安全性

在 Windows 2000 系统中设置和管理安全性之前，了解保护计算环境的益处以及 Windows 2000 提供给用户和管理员的新特性是非常有帮助的。

安全特性

为帮助用户完成这些目标，Windows 2000 介绍了一些新的安全特性如下：

安全策略和帐户信息的中央存储

通过域控制器对所有安全策略和帐户信息的自动更新和同步

每个对象属性的访问控制

域之间的传递委托关系

验证内部和外部用户的多验证机制，包括 Windows NT 4.0 版本的用户

管理访问控制和帐户信息的公用管理工具

对于用户凭据安全存储的智能卡支持

对于在网络中传输或存储在磁盘上的数据加密。

安全模型

Windows 2000 安全模型的主要特性是用户验证和访问控制。为保证管理员能够方便有效地管理这些特性，Windows 2000 利用了活动目录。以下章节描述了安全模型的这些特性。

用户验证

Windows 2000 安全模型包括用户验证的概念，它给予用户登录到系统访问网络资源的能力。在该验证模型中，安全系统提供了两类验证：

交互式登录，它验证登录到用户本地计算机或活动目录帐户的用户身份。

网络验证，它验证所有用户尝试访问的网络服务的用户身份。为提供此类验证，Windows 2000 安全系统包括三种不同的验证机制：Kerberos V5、公用密钥证书和 NTLM（为和 Windows 2000 4.0 系统相兼容）。

基于对象的访问控制

随同用户验证，Windows 2000 还允许管理员控制对网络中资源或对象的访问。Windows 2000 通过允许管理员对存储在活动目录中的对象指定安全描述符的方式执行访问控制。安全描述符将列出获许访问对象的用户和组以及指定给这些用户和组的特殊权限。安全描述符还指定需针对对象审核的各类访问事件。对象实例包括文件、打印机和服务。通过管理对象属性，管理员可以设置权限、指定所有权和监视用户访问。

管理员不仅可以控制对特定对象的访问，还可以控制对该对象特殊属性的访问。例如，通过对对象安全描述符的正确配置，用户可获许访问信息的子集，诸如雇员姓名和电话号码，但不包括其家庭住址。

活动目录和安全性

活动目录通过使用对象的访问控制和用户凭据提供用户帐户和组信息的保护存储。由于活动目录不仅存储用户凭据，还包括访问控制信息，故登录到网络的用户可同时获得访问系统资源的验证和授权。

例如，当用户登录到网络时，Windows 2000 安全系统将使用存储在活动目录中的信息对用户进行验证。而后，当用户尝试访问网络中的服务时，系统将检查该服务的 ACL 中定义的属性。

由于活动目录允许管理员创建组帐户，故管理员可以更有效地管理系统安全。例如，管理员可通过调整文件属性授权组中所有用户读取该文件。这样可使对活动目录对象的访问基于组成员。

域的建造

了解和在安全管理中使用域将使工作变得十分容易。本节将使用户初步了解如何在环境中使用域。

域和安全性

域是将诸如用户、组和计算机等网络对象进行分组。域中的所有对象都存储在活动目录中。活动目录可驻留在域的一个或多个域控制器中。

每个域都是一个安全边界，就是说安全策略和设置（诸如管理权利、安全策略和访问控制列表）不会从一个域穿过进入另一个域。某特定域的管理员只有在该域中设置策略的权利。

由于域是一个安全边界，故不同管理员可以在组织中创建和管理不同的域。

域的某些关键点需要理解：

安全策略可在整个域内执行。

包括安全信息的活动目录将定期复制到域中的每个域控制器，以便数据库同步。

可在组织单位级别 (OU) 组织和管理活动目录中的对象。

可在域目录树的域间建立传递委托关系。

单域对多域

Windows NT 4.0 限制目录可存储的用户帐户的数量。因此，要容纳大量的计算环境，组织认为有必要同时创建和管理几个域且每个域均拥有各自的用户帐户目录。域通常分为两种类型：主域（存储用户和组帐户）和资源域（存储文件、打印机、应用服务等等）。

这种多域计算环境称为多主域模型。多主域模型的含义是资源域需要具有所有主域的多委托关系。这些委托关系允许主域中的用户访问资源域中的资源。

活动目录通过调整至大容量存储用户、组和计算机帐户的方法取代使用多个域的必要。管理员可通过使用活动目录将所有帐户（以前不得不存储在主域中）和所有资源（以前不得不存储在资源域中）从多个域合并到单个域中。此后，当出于管理目的要保留对象的逻辑分组时，管理员可将对象分组放入域中的组织单位 (OU)。某些情况下，可能会出于策略原因保留多个域。

传递委托关系

当把对象从多个域移入单个域时，等于降低了必须建立和保留的域委托关系的数量。同样，当把多个域并入单个域目录林时，这些域会自动产生传递委托关系，这可以减少需在域间手工建立的委托关系数量。每个域只需与目录树中另一域之间存在一种委托关系便可以访问域目录树中的所有其他域。

服务器角色

域中的服务器担当以下两种角色之一：

域控制器，运行活动目录和提供验证及策略。

成员服务器，提供服务，诸如文件、打印机和应用服务。

验证

验证是系统安全性的一个基本方面。它验证尝试登录到域或访问网络资源的所有用户的身份。Windows 2000 的验证使单个启动对所有网络资源有效。用户可使用单个启动登录到域一次，使用单个口令或智能卡，并取得域中所有计算机的验证。

验证过程

Windows 2000 计算环境中的成功用户验证包括两个单独过程：交互式登录，它验证对域帐户或本地计算机的用户身份；网络验证，它验证用户尝试访问的所有网络服务的用户身份。

验证类型

Windows 2000 支持验证的几种工业标准类型。当尝试验证用户时，Windows 2000 使用不同类型的验证，这取决于多种因素。Windows 2000 支持的验证类型为：

验证类型	描述
Kerberos V5	对于交互式登录使用口令或智能卡。这也是服务网络验证的默认方式
Secure Socket Layer/Transport Layer Security (SSL/TLS)	当用户尝试访问安全网服务器时使用
Windows NT LAN Manager	当客户机或服务器使用 Windows 以前版本时使用

Kerberos V5 验证

Kerberos V5 是域中用于验证的主要安全协议。Kerberos V5 协议同时检验用户身份和网络服务。这种双重检验称为相互验证。

Kerberos V5 如何工作

Kerberos V5 验证机制发布访问网络服务的证书。这些证书包含加密数据数据中包括加密口令，它验证对请求的服务的用户身份。除输入口令或智能卡凭据外，整个验证过程对用户是不可见的。

Kerberos V5中的一个重要服务是密钥发布中心 (KDC)。KDC 作为活动目录的一部分运行在每个域控制器上，它存储了所有客户机的口令和其他帐户信息。

Kerberos V5 验证过程是按以下步骤工作的：

客户机系统中的用户使用口令或智能卡对 KDC 作出验证。

KDC 向客户机发布特殊的 TGT（ticket-granting ticket）。客户机系统使用该 TGT访问授票服务 (TGS)，它是域控制器中 Kerberos V5 验证机制的一部分。

而后 TGS 向客户机发布一个服务证书。

客户机将该服务证书提供给请求的网络服务。服务证书同时检验对服务的用户身份和对用户的服务身份。

注释

组策略编辑器用户界面将 TGT 作为用户证书引用，它用于修改单个用户和组帐户的 Kerberos 策略。

Kerberos V5 和域控制器

Kerberos V5 服务安装在每个域控制器上，而 Kerberos 客户机则安装在每个 Windows 2000 工作站和服务器上。

每个域控制器起着 KDC 的作用。Windows 2000 系统使用域名服务 (DNS) 查询定位最近的可用域控制器。该域控制器则会在用户登录期间对该用户起首选 KDC 的作用。如果首选 KDC 失效，Windows 2000 系统将确定一个替换 KDC 提供验证。

验证的分派

验证的分派管理员授予用户或计算机帐户的权限。默认情况下，只有域管理员才被赋予该权限。该权限必须有选择的赋予可信任的服务器程序。

在一个 N 级应用程序中，用户针对中级服务进行验证。中级服务则代表用户针对后台数据进行验证。

分派依赖可信任的中级服务进行分派。委托分派的含义是服务可模仿用户使用其他网络服务。

Kerberos V5 的内部可操作性

Windows 2000 支持两种类型的 Kerberos V5 内部可操作性：

可在域和基于 MIT 的 Kerberos 领域间建立委托关系。这意味着Kerberos 领域中的客户机可对活动目录域进行验证以便访问该域中的网络资源。

UNIX 客户机和服务器在域中可拥有活动目录帐户，因此可获得域控制器的验证。

审核

安全审核是 Windows 2000 的一个特性，其用于监视各种与安全相关的事件。监视系统事件对于检测入侵者和危害系统数据的企图是非常必要的。可审核事件的一个实例是失败的登录尝试。

最普通的需审核事件类型是：

对诸如文件和文件夹等对象的访问

用户和组帐户的管理

用户登录和注销

除审核与安全相关的事件外，Windows 2000 将生成一个安全记录并为查看记录中报告的安全事件提供途径。

最后，Windows 2000 的审核特性将生成审核指针以便帮助跟踪系统中发生的所有安全管理事件。例如，如果管理员更改审核策略以便不再审核失败的登录尝试，则审核指针将显示该事件。

安全策略

安全设置定义了系统与安全相关的行为。通过使用活动目录中的组策略对象，管理员可以在中央位置应用保护企业系统所要求的安全级别。

当确定包含多计算机的组策略对象的设置时，必须考虑给定站点、域或 OU 的组织和功能字符。例如，包含销售部门和财务部门计算机的 OU 的安全级别将有很大区别。

安全设置

安全设置和安全配置的概念可互换。安全设置包括安全策略（帐户和本地策略）、访问控制（服务、文件和注册）、事件记录、组成员身份（受限制的组）、IP 安全策略以及公用密钥策略。

安全模板

这是安全配置的物理表示：一个可以存储一组安全设置的文件。Windows 2000 包括一组基于计算机角色的安全模板：从低级安全域客户机的安全设置到高级安全域控制器。这些模板可用于提供、修改或作为创建安全模板的基础。

安全配置工具

管理员可使用安全模板插件定义和使用安全模板。

管理员可使用安全配置和分析插件在本地配置和分析安全性。

管理员可使用组策略插件在活动目录中以中央身份配置安全性。

数据保护

数据的保密性和完整性是从网络验证开始的。用户可使用正确的凭据（牢固的口令或公用密钥凭据）登录到网络并在该过程中获得访问存储数据的权限。

Windows 2000 支持两种数据保护类型 - 存储数据和网络数据。以下章节将描述这些保护类型。

存储数据保护

可使用以下方法保护存储数据（联机或脱机）：

加密文件系统 (EFS)。EFS 使用公用密钥加密对本地 NTFS 数据进行加密。

数字签名。数字签名将表明软件组件以确保其正确性。

网络数据保护

站点（本地网络和子网）内的网络数据是由验证协议保护的。对于其他安全级别，可以选择加密站点内的网络数据。可以使用 IP 安全加密特定客户机或域中所有客户机的所有网络通讯。

可使用以下实用工具保护传入和传出站点（经 intranet、extranet 或 Internet 网关）的网络数据：

IP Security。加密客户机的所有 TCP/IP 通讯。

路由和远程访问。配置远程访问协议和路由。

代理服务器。为站点提供防火墙和代理服务器。

此外，诸如 Microsoft Exchange、Outlook 和 Internet Explorer 等程序提供站点内部或整个网络中消息和事务的公用密钥加密。

公用密钥基本体系

计算机网络不再是封闭系统了，一个用户在网络中的存在只能以其身份的检验而说明。在这个信息互通的时代，组织的网络可能包括 intranet、Internet站点和 extranet - 所有这些都有遭到非法入侵者访问的潜在危险，他们可能会恶意查看或更改组织的数字信息资源。

目前存在很多非法访问网络信息的潜在可能。某人可以尝试监视或更改信息流，诸如 e-mail、电子商务和文件传输。公司可能就有限范围和期限的项目与伙伴合作，这其中有着根本不了解却又必须赋予访问某些信息资源的雇员。如果用户为访问不同安全系统而需要记住很多口令，他们可能会选择不牢靠或通常使用的口令以方便记忆。这样做不仅会提供轻易跟踪口令的缺口，而且还会提供访问多安全系统和存储数据的可能。

系统管理员应如何验证访问信息人员的身份，并在验证其身份的前提下控制其访问信息的范围？此外，系统管理员如何在组织中方便安全地分配和管理识别凭据？这些问题可以通过计划好的公用密钥基本体系加以解决。

“公用密钥基本体系”，通常简称为 PKI，是一个数字认证、证书授权和其他注册授权的系统，它们使用公用密钥密码检验和验证电子商务中所涉及的每个机构的有效性。公用密钥基本体系的标准仍处于发展阶段，尽管它们作为电子商务的一个必要组成部分已得到广泛使用。

组织选择配置采用 Windows 2000 的公用密钥基本体系的原因有很多：

牢靠的安全性 - 包括采用智能卡的牢靠验证，保持公用网的保密性以及确保传输数据的完整性。此外，管理员可使用 Windows 2000 安全权限确定给哪些用户发布何种证书。

简易管理 - 它可以：发布证书而不是口令，利用 Windows 公用密钥与活动目录和组策略的集成以及撤消证书和发布证书撤消列表，此外对管理企业内部的委托关系有着较大的可调整性。另外，还提供将证书直接或经 Internet Information Services 映射到活动目录中用户帐户的能力。

新机遇 - 可以安全地交换诸如Internet等公用网上的文件和数据。具有实现安全 e-mail (S/MIME) 的能力。此外，作为电子商务的一个重要组成部分，可以利用电子签名建立无法否认。（简单的说，无法否认是一个法律概念，其含义是信息原创者的身份与信息相关联，以致他们无法否认自己是所讨论信息的源。）

Windows 2000 公用密钥基本体系的组件包括：

证书 - 证书基本上是一个由权威发布的电子声明，其作用在于担保证书持有者的身份。证书将公用密码与持有相应私有密钥的个人、机器或服务的身份绑定在一起。证书由各种公用密钥安全服务和应用程序使用，它们程序在诸如 Internet 等非安全网上提供验证、数据完整性和安全通讯。

Windows 2000 基于证书的过程所使用的标准证书格式是 X.509v3。X.509证书包括有关将获得发布证书的个人或实体的信息，有关证书的信息和有关发布证书证书颁发机构的可选信息。主体信息可包括实体名称、公用密钥、公用密钥运算法则和可选的唯一主体 ID。版本 3 证书的标准扩展名包含与密钥标识符、密钥用法、证书策略、替换名称和属性、证书路径约束以及对证书撤消原因和列表分区增强相关的信息。

Windows 2000 Server 证书服务是 Windows 2000 中的组件，它用于创建和管理证书颁发机构 (CA)。证书颁发机构负责建立和担保证书持有者的身份。证书颁发机构还会在证书失效时将其撤消并发布证书撤消列表供证书检验机构使用。最简单的公用密钥基本体系只有一个证书颁发机构。事实上，大多数配置公用密钥基本体系的组织将使用大量证书颁发机构，并将其有组织地放入称为证书分层结构的委托组中。

证书服务的一个单独组件是证书颁发机构网注册页。这些网页是在安装证书颁发机构时按默认安装的，它允许证书请求者使用网浏览器提出证书请求。此外，证书颁发机构网页可以安装在未安装证书颁发机构的 Windows 2000 服务器上。这种情况下，网页用于向不希望请求者直接访问的证书颁发机构直接发出请求。如果选择为组织创建定制网页访问 CA，则 Windows 2000 提供的网页可作为示例。

智能卡支持 - Windows 2000 支持经智能卡上的证书登录，同时还支持使用智能卡存储用于网证书、安全 e-mail 和其他与公用密钥密码活动相关的证书。

公用密钥策略 - 可使用 Windows 2000 的组策略向计算机自动发布证书，建立证书信任列表和公用委托证书颁发机构，此外还可以管理加密文件系统的恢复策略。

智能卡

智能卡是一种为一系列任务提供安全解决方案的防窜改和便携方法，这包括客户机验证、登录到 Windows 2000 域、代码签名和保护 e-mail。

支持密码形式的智能卡是 Microsoft 在 Windows 2000 平台中集成的公用密钥基本体系 (PKI) 的一个特性。智能卡可增强诸如客户机验证、交互式登录、代码签名和保护 e-mail 等纯软件解决方案。智能卡提供：

为保护私有密钥和其他形式个人信息的防窜改存储。

将涉及验证、电子签名和密钥交换等关键性安全计算与系统中“无须知道”的其他部分隔离。

登录到带有智能卡的网络将提供一种可靠的验证形式，原因是其在向域验证用户时使用了基于密码的认证和检验过程。

例如，假设某恶意个人获得了用户的口令，则该人可简单地利用口令冒充该用户在网络上的身份。很多人选择易于记忆的口令，这使得口令从根本上不牢靠并易于受到攻击。

在使用智能卡的情况下，相同的恶意个人只有同时得到用户的智能卡和个人身份号码 (PIN) 才能冒充用户。这种组合显然很难受到攻击，因为需要额外一层信息才能冒充用户。另一个好处在于，当连续出现一定数量的失败 PIN 输入后，智能卡将锁住，这使得对智能卡词典式的攻击变得异常困难。