六十四、WINOWS NT4.0下的网络安全性

六十四、WINOWS NT4.0下的网络安全性热点网络

在网络多用户环境下，系统的安全性、权限设置非常重要，Windows NT 4.0提供了网络环境下的一个成功的安全保密系统。Windows NT从最初开发到目前使用广泛的Windows NT 4.0，其安全系统已日趋成熟、完备，但同时也使得系统的管理人员在构造网络环境、进行权限分配时，感到复杂、难以掌握。笔者查阅了众多的有关资料，又经过反复实践，在此作一简要的分析和介绍。

Windows NT 4.0的网络安全性依赖于给用户或组授予的三种能力：

   ·权力:在系统上完成特定动作的授权，一般由系统指定给内置组，但也可以由管理员将其扩大到组和用户上。
   ·共享:用户可以通过网络使用的文件夹。
   ·权限:可以授予用户或组的文件系统能力。

一、权力

权力适用于对整个系统范围内的对象和任务的操作，通常是用来授权用户执行某些系统任务。当用户登录到一个具有某种权力的帐号时，该用户就可以执行与该权力相关的任务。

    下面列出了用户的特定权力：
    ·Access this computer from network 可使用户通过网络访问该计算机。
    ·Add workstation to a domain 允许用户将工作站添加到域中。
    ·Backup files and directories 授权用户对计算机的文件和目录进行备份。
    ·Change the system time 用户可以设置计算机的系统时钟。
    ·Load and unload device drive 允许用户在网络上安装和删除设备的驱动程序。
    ·Restore files and directories 允许用户恢复以前备份的文件和目录。
    ·Shutdown the system 允许用户关闭系统。
    以上这些权力一般已经由系统授给内置组，在日常维护过程中很少涉及到，在具体需要时也可以由管理员将其扩大到组和用户上。热点网络

二、共享权限

共享只适用于文件夹（目录），如果文件夹不是共享的，那么在网络上就不会有用户看到它，也就更不能访问。网络上的绝大多数服务器主要用于存放可被网络用户访问的文件和目录，要使网络用户可以访问在NT Server服务器上的文件和目录，必须首先对它建立共享。共享权限建立了通过网络对共享目录访问的最高级别。

    表１列出从最大限制到最小限制的共享权限。
    表１共享权限
共享权限级别             允许的用户动作
No Access（不能访问）     禁止对目录和其中的文件及子目录进行访问
Read（读）             允许查看文件名和子目录名，改变共享目录的子目录，还允许查看文件的数据和运行应用程序
Change（更改）         具有“读”权限中允许的操作，另外允许往目录中添加文件和子目录，更改文件数据，删除文件和子目录
Full control（完全控制）     具有“更改”权限中允许的操作，另外还允许更改权限（只适用于NTFS卷）和获取所有权（只适用于NTFS卷）

三、权限

权限适用于对特定对象如目录和文件（只适用于NTFS卷）的操作，指定允许哪些用户可以使用这些对象，以及如何使用（如把某个目录的访问权限授予指定的用户）。权限分为目录权限和文件权限，每一个权限级别都确定了一个执行特定的任务组合的能力，这些任务是：Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。表２和表３显示了这些任务是如何与各种权限级别相关联的。

    表２目录权限
权限级别    RXWDPO    允许的用户动作
No Access             用户不能访问该目录
List    RX         可以查看目录中的子目录和文件名，也可以进入其子目录
Read    RX        具有List权限，用户可以读取目录中的文件和运行目录中的应用程序
Add    XW        &需对组授权即可。组简化了对资源的管理，因为可以用整体的方式来控制和分配访问权。

最后进行共享权限和权限的分配，在设置这些权限时，要使得对系统的操作尽可能简单，尽可能将有关权限分配给组，而不是分配给单个用户，除非必要，否则不要按文件分配权限，权限的集中管理可以简化管理维护工作。

一个文件夹（目录）要想供多个用户访问使用，首先要共享，对FAT卷再以共享权限的形式添加约束，但是这些约束仅限于目录级（而不是文件级）。对NTFS卷上的目录具有与FAT卷上的目录相同的共享权限，但它们还可以使用权限设置，在这种卷上每个目录都有“安全”属性页，可以对它们进行更加详细的权限限制，同时对每个文件也可以通过该文件的“安全”属性页进行权限的限制。

共享权限决定了通过网络对资源的最大访问权。举例来说，如果将共享权限设置成Change（更改），那么用户通过网络能进行的最高访问权是Change，这就意味着如果用户通过“安全”属性页获取的权限级别比Change高（比如Full Control），那么用户通过网络能进行的最高访问权是Change；如果用户通过“安全”属性页获取的权限级别比Change低（比如Read），那么这时用户通过网络能进行的最高访问权限以通过“安全”属性页获取的权限级别为准；如果没有通过“安全”属性页获取权限，那么用户通过网络就打不开这个目录，无法访问该目录。

作为一种规划，一般是将共享权限保留为默认设置，即每个用户都能完全控制（Full Control)&127;，然后根据具体需要使用目录或文件权限进行安全性控制（只适用于NTFS卷）。

最后说明一点，对FAT卷上的目录只能通过共享权限进行限制，对NTFS卷上的目录不仅可以进行共享权限限制，还可以进行权限的限制（对NTFS卷上的文件也可进行权限限制）。

七、结束语热点网络

网络上的信息很有价值，因此必须受到保护。网络越大，对安全性的要求就越严格，必须保证每个用户的数据是安全的。Windows NT 4.0提供了非常完善、方便、先进的安全管理手段，可以保证没有特定权限的用户不能访问任何资源，而同时这些安全性的运行又是透明的，既可防止未授权用户的闯入，也可防止授权用户做他不该做的事情，从而保证了整个网络系统高效、安全的正常运行。