Windows 2000 安全性技術(shù)概述--1
icrosoft? Windows? 2000 Server 操作系統(tǒng)的分布式安全服務(wù)能讓組織識(shí)別網(wǎng)絡(luò)用戶并控制他們對(duì)資源的訪問(wèn)。操作系統(tǒng)的安全模型使用信任域控制器身份驗(yàn)證、服務(wù)之間的信任委派以及基于對(duì)象的訪問(wèn)控制。其核心功能包括了與 Windows 2000 Active Directory? 服務(wù)的集成、支持 Kerberos 版本 5 身份驗(yàn)證協(xié)議（用于驗(yàn)證 Windows 2000 用戶的身份）、驗(yàn)證外部用戶的身份時(shí)使用公鑰證書(shū)、保護(hù)本地?cái)?shù)據(jù)的加密文件系統(tǒng) (EFS)，及使用 Internet 協(xié)議安全性 (IPSec) 來(lái)支持公共網(wǎng)絡(luò)上的安全通訊。此外，開(kāi)發(fā)人員可在自定義應(yīng)用程序中使用 Windows 2000 安全性元素，且組織可以將 Windows 2000 安全設(shè)置與其他使用基于 Kerberos 安全設(shè)置的操作系統(tǒng)集成在一起。

引言

Microsoft? Windows? 2000 Server 操作系統(tǒng)不僅通過(guò)新的網(wǎng)絡(luò)技術(shù)來(lái)協(xié)助組織擴(kuò)展其操作，也通過(guò)增強(qiáng)的安性服務(wù)來(lái)協(xié)助組織保護(hù)其信息及網(wǎng)絡(luò)資源。

Windows 2000 分布式安全服務(wù)針對(duì)主要業(yè)務(wù)需求，其中包括：

讓用戶登錄一次即可訪問(wèn)所有企業(yè)資源的能力。
強(qiáng)大的用戶身份驗(yàn)證及授權(quán)能力。
內(nèi)部和外部資源間的安全通訊。
設(shè)置及管理必要安全性策略的能力。
自動(dòng)化的安全性審核。
與其他操作系統(tǒng)和安全協(xié)議的互操作性。
支持使用 Windows 2000 安全設(shè)置功能進(jìn)行應(yīng)用程序開(kāi)發(fā)的可擴(kuò)展架構(gòu)。
這些功能是整體 Windows 2000 安全設(shè)置架構(gòu)的重要元素。Windows 2000 安全性基于簡(jiǎn)單的身份驗(yàn)證和授權(quán)模型。身份驗(yàn)證在用戶登錄時(shí)識(shí)別用戶并將網(wǎng)絡(luò)連接到服務(wù)。經(jīng)過(guò)識(shí)別后，用戶就會(huì)有權(quán)按照權(quán)限對(duì)一組特定的網(wǎng)絡(luò)資源進(jìn)行訪問(wèn)。授權(quán)是通過(guò)訪問(wèn)控制機(jī)制來(lái)進(jìn)行的，使用存儲(chǔ)在 Active Directory? 中的數(shù)據(jù)項(xiàng)以及訪問(wèn)控制列表 (ACL)，后者定義對(duì)象（包括打印機(jī)、文件、網(wǎng)絡(luò)文件、及打印共享）的權(quán)限。

此安全模型讓經(jīng)過(guò)授權(quán)的用戶在擴(kuò)展的網(wǎng)絡(luò)上工作時(shí)更為容易，同時(shí)也提供強(qiáng)大的保護(hù)以對(duì)抗攻擊。Windows 2000 分布式安全模型基于信任域控制器身份驗(yàn)證、服務(wù)之間的信任委派以及基于對(duì)象的訪問(wèn)控制。

首先，域中的每臺(tái)客戶機(jī)都通過(guò)安全地對(duì)域控制器驗(yàn)證身份來(lái)創(chuàng)建直接信任路徑。其次，客戶端不可能直接訪問(wèn)網(wǎng)絡(luò)資源；相反，網(wǎng)絡(luò)服務(wù)創(chuàng)建客戶端訪問(wèn)令牌并使用客戶端的憑據(jù)來(lái)執(zhí)行請(qǐng)求的操作以模擬客戶端。最后，Windows 操作系統(tǒng)核心在訪問(wèn)令牌中使用安全性標(biāo)識(shí)符來(lái)驗(yàn)證用戶是否被授予所需的對(duì)目標(biāo)對(duì)象的訪問(wèn)權(quán)限。

本白皮書(shū)描述 Windows 2000 分布式安全服務(wù)支持此模型的主要元素；包括 Active Directory、身份驗(yàn)證和授權(quán)、以及有關(guān) Kerberos 身份驗(yàn)證協(xié)議的介紹。并對(duì) Windows 2000 如何使用公鑰基本結(jié)構(gòu)以及操作系統(tǒng)如何支持證書(shū)服務(wù)進(jìn)行概述。另外還介紹用來(lái)保護(hù)硬盤(pán)上數(shù)據(jù)的加密文件系統(tǒng) (EFS)。最后，它描述應(yīng)用程序開(kāi)發(fā)人員如何獲得 Windows 2000 安全服務(wù)以及這些安全服務(wù)如何與其他操作系統(tǒng)提供的服務(wù)進(jìn)行互操作。
Active Directory 的角色

Windows 2000 Active Directory 服務(wù)在網(wǎng)絡(luò)安全性中扮演重要角色。Windows 2000 Server 和 Windows 2000 Professional 都有安全性功能保護(hù)存儲(chǔ)在個(gè)別 PC 上的信息。但對(duì)于控制網(wǎng)絡(luò)資源訪問(wèn)的廣泛的、基于策略的安全，組織
應(yīng)該同時(shí)使用 Windows 2000 Server 和 Professional 才可利用 Active Directory 所提供的分布式安全性功能的優(yōu)勢(shì)。

Active Directory 提供一個(gè)中央位置來(lái)存儲(chǔ)關(guān)于用戶、硬件、應(yīng)用程序和網(wǎng)絡(luò)上數(shù)據(jù)的信息，這樣用戶就可以找到他們所需要的信息。它也保存了必要的授權(quán)及身份驗(yàn)證信息以確保只有適當(dāng)?shù)挠脩舨趴稍L問(wèn)每一網(wǎng)絡(luò)資源。

此外，Active Directory 與 Windows 2000 安全服務(wù)（如 Kerberos 身份驗(yàn)證協(xié)議、公鑰基本結(jié)構(gòu)、加密文件系統(tǒng) (EFS)、安全性配置管理器、組策略以及委派管理等）緊密集成。此集成允許 Windows 應(yīng)用程序利用現(xiàn)有安全性架構(gòu)，這
項(xiàng)功能在本白皮書(shū)中的稍后部分有說(shuō)明。

Active Directory 基礎(chǔ)

由于兩者密不可分的關(guān)系，若要了解安全服務(wù)在 Windows 2000 中的工作方式，就需要對(duì) Active Directory 架構(gòu)有個(gè)基本了解。若您不熟悉 Active Directory，本部分提供了簡(jiǎn)要概述。

注意 有關(guān) Active Directory 的詳細(xì)信息，請(qǐng)瀏覽 Windows 2000 技術(shù)庫(kù) 中的資源。

與用在 Windows NT? Server 操作系統(tǒng)中的平面文件目錄不同，Windows 2000 Active Directory 在以表示您的業(yè)務(wù)結(jié)構(gòu)的邏輯層次結(jié)構(gòu)中存儲(chǔ)信息。這種方式允許更大的增長(zhǎng)空間及簡(jiǎn)化的管理。為了創(chuàng)建層次結(jié)構(gòu)，Active Directory 使用域、組織單元 (OU) 及對(duì)象來(lái)讓您以更類(lèi)似于在 Windows 中使用文件夾和文件來(lái)組織您 PC 上信息的方式來(lái)組織網(wǎng)絡(luò)資源。