Windows 2000 安全性技术概述--1
icrosoft? Windows? 2000 Server 操作系统的分布式安全服务能让组织识别网络用户并控制他们对资源的访问。操作系统的安全模型使用信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。其核心功能包括了与 Windows 2000 Active Directory? 服务的集成、支持 Kerberos 版本 5 身份验证协议(用于验证 Windows 2000 用户的身份)、验证外部用户的身份时使用公钥证书、保护本地数据的加密文件系统 (EFS),及使用 Internet 协议安全性 (IPSec) 来支持公共网络上的安全通讯。此外,开发人员可在自定义应用程序中使用 Windows 2000 安全性元素,且组织可以将 Windows 2000 安全设置与其他使用基于 Kerberos 安全设置的操作系统集成在一起。
引言
Microsoft? Windows? 2000 Server 操作系统不仅通过新的网络技术来协助组织扩展其操作,也通过增强的安性服务来协助组织保护其信息及网络资源。
Windows 2000 分布式安全服务针对主要业务需求,其中包括:
让用户登录一次即可访问所有企业资源的能力。
强大的用户身份验证及授权能力。
内部和外部资源间的安全通讯。
设置及管理必要安全性策略的能力。
自动化的安全性审核。
与其他操作系统和安全协议的互操作性。
支持使用 Windows 2000 安全设置功能进行应用程序开发的可扩展架构。
这些功能是整体 Windows 2000 安全设置架构的重要元素。Windows 2000 安全性基于简单的身份验证和授权模型。身份验证在用户登录时识别用户并将网络连接到服务。经过识别后,用户就会有权按照权限对一组特定的网络资源进行访问。授权是通过访问控制机制来进行的,使用存储在 Active Directory? 中的数据项以及访问控制列表 (ACL),后者定义对象(包括打印机、文件、网络文件、及打印共享)的权限。
此安全模型让经过授权的用户在扩展的网络上工作时更为容易,同时也提供强大的保护以对抗攻击。Windows 2000 分布式安全模型基于信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。
首先,域中的每台客户机都通过安全地对域控制器验证身份来创建直接信任路径。其次,客户端不可能直接访问网络资源;相反,网络服务创建客户端访问令牌并使用客户端的凭据来执行请求的操作以模拟客户端。最后,Windows 操作系统核心在访问令牌中使用安全性标识符来验证用户是否被授予所需的对目标对象的访问权限。
本白皮书描述 Windows 2000 分布式安全服务支持此模型的主要元素;包括 Active Directory、身份验证和授权、以及有关 Kerberos 身份验证协议的介绍。并对 Windows 2000 如何使用公钥基本结构以及操作系统如何支持证书服务进行概述。另外还介绍用来保护硬盘上数据的加密文件系统 (EFS)。最后,它描述应用程序开发人员如何获得 Windows 2000 安全服务以及这些安全服务如何与其他操作系统提供的服务进行互操作。
Active Directory 的角色
Windows 2000 Active Directory 服务在网络安全性中扮演重要角色。Windows 2000 Server 和 Windows 2000 Professional 都有安全性功能保护存储在个别 PC 上的信息。但对于控制网络资源访问的广泛的、基于策略的安全,组织
应该同时使用 Windows 2000 Server 和 Professional 才可利用 Active Directory 所提供的分布式安全性功能的优势。
Active Directory 提供一个中央位置来存储关于用户、硬件、应用程序和网络上数据的信息,这样用户就可以找到他们所需要的信息。它也保存了必要的授权及身份验证信息以确保只有适当的用户才可访问每一网络资源。
此外,Active Directory 与 Windows 2000 安全服务(如 Kerberos 身份验证协议、公钥基本结构、加密文件系统 (EFS)、安全性配置管理器、组策略以及委派管理等)紧密集成。此集成允许 Windows 应用程序利用现有安全性架构,这
项功能在本白皮书中的稍后部分有说明。
Active Directory 基础
由于两者密不可分的关系,若要了解安全服务在 Windows 2000 中的工作方式,就需要对 Active Directory 架构有个基本了解。若您不熟悉 Active Directory,本部分提供了简要概述。
注意 有关 Active Directory 的详细信息,请浏览 Windows 2000 技术库 中的资源。
与用在 Windows NT? Server 操作系统中的平面文件目录不同,Windows 2000 Active Directory 在以表示您的业务结构的逻辑层次结构中存储信息。这种方式允许更大的增长空间及简化的管理。为了创建层次结构,Active Directory 使用域、组织单元 (OU) 及对象来让您以更类似于在 Windows 中使用文件夹和文件来组织您 PC 上信息的方式来组织网络资源。
……