● 给你NT加把锁(二) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: Jobs (温少), 信区: WinNT
标  题: 给你NT加把锁(二)
发信站: BBS 荔园晨风站 (Thu Mar 18 15:54:05 1999), 转信

    2. 组织和授权功能组中的用户权限
    许多网络管理员经常会忽视用户名的重要性。实际上用户名对于
网络安全和组织网络方面都是很重要的。因此,您应该小心地指定用
户名,并对该过程做个记录。
    用户名同用户口令一样重要。在登录的过程中为了验证合法的存
储权限和许可权,必须配合使用正确的用户名和用户口令。有些网络
管理员让用户自己选择用户名,这不是一个好的策略,最好还是由网络
管理员来统一指定用户名。
    首先,用户名在本NT域中必须是惟一的,并且在整个网络域中也应
该惟一标识该用户。像选择口令一样,不要害怕长的用户名(NT支持长
达20个字符的用户名)。在为网络指定好用户和口令之后,可以将用户
编制成组,指定不同的组有不同的权限。这样会使组织网络变得更容
易,并且可以让您一次对多个用户进行授权。您可以通过定义合理的
信任关系简单地增加组资源。
    3. 改变系统管理员的用户账号
    任何安装过NT Server的人都知道,系统缺省安装了一个名为系统
管理员的超级用户账号,它的口令缺省为空。管理员在进行设置时经
常会将这一口令保留为空,这无疑就为黑客入侵打开了方便之门。对
于一个训练有素的管理员来说通常不会出现这个漏洞,但是第一次组
网的人却往往会犯这个错误。
    您不仅可以修改系统管理员的口令,而且还可以修改此账号的用
户名,这样可以隐藏超级用户的身份,让黑客无法猜测哪一个是系统管
理员的账号。
    此外,还有一个与之相关的小技巧:修改了系统管理员账号的用户
名之后,您不妨创建一个名为Admin的新账号以作障眼法,选择一个好
的口令,并不允许它访问任何网络资源。
    4. 设置锁定限制
    用户通常不希望锁定限制,但它却可以增加网络的安全性。锁定
限制是指在若干次口令验证失败的情况下,使该账号无效。通常的失
败次数是3次,但这个选项需要经过系统管理员的启动才有效。这意味
着如果合法用户不小心被锁定账户,必须要拥有启动该账号权限的人
在场才能解除锁定。系统管理员应该赋予某些用户这种权限。账户的
锁定在24小时之后会自动解除,这会带来一定的危险。因为除非您总
是在监视黑客,否则黑客可以每天尝试3个口令。因此,您最好将其设
置为只有管理员才能解除锁定。
    为了跟踪账号锁定记录和其他可能的黑客活动的踪迹,有必要启
动账号日志记录:选择"管理工具"中的"域用户管理器",选择"规则"菜
单下的"审核"。为了安全起见,您需要经常检查事件日志。
    5. 充分利用NTFS
    在NT环境中的服务器上,不使用NTFS会给您带来很多麻烦。您可
以选择使用FAT文件系统,但是FAT不提供对文件的保护。NTFS有内置
的保护文件的安全选项。NTFS支持文件和目录安全,并且其安全规则
对于大盘卷也同样有效。NTFS支持 Unicode(统一的字符编码标准),
在系统崩溃的时候仍可以保护数据。
    对于新的盘卷,NTFS卷对所有用户开放文件权限,所以建议您在格
式化新的NTFS盘后修改此项缺省设置。
    6. 给物理设备加锁
    物理设备的安全性是在考虑网络安全时容易被忽略的一个问题。
在中小型网络中,由于受空间的限制,将服务器、集线器、转换器、远
程拨号Modem放在未加锁的房间里是很常见的事。然而在某些情况下,
很多黑客并不是仅仅通过拨号或猜密码的方式进入您的系统,而是直
接攻击您的办公室。还有那些对工作不满的职员、蓄意破坏的维修工
人,甚至是那些您认为安全的人,都可能是破坏您的系统的潜在因素。
因此,切断物理上的直接接触对于一个安全的网络来说是完全必需的
。

--
※ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: 192.168.2.88]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店