隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是Internet的不斷普及，如何防止信息不被非法截獲和破壞，即有效維護(hù)網(wǎng)絡(luò)信息的安全性，成為越來越多的人關(guān)注的焦點。作為新一代的操作系統(tǒng)的Windows

2000，可通過多種技術(shù)和手段來控制用戶對資源的訪問，提高網(wǎng)絡(luò)的安全性，其中包括與活動目錄（Active Directory）服務(wù)的集成、支持認(rèn)證Windows 2000用戶的Kerberos v5認(rèn)證協(xié)議、提供了公鑰基礎(chǔ)設(shè)施PKI支持，用公鑰證書對外部用戶進(jìn)行認(rèn)證、使用加密文件系統(tǒng)EFS（Encrypting File

System）保護(hù)本地數(shù)據(jù)以、使用Internet協(xié)議安全I(xiàn)PSec（Internet Protocol security）來保證通過公有網(wǎng)絡(luò)的通信的安全性，以及基于Windows 2000的安全應(yīng)用開發(fā)的可擴(kuò)展性等等。

1 活動目錄技術(shù)

活動目錄服務(wù)在Windows 2000信息安全和網(wǎng)絡(luò)安全中具有重要作用，它是關(guān)于用戶、硬件、應(yīng)用和網(wǎng)絡(luò)數(shù)據(jù)的存儲中心，也存儲用戶的認(rèn)證信息，以及用戶使用某一資源的授權(quán)信息等。活動目錄與Windows

2000的其他安全服務(wù)緊密集成，如Kerberos認(rèn)證協(xié)議、公鑰基礎(chǔ)設(shè)施PKI、加密文件系統(tǒng)EFS、安全設(shè)置管理器和組策略等。

同Windows NT中的平面文件（flat-file）目錄不同，Windows 2000活動目錄采用了代表商業(yè)企業(yè)組織結(jié)構(gòu)的分層目錄結(jié)構(gòu)來存儲信息，這樣可以簡化管理，具有良好的可伸縮性。為了創(chuàng)建這種分層結(jié)構(gòu)，同Windows采用文件和文件夾來組織本地資源的方法類似，活動目錄使用域（domains）、組織單元OUs（Organizational Units）和對象來管理和使用網(wǎng)絡(luò)資源。

一個域是網(wǎng)絡(luò)對象，包括組織單元、用戶賬號、組和計算機(jī)等的集合，它們共享一個公共目錄數(shù)據(jù)庫，并組成活動目錄中邏輯結(jié)構(gòu)的核心單元。每個域中可能包含多個組織單元和用戶（對象），這樣更符合公司或企業(yè)的組織模式。

大的企業(yè)或組織可能包含多個域，這種情況下的域分層就稱為域樹（Domain Tree）。創(chuàng)建的第一個域為根（root）域，也稱為父域，在其下面創(chuàng)建的域為子（child）域。為了支持更大的組織結(jié)構(gòu)，多個域樹連接起來可以組成森林（forest），在這種情況下，需要使用多個域控制器，活動目錄就可以定時在多個域控制器之間復(fù)制信息，從而保持目錄數(shù)據(jù)庫信息的同步。

在域中，一個組織單元OU是把對象組織成邏輯管理組的容器，其中包括一個或多個對象，如用戶賬號、組、計算機(jī)、打印機(jī)、應(yīng)用、文件共享或其他OU等。

一個對象包括一個獨立個體，如特定的用戶、計算機(jī)或硬件信息（屬性），如一個用戶的屬性可能包括名字、電話號碼和電子郵件等；一個計算機(jī)對象的屬性可能包括計算機(jī)位置和指定哪些用戶或組能夠訪問該計算機(jī)資源的存取控制列表ACL（Access Control List）等。通過域和OU的組織形式，系統(tǒng)就可以以集合的形式來管理對象的安全性，如用戶組和計算機(jī)組等，而不需要對每個獨立的用戶和對象進(jìn)行配置。

為了使用戶登錄一次而在整個網(wǎng)絡(luò)中使用資源，即單次登錄（single sign-on），Win2000支持域之間的信任關(guān)系。在域之間建立起相互認(rèn)證的邏輯關(guān)系，允許計算機(jī)和用戶只需在域樹（甚至森林）中的任何一個域中進(jìn)行身份認(rèn)證，然后就可以在整個網(wǎng)絡(luò)中使用經(jīng)過授權(quán)的資源。

2 Kerberos認(rèn)證

Kerberos認(rèn)證協(xié)議定義了客戶端和稱為密鑰分配中心KDC（Key Distribution Center）的認(rèn)證服務(wù)之間的安全交互過程。Windows2000在每一個域控制器中應(yīng)用KDC認(rèn)證服務(wù)，其域同Kerberos中的realm功能類似，具體可參考RFC 1510協(xié)議。Windows2000中采用多種措施提供對Kerberos協(xié)議的支持：Kerberos客戶端使用基于SSPI的Windows2000安全提供者，初始Kerberos認(rèn)證同WinLogon的單次登錄進(jìn)行了集成，而Kerberos KDC也同運行在域控制器中的安全服務(wù)進(jìn)行了集成，并使用活動目錄作為用戶和組的賬號數(shù)據(jù)庫。

Kerberos是基于共享密鑰的認(rèn)證協(xié)議，用戶和密鑰分配中心KDC都知道用戶的口令，或從口令中單向產(chǎn)生的密鑰，并定義了一套客戶端、KDC和服務(wù)器之間獲取和使用Kerberos票據(jù)的交換協(xié)議。當(dāng)用戶初始化Windows登錄時，Kerberos SSP利用基于用戶口令的加密散列獲取一個初始Kerberos票據(jù)TGT，Windows2000把TGT存儲在與用戶的登錄上下文相關(guān)的工作站的票據(jù)緩存中。當(dāng)客戶端想要使用網(wǎng)絡(luò)服務(wù)時，Kerberos首先檢查票據(jù)緩存中是否有該服務(wù)器的有效會話票據(jù)。如果沒有，則向KDC發(fā)送TGT來請求一個會話票據(jù)，以請求服務(wù)器提供服務(wù)。

請求的會話票據(jù)也會存儲在票據(jù)緩存中，以用于后續(xù)對同一個服務(wù)器的連接，直到票據(jù)超期為止。票據(jù)的有效期由域安全策略來規(guī)定，一般為8個小時。如果在會話過程中票據(jù)超期，

Kerberos SSP將返回一個響應(yīng)的錯誤值，允許客戶端和服務(wù)器刷新票據(jù)，產(chǎn)生一個新的會話密鑰，并恢復(fù)連接。

使用Kerberos認(rèn)證協(xié)議的客戶端、KDC和應(yīng)用服務(wù)器之間的關(guān)系:

在初始連接消息中，Kerberos把會話票據(jù)提交給遠(yuǎn)程服務(wù)，會話票據(jù)中的一部分使用了服務(wù)和KDC共享的密鑰進(jìn)行了加密。因為服務(wù)器端的Kerberos有服務(wù)器密鑰的緩存拷貝，所以，服務(wù)器不需要到KDC進(jìn)行認(rèn)證，而直接可以通過驗證會話票據(jù)來認(rèn)證客戶端。在服務(wù)器端，采用Kerberos認(rèn)證系統(tǒng)的會話建立速度要比NTLM認(rèn)證快得多，因為使用NTLM，服務(wù)器獲取用戶的信任書以后，還要與域控制器建立連接，來對用戶進(jìn)行重新認(rèn)證。

Kerberos會話票據(jù)中包含有一個唯一的、由KDC創(chuàng)建的、用于客戶端和服務(wù)器之間傳輸數(shù)據(jù)和認(rèn)證信息加密的會話密鑰。在Kerberos模型中，KDC是作為產(chǎn)生會話密鑰的可信第三方而存在的，這種形式更適合于分布式計算環(huán)境下的認(rèn)證服務(wù)。

Kerberos作為基本的Windows 2000認(rèn)證協(xié)議，與Windows2000認(rèn)證和存取控制安全框架進(jìn)行了緊密整合。初始的Windows域登錄由WinLogon提供，它使用Kerberos安全提供者（security provider）來獲取一個初始的Kerberos票據(jù)。操作系統(tǒng)的其他組件，如轉(zhuǎn)向器（ReDirector）則使用安全提供者的SSPI接口來獲取一個會話票據(jù)，以連接對遠(yuǎn)程文件存取的SMB服務(wù)器。

Kerberos V5協(xié)議在會話票據(jù)中定義了一個攜帶授權(quán)數(shù)據(jù)的加密域，該域的使用留給了應(yīng)用開發(fā)，而Windows2000則使用Kerberos票據(jù)中的授權(quán)數(shù)據(jù)來附帶代表用戶和組成員的Windows安全I(xiàn)D。在服務(wù)器端的Kerberos安全提供者則使用授權(quán)數(shù)據(jù)來建立代表用戶的一個Windows安全存取控制令牌，可以模擬客戶端來請求提供相應(yīng)服務(wù)。

Windows2000中應(yīng)用了Kerberos協(xié)議的擴(kuò)展，除共享密鑰外，還支持基于公/私鑰對的身份認(rèn)證機(jī)制。Kerberos公鑰認(rèn)證的擴(kuò)展允許客戶端在請求一個初始TGT時使用私鑰，而KDC則使用公鑰來驗證請求，該公鑰是從存儲在活動目錄中用戶對象的X.509證書中獲取的。用戶的證書可以由權(quán)威的第三方，如VeriSign和Digital IDs等來發(fā)放，也可以由Windows2000中的微軟證書服務(wù)器來產(chǎn)生。初始認(rèn)證以后，就可以使用標(biāo)準(zhǔn)的Kerberos來獲取會話票據(jù)，并連接到相應(yīng)的網(wǎng)絡(luò)服務(wù)。

通過對Kerberos協(xié)議進(jìn)行公鑰擴(kuò)展，可以使用戶采用多種方式來登錄工作站和網(wǎng)絡(luò)，如采用智能卡技術(shù)。智能卡中一般存儲有用戶的私鑰，可用于Kerberos的初始化認(rèn)證處理。

目前，使用公鑰技術(shù)來擴(kuò)展Kerberos協(xié)議的計劃和建議已經(jīng)提交到IETF來進(jìn)行標(biāo)準(zhǔn)化推廣。

3 公鑰基礎(chǔ)設(shè)施PKI和認(rèn)證機(jī)構(gòu)CA

Windows 2000作為新推出的操作系統(tǒng)，對PKI做了全面支持。PKI在提供高強(qiáng)度安全性的同時，還與操作系統(tǒng)進(jìn)行了緊密集成，并作為操作系統(tǒng)的一項基本服務(wù)而存在，避免了購買第三方PKI所帶來的額外開銷。組成Windows2000 PKI的基本邏輯組件中最核心的為微軟證書服務(wù)系統(tǒng)（Microsoft Certificate Services），它允許用戶配置一個或多個企業(yè)CA，這些CA支持證書的發(fā)放和廢除，并與活動目錄和策略配合，共同完成證書和廢除信息的發(fā)布。

Windows 2000 PKI并沒有替換掉基于域控制器DC （Domain Controller）和Kerberos密鑰分配中心KDC的Windows NT 域信任和認(rèn)證機(jī)制，相反，Windows 2000 PKI反而對這些服務(wù)進(jìn)行了增強(qiáng)，適合于Extranet和Internet的不同應(yīng)用，并可應(yīng)用于具有可伸縮性和分布式環(huán)境下，提供身份識別、認(rèn)證、完整性驗證和機(jī)密性等安全服務(wù)。

Windows 2000 PKI建立在微軟久經(jīng)考驗的PKI組件基礎(chǔ)之上，其基本組件包括如下幾種：

² 證書服務(wù)（Certificate Services）。證書服務(wù)作為一項核心的操作系統(tǒng)級服務(wù)，允許組織和企業(yè)建立自己的CA系統(tǒng)，并發(fā)布和管理數(shù)字證書。

² 活動目錄。活動目錄服務(wù)作為一項核心的操作系統(tǒng)級服務(wù)，提供了查找網(wǎng)絡(luò)資源的唯一位置，在PKI中為證書和CRL等信息提供發(fā)布服務(wù)。

² 基于PKI的應(yīng)用。Windows 本身提供了許多基于PKI的應(yīng)用，如Internet Explorer、Microsoft

Money、Internet Information Server、OutLook和Outlook

Express等。另外，一些其它第三方PKI應(yīng)用也同樣可以建立在Windows 2000 PKI基礎(chǔ)之上。

² Exchange密鑰管理服務(wù)KMS（Exchange Key Management Service）。KMS是Microsoft Exchange提供的一項服務(wù)，允許應(yīng)用存儲和獲取用于加密e-mail的密鑰。在將來版本的Windows系統(tǒng)中，KMS將作為Windows操作系統(tǒng)的一部分來提供企業(yè)級的KMS服務(wù)。

Windows 2000中的集成PKI系統(tǒng)提供了證書服務(wù)功能，可以讓用戶通過Internet/ extranets/intranets安全地交互敏感信息。證書服務(wù)驗證一個電子商務(wù)交易中參與各方的有效性和真實性，并使用智能卡等提供的額外安全措施來使域用戶登錄到某個域。

Windows2000通過創(chuàng)建一個證書機(jī)構(gòu)CA來管理其公鑰基礎(chǔ)設(shè)施PKI，以提供證書服務(wù)。一個CA通過發(fā)布證書來確認(rèn)用戶公鑰和其他屬性的綁定關(guān)系，以提供對用戶身份的證明。Windows2000證書服務(wù)創(chuàng)建的CA可以接收證書請求、驗證請求信息和請求者身份、發(fā)行和撤銷證書，以及發(fā)布證書廢除列表CRL（Certificate Revocation List）。證書服務(wù)是通過內(nèi)置的證書管理單元來實現(xiàn)的。

4 智能卡技術(shù)

現(xiàn)在越來越多的企業(yè)正在尋找各種方法來提高其網(wǎng)絡(luò)資源的安全性，智能卡（smart cards，或稱為靈巧卡）就是其中比較流行的一個。智能卡提供了讓非授權(quán)人更難獲取網(wǎng)絡(luò)存取權(quán)限的一種簡單方式，Windows2000對智能卡安全提供了內(nèi)在支持。

智能卡同普通信用卡的大小差不多，并提供了抗修改能力，用于保護(hù)其中的用戶證書和私鑰。在這種方式下，智能卡提供了一種非常安全的方式以進(jìn)行用戶認(rèn)證、交互式登錄、代碼簽名和安全e-mail傳送等。每一個智能卡中都包含一個芯片，其中存儲有用戶的私鑰、登錄信息和用于不同目的的公鑰證書，如數(shù)字簽名證書和數(shù)據(jù)加密證書等。

使用智能卡比使用口令進(jìn)行認(rèn)證具有更高的安全性：

² 智能卡方式下需要使用物理對象（卡）來認(rèn)證用戶。

² 智能卡的使用必須提供一個個人標(biāo)識號PIN（Personal Identification Number），這樣可以保證只有經(jīng)過授權(quán)的人才能使用該智能卡。

² 從物理形式上，密鑰不能從卡中導(dǎo)出，就消除了通過盜取用戶證書而對系統(tǒng)發(fā)起的攻擊和威脅。

² 沒有智能卡，攻擊者不能存取和使用經(jīng)過卡保護(hù)的信息資源。

² 在網(wǎng)絡(luò)中，沒有口令或任何可重用信息的傳輸。

在存取和使用資源之前，智能卡通過要求用戶提供物理對象（卡）和卡使用信息（如卡的PIN）的方式來增強(qiáng)純軟件認(rèn)證方案的安全性，這種認(rèn)證方式稱為雙因素（two-factor）認(rèn)證，比較適合應(yīng)用于安全性要求較高的重要場合。

同口令認(rèn)證方式不同，采用智能卡進(jìn)行認(rèn)證時，用戶把卡插入連接到計算機(jī)的讀寫器中，并輸入卡的PIN，Windows就可以使用卡中存儲的私鑰和證書來向Windows2000域控制器的KDC認(rèn)證用戶。認(rèn)證完用戶以后，KDC將返回一個許可票據(jù)。

5 加密文件系統(tǒng)EFS

前面討論的技術(shù)，包括活動目錄、Kerberos認(rèn)證和PKI等，都是用于保護(hù)存儲在中心網(wǎng)絡(luò)中的資源。如何保護(hù)本地系統(tǒng)，如硬盤中的數(shù)據(jù)的安全性，也是人們很關(guān)心的問題。

Windows2000加密文件系統(tǒng)EFS則滿足了上述需求，讓用戶可以對指定的本地計算機(jī)中的文件或文件夾進(jìn)行加密，非授權(quán)用戶不能對這些文件進(jìn)行讀寫操作。當(dāng)用戶的計算機(jī)物理丟失時，使用EFS系統(tǒng)可以防止敏感信息的丟失和泄漏，因為這些文檔都是經(jīng)過加密處理的。

當(dāng)使用EFS對NTFS文件系統(tǒng)的文件或文件夾進(jìn)行安全處理時，操作系統(tǒng)將使用CryptoAPI所提供的公鑰和對稱密鑰加密算法對文件或文件夾進(jìn)行加密。EFS作為操作系統(tǒng)級的安全服務(wù)，內(nèi)部實現(xiàn)機(jī)制非常復(fù)雜，但管理員和用戶使用起來卻非常簡單。選中某一文件或文件夾以后，右擊，在彈出式按鈕中選擇“屬性”菜單項，在彈出的對話框中選擇“常規(guī)標(biāo)簽頁”，單擊“高級”按鈕，并選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”檢查框，如圖3所示。單擊“確定”按鈕即可完成文件或文件夾的加密處理。

當(dāng)文件保存時EFS將自動對文件進(jìn)行加密，當(dāng)用戶重新打開文件時將對文件進(jìn)行自動解密。除加密文件的用戶和具有EFS文件恢復(fù)證書的管理員之外，沒有人可以讀寫經(jīng)過加密處理的文件或文件夾。因為加密機(jī)制建立到了文件系統(tǒng)內(nèi)部，它對用戶的操作是透明的，而對攻擊者來說卻是加密的。

EFS加密文件的時候，使用對該文件唯一的對稱加密密鑰，并使用文件擁有者EFS證書中的公鑰對這些對稱加密密鑰進(jìn)行加密。因為只有文件的擁有者才能使用密鑰對中的私鑰，所以也只有他才能解密密鑰和文件。

在某些情況下，即使有些人使用底層的磁盤工具，也不能越過EFS機(jī)制來讀取文件信息，這點在Windows NT中是無法做到的。如果不是合法的用戶登錄到網(wǎng)絡(luò)中，即使文件通過網(wǎng)絡(luò)或物理方法被竊取到，因為沒有密鑰，同樣不能讀寫，也不能進(jìn)行任何不被發(fā)覺的修改。

在某些情況下會發(fā)生諸如用戶私鑰丟失或雇員離開公司等突發(fā)事件，EFS提供了一種恢復(fù)機(jī)制，可以恢復(fù)經(jīng)EFS加密的文件信息。當(dāng)使用EFS時，系統(tǒng)將自動創(chuàng)建一個獨立的恢復(fù)密鑰對，并存儲在管理員EFS文件恢復(fù)證書中。恢復(fù)密鑰對的公鑰用于加密原始的加密密鑰，并在緊急情況下使用私鑰來恢復(fù)加密文件的密鑰，從而恢復(fù)經(jīng)過加密的文件。

6 安全設(shè)置模板

為了方便一個組織網(wǎng)絡(luò)安全設(shè)置的建立和管理，Windows 2000提供了安全模板（Security Templates）工具。管理員使用微軟管理控制臺MMC可以很容易定義標(biāo)準(zhǔn)模板，并統(tǒng)一地應(yīng)用到多個計算機(jī)或用戶中。

一個安全模板是一個安全配置的物理表示，換句話說，它是存儲一組安全設(shè)置的文件。Windows2000中包括一系列的標(biāo)準(zhǔn)安全模板，并應(yīng)用于不同的場合和計算機(jī)的不同角色。這些標(biāo)準(zhǔn)模板包括的范圍比較廣，從低安全的域客戶端設(shè)置到高安全的域控制器設(shè)置都有。這些模板可直接應(yīng)用、修改或作為創(chuàng)建用戶自定義安全模板的基礎(chǔ)。

預(yù)定義的安全模板包括如下幾種：

² 默認(rèn)工作站 (basicwk.inf)

² 默認(rèn)服務(wù)器 (basicsv.inf)

² 默認(rèn)域控制器 (basicdc.inf)

² 兼容工作站或服務(wù)器 (compatws.inf)

² 安全工作站或服務(wù)器 (securews.inf)

² 高度安全工作站或服務(wù)器 (hisecws.inf)

² 專用域控制器 (dediCADc.inf)

² 安全域控制器 (securedc.inf)

² 高度安全域控制器 (hisecdc.inf)

系統(tǒng)中的每個模板都為基于文本的 .inf 文件。可允許復(fù)制、粘貼、導(dǎo)入或?qū)С瞿承┗蛩心０鍖傩浴３薎P安全性和公用密鑰策略之外，可以在安全模板中包含所有其他安全屬性。

一個模板中一般包括如下安全設(shè)置項：

² 賬號策略。密碼、賬號鎖定和 Kerberos 策略的安全性。

² 本地策略。用戶權(quán)利和記錄安全事件。

² 事件日志。定義事件日志的安全性。

² 受限的組。本地組成員的管理。

² 注冊表。本地注冊表項的安全性。

² 文件系統(tǒng)。本地文件系統(tǒng)的安全性。

² 系統(tǒng)服務(wù)。本地服務(wù)的安全性和啟動模式。

7 Windows 2000中的網(wǎng)絡(luò)安全

在Windows2000安全結(jié)構(gòu)和框架中，除了能夠保護(hù)網(wǎng)絡(luò)資源和硬盤資源的合法使用以外，還應(yīng)該提供多種技術(shù)措施來保證網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性。為滿足這種需求，Windows2000中集成了對Internet協(xié)議安全I(xiàn)PSec的支持。

IPSec是一組Internet標(biāo)準(zhǔn)協(xié)議，可以在非安全網(wǎng)絡(luò)之間建立安全通道，對傳輸?shù)男畔⑦M(jìn)行安全處理。IPSec的加密技術(shù)應(yīng)用于網(wǎng)絡(luò)的IP層，所以，對于大部分使用特定網(wǎng)絡(luò)通信協(xié)議的上層應(yīng)用來說都是透明的。IPSec提供了端到端（end-to-end）的安全性，也就是說由發(fā)送端計算機(jī)加密的IP包只能被接收端計算機(jī)解密，中間截獲的數(shù)據(jù)都是不可讀的。

IPSec提供了如下安全功能：

Ø 在Kerberos認(rèn)證、數(shù)字證書或共享密鑰的基礎(chǔ)上認(rèn)證IP數(shù)據(jù)包的發(fā)送者。

Ø 保證IP數(shù)據(jù)包在網(wǎng)絡(luò)傳輸過程中的完整性。

Ø 對通過網(wǎng)絡(luò)傳輸?shù)乃行畔⑦M(jìn)行加密，以保證數(shù)據(jù)的機(jī)密性。

Ø 在數(shù)據(jù)傳輸過程中，可以隱藏數(shù)據(jù)的原始IP地址。

所以，Windows 2000使用IPSec，可以充分保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臋C(jī)密性、認(rèn)證性、完整性和不可否認(rèn)性。

另外，Windows 2000中還提供了其它的網(wǎng)絡(luò)和信息安全技術(shù)支持，如虛擬專用網(wǎng)VPN支持和Internet驗證服務(wù)等。所私，通過對Windows 2000的合理化管理和配置，可以在現(xiàn)有投資的情況下有效保證網(wǎng)絡(luò)信息的安全性。