NT资源访问控制安全系统的设置

不锁定”选项，系统便不做任何处理。但是为了防止他人不断尝试，猜测用户的密码，还是

选取“账号锁定”选项较好。它就像自动提款机的保护功能，当连续三次输入错误的密的

提款机就会把提款卡吃掉，以免提款卡被盗用。(2)“登录失败X次后的锁定”处设置用户在连续失败几次后锁定该账号( LOGOUT

此时任何人都不能使用该账号登录了 (3)在“之后重启动统计”处设置两次登录错误之间相隔多少分钟数为“连续”，即设

置连续登录失败的间隔时间，预设是30分钟。若前一项设为登录失败3次后锁定，而栏

保持默认值，则用户在30分钟内如果有连续3次登录失败的话，便锁定账号。但是如果失

败两次后就停手，等到过了30分钟，错误计次便重新归零，于是又有了3次机会，依此る

(4)在“锁定时间表”栏，可选择对被非法登录者攻击的用户账号锁定的时间。若为了

管理员经常为用户解锁的麻烦，可选择“时间”选项，并设置锁定用户账号将在多少“分 不给“黑客”再留有机会，可选择“永久(直到系统管理员解除)”选项。若为了免去系统

后”自动解锁，恢复该账号的使用权

6.2.4 Windows NT资源访问控制安全系统的设置

1. Windows NT资源访问控制的机制

网络系统资源的交全保密性是用户都非常关心的重要问题，也是评价网络性能优劣的重

要因素之一。网络的目录/文件安全体系一一资源访问控制系统是网络安全最为重要的保障

系统，是网络的生命线。因此，建立完善可靠的网络资源访问控制系统工程，并对其进行有

效的管理，对于任何一个网络应用系统来说，都是十分重要的。 Windows NT对资源访问的

控制分为三个层次，这就是共享目录访问控制，目录访问控制，文件访问控制。也就是说

Windows NT网络中的目录和文件可同时受到三层保护。第一层保护是共享目录访问控制

第二层是目录访问控制，最后一层是文件访问控制。用户可根据目录/文件的安全需要，对

目录实施目录访问控制保护或文件访问控制保护。共享目录访问控制是必须的，否则用户将

根本无法访问(共享)到目录和文件。特别注意，上述 Windows NT的资源访问控制的三个

层次只在NTFS文件系统有效，在FAT文件系统中只有共享目录访问控制有效，其他两个

层次的控制对于FAT文件系统不起作用

2. Windows NT资源访问权限的设置

系统管理员可以通过下面两个途径分别设置共享目录、目录和文件的权限。

右键一属性一安全性一权限”。(1)“开始程序- Windows NT资源管理器一选择共享目录(或目录或文件)一按鼠标

安全性→权限”。(2)“我的电脑一选择驱动器一选择共享目录(或目录或文件)一按鼠标右键一属性一

问类型”下拉列表中选择权限，一般不要设置成“更改”或“完全控制”，以保护系统资源 通过以上二种方法均打开“通过共享访问(或目录或文件)的权限”对话框，可在“访

的安全

6.2.5 Windows NT安全审核系统的配置

则进方设置之后，系统才会自动启动安全审核系统。安全核系统的配置是通过设置用户的安全审核规则来进行的，只有在对用户的安全规

设置安全审核规则

建立安全审核系统，必须设置用户安全规则。对用户安全审核规则的设置是在“审核规

"对话框中进行。打开“审核规则”对话框的操作方法与步骤如下

对话框 (1)进行“开始一程序一管理工具(公用)→域用户管理器”操作，打开“域用户管理

(2)在“域用户管理器”对话框，选择(单击)用户或用户组

(3)选择“规则”菜单中的“审核规则”菜单项，打开“审核规则”对话框

在“审核规则”对话框，系统管理员就可以设置有关用户安全审核规则了。既可以审核

了某安全事件进行审核，可将其右边的选择框变为“”，否则为空 用户对某安全事件的成功操作，也可以只审核进行某安全事件时的失败操作。当决定并选择

系统可以审核的安全文件包括登录及注销:文件及对象访问；用户权限的使用:用户及

或“失败”的操作情况 组管理:安全性规则的修改:重新启动、关机及系统安全:进程追踪等事件的各种“成功”

设置中应该明确，安全审核规则是针对用户的。由于审核是在后台进行的，它会影响系

据网络的安全总体规划妥善设置安全审核规则。统的速度。因此，若设置了对用户的安全审核，就意味着要损失一定的系统性能，所以应根

2.目录和文件访问的审核

在NTFS分区上，方可对访问目录或文件的操作进行审核，允许跟踪有关用户对目录或

审核失败的操作。审核的结果也保存在“安全日志文件”中 文件的使用和使用企图。对于一个具体的目录或文件访问，可以审核其成功的操作，又可以

访问目录和文件审核的设置，是针对某一目录或文件的。在“审核规则”对话框选择审

核“文件及对象访问”事件，便对用户访问目录或文件设置了审核规则

3.安全审核系统的管理

小默认为512KB，也可根据设置审核的安全事件的多少，调整该文件大小的限制，方法 安全审核系统将审核的结果保存在“安全日志( Security Log)”文件中，该文件的大

为:进行“开始一管理工具一事件查看器一日志一日志设置”操作，便可设置“安全日

志”的大小。但是，只有 Administrators组的成员具有查看“安全日志”和进行“日志设

置”的权力

6.2.6 Windows NT的其他安全配置策略

(1)使用最新的 Servicepack并时常打一些小补丁，目前的 Servicepack版本为60

ver.exe转换成 NTFS格式。。网站建设(2)硬盆必须格式化成NTFS格式，如果现在使用的是FRT的文件格式，赶快用

137°