Windows 版 (精华区)

发信人: cdd (平上), 信区: Windows
标  题: Windows NT的安全机制浅析
发信站: 哈工大紫丁香 (2000年06月24日15:13:46 星期六), 站内信件

如今，Internet上采用Windows NT Server作为服务器操作系统的网
站越来越多，同时，很多企业采用NT平台作为其Intranet解决方案的
基石。Windows NT具有典型的Windows操作界面，简单易用。然而简
单和安全是互相矛盾的两个因素，简单就不安全，安全可能就不简单
。安全和稳定又是相互联系的，不安全的系统，其稳定性也直接受到
影响。随着Internet开放性的发展，网上信息的泄露和篡改，黑客入
侵，病毒传播等经常发生，这使Windows NT的安全问题更加值得关注
。
　　口令安全
　　Windows NT口令的安全性比UNIX要脆弱得多，这是由其采用的数
据库存储和加密机制所直接导致的。NT4.0将用户信息和加密口令保
存在注册表中的SAM(安全帐户管理)文件中。口令的加密名义上分两
层进行，实际上只有一层。第一层用RSA MD4系统对口令进行加密，
第二层却不采取任何附加措施，因此缺乏基本的口令复杂性，形同虚
设。用PW Dump或NT Crack之类的解密工具即可解码SAM数据库并破解
口令。
　　口令是对系统的最大安全威胁，口令被盗意味着用户在这台机器
上的一切信息将全部丧失。为加强NT口令的安全性，首先需要安装SP3
以上的补丁，根据使用经验，SP5效果较好些，SP4和SP6的稳定性和
可靠性都不及SP5。但SP3以上的补丁对NT口令都有所加强；其次改变
管理员帐户的名字，防止黑客攻击缺省命名的帐户，并使用更安全的
口令。安全的口令应该大小写字母混合（注意只有一个大写字母时，
不要放在开头或结尾），8位以上字符，将数字无序地加在字母中，
系统用户的口令包含～!@＃＄等符号。另外设置跟踪管理员帐户，几
次登录失败后即锁定帐户等。
　　文件系统安全
　　Windows NT支持两种文件系统：FAT和NTFS。二者的区别在于NTFS
是针对500M以上容量的硬盘驱动器设计的，支持文件和目录访问权限
的设置，适用于存储应用程序和用户文件，而FAT对500M以下容量的
硬盘进行了优化，且不支持文件和目录访问权限的设置。
　　Windows NT的安全机制是以用户为核心的，试图访问受保护对象
的每一行代码，该用户必须用口令向客户机证明自己的身份，每次安
全性检查都要依靠用户鉴别。文件和目录可以有两种许可权限：共享
许可权（Share Permissions）和文件许可权（File Permissions）
。共享许可权用于用户远程访问共享文件系统，当用户试图以共享方
式访问文件时，系统会检查用户是否拥有访问权限。文件许可权是直
接分配给文件和目录的访问权限，无论用户使用何种方式访问文件系
统都起作用，需要将用户或工作组与特定的访问级别相联系。另外通
过文件的属性可设置文件许可权、文件审核和文件所有者。
　　对文件权限的错误设置有可能带来安全上的问题，在复制或移动
文件时，其权限设置会发生改变，如文件复制到一个目录下，它会继
承该目录的权限，而移动文件时，无论移动到哪个目录下，它会保留
原来的权限设置。因此需要经常检查文件的权限设置，尤其在文件被
复制或移动之后。缺省的权限设置允许所有人改变关键目录的访问权，
如NTFS卷的根目录，System32目录等，可以将这些关键目录的权限改
为只读。另外可以通过FTP进行无授权的文件访问，要合理配置FTP服
务器，确保服务器必须验证所有FTP申请。
　　Web服务器安全
　　IIS (Internet Information Server)集成了多种Internet服务
如WWW服务，FTP服务，Gopher服务等，利用它和Windows NT Server
密切配合，可以方便地构造Web站点。IIS中存在许多弱点，在缺省情
况下，安装IIS会生成InetPub目录，其中又含有四个子目录。其中三
个子目录是三种Internet服务器的根目录，用于存放三种服务的所有
文件和目录，另外有一个目录用于文本存储，使用CGI，Visual Basic
或Perl开发的WEB应用程序可以存储在此目录下。管理员应定时检查IIS
的目录结构，并设置适当的许可权限。
　　与IIS流行的同时，ASP也成为系统程序员用来作网络管理编程的
偏爱。ASP的开发和维护都比较简单，而且具有强大的功能，但存在
一些安全方面的漏洞。在IIS3.0的时候就曾发现，在ASP程序后面加
某字符串可以看到ASP的源代码。由于ASP的源代码中含有数据库的访
问口令等关键数据，因此这直接影响到Web服务器的安全。
　　同IIS3.0比较，IIS4.0的安全性已经有很大的改进，例如其FTP
帐户不是开在域内，而是在本机上。如果要作FTP服务器，用IIS本身
所带的FTP比较好，据统计其安全性要高于其他FTP服务器端软件。另
外要注意的是，一定要保证安装了所有可靠的安全补丁。
--
问：生活为什么如此美好？
答：因为有了BBS.

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: che.hit.edu.cn]