六十四、WINOWS NT4.0下的网络安全性

六十四、WINOWS NT4.0下的网络安全性  热点网络

在网络多用户环境下,系统的安全性、权限设置非常重要,Windows NT 4.0提供了网络环境下的一个成功的安全保密系统。Windows NT从最初开发到目前使用广泛的Windows NT 4.0,其安全系统已日趋成熟、完备,但同时也使得系统的管理人员在构造网络环境、进行权限分配时,感到复杂、难以掌握。笔者查阅了众多的有关资料,又经过反复实践,在此作一简要的分析和介绍。

Windows NT 4.0的网络安全性依赖于给用户或组授予的三种能力:

·权力:在系统上完成特定动作的授权,一般由系统指定给内置组,但也可以由管理员将其扩大到组和用户上。
   ·共享:用户可以通过网络使用的文件夹。
   ·权限:可以授予用户或组的文件系统能力。

一、权力

权力适用于对整个系统范围内的对象和任务的操作,通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权力的帐号时,该用户就可以执行与该权力相关的任务。

下面列出了用户的特定权力:
    ·Access this computer from network 可使用户通过网络访问该计算机。
    ·Add workstation to a domain 允许用户将工作站添加到域中。
    ·Backup files and directories 授权用户对计算机的文件和目录进行备份。
    ·Change the system time 用户可以设置计算机的系统时钟。
    ·Load and unload device drive 允许用户在网络上安装和删除设备的驱动程序。
    ·Restore files and directories 允许用户恢复以前备份的文件和目录。
    ·Shutdown the system 允许用户关闭系统。
    以上这些权力一般已经由系统授给内置组,在日常维护过程中很少涉及到,在具体需要时也可以由管理员将其扩大到组和用户上。热点网络

二、共享权限

共享只适用于文件夹(目录),如果文件夹不是共享的,那么在网络上就不会有用户看到它,也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录,要使网络用户可以访问在NT Server服务器上的文件和目录,必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。

表1列出从最大限制到最小限制的共享权限。
    表1 共享权限
共享权限级别             允许的用户动作
No Access(不能访问)     禁止对目录和其中的文件及子目录进行访问
Read(读)             允许查看文件名和子目录名,改变共享目录的子目录,还允许查看文件的数据和运行应用程序
Change(更改)         具有“读”权限中允许的操作,另外允许往目录中添加文件和子目录,更改文件数据,删除文件和子 目录
Full control(完全控制)     具有“更改”权限中允许的操作,另外还允许更改权限(只适用于NTFS卷)和获取所有权(只适用于NTFS卷)

三、权限

权限适用于对特定对象如目录和文件(只适用于NTFS卷)的操作,指定允许哪些用户可以使用这些对象,以及如何使用(如把某个目录的访问权限授予指定的用户)。权限分为目录权限和文件权限,每一个权限级别都确定了一个执行特定的任务组合的能力,这些任务是:Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。表2和表3显示了这些任务是如何与各种权限级别相关联的。

表2 目录权限
权限级别    RXWDPO    允许的用户动作
No Access             用户不能访问该目录
List    RX         可以查看目录中的子目录和文件名,也可以进入其子目录
Read    RX        具有List权限,用户可以读取目录中的文件和运行目录中的应用程序
Add    XW         用户可以添加文件和子目录
Add and Read    RXW        具有Read和Add的权限
Change    RXWD        有Add和Read的权限,另外还可以更改文件的内容,删除文件和子目录
Full control    RXWDPO    有Change的权限,另外用户可以更 改权限和获取目录的所有权

如果对目录有Execute(X)权限,表示可以穿越目录,进入其子目录。

表3 文件权限
权限级别    RXWDPO    允许的用户动作
No Access        用户不能访问该文件
Read    RX    用户可以读取该文件,如果是应用程序可以运行
Change    RXWD    有Read的权限,还可用修改和删除 文件
Full control    RXWDPO    包含Change的权限,还可以更改权限和获取文件的所有权

四、域和委托

域是Windows NT Server 4.0网络安全系统的基本组成单元,&127;委托是复杂的NT网络中域之间的基本关系。在NT 4.0中通过域的委托关系为大型或复杂系统提供了更为灵活和简便的管理方法。

域指的是一组共享数据库并具有共同安全策略的计算机(通俗地说是指任意一组NT服务器和工作站)。在一个域中至少有一个服务器设计为主域控制器(称为PDC),可以(在大多数情况下应该)带有一个或多个备份域控制器(称为BDC),在PDC中维护着一个域内适用于所有服务器的中心帐号数据库。用户帐号数据库只能在PDC中更改,然后再自动送到BDC中,在BDC中保留着用户帐号数据库的只读备份。如果PDC出现了重大错误而不能运行,就可以把BDC变成PDC,使得网络继续正常工作。

在有两个或多个域组成的网络中,每个域都作为带有其自身帐号数据库的一个独立网络来工作。缺省时域之间是不能相互通信的,如果某个域的一些用户需要访问另一个域中的资源,就需要建立域之间的委托关系。委托关系打开了域之间的通信渠通。

域 A ───→ 域 B
委 托 
(委托域) (受托域)
    受托域B中的用户就可以访问委托域A中的资源。

委托关系可以是双向的,即域A委托域B,域B委托域A,这样域B中的用户就可以访问域A中的资源,域A中的用户就可以访问域B的资源。

五、用户组

用户组是指具有相同用户权力的一组用户。以组的形式组织用户只需通过一次操作就能更改整个组的权力和权限,从而可以更快速方便地为多个用户授权对网络资源的访问,简化网络的管理维护工作。

Windows NT支持两种类型的组:

·全局组:包含来自该全局组创建时所在域的用户帐号,运用域之间的委托关系可以给全局组授予在其他委托域中的资源的权力和权限。
    ·局部组:可以包含该组所在域和其他受托域中的用户帐号,也可以包含该组所在域和其他受托域中的全局组。只能给局部组授予该组所在域中的资源的权力和权限。

六、网络的安全性设置

在分析了解了以上这些知识后,接着简要分析一下网络的安全管理工作。
    首先考虑整个NT网络域的划分,具体模型有4种:单域模型、单主控域模型、多主控域模型和完全信任的多主控域模型。对于用户不多,不需要进行逻辑分割便可管理的网络,同时需要保持最少的管理工作量,那么最好采用单域模型。在这种模型中,所有的服务器和工作站都在一个域中,局部组和全局组是一回事,不存在需要管理的委托关系,但采用这种模型也有一些缺点,比如在性能上随着资源的增加而降低,浏览的速度会随着服务器的增加而变慢。如果网络规模比较大,同时又需要高度的安全性,那么就应该采用多域模型,进行合理的域的划分。在划分域时,可以采用多种划分原则,比如按机构部门划分、按地理位置划分等。在规划域的过程中,最好把域的数目减到最少,因为网络管理的复杂性会随着域数目的增加呈几何级数增长,每个增加的域都会引入新的问题,产生新的困难。由于一个域中的一些用户要访问另一个域中的资源,所以要建立所有可能的委托关系。

其次,在域中建立组(包括全局组和局部组),把拥有类似的作业或资源访问需求以及完成类似功能的用户集合起来,只需对组授权即可。组简化了对资源的管理,因为可以用整体的方式来控制和分配访问权。

最后进行共享权限和权限的分配,在设置这些权限时,要使得对系统的操作尽可能简单,尽可能将有关权限分配给组,而不是分配给单个用户,除非必要,否则不要按文件分配权限,权限的集中管理可以简化管理维护工作。

一个文件夹(目录)要想供多个用户访问使用,首先要共享,对FAT卷再以共享权限的形式添加约束,但是这些约束仅限于目录级(而不是文件级)。对NTFS卷上的目录具有与FAT卷上的目录相同的共享权限,但它们还可以使用权限设置,在这种卷上每个目录都有“安全”属性页,可以对它们进行更加详细的权限限制,同时对每个文件也可以通过该文件的“安全”属性页进行权限的限制。

共享权限决定了通过网络对资源的最大访问权。举例来说,如果将共享权限设置成Change(更改),那么用户通过网络能进行的最高访问权是Change,这就意味着如果用户通过“安全”属性页获取的权限级别比Change高(比如Full Control),那么用户通过网络能进行的最高访问权是Change;如果用户通过“安全”属性页获取的权限级别比Change低(比如Read),那么这时用户通过网络能进行的最高访问权限以通过“安全”属性页获取的权限级别为准;如果没有通过“安全”属性页获取权限,那么用户通过网络就打不开这个目录,无法访问该目录。

作为一种规划,一般是将共享权限保留为默认设置,即每个用户都能完全控制(Full Control)&127;,然后根据具体需要使用目录或文件权限进行安全性控制(只适用于NTFS卷)。

最后说明一点,对FAT卷上的目录只能通过共享权限进行限制,对NTFS卷上的目录不仅可以进行共享权限限制,还可以进行权限的限制(对NTFS卷上的文件也可进行权限限制)。

七、结束语热点网络

网络上的信息很有价值,因此必须受到保护。网络越大,对安全性的要求就越严格,必须保证每个用户的数据是安全的。Windows NT 4.0提供了非常完善、方便、先进的安全管理手段,可以保证没有特定权限的用户不能访问任何资源,而同时这些安全性的运行又是透明的,既可防止未授权用户的闯入,也可防止授权用户做他不该做的事情,从而保证了整个网络系统高效、安全的正常运行。

(0)

相关推荐

  • 六十四、WINOWS NT4.0下的网络安全性

    六十四.WINOWS NT4.0下的网络安全性  热点网络 在网络多用户环境下,系统的安全性.权限设置非常重要,Windows NT 4.0提供了网络环境下的一个成功的安全保密系统.Windows NT从最初开发到目前使用广泛的Windows NT 4.0,其安全系统已日趋成熟.完备,但同时也使得系统的管理人员在构造网络环境.进行权限分配时,感到复杂.难以掌握.笔者查阅了众多的有关资料,又经过反复实践,在此作一简要的分析和介绍. Windows NT 4.0的网络安全性依赖于给用户或组授予的三种

  • 六十、Windows NT4.0网络中漫游用户配置文件的建立

    六十.Windows NT4.0网络中漫游用户配置文件的建立  目前,关于如何在NT中建立漫游用户配置文件的书籍不少,但大多理论多.实例少,即使有几个例子,也不连贯.针对这种情况,笔者通过一个具体的实例来阐述建立漫游用户配置文件的详细过程.本例的网络为NT网络,网络中只有一个域,主域控制器的计算机名为"HP",操作系统为Windows NT Server 4.0:域中有一台工作站名为"LX",操作系统为Windows NT Workstation 4.0,现在想为&

  • 五十四、如何使NT4.0支持你的调制解调器

    五十四.如何使NT4.0支持你的调制解调器  ---- 目前越来越多的人们使用Windows NT4.0 作为局域网的操作系统,同时通过Modem(调制解调器),连接入INTERNET,虽然大多数人使用的Modem是Windows NT4.0识别或兼容的,但仍有部分Modem是Windows NT4.0所不能识别的,本文将介绍如何通过修改Windows NT4.0配置文件使其支持你所用的Modem. ---- Windows NT4.0调制解调器的设置方式使用的是 Telephone Appli

  • 六十二、从DOS直接入网NT

    六十二.从DOS直接入网NT   热点网络 作为NT网的用户,你可能遇到过这种情况:网络硬件已连好,服务器也已安装Windows NT Server,并进行了各项必要的配置,但由于准备入网的计算机没有光驱,所以无法安装Windows 95,自然也无法利用Windows 95实现入网.这时你该怎么办呢?能不能从DOS直接入网呢?答案是肯定的.回到服务器,你将发现Windows NT为DOS环境下的联网提供了解决办法,一经实践,OK!整个过程可分为以下三步: 一.制作网络安装盘 1.启动服务器的NT

  • [JAVA]十四种Java开发工具点评

    在计算机开发语言的历史中,从来没有哪种语言象Java那样受到如此众多厂商的支持,有如此多的开发工具,Java菜鸟们如初入大观园的刘姥姥,看花了眼,不知该何种选择.的确,这些工具各有所长,都没有绝对完美的,就算是老鸟也很难做出选择.在本文中我简要介绍了常见的十四种Java开发工具的特点,管中窥"器",希望能对大家有所帮助. 1.JDK (Java Development Kit) 2.Java Workshop 3.NetBeans 与Sun Java Studio 5 4.Borlan

  • 三十四、 WIN2000注册表应用九例

    三十四. WIN2000注册表应用九例 我们知道,与Windows 9x操作系统相似,在Windows 2000中,配置信息也是集中存储在注册表这个数据库里,但比较不同的是在Windows 9x中用来修改注册表文件的注册表编辑器是regedit.exe,而在Windows 2000中,要修改Registry数据库你可以使用两种"注册表编辑器"来进行编辑:一个是regedit.exe,而另一个则是regedt32.exe.前者可以在Windows 2000的安装目录\WINNT下找到,后

  • jQuery 1.9.1源码分析系列(十四)之常用jQuery工具

    为了给下一章分析动画处理做准备,先来看一下一些工具.其中队列工具在动画处理中被经常使用. jQuery.fn. queue(([ queueName ] [, newQueue ]) || ([ queueName ,] callback ))(获取或设置当前匹配元素上待执行的函数队列. 如果当前jQuery对象匹配多个元素:获取队列时,只获取第一个匹配元素上的队列:设置队列(替换队列.追加函数)时,则为每个匹配元素都分别进行设置.如果需要移除并执行队列中的第一个函数,请使用dequeue()函

  • 利用注册表限制特定程序运行—注册表使用全攻略之十四

    利用注册表限制特定程序运行-注册表使用全攻略之十四 对于一些与系统密切相关的程序,如果随意让其他人使用,非常容易造成死机甚至系统崩溃.通过系统本身的注册表来限制特定程序的运行. 1.一键锁通关 我们要做的是在注册表中加入"RestrictRun"键值,以此来限制绝大多数程序的运行 . 运行"Regedit"打开注册表编辑器,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E

  • IOS swift3.0 下闭包语法整理

    IOS swift3.0 下闭包语法整理 一.闭包的概念 有oc基础的都知道,闭包其实是oc里面的block,语法格式不一样,但作用是一样的.主要是用于callBack(异步回调)或者两个类之间的通信.它的本质一个函数,一个可执行的代码块,只是这个函数是没有名字的,也就是匿名函数.你也可以把他看作如 int.float一样,是一种数据类型,一种可以作为参数传递的数据类型. 二.基本语法 1.闭包的声明 //定义一个求和闭包 //闭包类型:(Int,Int)->(Int) let add:(Int

  • .net core2.0下使用Identity改用dapper存储数据(实例讲解)

    前言. 已经好多天没写博客了,鉴于空闲无聊之时又兴起想写写博客,也当是给自己做个笔记.过了这么些天,我的文笔还是依然那么烂就请多多谅解了.今天主要是分享一下在使用.net core2.0下的实际遇到的情况.在使用webapi时用了identity做用户验证.官方文档是的是用EF存储数据来使用dapper,因为个人偏好原因所以不想用EF.于是乎就去折腾.改成使用dapper做数据存储.于是就有了以下的经验. 一.使用Identity服务 先找到Startup.cs 这个类文件 找到 Configu

随机推荐