浅析WindowsNT的安全机制

第1卷第2期 重庆交通学院学报(社科版) 2001年6月Vol.1 No.2 JOURNALOFCHONGQINGJIAOTONGUNIVERSITY(SocialSciencesEdition) Jun.2001

浅析WindowsNT的安全机制

刘 军

(重庆交通学院教务处,重庆400074)

摘 要:针对WindowNT的口令安全、文件系统安全、服务器安全和NFTS分区几个方面分析了WindowNT的安全机制,并提出了一些解决办法。

关键词:WINDOWSNT; 安全; 文件系统; IIS

中图分类号:TP316 文献标识码:A 文章编号:1009-9794(2001)02-0078-03 目前,流行国内的网络操作系统有NOVELL和WIN-DOWSNT、UNIX,其中NOVELL需要的成本少,但是它的管理比较复杂;UINX虽然很好,但多数系统管理员又不是很熟悉;而WINDOWSNT呢,具有典型的Windows操作界面,简单易用,为大多数人所接受。现在,Internet上采用Win-dowsNTServer作为服务器操作系统的网站越来越多,同时,很多企业采用NT平台作为其Intranet解决方案的基石。但是,这中间有一个必然的矛盾,那就是简单和安全是互相矛盾的两个因素 简单就不安全,安全可能就不简单。安全和稳定又是相互联系的,不安全的系统,其稳定

性也直接受到影响。随着Internet开放性的发展,网上信息的泄露和篡改,黑客入侵,病毒传播等经常发生,这使Win-dowsNT的安全问题更加值得关注。安全包含几个方面:口令安全、文件系统安全、WEB服务器安全和NTFS安全。

一、口令安全

WindowsNT口令的安全性比UNIX要脆弱得多,这是由其采用的数据库存储和加密机制所直接导致的。让我们来看一下NT的登录过程。如图1、图2所示

:

图1 本地登录过程 图2 远程登录过程

首先,我们看本地登录过程:

(1)用户按下Ctrl+Alt+Del时,进行登录;

(2)登录进程(Netlogon)调用LSA(LocalSecurityAuthor-ity),LSA运行正在使用的认证包。

(3)LSA与SAM联络,SAM在本地帐户数据库中查找登录名和口令。

(4)如果查到,则返回用户的SID(安全标识符)和用户所属组的ID。

收稿日期:2000-09-27

。

*

第2期 刘 军:浅析WindowsNT的安全机制

(5)LSA用SID创建一个访问令牌,并且把这个令牌发给登录进程。

如果是服务器登录(图2),在域服务器中登录,域服务器会完成前面描述的步骤,并在用户数据库中验证你的帐户,而用户帐户数据库存储在服务器中。最后SID被检索出来并传送给服务器的登录进程,服务器的登录进程又会传送给用户计算机上的登录进程,从而在用户的计算机上创建访问令牌。

从上面可以看出,NT4.0将用户信息和加密口令保存在注册表中的SAM安全帐户管理(SecurityAccountsManage-NT的SAM口令的加密名义上分两层进行,实际上只有一层。第一层用RSAMD4系统对口令进行加密,第二层却几乎不采取任何附加措施,因此缺乏基本的口令复杂性,形同虚设。用PWDump或NTCrack之类的解密工具即可解码SAM数据库并破解口令。

口令是对系统的最大安全威胁,口令被盗意味着用户在这台机器上的一切信息的安全性将全部丧失。如何加强口令的安全呢?

为加强NT口令的安全性,需要安装SP3以上的补丁,根据使用经验,SP5效果较好些,SP4和SP6的稳定性和可靠性都不及SP5。但SP3以上的补丁对NT口令都有所加强。

其次,改变管理员帐户的名字,防止黑客攻击缺省命名的帐户,并使用更安全的口令。安全的口令应该大小写字母混合(注意只有一个大写字母时,不要放在开头或结尾),8位以上字符,将数字无序地加在字母中,系统用户的口令包含~!@#$等符号。

第三,严格限制Administrator组和各备份组帐户的成员资格,并设置跟踪管理员帐户,几次登录失败后即锁定帐户等。

第四,对域与域间的信任关系的建立,应加以严格的控制。

第五,提高管理员的素质,增强安全意识。

79

件时,系统会检查用户是否拥有访问权限。文件许可权是直接分配给文件和目录的访问权限,无论用户使用何种方式访问文件系统都起作用,需要将用户或工作组与特定的访问级别相联系。另外通过文件的属性可设置文件许可权、文件审核和文件所有者。

对文件权限的错误设置有可带来安全上的问题,在复制或移动文件时,其权限设置会发生改变,如文件复制到一个目录下,它会继承该目录的权限,而移动文件时,无论移动到哪个目录下,它会保留原来的权限设置。因此需要经常检查文件的权限设置,尤其在文件被复制或移动之如NTFS卷的根目录,System32目录等,可以将这些关键目录的权限改为只读。另外可以通过FTP进行无授权的文件访问,要合理配置FTP服务器,确保服务器必须验证所有FTP申请。

ment)文件中。因而,SAM的安全就成了口令安全的核心。后。缺省的权限设置允许所有人改变关键目录的访问权,

三、Web服务器安全

IIS(InternetInformationServer)集成了多种Internet服务如WWW服务,FTP服务,Gopher服务等,利用它和WindowsNTServer密切配合,可以方便地构造Web站点。IIS中存在许多弱点,在缺省情况下,安装IIS会生成InetPub目录,其中又含有四个子目录。其中三个子目录是三种Internet服务器的根目录,用于存放三种服务的所有文件和目录,另外有一个目录用于文本存储,使用CGI,VisualBasic或Perl开发的WEB应用程序可以存储在此目录下。黑客能够利用它们找到攻击的突破口,管理员应将这些目录更名,并定时检查IIS的目录结构,设置适当的许可权限。此外,NT在作为Internet服务器时,应尽可能减少NT所提供的某些服务。因此任务服务都可能有故障或安全漏洞,从而为攻击者提供可乘之机。譬如,Microsoft的内置SMB(SeverMes-sageBlocking)文件共享协议,黑客以SMB用户进入系统,访问共享目录,获得攻击机会。

与IIS流行的同时,由于ASP的开发和维护比较简单,并且具有强大的功能,系统程序员都喜欢用它来作网络管理编程。尽管ASP有很多优点,但也存在一些安全方面的漏洞。在IIS3.0的时候就曾发现,在ASP程序后面加某字符串可以看到ASP的源代码。由于ASP的源代码中含有数据库的访问口令等关键数据,因此这直接影响到Web服务器的安全。

同IIS3.0比较,IIS4.0的安全性已经有很大的改进,例如其FTP帐户不是开在域内,而是在本机上。如果要作FTP服务器,用IIS本身所带的FTP比较好,据统计其安全性要高于其他FTP服务器端软件。另外要注意的是,一定要保证安装了所有可靠的安全补丁。

二、文件系统安全

WindowsNT支持两种文件系统:FAT和NTFS。二者的区别在于NTFS是针对500M以上容量的硬盘驱动器设计的,支持文件和目录访问权限的设置,适用于存储应用程序和用户文件,而FAT对500M以下容量的硬盘进行了优化,且不支持文件和目录访问权限的设置。

WindowsNT的安全机制是以用户为核心的,试图访问受保护对象的每一行代码,该用户必须用口令向客户机证明自己的身份,每次安全性检查都要依靠用户鉴别。文件和目录可以有两种许可权限:共享许可权(SharePermis-sions)和文件许可权(FilePermissions)。共享许可权用于用,当用户式访问文

四、NTFS分区安全

在多种Win-

80重庆交通学院学报(社科版) 第1卷

由于WINDOWSNT安全方面的漏洞基本上都被SP3-SP5补上,同时它不大容易通过远程管理被修改。只要用户按照程序对缺省配置进行修改,系统管理员通过细微而谨慎的工作,就能获得一个安全而稳定的网络操作环境。因此,WindowsNT的安全性有一定的保障,兼之其操作简单,还是不失为一种比较好的操作系统。

dows,Linux,就有可能通过访问其它操作系统,绕开NTFS本身的安全设置。有些工具可以不需要授权即访问Intel系统上的NTFS格式的硬盘驱动器,从而操纵NT的各种安全设置。如DOS Windows的NTFS文件系统重定向器,LinuxNTFSReader,SAMBA等。在这种情况下就要使用专门的分区,并限制系统管理员组和备份操作员组,同时限制管理员使用的操作程序,禁止此类跨越操作系统的访问。

ABriefAnalysisoftheSecurityofWindowsNT

LIU Jun

(DepartmentofEducationalAdministration,ChongqingJiaotongUniversity,Chongqing400074,China)

Abstract:Inthisarticle,fromthesecurityofpassword,thesecurityoffilesystem,thesecurityofwebserverandthesecurityofNEFS,thesecurityofWindowsNTisanalyzed,andsomesolutionsareproposed.Keywords:WindowsNT;security;filesystem;IIS

(责任编辑:张

(上接第77页)参考文献:

[1] 杨和庭.素质教育与专业教育[J].交通高等研究,

2000,(4).

[2] 贾永堂.大学素质教育与大学教育的专业性[J].高等

教育研究,2000,(2).

[3] 卜菁华.网络时代的多媒体建筑教育[J].高等工程教

育研究,1999,(3).

吴 莉)

EmbodyingQualityEducationinTeachingBridgeCourses

ZHANGYong-shui

(DepartmentofhighwayEngineering,ChongqingJiaotongUniversity,Chongqing40007,China)

Abstract:Accordingtotherequirementsofqualityeducation,someproblemsinpresentteachingofbridgecoursesinuniversitiesarean-alyzed.Thereformingcontent,methodandpracticeofteachingaresuggested.Keywords:qualityeducation;bridgecourse;teachingreform

(责任编辑:吴 莉 张

)

本文来源：https://www.bwwdw.com/article/as24.html