NT网管安全攻略

在Win 2000推出之前，Win NT 4.0是被广泛应用的网络操作系统之一，其最显著的一个特点就是网络的安全性。据称，惟一能对NT造成威胁的是非授权用户获得系统管理员的账号；因此，许多用户就觉得只要保管好系统管理员账号，就可以高枕无忧了。然而，面对高手我们还是小心为好，特别是作为系统管理员，更应如此，结合笔者多年来使用NT的经验认为，Windows NT的许多安全功能只有在手工配置后才能发挥其作用，本文特将自己的密技收录如下。 　　保护好所有管理员和普通用户的账号，对于网络安全来说是极其重要的。首先应确保每一用户拥有一个账号及其相应的合法用户名和自定义口令，可通过“开始”→“管理工具”→“域用户管理器” →“用户”→“新用户”(或“属性”)来设置(图1)。 　　图1 　　在这里，如何选择一个用户名及口令让黑客难以猜到往往是网络管理员头疼的事，在通常情况下，用户名应选择是本NT域中惟一的，并在整个网络中惟一标识该用户，并且让名字尽量长一些（NT支持长达20个字符的用户名），比如用全名兼下划线：Wang_xiao。 　　用户的口令比起用户名来说更重要，因为口令是不在屏幕上显示的。这样，一旦你选择了一个好口令，黑客就很难破解，在通常情况下，口令应至少包含7个字符，最好是字符和数字混合使用，比如用一句英文的首字母作口令不失为一种既易记又难被破解的好方法：I love you very much 可得到Ilyvm这样的口令。 　　有了合适的用户名和口令还不够，作为系统管理员，你还需要设置整个系统范围内的安全选项，包括最大口令有效期、最小口令有效期和最小口令长度等(“域用户管理器” →“规则” →“账号”)如图2。 　　图2 　　口令的有效期是很重要的，因为设置口令有效期可以强制用户定期修改他们的口令，从而充分保证口令的机密性。 　　功能组及相应权限 　　为更有效地简化网络管理工作，可以将不同用户分别纳入不同的用户组，这样只要你设置了组的权限(Right)和访问权限(Permissions)，则组中所有用户就具有该权限和访问权限，使得组织网络变得更容易，并可让你一次对多个用户进行授权(“域用户管理器” →“规则” →“用户” →“权限”)，如图3。 　　图3 　　系统管理员账号 　　系统管理员拥有最高的权限，可以管理所有的NT资源和账号。系统缺省安装时，安装了一个名为Administrator的系统管理员账号，它的口令缺省为空，一般情况下，大家都会设置一个口令，但对第一次组网没有经验的网管来说，常使用这个缺省设置，为黑客入侵打开了方便之门。为了更有效地保护系统管理员账号，系统不仅允许设置修改管理员口令，而且还可以修改此账号的用户名，另外你还可以把Administrator这个名字用做一个普通账号的用户名，并选择一个好口令，但不允许其访问网上的任何资源，起到迷混黑客，保护系统管理员账号安全的目的(“域用户管理器”→“用户”→“重命名”)，如图4。 　　图4 　　设置锁定限制 　　用户通常不希望锁定限制，但他可以增加网络的安全性。锁定限制是指在若干次口令验证失败的情况下，使该账号无效，通常的失败次数是3次，但这个选项需经过系统管理员的启动才有效，如图2，并把锁定时间设置为“永久”，这样，非法用户只能用同一个账号攻击网络3次，大大降低了其成功的几率。系统管理员应该赋予某些用户(组管理员等)解除锁定的权限，否则，一旦合法用户不小心被锁定，也必须找到系统管理员。 　　为了跟踪账号锁定记录和其他可能的黑客活动踪迹，可以启动账号日志记录(“域用户管理器”→“规则”→“审核”)，见图5，这样为了安全，你需要经常检查事件日志。 　　图5 　　充分利用NTFS 　　NTFS是Windows NT专为网络安全而开发的一种文件系统，在NT网络的服务器上，可以使用FAT文件系统，但FAT不提供对文件的保护，NTFS有内置的保护文件的安全选项。如果共享目录位于NTFS文件系统的分区中，那么你就可以针对共享目录中的个别目录与文件设置其使用权限(“NT资源管理器”→“单击目录(文件)”→“按鼠标右键”→“属性”→“安全性”→“权限”)，见 图6，若是FAT系统，则无法个别设置目录与文件的使用权限。NTFS还支持UNICODE(统一的字符编码标准)，在系统崩溃时可以保护数据。 　　图6 　　其他方面 　　NT 4.0作为一个比较完善的版本发布后，在实际应用中出现了许多没有预料的漏洞和不足，微软公司随后发布了针对这些漏洞的补丁程序，SP6(Service Pack)是最新的一个补丁程序版本，他包含了以前所有版本的补丁内容，作为系统管理员要及时地对服务器进行更新，以防止黑客利用这些漏洞攻击我们的网络。 　　摘自《赛迪网》　王晓/文