現在規模稍大的企業(yè)網(wǎng)，一般都使用DHCP服務(wù)器為客戶(hù)機統一分配TCP/IP配置信息。這種方式不但減輕了網(wǎng)管人員的維護工作量，而且企業(yè)網(wǎng)的安全性也有了一定的提高。但DHCP服務(wù)器的安全問(wèn)題卻不容小視，它一旦出現問(wèn)題，就會(huì )影響整個(gè)網(wǎng)絡(luò )的正常運行，如何加強對DHCP服務(wù)器的管理呢？其實(shí)簡(jiǎn)單的幾步就可以實(shí)現。

 

　　一、啟用DHCP審核記錄
 
　　在DHCP服務(wù)器中到底發(fā)生了什么事情，管理員單靠肉眼是無(wú)法察覺(jué)的，最簡(jiǎn)單的方法是查看Windows日志，但這時(shí)一定要確保啟用了DHCP服務(wù)器的“審核記錄”功能，否則，就無(wú)法在事件查看器中找到相應的記錄。

　　筆者以Windows 2000服務(wù)器為例，依次點(diǎn)擊“開(kāi)始→程序→管理工具→DHCP”后，彈出DHCP控制臺窗口，右鍵點(diǎn)擊你的服務(wù)器，在菜單中選擇“屬性”，彈出屬性設置對話(huà)框，切換到“常規”標簽頁(yè)(如圖1)，確保一定要選中“啟用DHCP審核記錄”選項，最后點(diǎn)擊“確定”按鈕。

　　這樣就啟用了DHCP服務(wù)器的審核記錄，它的日志文件默認保存在“C:\WINNT\System32\dhcp”目錄下。為了防止“不法之徒”惡意刪除日志，可以修改DHCP日志文件的存放路徑。切換到“高級”標簽頁(yè)(如圖2)，點(diǎn)擊“審核日志路徑”欄的“瀏覽”按鈕，指定新的日志文件存放位置，接著(zhù)，使用相同的方法，修改“數據庫路徑”，最后點(diǎn)擊“確定”。這樣，我們的DHCP日志就更加安全了。

　　二、指定DHCP管理用戶(hù)

　　在企業(yè)網(wǎng)中，為了加強對DHCP服務(wù)器的管理，網(wǎng)絡(luò )管理員要指定一個(gè)或若干用戶(hù)對DHCP服務(wù)器進(jìn)行管理。如筆者要指定賬號名為“CCE”的用戶(hù)能夠對DHCP進(jìn)行管理，在Windows 2000服務(wù)器中，進(jìn)入到“控制面板→管理工具”，運行“Active Directory 用戶(hù)和計算機”工具，在彈出的窗口中，點(diǎn)擊“Users”選項，接著(zhù)在右側框體中找到“DHCP Administrators”項，右鍵點(diǎn)擊，選擇“屬性”，彈出“DHCP Administrators屬性”對話(huà)框，切換到“成員”標簽頁(yè)，點(diǎn)擊“添加”按鈕，將“CCE”用戶(hù)添加到列表框中，最后點(diǎn)擊“確定”按鈕，這樣“CCE”用戶(hù)就能夠管理DHCP服務(wù)器了。

　　三、對DHCP管理用戶(hù)限制

　　如果網(wǎng)絡(luò )管理員意外出現誤操作，將其他的用戶(hù)加入到DHCP管理組，那么這些用戶(hù)也會(huì )擁有對DHCP服務(wù)器的管理權限，這種情況的發(fā)生同樣會(huì )影響DHCP服務(wù)器的安全。如何對這些DHCP管理組用戶(hù)進(jìn)行限制呢？何不利用域安全策略，給DHCP服務(wù)器加個(gè)“雙保險”。

　　如筆者只允許DHCP管理組的CCE用戶(hù)，對DHCP服務(wù)器擁有管理權限，而其他用戶(hù)只有“只讀”權限。進(jìn)入到“控制面板→管理工具”，運行“域安全策略”工具，彈出安全策略控制臺窗口，接著(zhù)依次展開(kāi)“Windows 設置→安全設置→受限制的組”，然后在右側框體中的空白處單擊右鍵，選擇“添加組”，彈出添加組對話(huà)框，在欄中輸入“DHCP Administrators”后，點(diǎn)擊“確定”按鈕。

　　然后右鍵點(diǎn)擊“DHCP Administrators”，選擇“安全性”，彈出配置成員身份對話(huà)框，接著(zhù)點(diǎn)擊“添加”按鈕，將“CCE”用戶(hù)添加到成員列表中，最后點(diǎn)擊“確定”。

　　通過(guò)以上三步操作后，我們的DHCP服務(wù)器就更加安全了，有興趣的朋友，不妨一試！

---