【IT168 专稿】手工为局域网工作站分配IP地址，不但容易造成IP地址冲突现象发生，而且也不利于高效管理网络，特别是在一些规模较大的局域网环境中，这些弊病尤其特出！有鉴于此，不少单位的网络管理人员往往会使用DHCP服务器来为工作站自动分配IP地址，这样大大提高了网络管理效率；可是，在使用这种方式来管理局域网网络时，DHCP服务器的运行安全性却显得十分重要，毕竟DHCP出现意外的话，整个局域网网络的运行状态都会受到直接影响。为了“护驾”DHCP服务器安全运行，本文提出下面几则安全控制招法，希望能给各位带来帮助！

限定特殊用户管理DHCP服务器

    在单位局域网网络中，为了防止普通单位员工随意对DHCP服务器进行管理，从而影响局域网整体运行性能，我们有必要将DHCP服务管理的权限落指派给特定的用户，让这些用户凭借特权帐号进行管理操作。要做到这一点，其实很简单，我们现在假设要将DHCP服务管理“责任”落实给“aaa”用户帐号的话，可以按照如下步骤来设置：

    首先以超级管理员身份登录进局域网域服务器中，并在该系统桌面中打开“开始”菜单，并依次单击该菜单下面的“设置”/“控制面板”命令，从其后弹出的窗口中双击“管理工具”图标，打开服务器系统的管理工具列表窗口；

    其次选中该管理工具列表窗口中的“Active Directory用户和计算机”工具图标，并用鼠标右键单击之，从随后出现的快捷菜单中单击“作者”命令，进入到局域网的Active Directory用户和计算机列表界面；在该界面的左侧显示区域，找到“Users”选项，并在对应该选项所在的右侧显示区域中，将“DHCP Administrators”选项选中；

图1

    接着用鼠标右键单击“DHCP Administrators”选项，从弹出的快捷菜单中单击“属性”命令，打开“DHCP Administrators”属性设置对话框，单击该对话框中的“成员”选项卡，打开如图1所示的选项设置页面， 单击该页面中的“添加”按钮，从随后弹出的选择用户对话框中将特殊用户的帐号“aaa”选中并加入到列表框中，再单击一下“确定”按钮，如此一来我们日后只能以“aaa”帐号来管理DHCP服务器了，如果其他人不知道该用户帐号以及访问密码的话，那么他们就不能随意对DHCP服务器进行管理了，这样的话DHCP服务器安全性就在一定程度上得到了保证。

对特权用户管理权限进行限制

    当我们以指定的特权帐号管理DHCP服务器，并在管理过程中不小心发生错误操作时，我们可以尝试将其他的用户帐号添加到“DHCP Administrators”管理组中，然后以这些用户帐号也能对DHCP服务器进行管理和维护。不过，这种管理方式也给服务器系统带来了一定的风险，因为当有心怀不轨的用户将自己加入到“DHCP Administrators”管理组的话，那么他同样能够对DHCP服务器进行一些非法破坏和攻击。为了进一步保护DHCP服务器的安全，我们可以巧妙地对服务器系统的域安全策略进行设置，以便实现对“DHCP Administrators”管理组用户权限进行限制的目的；比方说，要是我们只希望“DHCP Administrators”管理组中的“aaa”帐号能够拥有修改、管理DHCP服务器的权限，而其他的用户帐号只能具有“只读”访问权限时，那么我们就能按照如下步骤来达到设置要求了：

    首先在局域网域服务器系统桌面中，依次单击“开始”/“设置”/“控制面板”命令，从其后弹出的窗口中双击“管理工具”图标，打开服务器系统的管理工具列表窗口；

    其次用鼠标双击该列表窗口中的“域安全策略”工具，打开服务器系统的安全策略控制台界面，在该界面的左侧显示区域选中“Windows 设置”分支选项，接下来用鼠标依次选中该分支下面的“安全设置”/“受限制的组”选项，在对应“受限制的组”选项所在的右侧显示区域中，用鼠标右键单击该区域的空白位置，从弹出的快捷菜单中执行“添加组”命令，打开如图2所示的添加组对话框， 在该对话框文本栏中输入字符串内容“DHCP Administrators”，并单击“确定”按钮返回；

图2

    下面再用鼠标右键单击刚刚添加成功的“DHCP Administrators”管理组，并执行右键菜单中的“安全性”命令，在随后出现的“DHCP Administrators”属性对话框中，继续单击“添加”按钮，并在其后出现的选择用户帐号列表中将“aaa”用户帐号选中并加入到成员列表中，最后单击一下“确定”按钮，如此一来“DHCP Administrators”管理组中的其他用户日后就不能随意管理DHCP服务器了。

巧用审核功能保护DHCP服务器

    为了有效保护DHCP服务器的安全，相信不少网络管理人员都会“请”来各种安全监测工具来随时“监控”服务器的安全状态，一旦发现服务器存在安全隐患的话，以便能够及时采取针对性措施进行应对；但是，要是我们手头暂时找不到各种安全监测工具来帮忙的话，那我们难道就无法对DHCP服务器的安全运行状态进行监视了吗？事实上，Windows 2000之类的服务器系统自身就集成了一些安全防范功能，巧妙地利用这些功能我们照样能够实现对DHCP服务器安全状态的及时监控！现在，我们就向各位介绍一下通过服务器系统自带的安全审核功能，利用查看服务器系统运行日志的办法来对服务器的安全运行状态进行即时监控，下面就是具体的操作步骤：

    首先进入到DHCP服务所在的服务器系统桌面，并在该系统桌面中依次单击“开始”/“设置”/“控制面板”命令，从其后弹出的窗口中双击“管理工具”图标，打开服务器系统的管理工具列表窗口；

    其次用鼠标双击该列表窗口中的“DHCP”图标，打开服务器系统的DHCP控制台界面，在该界面的左侧显示区域用鼠标右键单击目标服务器的主机名称，并从弹出的快捷菜单中执行“属性”命令，打开DHCP服务器的属性设置窗口，单击该窗口中的“常规”选项卡，再在其后的选项设置页面中将“启用DHCP审核记录”项目选中，最后单击一下“确定”按钮，这样一来我们就能将DHCP服务器自带的审核记录功能启用起来了；

    一旦启用了DHCP服务的审核记录功能后，任何访问DHCP服务器的一举一动都会被存储到“C:\WINNT\System32\dhcp”文件夹下面的日志文件中，我们日后只要定期地查看日志文件就能从中找到攻击DHCP服务器的蛛丝马迹。为了避免非法攻击者将日志文件删除或修改，我们不妨将日志文件的存放位置修改成一个普通人不易觉察到的路径。在修改日志文件的保存路径时，我们可以先按上面的步骤打开DHCP服务器属性设置界面，单击该界面中的“高级”选项卡，打开如图3所示的选项设置页面， 单击该页面“审核日志路径”处的“浏览”按钮，在其后弹出的文件夹选择对话框中指定一个新的存放路径；接着再按相同方法，修改一下“数据库路径”，如此一来DHCP服务器的安全日志就不会被人轻易修改或删除了。

图3

总结：

    相信通过上面的几则招法，局域网中的DHCP服务器运行就更加安全了，而DHCP服务器一旦能够安全稳定地运行，那么整个局域网的运行效率也将随之得到保证！