六十四��、WINOWS NT4.0下的網絡安全性 熱點網絡 在網絡多用戶環境下��,系統的安全性��、權限設置非常重要����,Windows NT 4.0提供了網絡環境下的一個成功的安全保密系統�。Windows NT從最初開發到目前使用廣泛的Windows NT 4.0�,其安全系統已日趨成熟、完備��,但同時也使得系統的管理人員在構造網絡環境��、進行權限分配時��,感到復雜��、難以掌握��。筆者查閱了眾多的有關資料��,又經過反復實踐��,在此作一簡要的分析和介紹��。
Windows NT 4.0的網絡安全性依賴于給用戶或組授予的三種能力:
?權力:在系統上完成特定動作的授權��,一般由系統指定給內置組��,但也可以由管理員將其擴大到組和用戶上��。
?共享:用戶可以通過網絡使用的文件夾��。
?權限:可以授予用戶或組的文件系統能力��。
一��、權力
權力適用于對整個系統范圍內的對象和任務的操作��,通常是用來授權用戶執行某些系統任務��。當用戶登錄到一個具有某種權力的帳號時��,該用戶就可以執行與該權力相關的任務��。
下面列出了用戶的特定權力:
?Access this computer from network 可使用戶通過網絡訪問該計算機��。
?Add workstation to a domain 允許用戶將工作站添加到域中��。
?Backup files and directories 授權用戶對計算機的文件和目錄進行備份��。
?Change the system time 用戶可以設置計算機的系統時鐘��。
?Load and unload device drive 允許用戶在網絡上安裝和刪除設備的驅動程序��。
?Restore files and directories 允許用戶恢復以前備份的文件和目錄��。
?Shutdown the system 允許用戶關閉系統。
以上這些權力一般已經由系統授給內置組��,在日常維護過程中很少涉及到��,在具體需要時也可以由管理員將其擴大到組和用戶上��。熱點網絡
二��、共享權限
共享只適用于文件夾(目錄)��,如果文件夾不是共享的��,那么在網絡上就不會有用戶看到它��,也就更不能訪問��。網絡上的絕大多數服務器主要用于存放可被網絡用戶訪問的文件和目錄��,要使網絡用戶可以訪問在NT Server服務器上的文件和目錄��,必須首先對它建立共享��。共享權限建立了通過網絡對共享目錄訪問的最高級別��。
表1列出從最大限制到最小限制的共享權限��。
表1 共享權限
共享權限級別 允許的用戶動作
No Access(不能訪問) 禁止對目錄和其中的文件及子目錄進行訪問
Read(讀) 允許查看文件名和子目錄名��,改變共享目錄的子目錄��,還允許查看文件的數據和運行應用程序
Change(更改) 具有“讀”權限中允許的操作�,另外允許往目錄中添加文件和子目錄,更改文件數據����,刪除文件和子 目錄
Full control(完全控制) 具有“更改”權限中允許的操作,另外還允許更改權限(只適用于NTFS卷)和獲取所有權(只適用于NTFS卷)
三��、權限
權限適用于對特定對象如目錄和文件(只適用于NTFS卷)的操作�,指定允許哪些用戶可以使用這些對象,以及如何使用(如把某個目錄的訪問權限授予指定的用戶)����。權限分為目錄權限和文件權限,每一個權限級別都確定了一個執行特定的任務組合的能力��,這些任務是:Read(R)�、Execute(X)、Write(W)����、Delete(D)�、Set Permission(P)和 Take Ownership(O)��。表2和表3顯示了這些任務是如何與各種權限級別相關聯的��。
表2 目錄權限
權限級別 RXWDPO 允許的用戶動作
No Access 用戶不能訪問該目錄
List RX 可以查看目錄中的子目錄和文件名��,也可以進入其子目錄
Read RX 具有List權限��,用戶可以讀取目錄中的文件和運行目錄中的應用程序
Add XW 用戶可以添加文件和子目錄
Add and Read RXW 具有Read和Add的權限
Change RXWD 有Add和Read的權限��,另外還可以更改文件的內容��,刪除文件和子目錄
Full control RXWDPO 有Change的權限��,另外用戶可以更 改權限和獲取目錄的所有權
如果對目錄有Execute(X)權限��,表示可以穿越目錄��,進入其子目錄��。
表3 文件權限
權限級別 RXWDPO 允許的用戶動作
No Access 用戶不能訪問該文件
Read RX 用戶可以讀取該文件��,如果是應用程序可以運行
Change RXWD 有Read的權限��,還可用修改和刪除 文件
Full control RXWDPO 包含Change的權限��,還可以更改權限和獲取文件的所有權
四、域和委托
域是Windows NT Server 4.0網絡安全系統的基本組成單元��,&127;委托是復雜的NT網絡中域之間的基本關系��。在NT 4.0中通過域的委托關系為大型或復雜系統提供了更為靈活和簡便的管理方法��。
域指的是一組共享數據庫并具有共同安全策略的計算機(通俗地說是指任意一組NT服務器和工作站)��。在一個域中至少有一個服務器設計為主域控制器(稱為PDC)��,可以(在大多數情況下應該)帶有一個或多個備份域控制器(稱為BDC)��,在PDC中維護著一個域內適用于所有服務器的中心帳號數據庫��。用戶帳號數據庫只能在PDC中更改��,然后再自動送到BDC中��,在BDC中保留著用戶帳號數據庫的只讀備份��。如果PDC出現了重大錯誤而不能運行��,就可以把BDC變成PDC��,使得網絡繼續正常工作��。
在有兩個或多個域組成的網絡中��,每個域都作為帶有其自身帳號數據庫的一個獨立網絡來工作��。缺省時域之間是不能相互通信的��,如果某個域的一些用戶需要訪問另一個域中的資源��,就需要建立域之間的委托關系��。委托關系打開了域之間的通信渠通��。
域 A ───→ 域 B
委 托
(委托域) (受托域)
受托域B中的用戶就可以訪問委托域A中的資源��。
委托關系可以是雙向的��,即域A委托域B��,域B委托域A��,這樣域B中的用戶就可以訪問域A中的資源��,域A中的用戶就可以訪問域B的資源����。
五����、用戶組
用戶組是指具有相同用戶權力的一組用戶����。以組的形式組織用戶只需通過一次操作就能更改整個組的權力和權限,從而可以更快速方便地為多個用戶授權對網絡資源的訪問��,簡化網絡的管理維護工作��。
Windows NT支持兩種類型的組:
?全局組:包含來自該全局組創建時所在域的用戶帳號��,運用域之間的委托關系可以給全局組授予在其他委托域中的資源的權力和權限��。
?局部組:可以包含該組所在域和其他受托域中的用戶帳號��,也可以包含該組所在域和其他受托域中的全局組��。只能給局部組授予該組所在域中的資源的權力和權限��。
六��、網絡的安全性設置
在分析了解了以上這些知識后��,接著簡要分析一下網絡的安全管理工作��。
首先考慮整個NT網絡域的劃分��,具體模型有4種:單域模型��、單主控域模型��、多主控域模型和完全信任的多主控域模型��。對于用戶不多��,不需要進行邏輯分割便可管理的網絡��,同時需要保持最少的管理工作量��,那么最好采用單域模型��。在這種模型中��,所有的服務器和工作站都在一個域中��,局部組和全局組是一回事��,不存在需要管理的委托關系��,但采用這種模型也有一些缺點,比如在性能上隨著資源的增加而降低��,瀏覽的速度會隨著服務器的增加而變慢��。如果網絡規模比較大��,同時又需要高度的安全性��,那么就應該采用多域模型��,進行合理的域的劃分��。在劃分域時��,可以采用多種劃分原則��,比如按機構部門劃分��、按地理位置劃分等��。在規劃域的過程中��,最好把域的數目減到最少��,因為網絡管理的復雜性會隨著域數目的增加呈幾何級數增長��,每個增加的域都會引入新的問題��,產生新的困難��。由于一個域中的一些用戶要訪問另一個域中的資源��,所以要建立所有可能的委托關系��。
其次��,在域中建立組(包括全局組和局部組)��,把擁有類似的作業或資源訪問需求以及完成類似功能的用戶集合起來��,只需對組授權即可��。組簡化了對資源的管理��,因為可以用整體的方式來控制和分配訪問權��。
最后進行共享權限和權限的分配��,在設置這些權限時��,要使得對系統的操作盡可能簡單��,盡可能將有關權限分配給組,而不是分配給單個用戶��,除非必要��,否則不要按文件分配權限��,權限的集中管理可以簡化管理維護工作��。
一個文件夾(目錄)要想供多個用戶訪問使用��,首先要共享��,對FAT卷再以共享權限的形式添加約束��,但是這些約束僅限于目錄級(而不是文件級)��。對NTFS卷上的目錄具有與FAT卷上的目錄相同的共享權限��,但它們還可以使用權限設置��,在這種卷上每個目錄都有“安全”屬性頁��,可以對它們進行更加詳細的權限限制��,同時對每個文件也可以通過該文件的“安全”屬性頁進行權限的限制��。
共享權限決定了通過網絡對資源的最大訪問權��。舉例來說��,如果將共享權限設置成Change(更改)��,那么用戶通過網絡能進行的最高訪問權是Change��,這就意味著如果用戶通過“安全”屬性頁獲取的權限級別比Change高(比如Full Control)��,那么用戶通過網絡能進行的最高訪問權是Change��;如果用戶通過“安全”屬性頁獲取的權限級別比Change低(比如Read)��,那么這時用戶通過網絡能進行的最高訪問權限以通過“安全”屬性頁獲取的權限級別為準��;如果沒有通過“安全”屬性頁獲取權限��,那么用戶通過網絡就打不開這個目錄��,無法訪問該目錄��。
作為一種規劃��,一般是將共享權限保留為默認設置��,即每個用戶都能完全控制(Full Control)&127;,然后根據具體需要使用目錄或文件權限進行安全性控制(只適用于NTFS卷)��。
最后說明一點��,對FAT卷上的目錄只能通過共享權限進行限制��,對NTFS卷上的目錄不僅可以進行共享權限限制��,還可以進行權限的限制(對NTFS卷上的文件也可進行權限限制)��。
七��、結束語熱點網絡
網絡上的信息很有價值��,因此必須受到保護��。網絡越大��,對安全性的要求就越嚴格��,必須保證每個用戶的數據是安全的��。Windows NT 4.0提供了非常完善��、方便��、先進的安全管理手段��,可以保證沒有特定權限的用戶不能訪問任何資源��,而同時這些安全性的運行又是透明的��,既可防止未授權用戶的闖入��,也可防止授權用戶做他不該做的事情��,從而保證了整個網絡系統高效��、安全的正常運行��。
