隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是Internet的不斷普及，如何防止信息不被非法截獲和破壞，即有效維護(hù)網(wǎng)絡(luò)信息的安全性，成為越來(lái)越多的人關(guān)注的焦點(diǎn)。作為新一代的操作系統(tǒng)的Windows

2000，可通過(guò)多種技術(shù)和手段來(lái)控制用戶(hù)對(duì)資源的訪問(wèn)，提高網(wǎng)絡(luò)的安全性，其中包括與活動(dòng)目錄（Active Directory）服務(wù)的集成、支持認(rèn)證Windows 2000用戶(hù)的Kerberos v5認(rèn)證協(xié)議、提供了公鑰基礎(chǔ)設(shè)施PKI支持，用公鑰證書(shū)對(duì)外部用戶(hù)進(jìn)行認(rèn)證、使用加密文件系統(tǒng)EFS（Encrypting File

System）保護(hù)本地?cái)?shù)據(jù)以、使用Internet協(xié)議安全I(xiàn)PSec（Internet Protocol security）來(lái)保證通過(guò)公有網(wǎng)絡(luò)的通信的安全性，以及基于Windows 2000的安全應(yīng)用開(kāi)發(fā)的可擴(kuò)展性等等。

1 活動(dòng)目錄技術(shù)

活動(dòng)目錄服務(wù)在Windows 2000信息安全和網(wǎng)絡(luò)安全中具有重要作用，它是關(guān)于用戶(hù)、硬件、應(yīng)用和網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)中心，也存儲(chǔ)用戶(hù)的認(rèn)證信息，以及用戶(hù)使用某一資源的授權(quán)信息等。活動(dòng)目錄與Windows

2000的其他安全服務(wù)緊密集成，如Kerberos認(rèn)證協(xié)議、公鑰基礎(chǔ)設(shè)施PKI、加密文件系統(tǒng)EFS、安全設(shè)置管理器和組策略等。

同Windows NT中的平面文件（flat-file）目錄不同，Windows 2000活動(dòng)目錄采用了代表商業(yè)企業(yè)組織結(jié)構(gòu)的分層目錄結(jié)構(gòu)來(lái)存儲(chǔ)信息，這樣可以簡(jiǎn)化管理，具有良好的可伸縮性。為了創(chuàng)建這種分層結(jié)構(gòu)，同Windows采用文件和文件夾來(lái)組織本地資源的方法類(lèi)似，活動(dòng)目錄使用域（domains）、組織單元OUs（Organizational Units）和對(duì)象來(lái)管理和使用網(wǎng)絡(luò)資源。

一個(gè)域是網(wǎng)絡(luò)對(duì)象，包括組織單元、用戶(hù)賬號(hào)、組和計(jì)算機(jī)等的集合，它們共享一個(gè)公共目錄數(shù)據(jù)庫(kù)，并組成活動(dòng)目錄中邏輯結(jié)構(gòu)的核心單元。每個(gè)域中可能包含多個(gè)組織單元和用戶(hù)（對(duì)象），這樣更符合公司或企業(yè)的組織模式。

大的企業(yè)或組織可能包含多個(gè)域，這種情況下的域分層就稱(chēng)為域樹(shù)（Domain Tree）。創(chuàng)建的第一個(gè)域?yàn)楦╮oot）域，也稱(chēng)為父域，在其下面創(chuàng)建的域?yàn)樽樱╟hild）域。為了支持更大的組織結(jié)構(gòu)，多個(gè)域樹(shù)連接起來(lái)可以組成森林（forest），在這種情況下，需要使用多個(gè)域控制器，活動(dòng)目錄就可以定時(shí)在多個(gè)域控制器之間復(fù)制信息，從而保持目錄數(shù)據(jù)庫(kù)信息的同步。

在域中，一個(gè)組織單元OU是把對(duì)象組織成邏輯管理組的容器，其中包括一個(gè)或多個(gè)對(duì)象，如用戶(hù)賬號(hào)、組、計(jì)算機(jī)、打印機(jī)、應(yīng)用、文件共享或其他OU等。

一個(gè)對(duì)象包括一個(gè)獨(dú)立個(gè)體，如特定的用戶(hù)、計(jì)算機(jī)或硬件信息（屬性），如一個(gè)用戶(hù)的屬性可能包括名字、電話(huà)號(hào)碼和電子郵件等；一個(gè)計(jì)算機(jī)對(duì)象的屬性可能包括計(jì)算機(jī)位置和指定哪些用戶(hù)或組能夠訪問(wèn)該計(jì)算機(jī)資源的存取控制列表ACL（Access Control List）等。通過(guò)域和OU的組織形式，系統(tǒng)就可以以集合的形式來(lái)管理對(duì)象的安全性，如用戶(hù)組和計(jì)算機(jī)組等，而不需要對(duì)每個(gè)獨(dú)立的用戶(hù)和對(duì)象進(jìn)行配置。

為了使用戶(hù)登錄一次而在整個(gè)網(wǎng)絡(luò)中使用資源，即單次登錄（single sign-on），Win2000支持域之間的信任關(guān)系。在域之間建立起相互認(rèn)證的邏輯關(guān)系，允許計(jì)算機(jī)和用戶(hù)只需在域樹(shù)（甚至森林）中的任何一個(gè)域中進(jìn)行身份認(rèn)證，然后就可以在整個(gè)網(wǎng)絡(luò)中使用經(jīng)過(guò)授權(quán)的資源。

2 Kerberos認(rèn)證

Kerberos認(rèn)證協(xié)議定義了客戶(hù)端和稱(chēng)為密鑰分配中心KDC（Key Distribution Center）的認(rèn)證服務(wù)之間的安全交互過(guò)程。Windows2000在每一個(gè)域控制器中應(yīng)用KDC認(rèn)證服務(wù)，其域同Kerberos中的realm功能類(lèi)似，具體可參考RFC 1510協(xié)議。Windows2000中采用多種措施提供對(duì)Kerberos協(xié)議的支持：Kerberos客戶(hù)端使用基于SSPI的Windows2000安全提供者，初始Kerberos認(rèn)證同WinLogon的單次登錄進(jìn)行了集成，而Kerberos KDC也同運(yùn)行在域控制器中的安全服務(wù)進(jìn)行了集成，并使用活動(dòng)目錄作為用戶(hù)和組的賬號(hào)數(shù)據(jù)庫(kù)。

Kerberos是基于共享密鑰的認(rèn)證協(xié)議，用戶(hù)和密鑰分配中心KDC都知道用戶(hù)的口令，或從口令中單向產(chǎn)生的密鑰，并定義了一套客戶(hù)端、KDC和服務(wù)器之間獲取和使用Kerberos票據(jù)的交換協(xié)議。當(dāng)用戶(hù)初始化Windows登錄時(shí)，Kerberos SSP利用基于用戶(hù)口令的加密散列獲取一個(gè)初始Kerberos票據(jù)TGT，Windows2000把TGT存儲(chǔ)在與用戶(hù)的登錄上下文相關(guān)的工作站的票據(jù)緩存中。當(dāng)客戶(hù)端想要使用網(wǎng)絡(luò)服務(wù)時(shí)，Kerberos首先檢查票據(jù)緩存中是否有該服務(wù)器的有效會(huì)話(huà)票據(jù)。如果沒(méi)有，則向KDC發(fā)送TGT來(lái)請(qǐng)求一個(gè)會(huì)話(huà)票據(jù)，以請(qǐng)求服務(wù)器提供服務(wù)。

請(qǐng)求的會(huì)話(huà)票據(jù)也會(huì)存儲(chǔ)在票據(jù)緩存中，以用于后續(xù)對(duì)同一個(gè)服務(wù)器的連接，直到票據(jù)超期為止。票據(jù)的有效期由域安全策略來(lái)規(guī)定，一般為8個(gè)小時(shí)。如果在會(huì)話(huà)過(guò)程中票據(jù)超期，

Kerberos SSP將返回一個(gè)響應(yīng)的錯(cuò)誤值，允許客戶(hù)端和服務(wù)器刷新票據(jù)，產(chǎn)生一個(gè)新的會(huì)話(huà)密鑰，并恢復(fù)連接。

使用Kerberos認(rèn)證協(xié)議的客戶(hù)端、KDC和應(yīng)用服務(wù)器之間的關(guān)系:

在初始連接消息中，Kerberos把會(huì)話(huà)票據(jù)提交給遠(yuǎn)程服務(wù)，會(huì)話(huà)票據(jù)中的一部分使用了服務(wù)和KDC共享的密鑰進(jìn)行了加密。因?yàn)榉?wù)器端的Kerberos有服務(wù)器密鑰的緩存拷貝，所以，服務(wù)器不需要到KDC進(jìn)行認(rèn)證，而直接可以通過(guò)驗(yàn)證會(huì)話(huà)票據(jù)來(lái)認(rèn)證客戶(hù)端。在服務(wù)器端，采用Kerberos認(rèn)證系統(tǒng)的會(huì)話(huà)建立速度要比NTLM認(rèn)證快得多，因?yàn)槭褂肗TLM，服務(wù)器獲取用戶(hù)的信任書(shū)以后，還要與域控制器建立連接，來(lái)對(duì)用戶(hù)進(jìn)行重新認(rèn)證。

Kerberos會(huì)話(huà)票據(jù)中包含有一個(gè)唯一的、由KDC創(chuàng)建的、用于客戶(hù)端和服務(wù)器之間傳輸數(shù)據(jù)和認(rèn)證信息加密的會(huì)話(huà)密鑰。在Kerberos模型中，KDC是作為產(chǎn)生會(huì)話(huà)密鑰的可信第三方而存在的，這種形式更適合于分布式計(jì)算環(huán)境下的認(rèn)證服務(wù)。

Kerberos作為基本的Windows 2000認(rèn)證協(xié)議，與Windows2000認(rèn)證和存取控制安全框架進(jìn)行了緊密整合。初始的Windows域登錄由WinLogon提供，它使用Kerberos安全提供者（security provider）來(lái)獲取一個(gè)初始的Kerberos票據(jù)。操作系統(tǒng)的其他組件，如轉(zhuǎn)向器（ReDirector）則使用安全提供者的SSPI接口來(lái)獲取一個(gè)會(huì)話(huà)票據(jù)，以連接對(duì)遠(yuǎn)程文件存取的SMB服務(wù)器。

Kerberos V5協(xié)議在會(huì)話(huà)票據(jù)中定義了一個(gè)攜帶授權(quán)數(shù)據(jù)的加密域，該域的使用留給了應(yīng)用開(kāi)發(fā)，而Windows2000則使用Kerberos票據(jù)中的授權(quán)數(shù)據(jù)來(lái)附帶代表用戶(hù)和組成員的Windows安全I(xiàn)D。在服務(wù)器端的Kerberos安全提供者則使用授權(quán)數(shù)據(jù)來(lái)建立代表用戶(hù)的一個(gè)Windows安全存取控制令牌，可以模擬客戶(hù)端來(lái)請(qǐng)求提供相應(yīng)服務(wù)。

Windows2000中應(yīng)用了Kerberos協(xié)議的擴(kuò)展，除共享密鑰外，還支持基于公/私鑰對(duì)的身份認(rèn)證機(jī)制。Kerberos公鑰認(rèn)證的擴(kuò)展允許客戶(hù)端在請(qǐng)求一個(gè)初始TGT時(shí)使用私鑰，而KDC則使用公鑰來(lái)驗(yàn)證請(qǐng)求，該公鑰是從存儲(chǔ)在活動(dòng)目錄中用戶(hù)對(duì)象的X.509證書(shū)中獲取的。用戶(hù)的證書(shū)可以由權(quán)威的第三方，如VeriSign和Digital IDs等來(lái)發(fā)放，也可以由Windows2000中的微軟證書(shū)服務(wù)器來(lái)產(chǎn)生。初始認(rèn)證以后，就可以使用標(biāo)準(zhǔn)的Kerberos來(lái)獲取會(huì)話(huà)票據(jù)，并連接到相應(yīng)的網(wǎng)絡(luò)服務(wù)。

通過(guò)對(duì)Kerberos協(xié)議進(jìn)行公鑰擴(kuò)展，可以使用戶(hù)采用多種方式來(lái)登錄工作站和網(wǎng)絡(luò)，如采用智能卡技術(shù)。智能卡中一般存儲(chǔ)有用戶(hù)的私鑰，可用于Kerberos的初始化認(rèn)證處理。

目前，使用公鑰技術(shù)來(lái)擴(kuò)展Kerberos協(xié)議的計(jì)劃和建議已經(jīng)提交到IETF來(lái)進(jìn)行標(biāo)準(zhǔn)化推廣。

3 公鑰基礎(chǔ)設(shè)施PKI和認(rèn)證機(jī)構(gòu)CA

Windows 2000作為新推出的操作系統(tǒng)，對(duì)PKI做了全面支持。PKI在提供高強(qiáng)度安全性的同時(shí)，還與操作系統(tǒng)進(jìn)行了緊密集成，并作為操作系統(tǒng)的一項(xiàng)基本服務(wù)而存在，避免了購(gòu)買(mǎi)第三方PKI所帶來(lái)的額外開(kāi)銷(xiāo)。組成Windows2000 PKI的基本邏輯組件中最核心的為微軟證書(shū)服務(wù)系統(tǒng)（Microsoft Certificate Services），它允許用戶(hù)配置一個(gè)或多個(gè)企業(yè)CA，這些CA支持證書(shū)的發(fā)放和廢除，并與活動(dòng)目錄和策略配合，共同完成證書(shū)和廢除信息的發(fā)布。

Windows 2000 PKI并沒(méi)有替換掉基于域控制器DC （Domain Controller）和Kerberos密鑰分配中心KDC的Windows NT 域信任和認(rèn)證機(jī)制，相反，Windows 2000 PKI反而對(duì)這些服務(wù)進(jìn)行了增強(qiáng)，適合于Extranet和Internet的不同應(yīng)用，并可應(yīng)用于具有可伸縮性和分布式環(huán)境下，提供身份識(shí)別、認(rèn)證、完整性驗(yàn)證和機(jī)密性等安全服務(wù)。

Windows 2000 PKI建立在微軟久經(jīng)考驗(yàn)的PKI組件基礎(chǔ)之上，其基本組件包括如下幾種：

² 證書(shū)服務(wù)（Certificate Services）。證書(shū)服務(wù)作為一項(xiàng)核心的操作系統(tǒng)級(jí)服務(wù)，允許組織和企業(yè)建立自己的CA系統(tǒng)，并發(fā)布和管理數(shù)字證書(shū)。

² 活動(dòng)目錄。活動(dòng)目錄服務(wù)作為一項(xiàng)核心的操作系統(tǒng)級(jí)服務(wù)，提供了查找網(wǎng)絡(luò)資源的唯一位置，在PKI中為證書(shū)和CRL等信息提供發(fā)布服務(wù)。

² 基于PKI的應(yīng)用。Windows 本身提供了許多基于PKI的應(yīng)用，如Internet Explorer、Microsoft

Money、Internet Information Server、OutLook和Outlook

Express等。另外，一些其它第三方PKI應(yīng)用也同樣可以建立在Windows 2000 PKI基礎(chǔ)之上。

² Exchange密鑰管理服務(wù)KMS（Exchange Key Management Service）。KMS是Microsoft Exchange提供的一項(xiàng)服務(wù)，允許應(yīng)用存儲(chǔ)和獲取用于加密e-mail的密鑰。在將來(lái)版本的Windows系統(tǒng)中，KMS將作為Windows操作系統(tǒng)的一部分來(lái)提供企業(yè)級(jí)的KMS服務(wù)。

Windows 2000中的集成PKI系統(tǒng)提供了證書(shū)服務(wù)功能，可以讓用戶(hù)通過(guò)Internet/ extranets/intranets安全地交互敏感信息。證書(shū)服務(wù)驗(yàn)證一個(gè)電子商務(wù)交易中參與各方的有效性和真實(shí)性，并使用智能卡等提供的額外安全措施來(lái)使域用戶(hù)登錄到某個(gè)域。

Windows2000通過(guò)創(chuàng)建一個(gè)證書(shū)機(jī)構(gòu)CA來(lái)管理其公鑰基礎(chǔ)設(shè)施PKI，以提供證書(shū)服務(wù)。一個(gè)CA通過(guò)發(fā)布證書(shū)來(lái)確認(rèn)用戶(hù)公鑰和其他屬性的綁定關(guān)系，以提供對(duì)用戶(hù)身份的證明。Windows2000證書(shū)服務(wù)創(chuàng)建的CA可以接收證書(shū)請(qǐng)求、驗(yàn)證請(qǐng)求信息和請(qǐng)求者身份、發(fā)行和撤銷(xiāo)證書(shū)，以及發(fā)布證書(shū)廢除列表CRL（Certificate Revocation List）。證書(shū)服務(wù)是通過(guò)內(nèi)置的證書(shū)管理單元來(lái)實(shí)現(xiàn)的。

4 智能卡技術(shù)

現(xiàn)在越來(lái)越多的企業(yè)正在尋找各種方法來(lái)提高其網(wǎng)絡(luò)資源的安全性，智能卡（smart cards，或稱(chēng)為靈巧卡）就是其中比較流行的一個(gè)。智能卡提供了讓非授權(quán)人更難獲取網(wǎng)絡(luò)存取權(quán)限的一種簡(jiǎn)單方式，Windows2000對(duì)智能卡安全提供了內(nèi)在支持。

智能卡同普通信用卡的大小差不多，并提供了抗修改能力，用于保護(hù)其中的用戶(hù)證書(shū)和私鑰。在這種方式下，智能卡提供了一種非常安全的方式以進(jìn)行用戶(hù)認(rèn)證、交互式登錄、代碼簽名和安全e-mail傳送等。每一個(gè)智能卡中都包含一個(gè)芯片，其中存儲(chǔ)有用戶(hù)的私鑰、登錄信息和用于不同目的的公鑰證書(shū)，如數(shù)字簽名證書(shū)和數(shù)據(jù)加密證書(shū)等。

使用智能卡比使用口令進(jìn)行認(rèn)證具有更高的安全性：

² 智能卡方式下需要使用物理對(duì)象（卡）來(lái)認(rèn)證用戶(hù)。

² 智能卡的使用必須提供一個(gè)個(gè)人標(biāo)識(shí)號(hào)PIN（Personal Identification Number），這樣可以保證只有經(jīng)過(guò)授權(quán)的人才能使用該智能卡。

² 從物理形式上，密鑰不能從卡中導(dǎo)出，就消除了通過(guò)盜取用戶(hù)證書(shū)而對(duì)系統(tǒng)發(fā)起的攻擊和威脅。

² 沒(méi)有智能卡，攻擊者不能存取和使用經(jīng)過(guò)卡保護(hù)的信息資源。

² 在網(wǎng)絡(luò)中，沒(méi)有口令或任何可重用信息的傳輸。

在存取和使用資源之前，智能卡通過(guò)要求用戶(hù)提供物理對(duì)象（卡）和卡使用信息（如卡的PIN）的方式來(lái)增強(qiáng)純軟件認(rèn)證方案的安全性，這種認(rèn)證方式稱(chēng)為雙因素（two-factor）認(rèn)證，比較適合應(yīng)用于安全性要求較高的重要場(chǎng)合。

同口令認(rèn)證方式不同，采用智能卡進(jìn)行認(rèn)證時(shí)，用戶(hù)把卡插入連接到計(jì)算機(jī)的讀寫(xiě)器中，并輸入卡的PIN，Windows就可以使用卡中存儲(chǔ)的私鑰和證書(shū)來(lái)向Windows2000域控制器的KDC認(rèn)證用戶(hù)。認(rèn)證完用戶(hù)以后，KDC將返回一個(gè)許可票據(jù)。

5 加密文件系統(tǒng)EFS

前面討論的技術(shù)，包括活動(dòng)目錄、Kerberos認(rèn)證和PKI等，都是用于保護(hù)存儲(chǔ)在中心網(wǎng)絡(luò)中的資源。如何保護(hù)本地系統(tǒng)，如硬盤(pán)中的數(shù)據(jù)的安全性，也是人們很關(guān)心的問(wèn)題。

Windows2000加密文件系統(tǒng)EFS則滿(mǎn)足了上述需求，讓用戶(hù)可以對(duì)指定的本地計(jì)算機(jī)中的文件或文件夾進(jìn)行加密，非授權(quán)用戶(hù)不能對(duì)這些文件進(jìn)行讀寫(xiě)操作。當(dāng)用戶(hù)的計(jì)算機(jī)物理丟失時(shí)，使用EFS系統(tǒng)可以防止敏感信息的丟失和泄漏，因?yàn)檫@些文檔都是經(jīng)過(guò)加密處理的。

當(dāng)使用EFS對(duì)NTFS文件系統(tǒng)的文件或文件夾進(jìn)行安全處理時(shí)，操作系統(tǒng)將使用CryptoAPI所提供的公鑰和對(duì)稱(chēng)密鑰加密算法對(duì)文件或文件夾進(jìn)行加密。EFS作為操作系統(tǒng)級(jí)的安全服務(wù)，內(nèi)部實(shí)現(xiàn)機(jī)制非常復(fù)雜，但管理員和用戶(hù)使用起來(lái)卻非常簡(jiǎn)單。選中某一文件或文件夾以后，右擊，在彈出式按鈕中選擇“屬性”菜單項(xiàng)，在彈出的對(duì)話(huà)框中選擇“常規(guī)標(biāo)簽頁(yè)”，單擊“高級(jí)”按鈕，并選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”檢查框，如圖3所示。單擊“確定”按鈕即可完成文件或文件夾的加密處理。

當(dāng)文件保存時(shí)EFS將自動(dòng)對(duì)文件進(jìn)行加密，當(dāng)用戶(hù)重新打開(kāi)文件時(shí)將對(duì)文件進(jìn)行自動(dòng)解密。除加密文件的用戶(hù)和具有EFS文件恢復(fù)證書(shū)的管理員之外，沒(méi)有人可以讀寫(xiě)經(jīng)過(guò)加密處理的文件或文件夾。因?yàn)榧用軝C(jī)制建立到了文件系統(tǒng)內(nèi)部，它對(duì)用戶(hù)的操作是透明的，而對(duì)攻擊者來(lái)說(shuō)卻是加密的。

EFS加密文件的時(shí)候，使用對(duì)該文件唯一的對(duì)稱(chēng)加密密鑰，并使用文件擁有者EFS證書(shū)中的公鑰對(duì)這些對(duì)稱(chēng)加密密鑰進(jìn)行加密。因?yàn)橹挥形募膿碛姓卟拍苁褂妹荑€對(duì)中的私鑰，所以也只有他才能解密密鑰和文件。

在某些情況下，即使有些人使用底層的磁盤(pán)工具，也不能越過(guò)EFS機(jī)制來(lái)讀取文件信息，這點(diǎn)在Windows NT中是無(wú)法做到的。如果不是合法的用戶(hù)登錄到網(wǎng)絡(luò)中，即使文件通過(guò)網(wǎng)絡(luò)或物理方法被竊取到，因?yàn)闆](méi)有密鑰，同樣不能讀寫(xiě)，也不能進(jìn)行任何不被發(fā)覺(jué)的修改。

在某些情況下會(huì)發(fā)生諸如用戶(hù)私鑰丟失或雇員離開(kāi)公司等突發(fā)事件，EFS提供了一種恢復(fù)機(jī)制，可以恢復(fù)經(jīng)EFS加密的文件信息。當(dāng)使用EFS時(shí)，系統(tǒng)將自動(dòng)創(chuàng)建一個(gè)獨(dú)立的恢復(fù)密鑰對(duì)，并存儲(chǔ)在管理員EFS文件恢復(fù)證書(shū)中。恢復(fù)密鑰對(duì)的公鑰用于加密原始的加密密鑰，并在緊急情況下使用私鑰來(lái)恢復(fù)加密文件的密鑰，從而恢復(fù)經(jīng)過(guò)加密的文件。

6 安全設(shè)置模板

為了方便一個(gè)組織網(wǎng)絡(luò)安全設(shè)置的建立和管理，Windows 2000提供了安全模板（Security Templates）工具。管理員使用微軟管理控制臺(tái)MMC可以很容易定義標(biāo)準(zhǔn)模板，并統(tǒng)一地應(yīng)用到多個(gè)計(jì)算機(jī)或用戶(hù)中。

一個(gè)安全模板是一個(gè)安全配置的物理表示，換句話(huà)說(shuō)，它是存儲(chǔ)一組安全設(shè)置的文件。Windows2000中包括一系列的標(biāo)準(zhǔn)安全模板，并應(yīng)用于不同的場(chǎng)合和計(jì)算機(jī)的不同角色。這些標(biāo)準(zhǔn)模板包括的范圍比較廣，從低安全的域客戶(hù)端設(shè)置到高安全的域控制器設(shè)置都有。這些模板可直接應(yīng)用、修改或作為創(chuàng)建用戶(hù)自定義安全模板的基礎(chǔ)。

預(yù)定義的安全模板包括如下幾種：

² 默認(rèn)工作站 (basicwk.inf)

² 默認(rèn)服務(wù)器 (basicsv.inf)

² 默認(rèn)域控制器 (basicdc.inf)

² 兼容工作站或服務(wù)器 (compatws.inf)

² 安全工作站或服務(wù)器 (securews.inf)

² 高度安全工作站或服務(wù)器 (hisecws.inf)

² 專(zhuān)用域控制器 (dediCADc.inf)

² 安全域控制器 (securedc.inf)

² 高度安全域控制器 (hisecdc.inf)

系統(tǒng)中的每個(gè)模板都為基于文本的 .inf 文件。可允許復(fù)制、粘貼、導(dǎo)入或?qū)С瞿承┗蛩心０鍖傩浴３薎P安全性和公用密鑰策略之外，可以在安全模板中包含所有其他安全屬性。

一個(gè)模板中一般包括如下安全設(shè)置項(xiàng)：

² 賬號(hào)策略。密碼、賬號(hào)鎖定和 Kerberos 策略的安全性。

² 本地策略。用戶(hù)權(quán)利和記錄安全事件。

² 事件日志。定義事件日志的安全性。

² 受限的組。本地組成員的管理。

² 注冊(cè)表。本地注冊(cè)表項(xiàng)的安全性。

² 文件系統(tǒng)。本地文件系統(tǒng)的安全性。

² 系統(tǒng)服務(wù)。本地服務(wù)的安全性和啟動(dòng)模式。

7 Windows 2000中的網(wǎng)絡(luò)安全

在Windows2000安全結(jié)構(gòu)和框架中，除了能夠保護(hù)網(wǎng)絡(luò)資源和硬盤(pán)資源的合法使用以外，還應(yīng)該提供多種技術(shù)措施來(lái)保證網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性。為滿(mǎn)足這種需求，Windows2000中集成了對(duì)Internet協(xié)議安全I(xiàn)PSec的支持。

IPSec是一組Internet標(biāo)準(zhǔn)協(xié)議，可以在非安全網(wǎng)絡(luò)之間建立安全通道，對(duì)傳輸?shù)男畔⑦M(jìn)行安全處理。IPSec的加密技術(shù)應(yīng)用于網(wǎng)絡(luò)的IP層，所以，對(duì)于大部分使用特定網(wǎng)絡(luò)通信協(xié)議的上層應(yīng)用來(lái)說(shuō)都是透明的。IPSec提供了端到端（end-to-end）的安全性，也就是說(shuō)由發(fā)送端計(jì)算機(jī)加密的IP包只能被接收端計(jì)算機(jī)解密，中間截獲的數(shù)據(jù)都是不可讀的。

IPSec提供了如下安全功能：

Ø 在Kerberos認(rèn)證、數(shù)字證書(shū)或共享密鑰的基礎(chǔ)上認(rèn)證IP數(shù)據(jù)包的發(fā)送者。

Ø 保證IP數(shù)據(jù)包在網(wǎng)絡(luò)傳輸過(guò)程中的完整性。

Ø 對(duì)通過(guò)網(wǎng)絡(luò)傳輸?shù)乃行畔⑦M(jìn)行加密，以保證數(shù)據(jù)的機(jī)密性。

Ø 在數(shù)據(jù)傳輸過(guò)程中，可以隱藏?cái)?shù)據(jù)的原始IP地址。

所以，Windows 2000使用IPSec，可以充分保障網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臋C(jī)密性、認(rèn)證性、完整性和不可否認(rèn)性。

另外，Windows 2000中還提供了其它的網(wǎng)絡(luò)和信息安全技術(shù)支持，如虛擬專(zhuān)用網(wǎng)VPN支持和Internet驗(yàn)證服務(wù)等。所私，通過(guò)對(duì)Windows 2000的合理化管理和配置，可以在現(xiàn)有投資的情況下有效保證網(wǎng)絡(luò)信息的安全性。