萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> DHCP服務器安全秘計

DHCP服務器安全秘計

現在規模稍大的企業網,一般都使用DHCP服務器為客戶機統一分配TCP/IP配置信息。這種方式不但減輕了網管人員的維護工作量,而且企業網的安全性也有了一定的提高。但DHCP服務器的安全問題卻不容小視,它一旦出現問題,就會影響整個網絡的正常運行,如何加強對DHCP服務器的管理呢?其實簡單的幾步就可以實現。

一、啟用DHCP審核記錄

在DHCP服務器中到底發生了什麼事情,管理員單靠肉眼是無法察覺的,最簡單的方法是查看Windows日志,但這時一定要確保啟用了DHCP服務器的“審核記錄”功能,否則,就無法在事件查看器中找到相應的記錄。

筆者以Windows 2000服務器為例,依次點擊“開始→程序→管理工具→DHCP”後,彈出DHCP控制台窗口,右鍵點擊你的服務器,在菜單中選擇“屬性”,彈出屬性設置對話框,切換到“常規”標簽頁(如圖1),確保一定要選中“啟用DHCP審核記錄”選項,最後點擊“確定”按鈕。

圖1 啟動DHCP審核記錄

這樣就啟用了DHCP服務器的審核記錄,它的日志文件默認保存在“C:\WINNT\System32\dhcp”目錄下。為了防止“不法之徒”惡意刪除日志,可以修改DHCP日志文件的存放路徑。切換到“高級”標簽頁(如圖2),點擊“審核日志路徑”欄的“浏覽”按鈕,指定新的日志文件存放位置,接著,使用相同的方法,修改“數據庫路徑”,最後點擊“確定”。這樣,我們的DHCP日志就更加安全了。

圖2 修改DHCP日志保存路徑

二、指定DHCP管理用戶

在企業網中,為了加強對DHCP服務器的管理,網絡管理員要指定一個或若干用戶對DHCP服務器進行管理。如筆者要指定賬號名為“CCE”的用戶能夠對DHCP進行管理,在Windows 2000服務器中,進入到“控制面板→管理工具”,運行“Active Directory 用戶和計算機”工具,在彈出的窗口中,點擊“Users”選項,接著在右側框體中找到“DHCP Administrators”項,右鍵點擊,選擇“屬性”,彈出“DHCP Administrators屬性”對話框,切換到“成員”標簽頁,點擊“添加”按鈕,將“CCE”用戶添加到列表框中,最後點擊“確定”按鈕,這樣“CCE”用戶就能夠管理DHCP服務器了。

三、對DHCP管理用戶限制

如果網絡管理員意外出現誤操作,將其他的用戶加入到DHCP管理組,那麼這些用戶也會擁有對DHCP服務器的管理權限,,這種情況的發生同樣會影響DHCP服務器的安全。如何對這些DHCP管理組用戶進行限制呢?何不利用域安全策略,給DHCP服務器加個“雙保險”。

如筆者只允許DHCP管理組的CCE用戶,對DHCP服務器擁有管理權限,而其他用戶只有“只讀”權限。進入到“控制面板→管理工具”,運行“域安全策略”工具,彈出安全策略控制台窗口,接著依次展開 “Windows 設置→安全設置→受限制的組”,然後在右側框體中的空白處單擊右鍵,選擇“添加組”,彈出添加組對話框,在欄中輸入“DHCP Administrators”後,點擊“確定”按鈕。

然後右鍵點擊“DHCP Administrators”,選擇“安全性”,彈出配置成員身份對話框,接著點擊“添加”按鈕,將“CCE”用戶添加到成員列表中,最後點擊“確定”。

通過以上三步操作後,我們的DHCP服務器就更加安全了,有興趣的朋友,不妨一試!

copyright © 萬盛學電腦網 all rights reserved