在網(wǎng)絡(luò)多用戶環(huán)境下，系統(tǒng)的安全性、權(quán)限設(shè)置非常重要，Windows NT 4.0提供了網(wǎng)絡(luò)環(huán)境下的一個成功的安全保密系統(tǒng)。Windows NT從最初開發(fā)到目前使用廣泛的Windows NT 4.0，其安全系統(tǒng)已日趨成熟、完備，但同時也使得系統(tǒng)的管理人員在構(gòu)造網(wǎng)絡(luò)環(huán)境、進(jìn)行權(quán)限分配時，感到復(fù)雜、難以掌握。筆者查閱了眾多的有關(guān)資料，又經(jīng)過反復(fù)實踐，在此作一簡要的分析和介紹。

    Windows NT 4.0的網(wǎng)絡(luò)安全性依賴于給用戶或組授予的三種能力：

   ·權(quán)力:在系統(tǒng)上完成特定動作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴(kuò)大到組和用戶上。
   ·共享:用戶可以通過網(wǎng)絡(luò)使用的文件夾。
   ·權(quán)限:可以授予用戶或組的文件系統(tǒng)能力。

一、權(quán)力

    權(quán)力適用于對整個系統(tǒng)范圍內(nèi)的對象和任務(wù)的操作，通常是用來授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當(dāng)用戶登錄到一個具有某種權(quán)力的帳號時，該用戶就可以執(zhí)行與該權(quán)力相關(guān)的任務(wù)。

    下面列出了用戶的特定權(quán)力：
    ·Access this computer from network 可使用戶通過網(wǎng)絡(luò)訪問該計算機(jī)。
    ·Add workstation to a domain 允許用戶將工作站添加到域中。
    ·Backup files and directories 授權(quán)用戶對計算機(jī)的文件和目錄進(jìn)行備份。
    ·Change the system time 用戶可以設(shè)置計算機(jī)的系統(tǒng)時鐘。
    ·Load and unload device drive 允許用戶在網(wǎng)絡(luò)上安裝和刪除設(shè)備的驅(qū)動程序。
    ·Restore files and directories 允許用戶恢復(fù)以前備份的文件和目錄。
    ·Shutdown the system 允許用戶關(guān)閉系統(tǒng)。
    以上這些權(quán)力一般已經(jīng)由系統(tǒng)授給內(nèi)置組，在日常維護(hù)過程中很少涉及到，在具體需要時也可以由管理員將其擴(kuò)大到組和用戶上。熱點網(wǎng)絡(luò)

二、共享權(quán)限

    共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng)絡(luò)上就不會有用戶看到它，也就更不能訪問。網(wǎng)絡(luò)上的絕大多數(shù)服務(wù)器主要用于存放可被網(wǎng)絡(luò)用戶訪問的文件和目錄，要使網(wǎng)絡(luò)用戶可以訪問在NT Server服務(wù)器上的文件和目錄，必須首先對它建立共享。共享權(quán)限建立了通過網(wǎng)絡(luò)對共享目錄訪問的最高級別。

    表１列出從最大限制到最小限制的共享權(quán)限。
    表１ 共享權(quán)限
共享權(quán)限級別             允許的用戶動作
No Access（不能訪問）     禁止對目錄和其中的文件及子目錄進(jìn)行訪問
Read（讀）             允許查看文件名和子目錄名，改變共享目錄的子目錄，還允許查看文件的數(shù)據(jù)和運行應(yīng)用程序
Change（更改）         具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文件數(shù)據(jù)，刪除文件和子 目錄
Full control（完全控制）     具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限（只適用于NTFS卷）和獲取所有權(quán)（只適用于NTFS卷）

三、權(quán)限

    權(quán)限適用于對特定對象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對象，以及如何使用（如把某個目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個權(quán)限級別都確定了一個執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。表２和表３顯示了這些任務(wù)是如何與各種權(quán)限級別相關(guān)聯(lián)的。

    表２ 目錄權(quán)限
權(quán)限級別    RXWDPO    允許的用戶動作
No Access             用戶不能訪問該目錄
List    RX         可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄
Read    RX        具有List權(quán)限，用戶可以讀取目錄中的文件和運行目錄中的應(yīng)用程序
Add    XW         用戶可以添加文件和子目錄
Add and Read    RXW        具有Read和Add的權(quán)限
Change    RXWD        有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄
Full control    RXWDPO    有Change的權(quán)限，另外用戶可以更 改權(quán)限和獲取目錄的所有權(quán)

    如果對目錄有Execute(X)權(quán)限，表示可以穿越目錄，進(jìn)入其子目錄。

    表３ 文件權(quán)限
權(quán)限級別    RXWDPO    允許的用戶動作
No Access        用戶不能訪問該文件
Read    RX    用戶可以讀取該文件，如果是應(yīng)用程序可以運行
Change    RXWD    有Read的權(quán)限，還可用修改和刪除 文件
Full control    RXWDPO    包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)

四、域和委托

    域是Windows NT Server 4.0網(wǎng)絡(luò)安全系統(tǒng)的基本組成單元，&127;委托是復(fù)雜的NT網(wǎng)絡(luò)中域之間的基本關(guān)系。在NT 4.0中通過域的委托關(guān)系為大型或復(fù)雜系統(tǒng)提供了更為靈活和簡便的管理方法。

    域指的是一組共享數(shù)據(jù)庫并具有共同安全策略的計算機(jī)（通俗地說是指任意一組NT服務(wù)器和工作站）。在一個域中至少有一個服務(wù)器設(shè)計為主域控制器（稱為PDC），可以（在大多數(shù)情況下應(yīng)該）帶有一個或多個備份域控制器（稱為BDC），在PDC中維護(hù)著一個域內(nèi)適用于所有服務(wù)器的中心帳號數(shù)據(jù)庫。用戶帳號數(shù)據(jù)庫只能在PDC中更改，然后再自動送到BDC中，在BDC中保留著用戶帳號數(shù)據(jù)庫的只讀備份。如果PDC出現(xiàn)了重大錯誤而不能運行，就可以把BDC變成PDC，使得網(wǎng)絡(luò)繼續(xù)正常工作。

    在有兩個或多個域組成的網(wǎng)絡(luò)中，每個域都作為帶有其自身帳號數(shù)據(jù)庫的一個獨立網(wǎng)絡(luò)來工作。缺省時域之間是不能相互通信的，如果某個域的一些用戶需要訪問另一個域中的資源，就需要建立域之間的委托關(guān)系。委托關(guān)系打開了域之間的通信渠通。

域 Ａ ───→ 域 Ｂ
委 托 
（委托域） （受托域）
    受托域Ｂ中的用戶就可以訪問委托域Ａ中的資源。

    委托關(guān)系可以是雙向的，即域Ａ委托域Ｂ，域Ｂ委托域Ａ，這樣域Ｂ中的用戶就可以訪問域Ａ中的資源，域Ａ中的用戶就可以訪問域Ｂ的資源。

五、用戶組

    用戶組是指具有相同用戶權(quán)力的一組用戶。以組的形式組織用戶只需通過一次操作就能更改整個組的權(quán)力和權(quán)限，從而可以更快速方便地為多個用戶授權(quán)對網(wǎng)絡(luò)資源的訪問，簡化網(wǎng)絡(luò)的管理維護(hù)工作。

    Windows NT支持兩種類型的組：

    ·全局組：包含來自該全局組創(chuàng)建時所在域的用戶帳號，運用域之間的委托關(guān)系可以給全局組授予在其他委托域中的資源的權(quán)力和權(quán)限。
    ·局部組：可以包含該組所在域和其他受托域中的用戶帳號，也可以包含該組所在域和其他受托域中的全局組。只能給局部組授予該組所在域中的資源的權(quán)力和權(quán)限。

六、網(wǎng)絡(luò)的安全性設(shè)置

    在分析了解了以上這些知識后，接著簡要分析一下網(wǎng)絡(luò)的安全管理工作。
    首先考慮整個NT網(wǎng)絡(luò)域的劃分，具體模型有4種：單域模型、單主控域模型、多主控域模型和完全信任的多主控域模型。對于用戶不多，不需要進(jìn)行邏輯分割便可管理的網(wǎng)絡(luò)，同時需要保持最少的管理工作量，那么最好采用單域模型。在這種模型中，所有的服務(wù)器和工作站都在一個域中，局部組和全局組是一回事，不存在需要管理的委托關(guān)系，但采用這種模型也有一些缺點，比如在性能上隨著資源的增加而降低，瀏覽的速度會隨著服務(wù)器的增加而變慢。如果網(wǎng)絡(luò)規(guī)模比較大，同時又需要高度的安全性，那么就應(yīng)該采用多域模型，進(jìn)行合理的域的劃分。在劃分域時，可以采用多種劃分原則，比如按機(jī)構(gòu)部門劃分、按地理位置劃分等。在規(guī)劃域的過程中，最好把域的數(shù)目減到最少，因為網(wǎng)絡(luò)管理的復(fù)雜性會隨著域數(shù)目的增加呈幾何級數(shù)增長，每個增加的域都會引入新的問題，產(chǎn)生新的困難。由于一個域中的一些用戶要訪問另一個域中的資源，所以要建立所有可能的委托關(guān)系。

    其次，在域中建立組（包括全局組和局部組），把擁有類似的作業(yè)或資源訪問需求以及完成類似功能的用戶集合起來，只需對組授權(quán)即可。組簡化了對資源的管理，因為可以用整體的方式來控制和分配訪問權(quán)。

    最后進(jìn)行共享權(quán)限和權(quán)限的分配，在設(shè)置這些權(quán)限時，要使得對系統(tǒng)的操作盡可能簡單，盡可能將有關(guān)權(quán)限分配給組，而不是分配給單個用戶，除非必要，否則不要按文件分配權(quán)限，權(quán)限的集中管理可以簡化管理維護(hù)工作。

    一個文件夾（目錄）要想供多個用戶訪問使用，首先要共享，對FAT卷再以共享權(quán)限的形式添加約束，但是這些約束僅限于目錄級（而不是文件級）。對NTFS卷上的目錄具有與FAT卷上的目錄相同的共享權(quán)限，但它們還可以使用權(quán)限設(shè)置，在這種卷上每個目錄都有“安全”屬性頁，可以對它們進(jìn)行更加詳細(xì)的權(quán)限限制，同時對每個文件也可以通過該文件的“安全”屬性頁進(jìn)行權(quán)限的限制。

    共享權(quán)限決定了通過網(wǎng)絡(luò)對資源的最大訪問權(quán)。舉例來說，如果將共享權(quán)限設(shè)置成Change（更改），那么用戶通過網(wǎng)絡(luò)能進(jìn)行的最高訪問權(quán)是Change，這就意味著如果用戶通過“安全”屬性頁獲取的權(quán)限級別比Change高（比如Full Control），那么用戶通過網(wǎng)絡(luò)能進(jìn)行的最高訪問權(quán)是Change；如果用戶通過“安全”屬性頁獲取的權(quán)限級別比Change低（比如Read），那么這時用戶通過網(wǎng)絡(luò)能進(jìn)行的最高訪問權(quán)限以通過“安全”屬性頁獲取的權(quán)限級別為準(zhǔn)；如果沒有通過“安全”屬性頁獲取權(quán)限，那么用戶通過網(wǎng)絡(luò)就打不開這個目錄，無法訪問該目錄。

    作為一種規(guī)劃，一般是將共享權(quán)限保留為默認(rèn)設(shè)置，即每個用戶都能完全控制（Full Control)&127;，然后根據(jù)具體需要使用目錄或文件權(quán)限進(jìn)行安全性控制（只適用于NTFS卷）。

    最后說明一點，對FAT卷上的目錄只能通過共享權(quán)限進(jìn)行限制，對NTFS卷上的目錄不僅可以進(jìn)行共享權(quán)限限制，還可以進(jìn)行權(quán)限的限制（對NTFS卷上的文件也可進(jìn)行權(quán)限限制）。

七、結(jié)束語熱點網(wǎng)絡(luò)

    網(wǎng)絡(luò)上的信息很有價值，因此必須受到保護(hù)。網(wǎng)絡(luò)越大，對安全性的要求就越嚴(yán)格，必須保證每個用戶的數(shù)據(jù)是安全的。Windows NT 4.0提供了非常完善、方便、先進(jìn)的安全管理手段，可以保證沒有特定權(quán)限的用戶不能訪問任何資源，而同時這些安全性的運行又是透明的，既可防止未授權(quán)用戶的闖入，也可防止授權(quán)用戶做他不該做的事情，從而保證了整個網(wǎng)絡(luò)系統(tǒng)高效、安全的正常運行。

最新評論