉及到用户权力、共享权限和对象权限等。
1.用户权力
用户权力(User Rights)是指用户或用户组对整个系统的访问权力,这里使用“权力”这个词是为了与读、写等共享权限以及对象权限相区别。用户权力包括用户能否从网络访问服务器,是否拥有从运行Windows NT的服务器上登录的权力等。表1中列出了Windows NT可以设置的用户普通权力。
表1 用户普通权力列表
从网络访问计算机
备份文件和目录
更改系统时间
强制从远程系统关机
加载和下载设备驱动程序
本地登录
管理审核安全日志
还原文件和目录
关闭系统
在域中添加工作站
获得文件和其他对象的所有权
此外,用户权力还包括所谓的高级权力,它们通常用于特殊目的,比如为某些特殊程序(如Windows NT的系统服务程序)设置作为服务程序登录,而不把它们授予用户和用户组。
2.对象权限
对象权限(Object Permissions)只能在NTFS中使用 。无论对网络用户还是在运行Windows NT的服务器上进行本地登录的用户,对象权限都起作用,也就是说,不论是否联网,对NTFS的文件和目录的权限设置都会发生效力。
对象权限是以系统资源为对象,设置用户访问控制列表(Access Control List)。在表中列出可以访问该资源所承认的用户和组列表及它们相应的权限类型,目录和文件访问权限如表2所示。
表2对象权限表
权限类型 目录权限 文件权限
读(R) 允许查看文件名和目录名 允许查看文件数据
写(W) 允许添加文件和子目录 允许更改文件数据
可执行(X) 允许进入该目录 如果文件是程序文件,允许运行该文件
删除(D) 允许删除文件 允许删除文件
更改权限(P) 允许更改目录权限 允许更改文件权限
获得所有权(O) 允许获得目录所有权 允许获得文件所有权
在Windows NT中为设置方便起见,系统提供了几种权限的组合,用户可以直接使用它,这被称为标准权限。对于目录,标准权限包括了对目录以及目录中的文件所规定的权限,如表3。
表3目录标准权限
标准权限 目录权限组合 文件权限组合
不许访问 (无) (无)
显示 (RX) (未指定)
读 (RX) (RX)
添加 (WX) (未指定)
添加和读 (RWX) (RX)
更改 (RWXD) (RWXD)
完全控制 (所有) (所有)
文件的标准权限只适用于当前设置的文件,如表4。
表4 文件标准权限
标准权限 文件权限组合
不许访问 (无)
读 (RX)
更改 (RWXD)
完全控制 (所有)
3.共享权限
共享权限(Share Permissions)决定用户从网络上访问系统资源的方式,它针对的是通过网络协议访问Windows NT系统的用户和设置成共享状态的资源之间的关系。相对于文件,在Windows NT系统中只能针对目录(文件夹)设置共享。
如果把对象权限比作房间钥匙,那么共享权限就是大楼的门卫。即便你有房间钥匙,但如果门卫不让你进楼,你还是不能进到你的房间里。
共享权限对NTFS 和FAT文件系统都适用,权限类型与对象权限是一致的,但在Windows NT中设置共享权限时,通过共享设置的GUI工具只能设置组合共享权限(标准共享权限),这种组合共享权限分为四级,我们可以比照目录的对象权限来理解它们的含义。
在Windows NT中只能以目录为对象进行共享,共享权限分为四级,前一部分是指目录权限,后一部分是指目录中文件的权限,如表5所示。
表5共享权限表
共享权限 权限组合
不许访问 (无)(无)
读 (RX)(RX)
更改 (RWXD)(RWXD)
完全控制 (所有)(所有)
在实际使用中,主要是要搞清楚用户权力和对象权限这两个概念的区别,在此基础上合理地分配共享资源的共享权限,从而既有效地利用网络资源,又能保障系统的安全运行。
三、改变系统管理员的用户账号
任何安装过Windows NT的人都知道,系统缺省安装了一个名为administrator的超级用户账号,它的口令缺省为空。管理员在进行设置时经常会将这一口令保留为空,其实这无异于为黑客入侵打开了方便之门。对于一个训练有素的管理员来说通常不会出现这个漏洞,但是第一次组建网络的人却往往会犯这个错误。所以应该修改系统管理员的口令,而且还可以修改此账号的用户名,这样可以尽量隐藏超级用户的身份,方法如下:
在域用户管理器中单击administrator,打开“用户”菜单,选择“重命名”,然后输入所需的超级用户名。
此外,还有一个与之相关的小技巧:修改了系统管理员账号的用户名之后,不妨创建一个名为admin的新账号以作障眼法,选择一个空的口令,并不允许它访问任何网络资源。通过审核这个账号错误登录记录,你可以清楚地知道谁是网络上不规矩的用户。
四、给物理设备加锁
物理设备的安全性是在考虑网络安全时容易被忽略的一个问题。在中小型网络中,由于受空间的限制,将服务器、集线器、转换器、远程拨号Modem放在未加锁的房间里是很常见的事。然而在某些情况下,很多黑客并不是仅仅通过拨号或猜密码的方式进入系统,而是直接攻击办公室。还有那些对工作不满的职员、蓄意破坏的维修工人,甚至是那些被认为安全的人,都可能是破坏系统的潜在因素。因此,切断物理上的直接接触对于一个安全的网络来说是完全必需的。
五、安装Service Pack 4
应该在所有的Windows NT服务器上安装Service Pack 4(以下简称为SP4),并在每次安装了新的软件和硬件后也应该重新安装SP4。SP4带来的安全效益是很大的,包括Server Message Block(SMB)签名、口令过滤和管理匿名用户等功能。它还允许使用系统密钥加密口令数据。
SMB(又称为Common Internet文件系统)是一种认证协议,它提供了双方认证的功能,即在建立有效连接之前,客户端和服务器端都需要验证彼此的身份。同样,口令过滤对用户口令的选择加以限制。更关键的是对匿名账号的管理。Windows NT在使用RAS(远程访问服务)进行通讯时使用匿名用户账号,这里隐含着危机。借助SP4,可以控制对这些账号的存取。SP4系统密钥的特点也很有用。如果没有系统密钥,用户将无法登录到Windows NT服务器。而且这些密钥会通过加密保护存放在Security Accounts Manager(SAM)数据库中的口令数据。
六、及时更新补丁
给服务器打补丁对维护系统安全是很重要的,而且需要及时的升级补丁。新的补丁不断出现,而黑客的侵入却总是领先一步,并且总是令人难以预料。应该时刻留意微软的Web站点,上面经常会通报一些对付黑客入侵的解决办法。
七、保护Windows NT注册表
Windows NT的注册表比Windows95/98的要安全得多。可以为注册表分配密钥安全,这样可以阻止非法存取,甚至还可以给有注册表存取权限的用户分配管理员的权限。但是即使在合理地设置了注册表的存取控制以后,还存在着其他一些问题。例如,有用户已经发现了有关Windows NT注册表的一个很大的安全漏洞。问题出在安全密钥上,使用安全密钥可以指定特定的程序或服务在服务器登录后自动启动。Windows NT 的缺省安装允许所有的用户存取这些密钥,这样一来黑客就可以设置在每次登录后运行他们的程序。可以向微软公司或代理商咨询,或查找www.support.microsoft.com站点找到解决的办法。
八、执行安全审计
请记住,系统安全并不是一劳永逸的。为了避免以后可能出现的问题,需要定期进行安全审计。这是一项费时的、专业化的、难度较大的工作,不过现在已经出现了简化这项工作并使其达到一定自动化程度的应用程序,如Security Dynamics Technology的Kane Security Analyst(KSA)for Windows NT 和Internet Security System(ISS)的Real Secure 等等。
KSA将检查NTFS卷的权限控制的正确性、数据完整性和整体安全性。使用自动审计只需指定在某个时间范围内需要KSA检查的区域,系统会定时给出网络安全状况报告,该报告包括以下6个部分:口令强度、存取控制、用户账号限制、系统监视、数据完整性、数据保密性。KSA给出警告的可疑活动种类是有限的,所以最终还需要自己拿出时间来认真阅读报告,并依据报告信息做出判断。
ISS公司的Real Secure有一个监控中心安装和运行在一台主机上,并在网络的多个位置安装监控引擎,能够监控整个网络。它实时地监视和审计内部、外部黑客的入侵,对异常的网络活动能够进行识别、审计、告警、拦截。
----
阳光灿烂的日子,共同沐浴在阳光下。
|
|