云南龙网

  1. 首页 > 云知道 > >

网络管理员必读之如何让DHCP服务器更安全

云知道

文/淮河水手
【网络管理员必读之如何让DHCP服务器更安全】现在规模稍大的企业网 , 一般都使用DHCP服务器为客户机统一分配TCP/IP配置信息 。这种方式不但减轻了网管人员的维护工作量 , 而且企业网的安全性也有了一定的提高 。但DHCP服务器的安全问题却不容小视 , 它一旦出现问题 , 就会影响整个网络的正常运行 , 如何加强对DHCP服务器的管理呢?其实简单的几步就可以实现 。
一、启用DHCP审核记录

在DHCP服务器中到底发生了什么事情 , 管理员单靠肉眼是无法察觉的 , 最简单的方法是查看Windows日志 , 但这时一定要确保启用了DHCP服务器的“审核记录”功能 , 否则 , 就无法在事件查看器中找到相应的记录 。
笔者以Windows 2000服务器为例 , 依次点击“开始→程序→管理工具→DHCP”后 , 弹出DHCP控制台窗口 , 右键点击你的服务器 , 在菜单中选择“属性” , 弹出属性设置对话框 , 切换到“常规”标签页(如图1) , 确保一定要选中“启用DHCP审核记录”选项 , 最后点击“确定”按钮 。
这样就启用了DHCP服务器的审核记录 , 它的日志文件默认保存在“C:WINNTSystem32dhcp”目录下 。为了防止“不法之徒”恶意删除日志 , 可以修改DHCP日志文件的存放路径 。切换到“高级”标签页(如图2) , 点击“审核日志路径”栏的“浏览”按钮 , 指定新的日志文件存放位置 , 接着 , 使用相同的方法 , 修改“数据库路径” , 最后点击“确定” 。这样 , 我们的DHCP日志就更加安全了 。
二、指定DHCP管理用户
在企业网中 , 为了加强对DHCP服务器的管理 , 网络管理员要指定一个或若干用户对DHCP服务器进行管理 。如笔者要指定账号名为“CCE”的用户能够对DHCP进行管理 , 在Windows 2000服务器中 , 进入到“控制面板→管理工具” , 运行“Active Directory 用户和计算机”工具 , 在弹出的窗口中 , 点击“Users”选项 , 接着在右侧框体中找到“DHCP Administrators”项 , 右键点击 , 选择“属性” , 弹出“DHCP Administrators属性”对话框 , 切换到“成员”标签页 , 点击“添加”按钮 , 将“CCE”用户添加到列表框中 , 最后点击“确定”按钮 , 这样“CCE”用户就能够管理DHCP服务器了 。
三、对DHCP管理用户限制
如果网络管理员意外出现误操作 , 将其他的用户加入到DHCP管理组 , 那么这些用户也会拥有对DHCP服务器的管理权限 , 这种情况的发生同样会影响DHCP服务器的安全 。如何对这些DHCP管理组用户进行限制呢?何不利用域安全策略 , 给DHCP服务器加个“双保险” 。
如笔者只允许DHCP管理组的CCE用户 , 对DHCP服务器拥有管理权限 , 而其他用户只有“只读”权限 。进入到“控制面板→管理工具” , 运行“域安全策略”工具 , 弹出安全策略控制台窗口 , 接着依次展开“Windows 设置→安全设置→受限制的组” , 然后在右侧框体中的空白处单击右键 , 选择“添加组” , 弹出添加组对话框 , 在栏中输入“DHCP Administrators”后 , 点击“确定”按钮 。
然后右键点击“DHCP Administrators” , 选择“安全性” , 弹出配置成员身份对话框 , 接着点击“添加”按钮 , 将“CCE”用户添加到成员列表中 , 最后点击“确定” 。
通过以上三步操作后 , 我们的DHCP服务器就更加安全了 , 有兴趣的朋友 , 不妨一试!
图1 启动DHCP审核记录
图2 修改DHCP日志保存路径

    推荐阅读


    上一篇:奶昔是热的还是冷的

    下一篇:没住院误工费可以索要吗