鄧海娟

摘 要：威脅Windows操作系統(tǒng)安全性的因素主要表現(xiàn)在：文件讀寫控制、口令認證、文件加密和用戶管理等方面。針對以上影響因素，對Windows操作系統(tǒng)進行兩種處理，一是Windows NT的NTFS（新技術(shù)文件系統(tǒng)）的安全性處理。另一種是Windows NT的IIS（互聯(lián)網(wǎng)信息服務(wù)）安全性處理。

關(guān)鍵詞：Windows；操作系統(tǒng)；安全性

一、引言

隨著時代的進步，科技的迅速發(fā)展，計算機在人們?nèi)粘Ｉ钆c工作中扮演著越來越重要的角色。但是，我們知道任何計算機系統(tǒng)并不都是絕對安全的，無論是硬件安全還是軟件安全，都有存在漏洞的可能性。這些漏洞會造成整個計算機系統(tǒng)癱瘓，從而帶來不可估量的損失。通常，計算機系統(tǒng)漏洞具體表現(xiàn)在：物理漏洞。軟件漏洞、不兼容漏洞以及缺乏安全策略的漏洞。操作系統(tǒng)的安全性表現(xiàn)在文件讀寫控制、口令認證、文件加密和用戶管理等方面。因此，鑒于這些因素的威脅，我們可以利用Windows NT的NTFS與IIS兩大新技術(shù)解決計算機安全性的威脅。

二、分析與研究

1.Windows NT的NTFS安全性

在使用NTFS保護硬盤上的文件和目錄安全以前，使用NTFS文件系統(tǒng)將硬盤分區(qū)格式化。用NTFS格式化分區(qū)的選項在Windows NT workstation，Windows NT安裝以后，用NTFS格式化新的驅(qū)動器分區(qū)。一方面可以利用disk administration實用程序，另一方面也可利用命令行進行。如果分區(qū)格式化已經(jīng)用FAT文件系統(tǒng)做過，則可以利用covert.exe命令行使用程序把文件系統(tǒng)轉(zhuǎn)換為NTFS，但不會丟失信息。一旦轉(zhuǎn)換以后，NTFS許可權(quán)便與其他的NTFS卷一樣適用于文件與目錄。

（1）創(chuàng)建NTFS卷

一般情況下存在幾種用NTFS文件系統(tǒng)格式化磁盤分區(qū)的方法。第一種方法是在安裝Windows NT操作系統(tǒng)的過程中進行格式化。在安裝過程中，可以用FAT文件系統(tǒng)創(chuàng)建分區(qū)和格式化鍵盤。如果是在已經(jīng)用FAT文件系統(tǒng)格式化的驅(qū)動器上安裝，那么可以用安裝程序把驅(qū)動器轉(zhuǎn)化NTFS分區(qū)。

如果在安裝過程中選擇轉(zhuǎn)化選項，則出現(xiàn)一個警告，通知用戶NTFS與非Windows NT操作系統(tǒng)不兼容。NTFS分區(qū)在其他操作系統(tǒng)中不能運行。換言之，如果用NTFS對分區(qū)進行格式化并在Windows下進行啟動，則不能看到NTFS格式化了的分區(qū)。

一般計算機增加新驅(qū)動器時，新驅(qū)動器可以使用disk admini-

strator實用程序，以NTFS方式進行分區(qū)和格式化?，F(xiàn)有的分區(qū)也可以從命令行利用Format.exe實用程序以NTFS方式格式化。盡管可以用disk administrator實用程序為新硬盤進行分區(qū)和格式化，但不能用它來把現(xiàn)在的FAT分區(qū)轉(zhuǎn)換成NTFS分區(qū)。這就要使用命令行中的convert.exe實用程序來完成。

（2）FAT轉(zhuǎn)換NTFS

如果要給系統(tǒng)增加一個FAT驅(qū)動器，并想對其內(nèi)容執(zhí)行NTFS安全措施，首先必須把文件系統(tǒng)轉(zhuǎn)換成NTFS。驅(qū)動器一旦實際安裝在計算機上，利用命令行covert.exe實用程序就可以把FAT文件系統(tǒng)轉(zhuǎn)換成NTFS文件系統(tǒng)。該驅(qū)動器加入到系統(tǒng)，被指定為D盤，F(xiàn)AT驅(qū)動器的特點并不顯示securitg屬性；該驅(qū)動器上的文件或目錄的安全許可權(quán)只能用sharing標簽在共享級上實施。現(xiàn)在可以通過命令行用轉(zhuǎn)換實用程序執(zhí)行這項操作。

2.Windows NT的IIS安全性

信息服務(wù)器IIS是backoffice系列產(chǎn)品中功能最為強大，最流行的應(yīng)用程序，它與整個backoffice組件一樣，也是圍繞Windows NT體系而生成的。它作為Windows NT Server提供的一組服務(wù)而運行，它利用Windows NT的各項軟件功能。

不過，為了確保用戶的數(shù)據(jù)完整仍是一個必須認真對待的關(guān)鍵性的安全問題。IIS憑借豐富而又強大的驗證，訪問控制和審核功能可以保證數(shù)據(jù)的完整性，是因為它以Windows NT Server系統(tǒng)為基礎(chǔ)。此外。它還支持安全套接層SSI，通過對IIS和支持SSL的所有瀏覽器之間的對話進行加密來保證安全通信更加保密。

（1）利用操作系統(tǒng)的安全性

IIS通過Windows NT安全模式提供安全性，也就是說，安全賬戶管理器數(shù)據(jù)庫中定義的用戶賬戶和組件將確定一旦用戶接入IIS機器，能進行什么操作。用戶不僅要核查現(xiàn)有的賬戶權(quán)限和許可權(quán)，并且要限制匿名訪問使用的賬戶權(quán)限和許可權(quán)，同時，記錄IIS的所有服務(wù)程序都支持廣泛的記錄功能。記錄功能很重要，是因為它能用來監(jiān)視可疑的活動，從而決定應(yīng)該保留什么，應(yīng)該取消什么，以便進行容量規(guī)劃。

啟動記錄功能也是很簡單的，每項服務(wù)的事件都共同記錄在同一個公用文件中。若要啟動記錄功能，打開IIS manager雙擊要啟動記錄功能的服務(wù)器，顯示properties對話框。接著單擊Logging標簽，將彈出一個對話框。這個標簽的用法很直接，只需單擊enable Logging選項，然后選擇是記錄到一個文本文件，還是記錄到SQL數(shù)據(jù)庫，并確定日志文件多長時間可以更新一次。當?shù)谝淮伟惭b服務(wù)器時，要設(shè)置為daily Logging（日志），這樣就可以每天看到結(jié)果。過一段時間后，再選擇自己喜歡的記錄方式。

（2）利用IIS的安全性

IIS提供高級安全性能，使得通信絕對安全。它們由SSL（安全套接層）以及保密通信技術(shù)組成。SSL可對TCP/IP通信進行數(shù)據(jù)加密，服務(wù)器驗證和郵件集成功能。

在建立鏈接后，SSL接著對流經(jīng)使用中的應(yīng)用協(xié)議的數(shù)據(jù)進行加密和解密。所有請求和響應(yīng)信息都應(yīng)該加密，其中包含客戶機請求的統(tǒng)一資源定位符（URL），其他形式的數(shù)據(jù)，任何驗證信息以及所有由服務(wù)器返回到客戶機的數(shù)據(jù)。

SSL位于應(yīng)用協(xié)議之下，SMTP位于連接協(xié)議TCP/IP之上。IIS支持超文本傳輸協(xié)議保密訪問方式。盡管SSL能提供實際不可破譯的加密功能，但SSL加密傳輸?shù)乃俣纫陀诜羌用軅鬏?。因此，為了防止整個Web網(wǎng)站的性能下降，可以考慮只把SSL作為虛擬的文件夾來處理高度機密信息。

（3）Web服務(wù)器的安全性

Web服務(wù)器是IIS中一個強有力的功能全面的工具，它優(yōu)于其他同類產(chǎn)品。其性能得到優(yōu)化，且作為Windows NT Server下的一項服務(wù)運行時，能為各種規(guī)模的網(wǎng)絡(luò)提供快速、方便和安全的Web發(fā)布功能。

三、用戶和口令驗證

首先要了解匿名訪問的嚴重后果，并采取預(yù)防措施來確保為匿名訪問創(chuàng)建的賬戶擁有適當?shù)脑S可權(quán)。若要設(shè)置用戶對Web服務(wù)器進行訪問的類型，在IIS Manager中雙擊WWW，調(diào)出Web服務(wù)器，再雙擊Web服務(wù)器，就會顯示W(wǎng)WW Service Properties對話框，在對話框中可以看到，設(shè)置Web服務(wù)器程序可以使用多種選項。對于安裝的大多數(shù)的IIS而言，默認選項最好，然而，有兩種關(guān)鍵的設(shè)置將決定用戶對Web網(wǎng)站的訪問等級：匿名登錄和口令驗證。

四、結(jié)論

雖然對于任何計算機都或多或少地存在其不安全性的因素，譬如硬件系統(tǒng)或是軟件系統(tǒng)。針對計算機Windows操作系統(tǒng)可能會遇到的非安全性問題，如，文件讀寫控制、口令認證、文件加密和用戶管理等方面的問題，經(jīng)過研究與分析，我們可以運用Windows NT中的NTFS與IIS通過驅(qū)動器轉(zhuǎn)換、實用程序、利用各種轉(zhuǎn)換命令、IIS，Web信息服務(wù)器等方式，從而保證計算機操作系統(tǒng)的安全性以滿足用戶的需求。

參考文獻：

[1]謝希仁.計算機網(wǎng)絡(luò).2版.北京：電子工業(yè)出版社，1999.

[2]馮登國.計算機通信網(wǎng)絡(luò)安全.北京：清華大學(xué)出版社，2001.

[3]魯士文.計算機通信網(wǎng)絡(luò)原理和網(wǎng)絡(luò)技術(shù).北京：機械工業(yè)出版社，1997.

[4]劉衍歷.計算機安全技術(shù).長春：吉林科學(xué)技術(shù)出版社，1997.

[5]王育民.通信網(wǎng)的安全.西安：電子科技大學(xué)出版社，1999.

[6]吳萬釗.計算機病毒防止大全.北京：清華大學(xué)出版社，1991.

[7]劉尊全.計算機病毒防范與信息對抗技術(shù).北京：清華大學(xué)出版社，1987.

[8]盧開登.計算機密碼學(xué).北京：清華大學(xué)出版社，1987.

[9]于康友.計算機安全與保密.北京：電子工業(yè)出版社，1997.

[10]羅萬伯.信息系統(tǒng)安全.北京：電子工業(yè)出版社，2002.

[11]聶元銘.網(wǎng)絡(luò)信息安全技術(shù).北京：科學(xué)出版社，2001.

[12]楊義先.信息安全新技術(shù).北京：北京郵電大學(xué)出版社，2001.

（作者單位 陜西國防工業(yè)技師學(xué)院）

？誗編輯 薛直艷