服务器的维护管理 2001年 47期 笔者管理公共机房已近6年了,经常与同行交流时,都感到公共机房的管理确实是一个令人头疼的难题。同一台机器多人使用,有人不怀好意地企图破坏网络数据,有人在机器上运行禁止运行的程序,有人不经允许私自安装一些软件等等,诸如此类的做法都使公共机房的管理人员天天呆在机房里维修,疲于应付。所以探讨如何有效地充分利用现有资源,确保机器、系统的安全运行的问题,就显得非常必要,本文初步谈一下对机房管理的一些看法和经验。   大多数学校企业的服务器操作系统使用的是Windows NT,它的界面与Windows9x相似,使对Windows9x熟悉的人没有陌生感,一些操作与Windows9x相同,且功能强大,无论在局域网还是在互联网中,它都得到了广泛的应用。笔者根据多年使用NT的经验,认为对NT的维护主要是对NT的防攻击和系统损坏后的恢复。   #1Windows NT系统的防攻击   Windows NT系统最显著的一个特点就是网络的安全性。但是安全总是相对的,不安全是绝对的,对NT造成威胁的是非授权用户非法获得系统管理员账号,利用系统管理员的管理权力对系统进行修改破坏,因此黑客们千方百计地寻找NT的漏洞,那些有入侵经验的老手能够利用旧有的一些协议漏洞和原理对NT实施攻击,再加上NT对一些用户信息保密字的加密处理也不是很完善,使得破解工作变得较为简单。所以Windows NT的许多安全功能只有在适当配置后才能发挥作用,具体配置的操作方法如下:   #21.用户账号的保护   系统管理员拥有最高的权限,可以管理所有的NT资源和账号。系统缺省安装时,安装了一个名为Administrator的系统管理员账号,它的缺省口令为空。为了有效地保护系统管理员账号,不仅要设置管理员口令,而且还要修改此账号的用户名。另外你还可以把Administrator这个名字用做一个普通账号的用户名,并选择一个口令,但不允许访问网上的任何资源,起到迷惑黑客,保护系统管理员账号安全的目的(“域用户管理器”→“用户”→“重命名”),如^47060102a^1。   对于普通用户首先应确保每一用户拥有一个账号及其相应的合法用户名和自定义口令,可通过“开始”→“管理工具”→“域用户管理器”→“用户”→“新用户”(或“属性”)来设置(^47060102b^2)。   用户名的选择在NT域中应是惟一的,它在整个网络中惟一标识该用户,名字尽量长一些(NT支持长达20个字符的用户名)。   用户的口令比起用户名来说更重要,在通常情况下,口令应至少包含7个字符,最好是字符和数字混合使用,比如用一句英文的字母作口令不失为一种既易记又难被破解的好方法:I am a man可得到Iamamam这样的口令。   除了有合适的用户名和口令之外,还需要设置整个系统的安全选项,包括最大口令有效期、最小口令有效期和最小口令长度等(“域用户管理器”→“规则”→“账号”)如^47060102c^3。   设置口令有效期可以强制用户定期修改口令,从而充分保证口令的机密性。   #22.用户分组及授权   为简化网络管理工作,可以将不同用户分别纳入不同的用户组,这样只要你设置了组的权限(Right)和访问权限(Permissions),则组中所有用户就具有该权限和访问权限,使得组织网络变得更容易,并可让你一次对多个用户进行授权(“域用户管理器”→“规则”→“用户权限”),如^47060102d^4。   #23.设置锁定限制   锁定限制是指在若干次口令验证失败的情况下,使该账号无效,通常的失败次数是3次,这个选项需经过系统管理员的启动才有效,如图3,把锁定时间设置为“永久”,这样,非法用户只能用同一个账号攻击网络3次。为了跟踪账号锁定记录和其他可能的黑客活动踪迹,可以启动账号日志记录(“域用户管理器”→“规则”→“审核”),见^47060102e^5,这样为了安全,你需要经常检查事件日志。   #24.利用NTFS的安全选项   NTFS是Windows NT专为网络安全而开发的一种文件系统,NTFS有内置的保护文件的安全选项。如果共享目录位于NTFS文件系统的分区中,那么你就可以针对共享目录中的个别目录与文件设置其使用权限(“NT资源管理器”→“单击目录文件”→“按鼠标右键”→“属性”→“安全性”→“权限”),见^47060102f^6,NTFS还支持UNICODE(统一的字符编码标准),在系统崩溃时可以保护数据。   #1Windows NT系统的修复   在使用Windows NT时经常出现不能引导、工作不正常、管理员口令被忘记等现象,此类问题可以使用其紧急修复盘解决。下面我来介绍一下紧急修复盘的制作方法,并通过实例说明其使用方法:   #21.紧急修复软盘的建立与更新   在光盘安装中文Windows NT时,会建立4张引导软盘,同时还会提示建立一张紧急修复软盘。如果选择建立,插入一张新软盘,系统会格式化这张软盘并拷贝文件到盘中。   其中带有下划线的文件是压缩文件,可使用\WINNT\SYSTEM32\EXPAND.EXE文件命令解压缩。   安装Windows NT完成后,如果建立紧急修复软盘或更改紧急修复软盘,可运行\WINNT\SYSTEM32\RDISK.EXE文件,此命令只能由Administrators和Power Users组中的用户使用。此命令运行后,显示“更新修复信息”和“创建修复磁盘”选项,如果原来没有紧急修复软盘,则可以选择“创建修复磁盘”,否则选择“更新修复信息”。   使用紧急修复软盘可以还原注册文件,即用紧急修复软盘中的文件内容替换硬盘中旧的或不正确的注册文件。   #22.紧急修复实例   (1)启动Windows NT后,在出现注册窗口前屏幕显示不正常,变得一片漆黑   笔者曾在“控制面板”中,双击“系统”后,在选择显示驱动程序时,误选择了系统不支持的驱动方式,并且选择了“确定”按钮,导致屏幕变得一片漆黑,在键盘上输入字符并回车后,硬盘灯还亮,系统并未死机,但不能正常工作。使用紧急修复软盘解决了此问题,方法如下:   用安装引导盘的第一张启动计算机,根据提示插入第二、第三张盘后,出现如下选项:   ●在安装前如果想多了解Windows NT的安装过程,请按F1。   ●开始安装Windows NT,请按ENTER。   ●修复上次安装时损坏的Windows NT,请按R。   ●停止安装Windows NT并退出安装程序,请按F3。   按R后,出现下面的内容:   ×查看注册表文件    查看启动环境    验证Windows NT系统文件    查看启动扇区   继续(执行所选任务)   选择第一项后,选择“继续”并回车,按提示执行后面的操作,插入紧急修复软盘后出现下面的信息。   ×系统(系统配置)    软件(软件配置)    默认用户配置文件    安全性(安全性原则)及SAM(用户账户数据库)   继续(执行所选任务)   选择“系统”后,选“继续”,系统将会从紧急修复软盘中拷贝文件到硬盘中,系统提示重新启动计算机,取出软盘重新启动计算机后,一切正常。   (2)管理员口令忘记   管理员口令如果被忘记,除了重新安装系统,还可使用紧急修复软盘进入系统。   操作步骤与前面的类似,只是有不同的选择(选择安全性及SAM那一项),而后系统从紧急修复软盘中将会拷贝文件到硬盘,系统提示重新启动计算机,取出软盘重新启动计算机后,在注册时使用建立紧急修复软盘时管理员的口令,可正常进入系统。