Internet上WindowsNT安全措施

在Internet的广泛应用中，WindowsNT的安全性一度令NT管理员们深感不安。在运行Windows95的环境下，任何一位略 懂网络技术的用户键入命令：“net Q：\\SERVER-NAME\SHARENAME”，就能通过网络存取服务器的启动分区！为了确保安全性，以下7项措施可供NT管理员参考。

　　1.用NTFS，不用FAT

　　NTFS（NT文件系统）可以对文件和目录使用ACL存取控制表），ACL可以管理共享目录的合理使用，而FAT（文件分配表）却只能管理共享级的安全。出于安全考虑，您必须处处设置尽可能多的安全措施，凡是与Internet相连的WindowsNT计算机都应该使用NTFS。使用NTFSACL的好处在于，如果它授权用户对某分区具有 全部存取权限，但共享级权限为"只读”，则最终的有效权限为“只读”。WindowsNT取NTFSACL和共享权限的交集。在实施这样的网络方案时，您最好限制Internet服务器的共享，但是如果非要与Internet服务器交换文件，则可借助于NTFS。一旦建立新 的共享权限，不要忘记修改由NT指定的缺省权限，否则Everyone用户组就能享有“完全控制”的共享权限。那些已经使用了FAT的用户，在x86的NT系统上可以用convert 命令将启动卷升级为NTFS。

　　2.将系统管理员账号改名

　　对于试图猜测口令的非法用户，NT的UserManager可以设置防范措施，例如5次口令输入错误后就 禁止该账号登录。问题在于系统管理员这个最重要的账号却用不上这项防范措施。即使将系统管理员的权限全部授予某个用户账号，并且只使用该用户账号进行管理， 但是由于系统管理员账号本身不能删掉或废止，因而非法用户仍然可以对系统管理员账号进行口令攻击。

　　一种值得推荐的方法是将系统管理员账号的用户名由原先的“Administrator”改为一个无意义的字符串。这样要登录的非法用户不但要 猜准口令，还要先猜出用户名。这种改名功能在UserManager的UserProperties对话框中并没有设置，不过它的“User”*“Rename”菜单选项却能实现这一功能。

　　用于提供Internet公共服务的计算机不需要也不应该有除了系统管理用途之外的其他用户账号。因此，应该废止Guest账号，移走或限制所有的其他用户账号。

　　如果用的是NT4.0，可以用ResourceKit中提供的工具封锁联机系统管理员账号。这种封锁只对由网络过来的非法登录起作用。账号一旦被封锁掉，系统管理员还可 以通过本地登录重新设置封锁特性。