基于Windows操作系統(tǒng)安全性的研究分析

鄧海娟

摘 要：威脅Windows操作系統(tǒng)安全性的因素主要表現(xiàn)在：文件讀寫控制、口令認(rèn)證、文件加密和用戶管理等方面。針對(duì)以上影響因素，對(duì)Windows操作系統(tǒng)進(jìn)行兩種處理，一是Windows NT的NTFS（新技術(shù)文件系統(tǒng)）的安全性處理。另一種是Windows NT的IIS（互聯(lián)網(wǎng)信息服務(wù)）安全性處理。

關(guān)鍵詞：Windows；操作系統(tǒng)；安全性

一、引言

隨著時(shí)代的進(jìn)步，科技的迅速發(fā)展，計(jì)算機(jī)在人們?nèi)粘Ｉ钆c工作中扮演著越來(lái)越重要的角色。但是，我們知道任何計(jì)算機(jī)系統(tǒng)并不都是絕對(duì)安全的，無(wú)論是硬件安全還是軟件安全，都有存在漏洞的可能性。這些漏洞會(huì)造成整個(gè)計(jì)算機(jī)系統(tǒng)癱瘓，從而帶來(lái)不可估量的損失。通常，計(jì)算機(jī)系統(tǒng)漏洞具體表現(xiàn)在：物理漏洞。軟件漏洞、不兼容漏洞以及缺乏安全策略的漏洞。操作系統(tǒng)的安全性表現(xiàn)在文件讀寫控制、口令認(rèn)證、文件加密和用戶管理等方面。因此，鑒于這些因素的威脅，我們可以利用Windows NT的NTFS與IIS兩大新技術(shù)解決計(jì)算機(jī)安全性的威脅。

二、分析與研究

1.Windows NT的NTFS安全性

在使用NTFS保護(hù)硬盤上的文件和目錄安全以前，使用NTFS文件系統(tǒng)將硬盤分區(qū)格式化。用NTFS格式化分區(qū)的選項(xiàng)在Windows NT workstation，Windows NT安裝以后，用NTFS格式化新的驅(qū)動(dòng)器分區(qū)。一方面可以利用disk administration實(shí)用程序，另一方面也可利用命令行進(jìn)行。如果分區(qū)格式化已經(jīng)用FAT文件系統(tǒng)做過(guò)，則可以利用covert.exe命令行使用程序把文件系統(tǒng)轉(zhuǎn)換為NTFS，但不會(huì)丟失信息。一旦轉(zhuǎn)換以后，NTFS許可權(quán)便與其他的NTFS卷一樣適用于文件與目錄。

（1）創(chuàng)建NTFS卷

一般情況下存在幾種用NTFS文件系統(tǒng)格式化磁盤分區(qū)的方法。第一種方法是在安裝Windows NT操作系統(tǒng)的過(guò)程中進(jìn)行格式化。在安裝過(guò)程中，可以用FAT文件系統(tǒng)創(chuàng)建分區(qū)和格式化鍵盤。如果是在已經(jīng)用FAT文件系統(tǒng)格式化的驅(qū)動(dòng)器上安裝，那么可以用安裝程序把驅(qū)動(dòng)器轉(zhuǎn)化NTFS分區(qū)。

如果在安裝過(guò)程中選擇轉(zhuǎn)化選項(xiàng)，則出現(xiàn)一個(gè)警告，通知用戶NTFS與非Windows NT操作系統(tǒng)不兼容。NTFS分區(qū)在其他操作系統(tǒng)中不能運(yùn)行。換言之，如果用NTFS對(duì)分區(qū)進(jìn)行格式化并在Windows下進(jìn)行啟動(dòng)，則不能看到NTFS格式化了的分區(qū)。

一般計(jì)算機(jī)增加新驅(qū)動(dòng)器時(shí)，新驅(qū)動(dòng)器可以使用disk admini-

strator實(shí)用程序，以NTFS方式進(jìn)行分區(qū)和格式化。現(xiàn)有的分區(qū)也可以從命令行利用Format.exe實(shí)用程序以NTFS方式格式化。盡管可以用disk administrator實(shí)用程序?yàn)樾掠脖P進(jìn)行分區(qū)和格式化，但不能用它來(lái)把現(xiàn)在的FAT分區(qū)轉(zhuǎn)換成NTFS分區(qū)。這就要使用命令行中的convert.exe實(shí)用程序來(lái)完成。

（2）FAT轉(zhuǎn)換NTFS

如果要給系統(tǒng)增加一個(gè)FAT驅(qū)動(dòng)器，并想對(duì)其內(nèi)容執(zhí)行NTFS安全措施，首先必須把文件系統(tǒng)轉(zhuǎn)換成NTFS。驅(qū)動(dòng)器一旦實(shí)際安裝在計(jì)算機(jī)上，利用命令行covert.exe實(shí)用程序就可以把FAT文件系統(tǒng)轉(zhuǎn)換成NTFS文件系統(tǒng)。該驅(qū)動(dòng)器加入到系統(tǒng)，被指定為D盤，F(xiàn)AT驅(qū)動(dòng)器的特點(diǎn)并不顯示securitg屬性；該驅(qū)動(dòng)器上的文件或目錄的安全許可權(quán)只能用sharing標(biāo)簽在共享級(jí)上實(shí)施。現(xiàn)在可以通過(guò)命令行用轉(zhuǎn)換實(shí)用程序執(zhí)行這項(xiàng)操作。

2.Windows NT的IIS安全性

信息服務(wù)器IIS是backoffice系列產(chǎn)品中功能最為強(qiáng)大，最流行的應(yīng)用程序，它與整個(gè)backoffice組件一樣，也是圍繞Windows NT體系而生成的。它作為Windows NT Server提供的一組服務(wù)而運(yùn)行，它利用Windows NT的各項(xiàng)軟件功能。

不過(guò)，為了確保用戶的數(shù)據(jù)完整仍是一個(gè)必須認(rèn)真對(duì)待的關(guān)鍵性的安全問(wèn)題。IIS憑借豐富而又強(qiáng)大的驗(yàn)證，訪問(wèn)控制和審核功能可以保證數(shù)據(jù)的完整性，是因?yàn)樗訵indows NT Server系統(tǒng)為基礎(chǔ)。此外。它還支持安全套接層SSI，通過(guò)對(duì)IIS和支持SSL的所有瀏覽器之間的對(duì)話進(jìn)行加密來(lái)保證安全通信更加保密。

（1）利用操作系統(tǒng)的安全性

IIS通過(guò)Windows NT安全模式提供安全性，也就是說(shuō)，安全賬戶管理器數(shù)據(jù)庫(kù)中定義的用戶賬戶和組件將確定一旦用戶接入IIS機(jī)器，能進(jìn)行什么操作。用戶不僅要核查現(xiàn)有的賬戶權(quán)限和許可權(quán)，并且要限制匿名訪問(wèn)使用的賬戶權(quán)限和許可權(quán)，同時(shí)，記錄IIS的所有服務(wù)程序都支持廣泛的記錄功能。記錄功能很重要，是因?yàn)樗苡脕?lái)監(jiān)視可疑的活動(dòng)，從而決定應(yīng)該保留什么，應(yīng)該取消什么，以便進(jìn)行容量規(guī)劃。

啟動(dòng)記錄功能也是很簡(jiǎn)單的，每項(xiàng)服務(wù)的事件都共同記錄在同一個(gè)公用文件中。若要啟動(dòng)記錄功能，打開IIS manager雙擊要啟動(dòng)記錄功能的服務(wù)器，顯示properties對(duì)話框。接著單擊Logging標(biāo)簽，將彈出一個(gè)對(duì)話框。這個(gè)標(biāo)簽的用法很直接，只需單擊enable Logging選項(xiàng)，然后選擇是記錄到一個(gè)文本文件，還是記錄到SQL數(shù)據(jù)庫(kù)，并確定日志文件多長(zhǎng)時(shí)間可以更新一次。當(dāng)?shù)谝淮伟惭b服務(wù)器時(shí)，要設(shè)置為daily Logging（日志），這樣就可以每天看到結(jié)果。過(guò)一段時(shí)間后，再選擇自己喜歡的記錄方式。

（2）利用IIS的安全性

IIS提供高級(jí)安全性能，使得通信絕對(duì)安全。它們由SSL（安全套接層）以及保密通信技術(shù)組成。SSL可對(duì)TCP/IP通信進(jìn)行數(shù)據(jù)加密，服務(wù)器驗(yàn)證和郵件集成功能。

在建立鏈接后，SSL接著對(duì)流經(jīng)使用中的應(yīng)用協(xié)議的數(shù)據(jù)進(jìn)行加密和解密。所有請(qǐng)求和響應(yīng)信息都應(yīng)該加密，其中包含客戶機(jī)請(qǐng)求的統(tǒng)一資源定位符（URL），其他形式的數(shù)據(jù)，任何驗(yàn)證信息以及所有由服務(wù)器返回到客戶機(jī)的數(shù)據(jù)。

SSL位于應(yīng)用協(xié)議之下，SMTP位于連接協(xié)議TCP/IP之上。IIS支持超文本傳輸協(xié)議保密訪問(wèn)方式。盡管SSL能提供實(shí)際不可破譯的加密功能，但SSL加密傳輸?shù)乃俣纫陀诜羌用軅鬏敗Ｒ虼耍瑸榱朔乐拐麄€(gè)Web網(wǎng)站的性能下降，可以考慮只把SSL作為虛擬的文件夾來(lái)處理高度機(jī)密信息。

（3）Web服務(wù)器的安全性

Web服務(wù)器是IIS中一個(gè)強(qiáng)有力的功能全面的工具，它優(yōu)于其他同類產(chǎn)品。其性能得到優(yōu)化，且作為Windows NT Server下的一項(xiàng)服務(wù)運(yùn)行時(shí)，能為各種規(guī)模的網(wǎng)絡(luò)提供快速、方便和安全的Web發(fā)布功能。

三、用戶和口令驗(yàn)證

首先要了解匿名訪問(wèn)的嚴(yán)重后果，并采取預(yù)防措施來(lái)確保為匿名訪問(wèn)創(chuàng)建的賬戶擁有適當(dāng)?shù)脑S可權(quán)。若要設(shè)置用戶對(duì)Web服務(wù)器進(jìn)行訪問(wèn)的類型，在IIS Manager中雙擊WWW，調(diào)出Web服務(wù)器，再雙擊Web服務(wù)器，就會(huì)顯示W(wǎng)WW Service Properties對(duì)話框，在對(duì)話框中可以看到，設(shè)置Web服務(wù)器程序可以使用多種選項(xiàng)。對(duì)于安裝的大多數(shù)的IIS而言，默認(rèn)選項(xiàng)最好，然而，有兩種關(guān)鍵的設(shè)置將決定用戶對(duì)Web網(wǎng)站的訪問(wèn)等級(jí)：匿名登錄和口令驗(yàn)證。

四、結(jié)論

雖然對(duì)于任何計(jì)算機(jī)都或多或少地存在其不安全性的因素，譬如硬件系統(tǒng)或是軟件系統(tǒng)。針對(duì)計(jì)算機(jī)Windows操作系統(tǒng)可能會(huì)遇到的非安全性問(wèn)題，如，文件讀寫控制、口令認(rèn)證、文件加密和用戶管理等方面的問(wèn)題，經(jīng)過(guò)研究與分析，我們可以運(yùn)用Windows NT中的NTFS與IIS通過(guò)驅(qū)動(dòng)器轉(zhuǎn)換、實(shí)用程序、利用各種轉(zhuǎn)換命令、IIS，Web信息服務(wù)器等方式，從而保證計(jì)算機(jī)操作系統(tǒng)的安全性以滿足用戶的需求。

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò).2版.北京：電子工業(yè)出版社，1999.

[2]馮登國(guó).計(jì)算機(jī)通信網(wǎng)絡(luò)安全.北京：清華大學(xué)出版社，2001.

[3]魯士文.計(jì)算機(jī)通信網(wǎng)絡(luò)原理和網(wǎng)絡(luò)技術(shù).北京：機(jī)械工業(yè)出版社，1997.

[4]劉衍歷.計(jì)算機(jī)安全技術(shù).長(zhǎng)春：吉林科學(xué)技術(shù)出版社，1997.

[5]王育民.通信網(wǎng)的安全.西安：電子科技大學(xué)出版社，1999.

[6]吳萬(wàn)釗.計(jì)算機(jī)病毒防止大全.北京：清華大學(xué)出版社，1991.

[7]劉尊全.計(jì)算機(jī)病毒防范與信息對(duì)抗技術(shù).北京：清華大學(xué)出版社，1987.

[8]盧開登.計(jì)算機(jī)密碼學(xué).北京：清華大學(xué)出版社，1987.

[9]于康友.計(jì)算機(jī)安全與保密.北京：電子工業(yè)出版社，1997.

[10]羅萬(wàn)伯.信息系統(tǒng)安全.北京：電子工業(yè)出版社，2002.

[11]聶元銘.網(wǎng)絡(luò)信息安全技術(shù).北京：科學(xué)出版社，2001.

[12]楊義先.信息安全新技術(shù).北京：北京郵電大學(xué)出版社，2001.

（作者單位 陜西國(guó)防工業(yè)技師學(xué)院）

？誗編輯 薛直艷