实验室信息系统Windows NT局域网的安全管理策略

李雪志

  近年来，由不同开发者建立的实验室信息系统（Laboratory information system, LIS）在国内已得到相当广泛的应用，使医学检验步入了一个以自动化、信息化、网络化为主要特征的新时期。LIS在处理高速增长的实验数据，充分发挥各种自动化分析仪器快速、准确的优势，缓解自动化仪器测定的高速度与手工报告结果的低效率之间的矛盾，为临床诊疗工作提供大量的试验数据等方面，无疑作出了巨大的贡献，为实验室管理在信息化道路上的健康发展迈出了可喜的一步。

为充分发挥实验室信息系统的效能，使其能够更好地为检验医学事业服务，如何有效地加强以客户/服务器（Client/Server）体系建立的Windows NT局域网（Local Area Network，LAN）网络系统的安全管理，已成为系统管理员必须认真思考和妥善解决的问题。对于Windows NT局域网的系统管理员来说，笔者认为从以下几个方面入手，可以有效地加强系统的管理以保证系统的安全。

一、  硬件方面

尽量采用星型网络拓扑结构连网，以保证系统的稳定性和可靠性。

工作站不要配置CDROM，一是可以节省投资，二者可避免普通用户随意使用光驱安装软件给系统带来难以预料的后果。

在工作站的CMOS设置中取消软盘驱动器，并设置CMOS密码，以免普通用户随意更改CMOS设置或重新启用软盘驱动器，可有效防止用软盘随意拷贝文件可能造成的病毒感染。

二、 软件方面

在Windows NT网络系统中，系统管理员可以利用NT服务器（NT SERVER）的系统管理策略的设置，控制网络中的某个或全部用户的工作环境与设置用户可执行的操作，从软件方面最大限度地满足NT局域网的安全需求，以保证在该平台上运行的检验信息系统的安全、高效运行。

当NT局域网建立起来后，系统管理员可以用以下方法在服务器上建立网络系统的安全管理策略。系统管理员可以对用户或组设置系统策略，当用户登录时，系统会以策略决定该用户的工作环境，也可以针对某台计算机设置其系统策略，无论什么用户利用此计算机登录网络，系统都会根据设置的策略决定该计算机的工作环境和可执行的操作，从而实现对网络的安全管理。具体方法如下。

1. 建立Netlogon的共享：在服务器上打开“资源管理器”，选择Winnt目录下的System32文件夹，再依次选择Repl、Import文件夹，右击Scripts文件夹，在属性选项卡中选择“共享”标签，选择“共享为”，在“共享名”后输入：“Netlogon”；“用户个数”：选“无限制”；“权限”为“Everyone 完全控制”。“确定”后退出。

2.在“开始”、“程序”、“管理工具”中选择“系统策略编辑器”。

3.单击“新建”图标或“文件”菜单下的“新建策略”。

4. 单击“添加用户”图标或“编辑”菜单下的“添加用户”。

5. 在“新加用户”窗口中键入要添加的用户名。如果不知道用户名，可按“浏览”按钮，在列表框中选择要添加的用户，按“添加”、“确定”返回到“系统策略编辑器”窗口。

6. 双击刚选择的用户如clink，弹出clink（用户）属性策略窗口，可见到“控制面板”、“桌面”、“外壳”、“系统”、“Windows NT外壳程序”、“Windows NT系统”、“Windows NT用户配置文件”等六个树状选项。各选项可分别对NT工作站的相应项目进行有效控制。其中以下几项最为重要。

l    控制面板

  打开“控制面板”，选择“控制显示”，下面有5个“限制显示的设置”项，分别是： “拒绝访问显示器图标”、“隐藏[背景]选项卡”、 “隐藏[屏幕保护]选项卡”、 “隐 藏[外观]选项卡”、 “隐藏[设置]选项卡”，只要选择某个或全部的5个项目，就可以对该工作站（如clink）控制面板上的相应项目进行限制，即用户不能在该工作站上随意改动上述限制的项目。

l    外壳

  有“隐藏[我的电脑]中的驱动器”、“隐藏[网上邻居]”、“[网上邻居]中没有工作组目录”等11个选项。可根据需要选择相应的项目。

l    系统

  有“禁用注册表编辑工具”和“只允许运行Windows应用程序”2个选项。一般可选择前者，以防止用户随意修改注册表导致系统崩溃或系统策略失效。

l    Windows NT外壳程序

有“自定义用户界面”、“自定义文件夹”和“限制”3个选项及其各自的子选项。可根据需要选择相应的项目。

选择了要控制的选项后，按“确定”返回到“系统策略编辑器”窗口，选择“文件”、“保存”。应该注意的是：保存的文件名必须是netlogon.pol，而且必须保存到PDC（主域控制器）Netlogon共享目录所指的目录中，如\\server\netlogon\netlgon.pol。

上述设置完成后，任何用户在Windows NT工作站重新登录网络时，所在计算机均会自动寻找PDC上的Netlogon共享目录中的Netlogon.pol文件，并下载该文件。如果该文件中有该用户的系统策略，则利用其内容决定其工作环境和可执行的操作。

    初步设置完成后，可根据需要随时改变上述系统策略，以适用不同用户对计算机工作环境的不同需求，实现系统安全性和工作便利性的统一。此时的步骤更为简便：打开“系统策略编辑器”窗口，选择“文件” “连接”，在“连接”窗口中键入要连接的计算机名，“确定”，即弹出“在远程计算机上的用户”窗口，再“确定”，打开“本地用户”，按照上述第5步提示的选项进行设置，“确定”后“保存”，然后在选定的计算机上重新登录网络，即可用新的系统策略实现对该用户的工作环境和可执行操作的变更。

    上述过程也适用于对网络中的组设置系统策略，设置完成后，当该组的成员登录网络时，系统均会按照相同的系统策略决定该组用户的工作环境和可执行的操作，从而实现对整个网络系统的安全管理。