們普遍認為NT在安全性方面不如Unix。難道是NT本身比Unix不安全嗎?答案是否定的。原因在於多年以來Unix管理員已經學會了在復雜的Internet環境中實現Unix服務,所以NT管理員也應該學習在Internet上保護自己 的系統,從而使自己的WindowsNT高枕無憂。 在Internet的廣泛應用中,WindowsNT的安全性一度令NT管理員們深感不安。在運行Windows95的環境下,任何一位略 懂網絡技術的用戶鍵入命令:“net Q:\\SERVER-NAME\SHARENAME”,就能通過網絡存取服務器的啟動分區!為了確保安全性,以下7項措施可供NT管理員參考。 1.用NTFS,不用FAT NTFS(NT文件系統)可以對文件和目錄使用ACL存取控制表),ACL可以管理共享目錄的合理使用,而FAT(文件分配表)卻只能管理共享級的安全。出於安全考慮,您必須處處設置盡可能多的安全措施,凡是與Internet相連的WindowsNT計算機都應該使用NTFS。使用NTFSACL的好處在於,如果它授權用戶對某分區具有 全部存取權限,但共享級權限為"只讀”,則最終的有效權限為“只讀”。WindowsNT取NTFSACL和共享權限的交集。在實施這樣的網絡方案時,您最好限制Internet服務器的共享,但是如果非要與Internet服務器交換文件,則可借助於NTFS。一旦建立新 的共享權限,不要忘記修改由NT指定的缺省權限,否則Everyone用戶組就能享有“完全控制”的共享權限。那些已經使用了FAT的用戶,在x86的NT系統上可以用convert 命令將啟動卷升級為NTFS。 2.將系統管理員賬號改名 對於試圖猜測口令的非法用戶,NT的UserManager可以設置防范措施,例如5次口令輸入錯誤後就 禁止該賬號登錄。問題在於系統管理員這個最重要的賬號卻用不上這項防范措施。即使將系統管理員的權限全部授予某個用戶賬號,並且只使用該用戶賬號進行管理, 但是由於系統管理員賬號本身不能刪掉或廢止,因而非法用戶仍然可以對系統管理員賬號進行口令攻擊。 一種值得推薦的方法是將系統管理員賬號的用戶名由原先的“Administrator”改為一個無意義的字符串。這樣要登錄的非法用戶不但要 猜准口令,還要先猜出用戶名。這種改名功能在UserManager的UserProperties對話框中並沒有設置,不過它的“User”*“Rename”菜單選項卻能實現這一功能。 用於提供Internet公共服務的計算機不需要也不應該有除了系統管理用途之外的其他用戶賬號。因此,應該廢止Guest賬號,移走或限制所有的其他用戶賬號。 如果用的是NT4.0,可以用ResourceKit中提供的工具封鎖聯機系統管理員賬號。這種封鎖只對由網絡過來的非法登錄起作用。賬號一旦被封鎖掉,,系統管理員還可 以通過本地登錄重新設置封鎖特性。 3.別忘了打開審計系統 如何才能知道在NT環境中安全性是否已經被攻擊或攻破呢?NT的事件審計系統就設有此項功能,但該 系統需要被激活。UserManager中的“Policies”*“Audit”菜單選項可以激發控制審計事件的屏幕。問題的關鍵在於您應當收集有用的信息,而不是收集得越多越好。您可以審計各種操作成功和失敗的情況。失敗的情況通常比成功的情況少得 多,但從安全性的角度考慮,失敗事件更值得注意。另外不常用的操作也值得注意,如安全性策略的改變和再啟動往往反映了未經授權的行為。NT允許跟蹤諸如FileAccess、UseofUserRights和ProcessTracking等成功的操作,但它需要大量的 存儲空間,而且對跟蹤所得的數據進行分析也不是一件容易的事情。使用審計功能,最關鍵的一步是要查看NT在正常運行時所記錄的事件日志,它能幫助我們發現問題的前兆。審計日志本身也需要保護,因為非法用戶在進入系統之後通常會抹掉其活動蹤跡。首先我們應該定時自動備份日志文件,但是如果這些備份仍然 是聯機的,則也有可能被非法用戶找到。一個比較好的解決方法是將審計事件記錄同時制成硬拷貝,或者將其通過E-mail發送給系統管理員。NTPerl為我們提供了一 個閱讀事件日志的模塊。 4.廢止TCP/IP上的NetBIOS 連接到Internet上的NT支持NetBEUI和TCP/IP兩種傳輸協議的Windows網絡功能。那麼什麼是Windows網絡 功能呢?它就是所有要求\\NAME句法形式的操作,包括目錄和打印機共享、NetDDE和遠程管理。通過Internet連到某個驅動器編輯或寄存內容,只需要在本地lmhosts 文件裡構造目標站NetBIOS名與其IP地址之間的映象。例如,使用Windows95中的EventViewer和UserManager就可以管理Internet上的其他服務器,這種特性為管理員 提供了方便,但同時也使非法用戶找到了可乘之機。 好在NT已能夠對TCP/IP上的NetBIOS施行嚴密的控制。您可以使用網絡控制面板中的裝訂對話框廢止多種基 於NetBIOS服務與TCP/IP之間的裝訂。由於NT的網絡服務同時運行多種傳輸功能,做上述廢止操作的計算機之間可以使用Server、Workstation和其他服務進行對話,因 為這些對話不從Internet上走,而是通過NetBEUI通道。當然,完成了這種廢止操作之後,不僅是非法用戶,就連系統管理員也不能做遠程驅動器安裝並遠程編輯或寄 存內容了。 5.關閉不必要的向內TCP/IP端口 一旦非法用戶進入系統並得到管理員權限之後,他定要想辦法恢復管理員刻意廢止的NBT(TCP/IP上的NetBIOS)裝訂。 管理員應該使用路由器作為另一道防線。假設有個NT服務器沒有太多的防護系統,暴露在防火牆以外,其作用是提供諸如Web和FTP之類的公共服務。這種情況下 只須保留兩條路由器到服務器的向內路徑:端口80的HTTP和端口21的FTP。路由器應該並能夠阻塞所有其他的向內途徑。如果管理員有調整包過濾規則的權限,他可能會給自己多留一點便利。例如,在取消全部非Web和非FTP服務時留一個例外,即 用於遠程管理的端口137、138、139從IP地址來的NBT途徑。雖然一般來說只有管理員才能遠程操作服務器,但事實上發現了管理員和IP地址之間這種連接的非法用戶 也能盜用該路徑。非法用戶若想知道主系統的IP地址,通常會按如下步驟進行: 1.了解目標服務器管理員的情況。 2.針對管理員的興趣愛好,做個假Web頁面。 3.發送E-mail邀請他訪問該頁面。 4.截獲主系統的IP地址。 5.用JavaScript或ActiveX鑽進該系統。 這種管理員為自己開後門、留一條路徑的做法,其安全性只依賴於別人不知道IP地址。[Image]但這種安全性在非法用戶系統而耐心的猜試攻勢面 前也是極不安全的,所以要禁止一切多余的向內路徑。
6.取消Access from Network的便利 在缺省情況下,NT授予Everyone用戶組Access from Network(從網絡存取)的權限。取消了該權限雖然會阻塞Windows的全部網絡服務,但仍然可以支持Web 服務。在一個NTWeb服務器上,既能以SYSTEM方式運行,也能以本地用戶方式運行,這兩種狀態在NT看來都不存在遠程用戶。由於與NT連用的FTP服務器要求用戶進行網絡登錄,所以這種情況下就無法使用FTP服務器,但包括Microsoft Internet Information Server(IIS)在內的其他FTP服務器是采用本地登錄的,並不受取消Accessfrom Network權限的影響。與NBT方法不同的是,這裡講的技術無法對協議選擇棄留。所以Access from Network權限取消後運行Web和FTP服務,不但通過Internet的、 而且本地使用NetBEUI協議的文件共享都被阻塞掉了。當然還有一種妥協方案,只給管理員本人賬號留有Access from Network的權限。 7.不可輕易發布信息 有人認為,在Internet上沒人知道你在運行WindowsNT。然而事實並非如此,如聯機FTP 服務是這樣宣布連接的: ftp>open ftp.myhost.com Connected to ftp.myhost.com 220 ftp WindowsNT FTP Server (Version3.51) 正常的用戶不需要以上信息,而非法用戶卻能根據該信息有效地對特定操作系統進行攻擊。IISFTP服務也發布同樣明顯的消息: Connected to ftp.myhost.com. 220 ftp Microsoft. FTP Service (Version2.0) 上面兩種情況表明您連接在NT上工作以及您運行的NT是什麼版本。所以如果您不想為非法用戶攻 擊您的系統提供便利的話,最好不要輕易發布信息。
