DHCP是Dynamic Host Configuration Protocol的縮寫，它是TCP/IP協(xié)議簇中的一種，主要是用來給網(wǎng)絡(luò)客戶機(jī)分配動態(tài)的IP地址。這些被分配的IP地址都是DHCP服務(wù)器預(yù)先保留的一個由多個地址組成的地址集，并且它們一般是一段連續(xù)的地址。

現(xiàn)在大多數(shù)的企業(yè)網(wǎng)都使用DHCP服務(wù)器為客戶機(jī)統(tǒng)一分配TCP/IP配置信息。這種方式不但減輕了網(wǎng)管人員的日常維護(hù)工作量，而且企業(yè)網(wǎng)的安全性也有了一定的提高。可是DHCP服務(wù)器的安全問題卻不容忽視，它一旦出現(xiàn)問題，就會影響整個網(wǎng)絡(luò)的正常運(yùn)行，如何加強(qiáng)對DHCP服務(wù)器的管理，保障其安全呢?其實(shí)簡單的幾步就可以實(shí)現(xiàn)。

***步、啟用DHCP審核記錄

在DHCP服務(wù)器中到底發(fā)生了什么事情，管理員單靠肉眼是無法察覺的，最簡單的方法是查看Windows日志，但這時一定要確保啟用了DHCP服務(wù)器的“審核記錄”功能，否則，就無法在事件查看器中找到相應(yīng)的記錄。

筆者以Windows 2000服務(wù)器為例，依次點(diǎn)擊“開始→程序→管理工具→DHCP”后，彈出DHCP控制臺窗口，右鍵點(diǎn)擊你的服務(wù)器，在菜單中選擇“屬性”，彈出屬性設(shè)置對話框，切換到“常規(guī)”標(biāo)簽頁(如圖1)，確保一定要選中“啟用DHCP審核記錄”選項(xiàng)，***點(diǎn)擊“確定”按鈕。

圖1 啟動DHCP審核記錄

這樣就啟用了DHCP服務(wù)器的審核記錄，它的日志文件默認(rèn)保存在“C:\WINNT\System32\dhcp”目錄下。為了防止“不法之徒”惡意刪除日志，可以修改DHCP日志文件的存放路徑。切換到“高級”標(biāo)簽頁(如圖2)，點(diǎn)擊“審核日志路徑”欄的“瀏覽”按鈕，指定新的日志文件存放位置，接著，使用相同的方法，修改“數(shù)據(jù)庫路徑”，***點(diǎn)擊“確定”。這樣，我們的DHCP日志就更加安全了。

圖2 修改DHCP日志保存路徑

第二步、指定DHCP管理用戶

在企業(yè)網(wǎng)中，為了加強(qiáng)對DHCP服務(wù)器的管理，網(wǎng)絡(luò)管理員要指定一個或若干用戶對DHCP服務(wù)器進(jìn)行管理。如筆者要指定賬號名為“CCE”的用戶能夠?qū)HCP進(jìn)行管理，在Windows 2000服務(wù)器中，進(jìn)入到“控制面板→管理工具”，運(yùn)行“Active Directory 用戶和計(jì)算機(jī)”工具，在彈出的窗口中，點(diǎn)擊“Users”選項(xiàng)，接著在右側(cè)框體中找到“DHCP Administrators”項(xiàng)，右鍵點(diǎn)擊，選擇“屬性”，彈出“DHCP Administrators屬性”對話框，切換到“成員”標(biāo)簽頁，點(diǎn)擊“添加”按鈕，將“CCE”用戶添加到列表框中，***點(diǎn)擊“確定”按鈕，這樣“CCE”用戶就能夠管理DHCP服務(wù)器了。

第三步、對DHCP管理用戶限制

如果網(wǎng)絡(luò)管理員意外出現(xiàn)誤操作，將其他的用戶加入到DHCP管理組，那么這些用戶也會擁有對DHCP服務(wù)器的管理權(quán)限，這種情況的發(fā)生同樣會影響DHCP服務(wù)器的安全。如何對這些DHCP管理組用戶進(jìn)行限制呢?何不利用域安全策略，給DHCP服務(wù)器加個“雙保險(xiǎn)”。

如筆者只允許DHCP管理組的CCE用戶，對DHCP服務(wù)器擁有管理權(quán)限，而其他用戶只有“只讀”權(quán)限。進(jìn)入到“控制面板→管理工具”，運(yùn)行“域安全策略”工具，彈出安全策略控制臺窗口，接著依次展開“Windows 設(shè)置→安全設(shè)置→受限制的組”，然后在右側(cè)框體中的空白處單擊右鍵，選擇“添加組”，彈出添加組對話框，在欄中輸入“DHCP Administrators”后，點(diǎn)擊“確定”按鈕。

然后右鍵點(diǎn)擊“DHCP Administrators”，選擇“安全性”，彈出配置成員身份對話框，接著點(diǎn)擊“添加”按鈕，將“CCE”用戶添加到成員列表中，***點(diǎn)擊“確定”。

通過以上三步操作后，DHCP服務(wù)器就更加安全了，有興趣的讀者朋友，不防試一下。

【編輯推薦】

1. DHCP服務(wù)器的安全設(shè)計(jì)
2. 巧妙設(shè)置讓DHCP服務(wù)器服務(wù)到底