保证NT系统安全的“独孤九剑” 王国华 2000年 第23期   NT操作系统由于操作简捷方便并且功能强大,在全社会得到了广泛的运用。这些运用提高了单位的工作效率、减轻了员工劳动强度,但是在很多单位和部门,有关计算机网络的安全管理还没有得到应有的重视,这在计算机网络犯罪日益严重、企业之间竞争日益激烈、商业机密更加重要的今天,是非常危险的。因此我结合自己多年来从事网络管理的实践,谈谈NT网络安全管理的九点经验,与大家交流,以期取长补短,共同提高。   一、安装设置。安装NT时,应选择自定义安装,仅选择个人或单位必需的系统组件和服务,取消不用的网络服务和协议,因为协议和服务安装越多,入侵者入侵的途径越多,潜在的系统安全隐患也越大。选择NT文件系统时,应选择NTFS文件系统,充分利用NTFS文件系统的安全性。另外还应注意随时升级更新“最新的Service pack服务包”(当前最新的版本是Service Pack 6),因为最新的Service Pack服务包往往能够修复系统新发现的安全漏洞。   二、Administrator账号。对于Administrator账号应限制使用,除进行例行的系统维护外,一般不允许直接运用此账户处理日常事务。对于系统内的其它拥有较大权力的用户(如Administrator同组用户、备份组的用户)的行为,也要进行更多的关注。Administrator账号是系统的最高权力主宰,其重要性无论怎样强调都不过分。入侵者最感兴趣的也是此账号,因此除应给该账号赋予一个保密性好的口令并经常更换外,还应给该账号改名,使入侵者无法侵入。在此之上,如果再创建一个没有任何权限的用户名为Administrator的假的管理员账号,来欺骗“入侵者”就可以达到更好的网络安全效果了。   三、系统安全规则。精心设计管理好系统安全规则(一般情况下,应取消匿名用户的访问权力),其内容主要包括“用户分组”、“账号规则”、“用户权力”、“审核规则”。对全部用户都应按工作需要进行分组,合理对用户分组是进行系统安全设计的最重要的基础。利用安全规则可以限定用户口令的有效期、口令长度。设置登录多少次失败后锁定工作站,并对用户备份文件和目录、关机、网络访问等各项行为进行有效控制。   四、NTFS文件系统。充分利用NTFS文件系统的本地安全性能,设计好NTFS文件系统中文件和目录的读写、访问权限,对用户进行分组。对不同组的用户分别授予拒绝访问、读取和更改权限,一般只赋予所需要的最小的目录和文件的权限。值得注意的是对完全控制权限的授予应特别小心。对于网络资源共享,更要设计好文件系统的网络共享权限,对不应共享的文件和目录决不能授予共享权限。对能够共享的文件和目录,应对不同的组和用户分别授予拒绝访问、读、更改和完全控制等权限。   五、系统策略和登录脚本。制定系统策略和用户登录脚本,对网络用户的行为进行适当的限制。我们可以利用系统策略编辑器和用户登录脚本为用户设定工作环境,控制用户在桌面上进行的操作,控制用户执行的程序,控制用户登录的时间和地点(如只允许用户在上班时间、在自己办公室的机器上登录,除此以外一律禁止访问),采取以上措施可以进一步增强系统的安全性。   六、系统注册表。注册表系统数据库存储着系统的所有重要配置,通过对注册表中相关数据进行调整,可进一步加强NT系统的安全。如禁止匿名用户的访问、禁止把服务器设置成自动登录、禁止修改系统配置等等。现略举几例如下:   1.限制用户从远程计算机对本机系统注册表的访问。   步骤:以Administrator用户登录,启动注册表编辑器Regedit32.exe,定位于HKEY_Local_Machine\System\CurrentControlSet\Control\SecurePipeServers,在其下添加Winreg新项(类型:Reg_SZ),然后在其下添加名为Description的值(类型为Reg_sz),以字串形式输入“Registry server”,重新启动计算机生效。   2.如果允许匿名访问,应限制匿名访问的权力。   步骤:以Administrator用户登录,运行注册表编辑器Regedit32.exe,定位于HKEY_Local_Machine\System\CurrentControlSet\Control\LSA主键下,新建Dword键值,名为RestrictAnonymous,值为“1”表示限制匿名访问的权力。   3.登录时不显示上次使用的用户名。   步骤:以Administrator用户登录,运行注册表编辑器Regedit32.exe,定位于HKEY_Local_Machine\SoftWare\Microsoft\WindowNt\CurrentVersion\Winlogon,新建串值DontDisplayLastUserName,值为“1”,表示不显示,重启机器生效。   4.禁止使用拨号方式登录NT服务器(允许使用RAS访问的除外)。   步骤:以Administrator用户登录,运行注册表编辑器Regedit32.exe,定位于HKEY_Local_Machine\SoftWare\Microsoft\Windows\CurrentVersion\Polices\Network子键下,新建Dowrd类型的键值DoDilln,值为“1”表示禁止拨号方式登录,重启机器生效。   5.打开强制口令过滤功能,NT4.0在其Service Pack 2以后的服务包中,引入了强制口令过滤的功能,对设置口令给予了更严格的限制,如口令必须长于6个字符,必须由字母和数字混合而成等等。最好在PDC上运用这一功能。   步骤:以Administrator用户登录,运行注册表编辑器Regedit32.exe,定位于HKEY_Local_Machine\System\CurrentControlSet\Control\Lsa\NotiFicationPackages下,新添PassFilt,关闭注册表,重启机器生效。   七、物理安全性。注意网络服务器的本地物理安全性,建立并执行严密的计算机房的安全保密制度。加强对单位计算机应用人员的培训教育,严禁未经授权的人员使用网络上的机器。对系统应及时进行备份,并将数据备份介质置于安全可靠的地方。利用系统提供的审计功能,规划和实现审计规则,对系统中的“用户登录与注销”、“服务器的重新启动与关闭”、“系统安全规则的更改”等重要活动进行审计,经常利用“事件查看器”,检查系统安全日志,及时发现安全隐患并加以排除。   八、外部入侵。如本单位局域网要外接互联网,最好通过专用代理服务器(防火墙),在代理服务器上屏蔽一些不用的TCP/UDP端口,特别要限制使用公认的有安全隐患的服务端口。对使用远程访问RAS服务的应更加谨慎,禁止用域服务器兼任RAS服务器,应该用单独的服务器担此重任,并采用回叫方式进行远程连接,对远程用户的IP地址进行限制。另外,还可以建立防病毒服务器,并安装集成的网络安全工具。如单位条件和资金有限,也可以用专用的高档微机,安装Wingate、Sygate等免费的代理服务器软件。将单位内网和外网隔离,进一步安装“Conseal Pc Firewall”等免费防火墙软件,定义好安全规则,利用包过滤机制,防范来自外部网络的IP攻击。最后还可使用一些网络安全集成工具如LockDown2000,对网络进行木马清除和端口监控,进一步增强网络安全性。   九、内部防范。据资料统计,网络安全的最大威胁,更多来自单位内部,因此以往单机时代的一些安全规定仍应继续执行,如对每台机器的BIOS均应设置密码,以防用户随意更改机器配置。   相信做好以上工作,贵单位的NT网络安全管理工作会上一个新台阶。当然,一个混合型的网络往往包含NT、OS/2 Warp Server、Unix、NetWare等多种网络操作系统,操作步骤,使用的命令和工具可能会有所不同。再者,网络的安全性和使用的方便性上往往也是矛盾的,因此实际工作中还应对具体问题具体分析。虽然这里主要针对NT系统而言,但其思路对其它网络操作系统有借鉴作用。只要我们善于动脑,举一反三,结合本单位的实际情况,一定会在安全性和方便性中找到合理的设置,一定会把单位的网络管理得更好。