网络安全——谈谈Internet上Windows NT的安全措施

人们普遍认为NT在安全性方面不如Unix。难道是NT本身比Unix不安全吗?答案是否定的。原因在于多年以来Unix管理员已经学会了在复杂的Internet环境中实现Unix服务,所以NT管理员也应该学习在Internet上保护自己的系统,从而使自己的Windows NT高枕无忧。 　　在Internet的广泛应用中,Windows NT的安全性一度令NT管理员们深感不安。在运行Windows 95的环境下,任何一位略懂网络技术的用户键入命令:"net Q:\\SERVER-NAME\SHARENAME",就能通过网络存取服务器的启动分区!为了确保安全性,以下7项措施可供NT管理员参考。 　　1. 用NTFS,不用FAT 　　NTFS(NT文件系统)可以对文件和目录使用ACL(存取控制表),ACL可以管理共享目录的合理使用,而FAT(文件分配表)却只能管理共享级的安全。出于安全考虑,您必须处处设置尽可能多的安全措施,凡是与Internet相连的Windows NT计算机都应该使用NTFS。使用NTFS ACL的好处在于,如果它授权用户对某分区具有全部存取权限,但共享级权限为"只读",则最终的有效权限为"只读"。Windows NT取NTFS ACL和共享权限的交集。 　　在实施这样的网络方案时,您最好限制Internet服务器的共享,但是如果非要与Internet服务器交换文件,则可借助于NTFS。一旦建立新的共享权限,不要忘记修改由NT指定的缺省权限,否则Everyone用户组就能享有"完全控制"的共享权限。那些已经使用了FAT 的用户,在x86的NT系统上可以用convert命令将启动卷升级为NTFS。 　　2. 将系统管理员账号改名 　　对于试图猜测口令的非法用户,NT的UserManager可以设置防范措施,例如5次口令输入错误后就禁止该账号登录。问题在于系统管理员这个最重要的账号却用不上这项防范措施。即使将系统管理员的权限全部授予某个用户账号,并且只使用该用户账号进行管理,但是由于系统管理员账号本身不能删掉或废止,因而非法用户仍然可以对系统管理员账号进行口令攻击。 　　一种值得推荐的方法是将系统管理员账号的用户名由原先的"Administrator"改为一个无意义的字符串。这样要登录的非法用户不但要猜准口令,还要先猜出用户名。这种改名功能在User Manager的User Properties对话框中并没有设置,不过它的"User"*"Rename"菜单选项却能实现这一功能。 　　用于提供Internet公共服务的计算机不需要也不应该有除了系统管理用途之外的其他用户账号。因此,应该废止Guest账号,移走或限制所有的其他用户账号。如果用的是N T 4.0,可以用Resource Kit中提供的工具封锁联机系统管理员账号。这种封锁只对由网络过来的非法登录起作用。账号一旦被封锁掉,系统管理员还可以通过本地登录重新设置封锁特性。 　　3. 别忘了打开审计系统 　　如何才能知道在NT环境中安全性是否已经被攻击或攻破呢?NT的事件审计系统就设有此项功能,但该系统需要被激活。User Manager中的"Policies"*"Audit"菜单选项可以激发控制审计事件的屏幕。 　　问题的关键在于您应当收集有用的信息,而不是收集得越多越好。您可以审计各种操作成功和失败的情况。失败的情况通常比成功的情况少得多,但从安全性的角度考虑,失败事件更值得注意。另外不常用的操作也值得注意,如安全性策略的改变和再启动往往反映了未经授权的行为。 　　NT允许跟踪诸如File Access、Use of User Rights和Process Tracking等成功的操作,但它需要大量的存储空间,而且对跟踪所得的数据进行分析也不是一件容易的事情。使用审计功能,最关键的一步是要查看NT在正常运行时所记录的事件日志,它能帮助我们发现问题的前兆。 　　审计日志本身也需要保护,因为非法用户在进入系统之后通常会抹掉其活动踪迹。首先我们应该定时自动备份日志文件,但是如果这些备份仍然是联机的,则也有可能被非法用户找到。一个比较好的解决方法是将审计事件记录同时制成硬拷贝,或者将其通过E-mail发送给系统管理员。NT Perl为我们提供了一个阅读事件日志的模块。 4. 废止TCP/IP 上的NetBIOS 　　连接到Internet上的NT支持NetBEUI和TCP/IP两种传输协议的Windows网络功能。那么什么是Windows网络功能呢?它就是所有要求\\NAME句法形式的操作,包括目录和打印机共享、NetDDE和远程管理。通过Internet连到某个驱动器编辑或寄存内容,只需要在本地lmhosts文件里构造目标站NetBIOS名与其IP地址之间的映象。例如,使用Windows 95中的Event Viewer和User Manager就可以管理Internet上的其他服务器,这种特性为管理员提供了方便,但同时也使非法用户找到了可乘之机。好在NT已能够对TCP/IP上的NetBIOS施行严密的控制。您可以使用网络控制面板中的装订对话框废止多种基于NetBIOS服务与TCP/IP之间的装订。由于NT的网络服务同时运行多种传输功能,做上述废止操作的计算机之间可以使用Server、Workstation和其他服务进行对话,因为这些对话不从Internet上走,而是通过NetBEUI通道。当然,完成了这种废止操作之后,不仅是非法用户,就连系统管理员也 不能做远程驱动器安装并远程编辑或寄存内容了。 　　5. 关闭不必要的向内TCP/IP端口 　　一旦非法用户进入系统并得到管理员权限之后,他定要想办法恢复管理员刻意废止的NBT(TCP/IP上的NetBIOS)装订。管理员应该使用路由器作为另一道防线。假设有个NT服务器没有太多的防护系统,暴露在防火墙以外,其作用是提供诸如Web和FTP之类的公共服务。这种情况下只须保留两条路由器到服务器的向内路径:端口80的HTTP和端口21的FTP 。路由器应该并能够阻塞所有其他的向内途径。如果管理员有调整包过滤规则的权限, 他可能会给自己多留一点便利。例如,在取消全部非Web和非FTP服务时留一个例外,即用于远程管理的端口137、138、139从IP地址来的NBT途径。虽然一般来说只有管理员才能远程操作服务器,但事实上发现了管理员和IP地址之间这种连接的非法用户也能盗用该路径。 　　非法用户若想知道主系统的IP地址,通常会按如下步骤进行: 　　(1)了解目标服务器管理员的情况。 　　(2)针对管理员的兴趣爱好,做个假Web页面。 　　(3)发送E-mail邀请他访问该页面。 　　(4)截获主系统的IP地址。 　　(5)用JavaScript或ActiveX钻进该系统。 　　这种管理员为自己开后门、留一条路径的做法,其安全性只依赖于别人不知道IP地址。 但这种安全性在非法用户系统而耐心的猜试攻势面前也是极不安全的,所以要禁止一切多余的向内路径。 　　6. 取消Access from Network的便利 　　在缺省情况下,NT授予Everyone用户组Access from Network(从网络存取)的权限。取消了该权限虽然会阻塞Windows的全部网络服务,但仍然可以支持Web服务。在一个NT Web服务器上,既能以SYSTEM方式运行,也能以本地用户方式运行,这两种状态在NT看来都不存在远程用户。由于与NT连用的FTP服务器要求用户进行网络登录,所以这种情况下就无法使用FTP服务器,但包括Microsoft Internet Information Server (IIS)在内的其他FTP服务器是采用本地登录的,并不受取消Access from Network权限的影响。 　　与NBT方法不同的是,这里讲的技术无法对协议选择弃留。所以Access from Network权限取消后运行Web和FTP服务,不但通过Internet的、而且本地使用NetBEUI协议的文件共享都被阻塞掉了。当然还有一种妥协方案,只给管理员本人账号留有Access from Network的权限。 　　7. 不可轻易发布信息 　　有人认为,在Internet上没人知道你在运行Windows NT。然而事实并非如此,如联机FTP服务是这样宣布连接的: 　　ftp> open ftp.myhost.com 　　Connected to ftp.myhost.com 　　220 ftp Windows NT FTP Server 　　(Version 3.51) 　　正常的用户不需要以上信息,而非法用户却能根据该信息有效地对特定操作系统进行攻击。IIS FTP服务也发布同样明显的消息: 　　Connected to ftp.myhost.com. 　　220 ftp Microsoft.FTP Service 　　(Version 2.0) 　　上面两种情况表明您连接在NT上工作以及您运行的NT是什么版本。所以如果您不想为非法用户攻击您的系统提供便利的话,最好不要轻易发布信息。 　　摘自《赛迪网》　/文