如今,Internet上采用Windows NT Server作為服務器操作系統的網站越來越多, 同時,很多企業采用NT平台作為其Intranet解決方案的基石。Windows NT具有典型的Windows操作界面,簡單易用。然而簡單和安全是互相矛盾的兩個因素,簡單就不安全,安全可能就不簡單。安全和穩定又是相互聯系的,不安全的系統,其穩定性也直接受到影響。隨著Internet開放性的發展,網上信息的洩露和篡改,黑客入侵,病毒傳播等經常發生,這使Windows NT的安全問題更加值得關注。
口令安全
Windows NT口令的安全性比UNIX要脆弱得多,這是由其采用的數據庫存儲和加密機制所直接導致的。NT4.0將用戶信息和加密口令保存在注冊表中的SAM(安全帳戶管理)文件中。口令的加密名義上分兩層進行,實際上只有一層。第一層用RSA MD4系統對口令進行加密,第二層卻不采取任何附加措施,因此缺乏基本的口令復雜性,形同虛設。用PW Dump或NT Crack之類的解密工具即可解碼SAM數據庫並破解口令。
口令是對系統的最大安全威脅,口令被盜意味著用戶在這台機器上的一切信息將全部喪失。為加強NT口令的安全性,首先需要安裝SP3以上的補丁,根據使用經驗,SP5效果較好些,SP4和SP6的穩定性和可靠性都不及SP5。但SP3以上的補丁對NT口令都有所加強;其次改變管理員帳戶的名字,防止黑客攻擊缺省命名的帳戶,並使用更安全的口令。安全的口令應該大小寫字母混合(注意只有一個大寫字母時,不要放在開頭或結尾),8位以上字符,將數字無序地加在字母中,系統用戶的口令包含~!@#$等符號。另外設置跟蹤管理員帳戶,幾次登錄失敗後即鎖定帳戶等。
文件系統安全
Windows NT支持兩種文件系統:FAT和NTFS。二者的區別在於NTFS是針對500M以上容量的硬盤驅動器設計的,支持文件和目錄訪問權限的設置,適用於存儲應用程序和用戶文件,而FAT對500M以下容量的硬盤進行了優化,且不支持文件和目錄訪問權限的設置。
Windows NT的安全機制是以用戶為核心的,試圖訪問受保護對象的每一行代碼,該用戶必須用口令向客戶機證明自己的身份,每次安全性檢查都要依靠用戶鑒別。文件和目錄可以有兩種許可權限:共享許可權(Share Permissions)和文件許可權(File Permissions)。共享許可權用於用戶遠程訪問共享文件系統,當用戶試圖以共享方式訪問文件時,系統會檢查用戶是否擁有訪問權限。文件許可權是直接分配給文件和目錄的訪問權限,無論用戶使用何種方式訪問文件系統都起作用,需要將用戶或工作組與特定的訪問級別相聯系。另外通過文件的屬性可設置文件許可權、文件審核和文件所有者。
對文件權限的錯誤設置有可能帶來安全上的問題,在復制或移動文件時,其權限設置會發生改變,如文件復制到一個目錄下,它會繼承該目錄的權限,而移動文件時,無論移動到哪個目錄下,它會保留原來的權限設置。因此需要經常檢查文件的權限設置,尤其在文件被復制或移動之後。缺省的權限設置允許所有人改變關鍵目錄的訪問權,如NTFS卷的根目錄,System32目錄等,可以將這些關鍵目錄的權限改為只讀。另外可以通過FTP進行無授權的文件訪問,要合理配置FTP服務器,確保服務器必須驗證所有FTP申請。
Web服務器安全
IIS (Internet Information Server)集成了多種Internet服務如WWW服務,FTP服務,Gopher服務等,利用它和Windows NT Server密切配合,可以方便地構造Web站點。IIS中存在許多弱點,在缺省情況下,安裝IIS會生成InetPub目錄,其中又含有四個子目錄。其中三個子目錄是三種Internet服務器的根目錄,用於存放三種服務的所有文件和目錄,另外有一個目錄用於文本存儲,使用CGI,Visual Basic或Perl開發的WEB應用程序可以存儲在此目錄下。管理員應定時檢查IIS的目錄結構,並設置適當的許可權限。
與IIS流行的同時,ASP也成為系統程序員用來作網絡管理編程的偏愛。ASP的開發和維護都比較簡單,而且具有強大的功能,但存在一些安全方面的漏洞。在IIS3.0的時候就曾發現,在ASP程序後面加某字符串可以看到ASP的源代碼。由於ASP的源代碼中含有數據庫的訪問口令等關鍵數據,因此這直接影響到Web服務器的安全。
同IIS3.0比較,IIS4.0的安全性已經有很大的改進,例如其FTP帳戶不是開在域內,而是在本機上。如果要作FTP服務器,用IIS本身所帶的FTP比較好,據統計其安全性要高於其他FTP服務器端軟件。另外要注意的是,一定要保證安裝了所有可靠的安全補丁。
NTFS分區安全
如果在同一台主機上存在多種操作系統如DOS,Windows,Linux,就有可能通過訪問其它操作系統,繞開NTFS本身的安全設置。有些工具可以不需要授權即訪問Intel系統上的NTFS格式的硬盤驅動器,從而操縱NT的各種安全設置。如DOS/Windows的NTFS文件系統重定向器,Linux NTFS Reader, SAMBA等。在這種情況下就要使用專門的分區,並限制系統管理員組和備份操作員組,同時限制管理員使用的操作程序,禁止此類跨越操作系統的訪問。
總的說來,Windows NT的安全性有一定的保障,其安全方面的漏洞基本上都被SP補上,同時它不大容易通過遠程管理被修改,但需要用戶按照程序對缺省配置進行修改,而且系統管理員通過細微而謹慎的工作,才能獲得一個安全而穩定的網絡操作環境。
