NT的安全管理 李景海 2000年 第15期   为了加强Windows NT Server 的安全管理,要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。   1.加强物理安全管理。   ①去掉或锁死软盘驱动器,禁止DOS或其他操作系统访问NTFS分区;②在服务器上设置系统启动口令,设置BIOS禁用软盘引导系统;③不创建任何DOS分区;④保证机房的物理安全。 2.用最新的Service Pack (SP4或SP5)升级Windows NT Server 4.0,因为服务包包括所有补丁程序和后来发表的很多安全补丁程序。   3.掌握并使用微软提供但未设置的安全功能。   例如:缺省安装未禁用Guest账号,并且给Everyone(每个人)工作组授予“完全控制”权限,没有实施口令策略等,都给网络的安全留下了漏洞。要加强服务器的安全,必须根据需要设置这些功能。   4.控制授权用户的访问。   在域里配置适当的NTFS访问控制可以增强网络的安全。取消或更改缺省情况下的Everyone组的“完全控制”权限,要始终设置用户所能允许的最小的文件夹和文件的访问权限。另外,不要共享任何一个FAT卷。   5.避免给用户定义特定的访问控制。   将用户以“组”的方式进行管理是一个用户管理的有效方法。如果一个用户在公司里的角色变了,很难跟踪并更改他的访问权。最明智的作法就是为每个用户指定一个工作组,为工作组指定文件、文件夹访问权。如果要收回或更改某个用户的访问权,只要把该用户从工作组中删除或指定另一个工作组。   6.实施账号及口令策略。   你可以用域用户管理器配置口令策略,选择好口令的原则主要有:(1)登录名称中字符不要重复或循环;(2)至少包含两个字母字符和一个非字母字符;(3)至少有6个字符长度;(4)不是用户的姓名,不是相关人物、著名人物的姓名,不是用户的生日和电话号码及其他容易猜测的字符组合等;(5)要求用户定期更改口令;(6)给系统的默认用户特别是Administrator改名;(7)不要使用无口令的账号,否则会给安全留下隐患;(8)禁用Guest账号。   7.设置账号锁定。   这是阻止黑客入侵的有效方法,建议设置尝试注册三次后锁定账号,在合适的锁定时间后被锁定的账号自动打开,或者只有管理员才能打开,用户恢复正常。   8.控制远程访问服务。   远程访问是黑客攻击NT系统的常用手段,Windows NT 集成的防止外来入侵最好的功能是认证系统。Windows 95、Windows 98和Windows NT Workstation客户机不仅可以交换加密用户ID和口令数据,而且还使用Windows专用的挑战响应协议(challenge / response protocol),这可以确保决不会多次出现相同的认证数据,它还可以有效阻止内部黑客捕捉网络信息包。同时,如条件允许,应该使用回叫安全机制,并尽量采用数据加密技术,保证数据安全。 9.启用登录工作站和登录时间限制。   如果每个用户只有一个PC,并且只允许工作时间登录,可以把每个用户的账号限制在自己的PC上,且在工作时间内使用,从而保护网络数据的安全。   10.启动审查功能。   为防止未经授权的访问,可以利用域用户管理器启用安全审查功能,以便在事件查看器安全日志中记录未经授权的访问企图,以便尽早发现安全漏洞,但要结合工作实际,设置合理的审计规则,切忌审查事件太多,以免无时间全部审查安全问题。   11.确保注册表安全。   首先,取消或限制对regedit.exe、regedit32.exe的访问;其次,利用regedit.exe或文件管理器设置只允许管理员访问注册表,其他任何用户不得访问注册表。   12.应用系统的安全。   在Windows NT上运行的应用系统如:Web服务器、FTP服务器、E-mail服务器,Internet Explorer等,应及时通过各种途径(如:Web站点)获得其补丁程序包,以解决其安全问题。