 |
网站建设 |
 |
|
最新客户 |
|
|
网站推广 |
|
|
推广知识 |
|
|
 |
建站技术知识 |
 |
| |
|
|
| |
Windows 2000 安全性技术概述
|
| Windows 2000 安全性技术概述--1icrosoft? Windows? 2000 Server 操作系统的分布式安全服务能让组织识别网络用户并控制他们对资源的访问。操作系统的安全模型使用信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。其核心功能包括了与 Windows 2000 Active Directory? 服务的集成、支持 Kerberos 版本 5 身份验证协议(用于验证 Windows 2000 用户的身份)、验证外部用户的身份时使用公钥证书、保护本地数据的加密文件系统 (EFS),及使用 Internet 协议安全性 (IPSec) 来支持公共网络上的安全通讯。此外,开发人员可在自定义应用程序中使用 Windows 2000 安全性元素,且组织可以将 Windows 2000 安全设置与其他使用基于 Kerberos 安全设置的操作系统集成在一起。 引言 Microsoft? Windows? 2000 Server 操作系统不仅通过新的网络技术来协助组织扩展其操作,也通过增强的安性服务来协助组织保护其信息及网络资源。 Windows 2000 分布式安全服务针对主要业务需求,其中包括: 让用户登录一次即可访问所有企业资源的能力。 强大的用户身份验证及授权能力。 内部和外部资源间的安全通讯。 设置及管理必要安全性策略的能力。 自动化的安全性审核。 与其他操作系统和安全协议的互操作性。 支持使用 Windows 2000 安全设置功能进行应用程序开发的可扩展架构。 这些功能是整体 Windows 2000 安全设置架构的重要元素。Windows 2000 安全性基于简单的身份验证和授权模型。身份验证在用户登录时识别用户并将网络连接到服务。经过识别后,用户就会有权按照权限对一组特定的网络资源进行访问。授权是通过访问控制机制来进行的,使用存储在 Active Directory? 中的数据项以及访问控制列表 (ACL),后者定义对象(包括打印机、文件、网络文件、及打印共享)的权限。 此安全模型让经过授权的用户在扩展的网络上工作时更为容易,同时也提供强大的保护以对抗攻击。Windows 2000 分布式安全模型基于信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。 首先,域中的每台客户机都通过安全地对域控制器验证身份来创建直接信任路径。其次,客户端不可能直接访问网络资源;相反,网络服务创建客户端访问令牌并使用客户端的凭据来执行请求的操作以模拟客户端。最后,Windows 操作系统核心在访问令牌中使用安全性标识符来验证用户是否被授予所需的对目标对象的访问权限。 本白皮书描述 Windows 2000 分布式安全服务支持此模型的主要元素;包括 Active Directory、身份验证和授权、以及有关 Kerberos 身份验证协议的介绍。并对 Windows 2000 如何使用公钥基本结构以及操作系统如何支持证书服务进行概述。另外还介绍用来保护硬盘上数据的加密文件系统 (EFS)。最后,它描述应用程序开发人员如何获得 Windows 2000 安全服务以及这些安全服务如何与其他操作系统提供的服务进行互操作。Active Directory 的角色 Windows 2000 Active Directory 服务在网络安全性中扮演重要角色。Windows 2000 Server 和 Windows 2000 Professional 都有安全性功能保护存储在个别 PC 上的信息。但对于控制网络资源访问的广泛的、基于策略的安全,组织应该同时使用 Windows 2000 Server 和 Professional 才可利用 Active Directory 所提供的分布式安全性功能的优势。 Active Directory 提供一个中央位置来存储关于用户、硬件、应用程序和网络上数据的信息,这样用户就可以找到他们所需要的信息。它也保存了必要的授权及身份验证信息以确保只有适当的用户才可访问每一网络资源。 此外,Active Directory 与 Windows 2000 安全服务(如 Kerberos 身份验证协议、公钥基本结构、加密文件系统 (EFS)、安全性配置管理器、组策略以及委派管理等)紧密集成。此集成允许 Windows 应用程序利用现有安全性架构,这项功能在本白皮书中的稍后部分有说明。 Active Directory 基础 由于两者密不可分的关系,若要了解安全服务在 Windows 2000 中的工作方式,就需要对 Active Directory 架构有个基本了解。若您不熟悉 Active Directory,本部分提供了简要概述。 注意 有关 Active Directory 的详细信息,请浏览 Windows 2000 技术库 中的资源。 与用在 Windows NT? Server 操作系统中的平面文件目录不同,Windows 2000 Active Directory 在以表示您的业务结构的逻辑层次结构中存储信息。这种方式允许更大的增长空间及简化的管理。为了创建层次结构,Active Directory 使用域、组织单元 (OU) 及对象来让您以更类似于在 Windows 中使用文件夹和文件来组织您 PC 上信息的方式来组织网络资源。 域是网络对象(包括组织单元、用户帐户、组和计算机,他们都共享与安全性有关的公用目录数据库)的集合。域形成 Active Diectory 内逻辑体系结构的核心单元,因此在安全性中扮演重要角色。如果将对象分组到一个或多个域中,您的网络就可反映您公司的组织方式。 较大型的组织可以含有多个域,这种情况下的域层次结构就称为域目录树。第一个创建的域是根域,它是在其下创建的域的父域,其下的域称为子域。若要支持非常大型的组织,可将域目录树链接在一起,形成一种称为目录林的排列。(在使用多个域控制器的情况下,Active Directory 会按固定时间间隔复制到域中的每个域控制器上,以使数据库永远同步。) 域可标识一个安全机构,并使用一致的内部策略及与其它域间的明确安全性关系形成一个安全边界。特定域的管理员只在本域中有设置策略的权限。这对大型企业的帮助很大,因为不同的管理员可以创建并管理组织中不同的域。此管理含义在下面的“管理委派”部分有进一步的探讨。 站点是在学习有关 Active Directory 的知识时会碰到的另一个术语。域通常会反映一个组织的商业结构,而站点则通常被用来定义与地理分布有关的 Active Directory 服务器组。这些计算机通常都以高速链接来连接,但它们彼此之间可以有也可以没有逻辑关系。例如,若您有一个大型建筑物供一些相对无关的组织活动使用,如视频产品设备、备办食物、文件存储等,则这栋建筑物中的 Active Directory 服务器可以被当作一个站点(即使在该服务器上所完成的处理是不相关的)。 所谓组织单元(OU),是指一个容器,可用它将对象组织成域中的逻辑管理组。OU 可包含对象,如:用户帐户、组、计算机、打印机、应用程序、文件共享和其他的 OU。 对象包含关于个别项目(如特定用户、计算机或硬件)等的信息(称为属性)。例如,用户对象的属性可能包含姓和名、电话号码和管理器名称。计算机的对象可能包含计算机的位置及访问控制列表 (ACL),列表中会指定对该计算机拥有访问权限的组和个人。 通过将信息分组到域和 OU 中,可以管理对象集合(如用户组和计算机组)的安全性,而不是逐个管理每个用户和对象。此概念将在下面的“使用组策略来管理安全性”部分作进一步描述。首先,还有另一个对了解安全性如何使用 Active Directory 极为重要的概念:信任。 域间的信任关系 为了让用户登录网络一次就可以使用网络上所有资源(通常称为单一登录能力),Windows 2000 支持域间的信任关系。所谓信任关系,是指一种逻辑关系,这种逻辑关系在域之间建立,用来支持直接传递身份验证,让用户和计算机可以在目录林的任何域中接受身份验证。这让用户或计算机仅需登录网络一次就可以对任何他们有适当权限的资源进行访问。这种穿越许多域的能力说明了传递信任这个术语,它是指跨越一连串信任关系的身份验证。 基于 Windows NT 的网络使用单向、非传递的信任关系。相反,当基于 Windows 2000 的域被组织成目录树时(如上面的 图 1 所示),域间会创建隐含信任关系。这使在中型和大型组织中建立域间的信任关系更为容易。属于域目录树的域定义与目录树中的父域的双向信任关系,而所有域都隐含地信任目录树中的其他域。(如果有不应该有双向信任的特定域,您应该定义明确的单向信任关系。)对于具有多个域的组织,使用 Windows 2000 比使用 Windows NT 4.0,明确的单向信任关系总数显著减少,这种改变将大大简化域的管理。传递信任在默认情况下建立于目录树中,这样做之所以有意义是因为通常是由单个管理员来管理一个目录树。但因为目录林不太可能被单个管理员控制,因此目录林的目录树间的传递信任关系必须特别创建。 有关信任关系工作方式的说明,请再次参考上面的图 1。Windows 2000 自动于根域 (Microsoft.com) 及其两个子域(FarEast.Microsoft.com 和 Europe.Microsoft.com)间建立双向信任关系。此外,因为 Microsoft.com 信任这两个子域,因此信任关系也在 FarEast 和 Europe 域间传递性地建立。这些关系在基于 Windows 2000 的域间自动建立。在有基于 Windows 2000 和基于 Windows NT 域的网络中,管理员可以创建用在基于 Windows NT 的网络中明确的单向信任关系。 为了向后兼容性,在 Windows 2000 中,信任关系通过使用 Kerberos V5 协议及 NTLM 身份验证(描述如下)支持跨域的身份验证。这一点很重要,因为许多组织的基于 Windows NT 的企业域模型非常复杂,具有多个主域和许多资源域,而这些组织发现管理资源域和其主帐户域间的信任关系既花费成本又非常复杂。因为基于 Windows 2000 的域目录树支持传递信任目录树,它简化了较大型组织的网络域集成及管理。不过请注意,对于 ACL 不同意授予某些权限的人,传递信任不会自动将这些权限指派给他(或她)。传递信任让管理员更容易定义和配置访问权限。 使用组策略管理安全性 组策略设置是配置设置,管理者可用此设置来控制 Actove Directory 中对象的各种行为。“组策略”是 Active Directory 一项显著的功能,它让您以相同的方式将所有类型的策略应用到众多计算机上。例如,可以使用“组策略”来配置安全性选项,管理应用程序,管理桌面外观,指派脚本,以及将文件夹从本地计算机重新定向到网络位置。系统将“组策略”设置在计算机激活时应用于计算机,在用户登录时应用于用户。 可以将“组策略”配置设置与三个 Active Directory 容器相关联:组织单元 (OU)、域或站点。与给定的容器相关的“组策略”设置不是影响该容器中所有的用户或计算机,就是影响该容器中特定的对象集合。 可以使用“组策略”来定义广泛的安全性策略。域级策略应用于域中的所有用户并包含如帐户策略等的信息 - 例如,最短密码长度或用户多久该更改密码一次。可以指定在较低级别是否可改写这些设置。 在使用“组策略”功能来应用广泛的策略后,可以进一步细化个别 PC 上的安全性设置。本地计算机安全性设置控制您想要授予特定用户或计算机的权限和特权。例如可以指定谁可在服务器上进行备份和还原、或希望审核桌上型计算机的数据访问量。 特定计算机的设置是从域到 OU 所有策略设置的组合。例如,在上面的图 1 中,Europe.Microsoft.com 域中用户的设置是 Microsoft.com 域、Europe.Microsoft.com 域及域中所有 OU 上设置的所有策略的集合。 身份验证和访问控制 身份验证是系统安全性的基本方面。身份验证是用来确认任何试图登录到域或访问网络资源的用户的身份。Windows 2000 身份验证过程是使单一登录可访问所有网络资源的过程的一部分。使用单一登录,用户可以用单一密码或智能卡登录到域中一次,并可对域中任何计算机进行身份验证。 在基于 Windows 2000 的计算环境中,成功的用户身份验证是由两个单独的过程组成的: 互动式登录,这会向域帐户或本地计算机确认用户的身份;以及网络身份验证,这会向用户试图访问的任何网络服务确认用户的身份。 一旦用户帐户经过身份验证并可访问对象时,要么是分配至该用户的权力要么就是附加于对象的许可来决定所授予的访问权限的类型。至于域中的对象,该对象类型的对象管理器会实施访问控制。例如,注册表会对注册表项实施访问控制。 本节后面会更为详尽地描述 Windows 2000 身份验证过程及访问控制规定。 身份验证 用户在 Active Directory 中必须有一个 Windows 2000 用户帐户,以登录到计算机或域中。此帐户会为用户创建一个身份,然后操作系统会使用此身份验证用户的身份并授予访问特定域资源的权限。 用户帐户还可用作一些应用程序的服务帐户。也就是说,服务可被配置成以用户帐户登录(身份验证),然后通过该用户帐户授予对特定网络资源的访问权限。 就像用户帐户一样,Windows 2000 计算机帐户提供一种方法来进行身份验证以及审核计算机对网络的访问权限以及对域资源的访问权限。每一台您想要授予访问资源权限的基于 Windows 2000 计算机都必须有一个唯一的计算机帐户。 注意 运行 Windows 98 和 Windows 95 的计算机没有那些运行 Windows 2000 和 Windows NT 的计算机所拥有的高级安全功能,并且在基于 Windows 2000 的域中不能被指派计算机帐户。不过,您可以登录网络并在 Active Directory 域中使用基于 Windows 98 和 Windows 95 的计算机。 Windows 2000 支持多重身份验证机制以供用户在进入网络时证明自己的身份。在使用 Extranet 和电子商务应用程序来延伸您的网络到公司外的用户时,这个机制就非常重要。 当用户进入网络时,用户必须提供身份验证信息以便安全系统身份验证其身份,之后再决定要允许该用户以什么权限(如果有的话)访问网络资源。Kerberos 身份验证协议(描述如下)用来验证您公司中的 Windows 2000 用户的身份。当将系统延伸到合作伙伴、供货商和 Internet 上的客户时,您必须支持多种方法让您公司以外的用户证明他们的身份。 为了帮助您满足这种需求,Windows 2000 支持数种产业标准身份验证机制,包括 X.509 证书、智能卡和 Kerberos 协议。此外,Windows 2000 还支持在 Windows 中使用多年的 NTLM 协议,并为开发生物身份验证机制的厂商提供接口。
来源:
|
|
|
|
| |
|
|
|
 |
|
 |
在线咨询 |
 |
|
建站服务 |
|
经济型网站设计套餐 ¥2580 |
企业型网站设计套餐 ¥3980 |
豪华型网站设计套餐 ¥6580 |
商城型网站设计套餐 ¥7580 |
定制型网站设计套餐 ¥面 谈 |
智赢型ABC ¥1580/1980 |
|
|
|
 |
|
虚拟主机 |
|
普及型(电信)350元/年 |
经济型(电信)650元/年
|
普及A型(双线)500元/年 |
普及B型(双线)900元/年 |
外贸型(国外) 550元/年
|
企业型(国外) 1050元/年 |
我要订购主机>> |
|
|
|
域名注册 |
|
国际顶级域名.com 100元/年 |
国际顶级域名.net 100元/年 |
国际顶级域名.cc 380元/年 |
国际顶级域名.org 180元/年 |
中国顶级域名.cn 100元/年 |
中国顶级域名.com.cn 100元/年 |
中文域名.中国.公司 280元/年 |
我要注册域>> |
|
|
|
