輕鬆三步 讓DHCP伺服器密不透風

DHCP是Dynamic Host Configuration Protocol的縮寫，它是TCP/IP協定簇中的一種，主要是用來給網路用戶端機分配動態的IP位址。 這些被分配的IP位址都是DHCP伺服器預先保留的一個由多個位址組成的位址集，並且它們一般是一段連續的位址。 現在大多數的企業網都使用DHCP伺服器為客戶機統一分配TCP/IP配置資訊。 這種方式不但減輕了網管人員的日常維護工作量，而且企業網的安全性也有了一定的提高。 可是DHCP伺服器的安全問題卻不容忽視，它一旦出現問題，就會影響整個網路的正常運行，如何加強對DHCP伺服器的管理，保障其安全呢?其實簡單的幾步就可以實現。 第一步、啟用DHCP審核記錄在DHCP伺服器中到底發生了什麼事情，管理員單靠肉眼是無法察覺的，最簡單的方法是查看Windows日誌，但這時一定要確保啟用了DHCP伺服器的「審核記錄」功能，否則， 就無法在事件檢視器中找到相應的記錄。 筆者以Windows 2000伺服器為例，依次點擊「開始→程式→管理工具→DHCP」後，彈出DHCP主控台視窗，右鍵點擊你的伺服器，在功能表中選擇「屬性」，彈出屬性設置對話方塊，切換到「常規」標籤頁(如圖1)，確保一定要選中「 啟用DHCP審核記錄」選項，最後點擊「確定」按鈕。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=329 alt="" src="/files/uploadimg/20090203/ 0948100.jpg" width=300>圖1 啟動DHCP審核記錄這樣就啟用了DHCP伺服器的審核記錄，它的日誌檔預設保存在「C:\WINNT\System32\dhcp」目錄下。 為了防止「不法之徒」惡意刪除日誌，可以修改DHCP日誌檔的存放路徑。 切換到「高級」標籤頁(如圖2)，點擊「稽核記錄路徑」欄的「流覽」按鈕，指定新的日誌檔存放位置，接著，使用相同的方法，修改「資料庫路徑」，最後點擊「確定」。 這樣，我們的DHCP日誌就更加安全了。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' height=331 alt="" src="/files/uploadimg/20090203/0948101.jpg" width=300>圖2 修改DHCP日誌保存路徑第二步、指定DHCP管理使用者在企業網中，為了加強對DHCP伺服器的管理，網路系統管理員要指定一個或若干使用者對DHCP伺服器進行管理。 如筆者要指定帳號名為「CCE」的使用者能夠對DHCP進行管理，在Windows 2000伺服器中，進入到「控制台→管理工具」，運行「Active Directory 使用者和電腦」工具，在彈出的視窗中，點擊「Users」選項， 接著在右側框體中找到「DHCP Administrators」項，右鍵點擊，選擇「屬性」，彈出「DHCP Administrators屬性」對話方塊，切換到「成員」標籤頁，點擊「添加」按鈕，將「CCE」使用者添加到清單方塊中， 最後點擊「確定」按鈕，這樣「CCE」使用者就能夠管理DHCP伺服器了。 第三步、對DHCP管理使用者限制如果網路系統管理員意外出現誤操作，將其他的使用者加入到DHCP管理組，那麼這些使用者也會擁有對DHCP伺服器的管理許可權，這種情況的發生同樣會影響DHCP伺服器的安全。 如何對這些DHCP管理組使用者進行限制呢?何不利用域安全性原則，給DHCP伺服器加個「雙保險」。 如筆者只允許DHCP管理組的CCE使用者，對DHCP伺服器擁有管理許可權，而其他使用者只有「唯讀」許可權。 進入到「控制台→管理工具」，運行「域安全性原則」工具，彈出安全性原則主控台視窗，接著依次展開「Windows 設置→安全設置→受限制的組」，然後在右側框體中的空白處按一下右鍵，選擇「添加組」，彈出添加組對話方塊，在欄中輸入「 DHCP Administrators」後，點擊「確定」按鈕。 然後右鍵點擊「DHCP Administrators」，選擇「安全性」，彈出配置成員身份對話方塊，接著點擊「添加」按鈕，將「CCE」使用者添加到成員清單中，最後點擊「確定」。 通過以上三步操作後，DHCP伺服器就更加安全了，有興趣的讀者朋友，不防試一下。