在网络多用户环境下,系统的安全性、权限设置非常重要,Windows NT 4.0提供了网络环境下的一个成功的安全保密系统。Windows NT从最初开发到目前使用广泛的Windows NT 4.0,其安全系统已日趋成熟、完备,但同时也使得系统的管理人员在构造网络环境、进行权限分配时,感到复杂、难以掌握。笔者查阅了众多的有关资料,又经过反复实践,在此作一简要的分析和介绍。
Windows NT 4.0的网络安全性依赖于给用户或组授予的三种能力:
·权力:在系统上完成特定动作的授权,一般由系统指定给内置组,但也可以由管理员将其扩大到组和用户上。
·共享:用户可以通过网络使用的文件夹。
·权限:可以授予用户或组的文件系统能力。
一、权力
权力适用于对整个系统范围内的对象和任务的操作,通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权力的帐号时,该用户就可以执行与该权力相关的任务。
下面列出了用户的特定权力:
·Access this computer from network 可使用户通过网络访问该计算机。
·Add workstation to a domain 允许用户将工作站添加到域中。
·Backup files and directories 授权用户对计算机的文件和目录进行备份。
·Change the system time 用户可以设置计算机的系统时钟。
·Load and unload device drive 允许用户在网络上安装和删除设备的驱动程序。
·Restore files and directories 允许用户恢复以前备份的文件和目录。
·Shutdown the system 允许用户关闭系统。
以上这些权力一般已经由系统授给内置组,在日常维护过程中很少涉及到,在具体需要时也可以由管理员将其扩大到组和用户上。热点网络
二、共享权限
共享只适用于文件夹(目录),如果文件夹不是共享的,那么在网络上就不会有用户看到它,也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录,要使网络用户可以访问在NT Server服务器上的文件和目录,必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。
表1列出从最大限制到最小限制的共享权限。
表1 共享权限
共享权限级别 允许的用户动作
No Access(不能访问) 禁止对目录和其中的文件及子目录进行访问
Read(读) 允许查看文件名和子目录名,改变共享目录的子目录,还允许查看文件的数据和运行应用程序
Change(更改) 具有“读”权限中允许的操作,另外允许往目录中添加文件和子目录,更改文件数据,删除文件和子 目录
Full control(完全控制) 具有“更改”权限中允许的操作,另外还允许更改权限(只适用于NTFS卷)和获取所有权(只适用于NTFS卷)
三、权限
权限适用于对特定对象如目录和文件(只适用于NTFS卷)的操作,指定允许哪些用户可以使用这些对象,以及如何使用(如把某个目录的访问权限授予指定的用户)。权限分为目录权限和文件权限,每一个权限级别都确定了一个执行特定的任务组合的能力,这些任务是:Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。表2和表3显示了这些任务是如何与各种权限级别相关联的。
表2 目录权限
权限级别 RXWDPO 允许的用户动作
No Access 用户不能访问该目录
List RX 可以查看目录中的子目录和文件名,也可以进入其子目录
Read RX 具有List权限,用户可以读取目录中的文件和运行目录中的应用程序
Add XW 用户可以添加文件和子目录
Add and Read RXW 具有Read和Add的权限
Change RXWD 有Add和Read的权限,另外还可以更改文件的内容,删除文件和子目录
Full control RXWDPO 有Change的权限,另外用户可以更 改权限和获取目录的所有权
如果对目录有Execute(X)权限,表示可以穿越目录,进入其子目录。
表3 文件权限
权限级别 RXWDPO 允许的用户动作
No Access 用户不能访问该文件
Read RX 用户可以读取该文件,如果是应用程序可以运行
Change RXWD 有Read的权限,还可用修改和删除 文件
Full control RXWDPO 包含Change的权限,还可以更改权限和获取文件的所有权
四、域和委托
域是Windows NT Server 4.0网络安全系统的基本组成单元,&127;委托是复杂的NT网络中域之间的基本关系。在NT 4.0中通过域的委托关系为大型或复杂系统提供了更为灵活和简便的管理方法。
域指的是一组共享数据库并具有共同安全策略的计算机(通俗地说是指任意一组NT服务器和工作站)。在一个域中至少有一个服务器设计为主域控制器(称为PDC),可以(在大多数情况下应该)带有一个或多个备份域控制器(称为BDC),在PDC中维护着一个域内适用于所有服务器的中心帐号数据库。用户帐号数据库只能在PDC中更改,然后再自动送到BDC中,在BDC中保留着用户帐号数据库的只读备份。如果PDC出现了重大错误而不能运行,就可以把BDC变成PDC,使得网络继续正常工作。
在有两个或多个域组成的网络中,每个域都作为带有其自身帐号数据库的一个独立网络来工作。缺省时域之间是不能相互通信的,如果某个域的一些用户需要访问另一个域中的资源,就需要建立域之间的委托关系。委托关系打开了域之间的通信渠通。
域 A ───→ 域 B
委 托
(委托域) (受托域)
受托域B中的用户就可以访问委托域A中的资源。
委托关系可以是双向的,即域A委托域B,域B委托域A,这样域B中的用户就可以访问域A中的资源,域A中的用户就可以访问域B的资源。
五、用户组
用户组是指具有相同用户权力的一组用户。以组的形式组织用户只需通过一次操作就能更改整个组的权力和权限,从而可以更快速方便地为多个用户授权对网络资源的访问,简化网络的管理维护工作。
Windows NT支持两种类型的组:
·全局组:包含来自该全局组创建时所在域的用户帐号,运用域之间的委托关系可以给全局组授予在其他委托域中的资源的权力和权限。
·局部组:可以包含该组所在域和其他受托域中的用户帐号,也可以包含该组所在域和其他受托域中的全局组。只能给局部组授予该组所在域中的资源的权力和权限。
六、网络的安全性设置
在分析了解了以上这些知识后,接着简要分析一下网络的安全管理工作。
首先考虑整个NT网络域的划分,具体模型有4种:单域模型、单主控域模型、多主控域模型和完全信任的多主控域模型。对于用户不多,不需要进行逻辑分割便可管理的网络,同时需要保持最少的管理工作量,那么最好采用单域模型。在这种模型中,所有的服务器和工作站都在一个域中,局部组和全局组是一回事,不存在需要管理的委托关系,但采用这种模型也有一些缺点,比如在性能上随着资源的增加而降低,浏览的速度会随着服务器的增加而变慢。如果网络规模比较大,同时又需要高度的安全性,那么就应该采用多域模型,进行合理的域的划分。在划分域时,可以采用多种划分原则,比如按机构部门划分、按地理位置划分等。在规划域的过程中,最好把域的数目减到最少,因为网络管理的复杂性会随着域数目的增加呈几何级数增长,每个增加的域都会引入新的问题,产生新的困难。由于一个域中的一些用户要访问另一个域中的资源,所以要建立所有可能的委托关系。
其次,在域中建立组(包括全局组和局部组),把拥有类似的作业或资源访问需求以及完成类似功能的用户集合起来,只需对组授权即可。组简化了对资源的管理,因为可以用整体的方式来控制和分配访问权。
最后进行共享权限和权限的分配,在设置这些权限时,要使得对系统的操作尽可能简单,尽可能将有关权限分配给组,而不是分配给单个用户,除非必要,否则不要按文件分配权限,权限的集中管理可以简化管理维护工作。
一个文件夹(目录)要想供多个用户访问使用,首先要共享,对FAT卷再以共享权限的形式添加约束,但是这些约束仅限于目录级(而不是文件级)。对NTFS卷上的目录具有与FAT卷上的目录相同的共享权限,但它们还可以使用权限设置,在这种卷上每个目录都有“安全”属性页,可以对它们进行更加详细的权限限制,同时对每个文件也可以通过该文件的“安全”属性页进行权限的限制。
共享权限决定了通过网络对资源的最大访问权。举例来说,如果将共享权限设置成Change(更改),那么用户通过网络能进行的最高访问权是Change,这就意味着如果用户通过“安全”属性页获取的权限级别比Change高(比如Full Control),那么用户通过网络能进行的最高访问权是Change;如果用户通过“安全”属性页获取的权限级别比Change低(比如Read),那么这时用户通过网络能进行的最高访问权限以通过“安全”属性页获取的权限级别为准;如果没有通过“安全”属性页获取权限,那么用户通过网络就打不开这个目录,无法访问该目录。
作为一种规划,一般是将共享权限保留为默认设置,即每个用户都能完全控制(Full Control)&127;,然后根据具体需要使用目录或文件权限进行安全性控制(只适用于NTFS卷)。
最后说明一点,对FAT卷上的目录只能通过共享权限进行限制,对NTFS卷上的目录不仅可以进行共享权限限制,还可以进行权限的限制(对NTFS卷上的文件也可进行权限限制)。
网络上的信息很有价值,因此必须受到保护。网络越大,对安全性的要求就越严格,必须保证每个用户的数据是安全的。Windows NT 4.0提供了非常完善、方便、先进的安全管理手段,可以保证没有特定权限的用户不能访问任何资源,而同时这些安全性的运行又是透明的,既可防止未授权用户的闯入,也可防止授权用户做他不该做的事情,从而保证了整个网络系统高效、安全的正常运行。