1-4.cfm.htm

最全的ASP教程

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> NTFS满足POSIX.1标准的要求。 
一个遵从POSIX.1标准的文件系统， 
使系统的文件命名能够区分大小写字母， 
而且提供一个标志，记录这个文件最后一次访问的时间。还有, 
它还支持硬连接，它允许两个不同的文件指向相同的数据。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> NTFS支持WINDOWS NT的安全模式， 
它能实现文件级的校验和权限检查。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> NTFS支持更大的分区， 最大为64 
exabytes。 这也许远远超过了你所需要的分区大小。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> NTFS所支持的文件长度最大为255字节， 
包括后缀名。 NTFS保持文件名的 大小写，但对大小写进行区分。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> NTFS分区可以减少文件的碎片。 
只要有足够大的空间可以存储下文件，NTFS算法总是分配邻近的硬盘空间。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 文件在NTFS下的可以通过NTFS压缩来进行压缩。 
这种压缩方法是很有效的， 它的性能和商用的压缩程序相似。</p>

<p ALIGN="JUSTIFY">NTFS的这么多的提高确实要付出代价。 NTFS分区需要一部分的空间用来存储文件的安全信息和关键字，所以微软公司建议NTFS分区至少要有50M 
以上的空间。 </p>

<p ALIGN="JUSTIFY">把数据文件和系统分离对基于INTERNET的系统增加系统安全性是很有必要的。 
解决这个问题的最好的方法是建立一个独立的分区，用来存储给INTERNET上的用户访问的数据。这种配置方法通过在分区上使用NTFS的安全机制，很容易就可以限制对系统的非法入侵。 
这种分区级的配置也使系统很容易管理。详细内容见后面的章节“WINDOWS 
NT 安装”。</p>

<p ALIGN="JUSTIFY">　</p>

<p>　</p>

<p ALIGN="JUSTIFY">　</p>

<p><font FACE="宋体">　</p>

<p ALIGN="JUSTIFY">检查系统的事件</font></p>

<p ALIGN="JUSTIFY">检测和防止非法入侵系统资源的最有效的方法之一就是WINDOWS 
NT自己的服务器检查机制，它能帮助发现可疑的活动。</p>

<p ALIGN="JUSTIFY">为了从WINDOWS NT的检查机制得到最大的收益， 
你必须定期地检查这些日志文件。 
然而，如果你从来都不分析和使用这些检测的日志文件， IIS会把和WWW，FTP和GOPHER相关的请求信息存储在特定的文件里。 
所有的WINDOWS NT的系统事件，例如， 文件的访问， 
权限的改变，等等都可以WINDOWS NT的EVENT VIEWER里看到。 关于 EVENT VIEWER的详细用法见下一章“事件查看器”。 
关于IIS的日志文件的详细介绍，见 第二章“安装和使用Internet 
Information server 。</p>

<p ALIGN="JUSTIFY">使用WINDOWS NT的监督机制，你可以跟踪系统的每一个操作，甚至是进程级的操作。 
由于WINDOWS NT的监督信息是那么的详细，以至于它会产生大量的日志文件。 
EVENT VIEWER有一个最大的容量，它很快就会被充满。 
选择一个合适的监督的范围是一个很好的主意。</p>

<p ALIGN="JUSTIFY">以下是建议用EVENT VIEWER监督的事件</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 登陆和退出时发生的错误</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 文件或对象的访问失败</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 修改用户权限失败</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
用户和用户组管理的成功和失败</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 改变安全策略的成功和失败</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
重新启动，关闭和系统安全措施的成功和失败</p>

<p ALIGN="JUSTIFY">IIS 日志文件包含了有IIS 执行的任何事务的详细信息。 
你应该使用通常的文本编辑器，例如记事本，经常检查是否有可疑的活动。 
以下就是一些可疑的活动的标志：</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> Multi failed command attempts</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> Attempts to Access CMD and BAT fles</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> Unauthorized upload success failure </p>

<ul TYPE="SQUARE">
  <li>Excessive requests a single IP address </li>
</ul>

<p ALIGN="JUSTIFY">　</p>

<p ALIGN="JUSTIFY">　</p>

<p ALIGN="JUSTIFY">注意</p>

<p ALIGN="JUSTIFY">有一些其他软件包提供也可以用来帮助查看IIS 
日志文件。 
这些软件读出加密的日志文件，以报表的形式表示这些数据， 
这使得这些数据更容易过滤和理解。 </p>

<p ALIGN="JUSTIFY">　</p>

<p><font FACE="宋体">　</p>

<p ALIGN="JUSTIFY">取消网络访问的权限</font></p>

<p ALIGN="JUSTIFY">权限网络访问的权限是一个WINDOWS NT 
的集成特征，它可以阻止用户从网络上访问文件，打印资源，和管理员服务。这不会影响IIS的传输能力，也就是说，客户端仍然可以通过World 
Wide Web ,FTP 和Gopher来传输信息， 因为这种方法是IIS对客户端的请求的反应。 
在与IIS 通讯的过程中，远程用户相当于登陆到WINDOWS NT上。</p>

<p ALIGN="JUSTIFY"><font FACE="宋体">　</p>

<p ALIGN="JUSTIFY">用户的帐户策略</font></p>

<p ALIGN="JUSTIFY">作为管理员， 
有一种保护你的系统免受用户的危险操作的方法就是限制他们访问系统的权限。 
这一部分向你介绍许多建立安全帐户的好方法。</p>

<p ALIGN="JUSTIFY"><font FACE="宋体">　</p>

<p ALIGN="JUSTIFY">防止WINDOWS NT缺省的帐户和用户组造成的危险</font></p>

<p ALIGN="JUSTIFY">在安装的过程中， 会生成两个缺省的帐户， 他们是Administrator 
和 Guest . 这就给那些恶意的远程客户提供了机会， 
他们可以通过猜测这两个用户的密码， 来攻击这个系统。</p>

<p ALIGN="JUSTIFY">幸运的是， 你可以采用几个步骤，解决WINDOWS NT的缺省帐户造成的问题。 
管理员帐户是WINDOWS NT 
所必须的，不能被删除，但是它可以改成一个不显眼的名字，例如：“George<font
SIZE="3">”</font>。 管理员帐户可以通过使用用户管理器来改名， 如图1.4所示。</p>

<p ALIGN="JUSTIFY">图1.4 给管理员帐户的USER ID 改名。</p>

<p ALIGN="JUSTIFY"><img SRC="../images/Image4.gif" tppabs="http://210.74.168.175/guide/asp/images/Image4.gif" WIDTH="480" HEIGHT="242"></p>

<p ALIGN="JUSTIFY">如同名字所表示的，GUEST 帐户是为以GUEST身份访问系统而设置的。 
提供GUEST访问是系统的一个大弊端。 
这使你无法跟踪谁访问了你的服务器，也使得某些人更容易对你的系统进行恶意的攻击。GUEST帐户绝对不能使用，应该取消它。 
它可以提供用户管理器来取消；在用户属性对话框中（见图1.5），选择帐户禁止的按钮，然后，点击OK。</p>

<p ALIGN="JUSTIFY">图1.5 取消GUEST 用户ID</p>

<p ALIGN="JUSTIFY"><img SRC="../images/Image5.gif" tppabs="http://210.74.168.175/guide/asp/images/Image5.gif" WIDTH="600" HEIGHT="364"><font FACE="宋体"></p>

<p ALIGN="JUSTIFY">用户策略</font></p>

<p ALIGN="JUSTIFY">如俗语所说，一条链条的强度决定于它的最弱的环节。 
这个原理在系统安全范畴里也是适用的。 
通常在系统安全链里，最薄弱的环节就是用户端的密码。一般的合法用户都不理解密码的重要性。用户的密码通常和他们的配偶，子女，狗的名字，以及身份证号码，等等有关。这些黑客都明白这一点。</p>

<p ALIGN="JUSTIFY">这个最弱的环节被恶意的黑客所破解已经不是偶然的事了。 
密码破解程序可以不停地搜索那些可能成为密码的组合。有些程序甚至被设计成在英文或其他外文字典里搜索每一个单词。幸运的是，这里有几个方法可以用来减少用户密码被破解的危险。</p>

<p ALIGN="JUSTIFY">首先但也是最主要的， 
授权用户必须认识到密码的目的和当今计算机环境的危险性。在这种情况下，没有受过良好的教育就很难保证系统的安全。</p>

<p ALIGN="JUSTIFY">另一个，当其他的方法失败时，好的密码和用户策略也能保证你保护系统。 
所有有能力的用户都应该遵循已下的约定：</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
不能多个用户公用一个帐户和密码</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 密码必须定期改变</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
密码必须用密码破解程序进行试验（知道它不容易被破解）</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
用户帐号在一定数目的密码输入失败以后，应该被禁止使用</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
密码必须有足够的长度，防止系统密码的重复使用</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
所有的密码都应该在最短长度以上，而且尽可能地包含字母和数字</p>

<p ALIGN="JUSTIFY">　</p>

<p ALIGN="JUSTIFY">按以上提供的建议来生成密码，可以帮助你减少很多的这方面的危险。</p>

<p ALIGN="JUSTIFY"><font FACE="宋体">　</p>

<p ALIGN="JUSTIFY">关于Acceptable Use的陈述</font></p>

<p ALIGN="JUSTIFY">作为好的密码和用户策略的补充，你必须告知用户什么是计算机系统的Acceptable 
use。Acceptable use策略由于系统的不同而不同，让所有授权客户知道和理解这些策略是很重要的。</p>

<p ALIGN="JUSTIFY">假如不辛的事情发生了，系统被破坏了，发生了刑事或民事诉讼时， 
是否存在一个公开的成功策略将决定它的成功和失败。</p>

<p ALIGN="JUSTIFY"><font FACE="宋体">　</p>

<p ALIGN="JUSTIFY">物理安全</font></p>

<p ALIGN="JUSTIFY">保护系统防止基于网络的攻击只是工作的一半。 
确保系统的网络安全是同样地重要。 
一些常用的操作也可以减少非授权的系统访问。</p>

<ul TYPE="SQUARE">
  <li>确保系统存储在一个安全的区域，不能被客户端访问。 
    最好，把计算机系统装载在严格保护的计算机上。 
    这些设备应该拥有一些防火，防电源波动，以及对过热和湿度过大的保护。</li>
  <li>如果这种保护是不可行的。 
    把服务器锁在柜子里，能帮助防止非法破坏服务器。 
    还有一些其他的预防措施，例如，锁住软盘驱动器减少被非授权用户偷存储在系统里的信息。</li>
</ul>

<p ALIGN="JUSTIFY"><font FACE="宋体">　</p>

<p ALIGN="JUSTIFY">C2安全</font></p>

<p ALIGN="JUSTIFY">C2安全规则是美国国防部在80年代研制的，现在变成了衡量系统安全的标准。C2标准是在DOD的可信计算机系统衡量标准中（或称黄皮书）中定义的许多不同等级的安全标准中的一种。 
它是当今所有的公司和计算机系统中使用的最多的一种。</p>

<p ALIGN="JUSTIFY">在这里要注明， WINDOWS NT只有在作为一个单一的工作站时才遵从C2标准。 
当它和网络连接时它就不在满足C2标准。 微软公司遵从C2标准的检查器，叫做C2CONFIG，它可以用来衡量WINDOWS 
NT系统的C2标准（见图1.6）。 C2CONFIG检查服务器的配置及详细信息，发现那些不满足C2标准或安全性不好的组件。这个工具包括在WINDOWS 
NT 的资源工具包中，这是一个非常有用的工具包。</p>

<p ALIGN="JUSTIFY">以下列出了包括在C2安全标准中的不同的组件</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
系统资源（文件，进程，等等）的所有者必须 
可以控制这些资源的访问权限。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
操作系统必须禁止非授权用户重复使用系统对象。 
这系统对象包括内存，磁盘空间，等等。 
这些标准的目的是为禁止别人在得到权限以前不停地尝试去访问系统资源。 
例如，在NTFS分区内的文件就不允许被删除。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
每一个用户都必须提高使用一个唯一的USERID和PASSWORD而成为系统的授权用户。而且，系统必须能够提供用户的USERID和PASSWORD的关联来跟踪用户的所有的操作。 
</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
系统必须支持系统安全事务的检查。 
这些安全事务的数据一定不能让非授权的用户得到。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 
在物理配置上必须能防止外部的损伤。 例如： 
封锁软盘驱动器，增加电源保护等等。</p>
</b></font>
</body>
</html>