隨著信息技術和網絡技術的發展，特別是Internet的不斷普及，如何防止信息不被非法截獲和破壞，即有效維護網絡信息的安全性，成為越來越多的人關注的焦點。作為新一代的操作系統的Windows

2000，可通過多種技術和手段來控制用戶對資源的訪問，提高網絡的安全性，其中包括與活動目錄（Active Directory）服務的集成、支持認證Windows 2000用戶的Kerberos v5認證協議、提供了公鑰基礎設施PKI支持，用公鑰證書對外部用戶進行認證、使用加密文件系統EFS（Encrypting File

System）保護本地數據以、使用Internet協議安全IPSec（Internet Protocol security）來保證通過公有網絡的通信的安全性，以及基于Windows 2000的安全應用開發的可擴展性等等。

1 活動目錄技術

活動目錄服務在Windows 2000信息安全和網絡安全中具有重要作用，它是關于用戶、硬件、應用和網絡數據的存儲中心，也存儲用戶的認證信息，以及用戶使用某一資源的授權信息等?；顒幽夸浥cWindows

2000的其他安全服務緊密集成，如Kerberos認證協議、公鑰基礎設施PKI、加密文件系統EFS、安全設置管理器和組策略等。

同Windows NT中的平面文件（flat-file）目錄不同，Windows 2000活動目錄采用了代表商業企業組織結構的分層目錄結構來存儲信息，這樣可以簡化管理，具有良好的可伸縮性。為了創建這種分層結構，同Windows采用文件和文件夾來組織本地資源的方法類似，活動目錄使用域（domains）、組織單元OUs（Organizational Units）和對象來管理和使用網絡資源。

一個域是網絡對象，包括組織單元、用戶賬號、組和計算機等的集合，它們共享一個公共目錄數據庫，并組成活動目錄中邏輯結構的核心單元。每個域中可能包含多個組織單元和用戶（對象），這樣更符合公司或企業的組織模式。

大的企業或組織可能包含多個域，這種情況下的域分層就稱為域樹（Domain Tree）。創建的第一個域為根（root）域，也稱為父域，在其下面創建的域為子（child）域。為了支持更大的組織結構，多個域樹連接起來可以組成森林（forest），在這種情況下，需要使用多個域控制器，活動目錄就可以定時在多個域控制器之間復制信息，從而保持目錄數據庫信息的同步。

在域中，一個組織單元OU是把對象組織成邏輯管理組的容器，其中包括一個或多個對象，如用戶賬號、組、計算機、打印機、應用、文件共享或其他OU等。

一個對象包括一個獨立個體，如特定的用戶、計算機或硬件信息（屬性），如一個用戶的屬性可能包括名字、電話號碼和電子郵件等；一個計算機對象的屬性可能包括計算機位置和指定哪些用戶或組能夠訪問該計算機資源的存取控制列表ACL（Access Control List）等。通過域和OU的組織形式，系統就可以以集合的形式來管理對象的安全性，如用戶組和計算機組等，而不需要對每個獨立的用戶和對象進行配置。

為了使用戶登錄一次而在整個網絡中使用資源，即單次登錄（single sign-on），Win2000支持域之間的信任關系。在域之間建立起相互認證的邏輯關系，允許計算機和用戶只需在域樹（甚至森林）中的任何一個域中進行身份認證，然后就可以在整個網絡中使用經過授權的資源。

2 Kerberos認證

Kerberos認證協議定義了客戶端和稱為密鑰分配中心KDC（Key Distribution Center）的認證服務之間的安全交互過程。Windows2000在每一個域控制器中應用KDC認證服務，其域同Kerberos中的realm功能類似，具體可參考RFC 1510協議。Windows2000中采用多種措施提供對Kerberos協議的支持：Kerberos客戶端使用基于SSPI的Windows2000安全提供者，初始Kerberos認證同WinLogon的單次登錄進行了集成，而Kerberos KDC也同運行在域控制器中的安全服務進行了集成，并使用活動目錄作為用戶和組的賬號數據庫。

Kerberos是基于共享密鑰的認證協議，用戶和密鑰分配中心KDC都知道用戶的口令，或從口令中單向產生的密鑰，并定義了一套客戶端、KDC和服務器之間獲取和使用Kerberos票據的交換協議。當用戶初始化Windows登錄時，Kerberos SSP利用基于用戶口令的加密散列獲取一個初始Kerberos票據TGT，Windows2000把TGT存儲在與用戶的登錄上下文相關的工作站的票據緩存中。當客戶端想要使用網絡服務時，Kerberos首先檢查票據緩存中是否有該服務器的有效會話票據。如果沒有，則向KDC發送TGT來請求一個會話票據，以請求服務器提供服務。

請求的會話票據也會存儲在票據緩存中，以用于后續對同一個服務器的連接，直到票據超期為止。票據的有效期由域安全策略來規定，一般為8個小時。如果在會話過程中票據超期，

Kerberos SSP將返回一個響應的錯誤值，允許客戶端和服務器刷新票據，產生一個新的會話密鑰，并恢復連接。

使用Kerberos認證協議的客戶端、KDC和應用服務器之間的關系:

在初始連接消息中，Kerberos把會話票據提交給遠程服務，會話票據中的一部分使用了服務和KDC共享的密鑰進行了加密。因為服務器端的Kerberos有服務器密鑰的緩存拷貝，所以，服務器不需要到KDC進行認證，而直接可以通過驗證會話票據來認證客戶端。在服務器端，采用Kerberos認證系統的會話建立速度要比NTLM認證快得多，因為使用NTLM，服務器獲取用戶的信任書以后，還要與域控制器建立連接，來對用戶進行重新認證。

Kerberos會話票據中包含有一個唯一的、由KDC創建的、用于客戶端和服務器之間傳輸數據和認證信息加密的會話密鑰。在Kerberos模型中，KDC是作為產生會話密鑰的可信第三方而存在的，這種形式更適合于分布式計算環境下的認證服務。

Kerberos作為基本的Windows 2000認證協議，與Windows2000認證和存取控制安全框架進行了緊密整合。初始的Windows域登錄由WinLogon提供，它使用Kerberos安全提供者（security provider）來獲取一個初始的Kerberos票據。操作系統的其他組件，如轉向器（ReDirector）則使用安全提供者的SSPI接口來獲取一個會話票據，以連接對遠程文件存取的SMB服務器。

Kerberos V5協議在會話票據中定義了一個攜帶授權數據的加密域，該域的使用留給了應用開發，而Windows2000則使用Kerberos票據中的授權數據來附帶代表用戶和組成員的Windows安全ID。在服務器端的Kerberos安全提供者則使用授權數據來建立代表用戶的一個Windows安全存取控制令牌，可以模擬客戶端來請求提供相應服務。

Windows2000中應用了Kerberos協議的擴展，除共享密鑰外，還支持基于公/私鑰對的身份認證機制。Kerberos公鑰認證的擴展允許客戶端在請求一個初始TGT時使用私鑰，而KDC則使用公鑰來驗證請求，該公鑰是從存儲在活動目錄中用戶對象的X.509證書中獲取的。用戶的證書可以由權威的第三方，如VeriSign和Digital IDs等來發放，也可以由Windows2000中的微軟證書服務器來產生。初始認證以后，就可以使用標準的Kerberos來獲取會話票據，并連接到相應的網絡服務。

通過對Kerberos協議進行公鑰擴展，可以使用戶采用多種方式來登錄工作站和網絡，如采用智能卡技術。智能卡中一般存儲有用戶的私鑰，可用于Kerberos的初始化認證處理。

目前，使用公鑰技術來擴展Kerberos協議的計劃和建議已經提交到IETF來進行標準化推廣。

3 公鑰基礎設施PKI和認證機構CA

Windows 2000作為新推出的操作系統，對PKI做了全面支持。PKI在提供高強度安全性的同時，還與操作系統進行了緊密集成，并作為操作系統的一項基本服務而存在，避免了購買第三方PKI所帶來的額外開銷。組成Windows2000 PKI的基本邏輯組件中最核心的為微軟證書服務系統（Microsoft Certificate Services），它允許用戶配置一個或多個企業CA，這些CA支持證書的發放和廢除，并與活動目錄和策略配合，共同完成證書和廢除信息的發布。

Windows 2000 PKI并沒有替換掉基于域控制器DC （Domain Controller）和Kerberos密鑰分配中心KDC的Windows NT 域信任和認證機制，相反，Windows 2000 PKI反而對這些服務進行了增強，適合于Extranet和Internet的不同應用，并可應用于具有可伸縮性和分布式環境下，提供身份識別、認證、完整性驗證和機密性等安全服務。

Windows 2000 PKI建立在微軟久經考驗的PKI組件基礎之上，其基本組件包括如下幾種：

² 證書服務（Certificate Services）。證書服務作為一項核心的操作系統級服務，允許組織和企業建立自己的CA系統，并發布和管理數字證書。

² 活動目錄。活動目錄服務作為一項核心的操作系統級服務，提供了查找網絡資源的唯一位置，在PKI中為證書和CRL等信息提供發布服務。

² 基于PKI的應用。Windows 本身提供了許多基于PKI的應用，如Internet Explorer、Microsoft

Money、Internet Information Server、OutLook和Outlook

Express等。另外，一些其它第三方PKI應用也同樣可以建立在Windows 2000 PKI基礎之上。

² Exchange密鑰管理服務KMS（Exchange Key Management Service）。KMS是Microsoft Exchange提供的一項服務，允許應用存儲和獲取用于加密e-mail的密鑰。在將來版本的Windows系統中，KMS將作為Windows操作系統的一部分來提供企業級的KMS服務。

Windows 2000中的集成PKI系統提供了證書服務功能，可以讓用戶通過Internet/ extranets/intranets安全地交互敏感信息。證書服務驗證一個電子商務交易中參與各方的有效性和真實性，并使用智能卡等提供的額外安全措施來使域用戶登錄到某個域。

Windows2000通過創建一個證書機構CA來管理其公鑰基礎設施PKI，以提供證書服務。一個CA通過發布證書來確認用戶公鑰和其他屬性的綁定關系，以提供對用戶身份的證明。Windows2000證書服務創建的CA可以接收證書請求、驗證請求信息和請求者身份、發行和撤銷證書，以及發布證書廢除列表CRL（Certificate Revocation List）。證書服務是通過內置的證書管理單元來實現的。

4 智能卡技術

現在越來越多的企業正在尋找各種方法來提高其網絡資源的安全性，智能卡（smart cards，或稱為靈巧卡）就是其中比較流行的一個。智能卡提供了讓非授權人更難獲取網絡存取權限的一種簡單方式，Windows2000對智能卡安全提供了內在支持。

智能卡同普通信用卡的大小差不多，并提供了抗修改能力，用于保護其中的用戶證書和私鑰。在這種方式下，智能卡提供了一種非常安全的方式以進行用戶認證、交互式登錄、代碼簽名和安全e-mail傳送等。每一個智能卡中都包含一個芯片，其中存儲有用戶的私鑰、登錄信息和用于不同目的的公鑰證書，如數字簽名證書和數據加密證書等。

使用智能卡比使用口令進行認證具有更高的安全性：

² 智能卡方式下需要使用物理對象（卡）來認證用戶。

² 智能卡的使用必須提供一個個人標識號PIN（Personal Identification Number），這樣可以保證只有經過授權的人才能使用該智能卡。

² 從物理形式上，密鑰不能從卡中導出，就消除了通過盜取用戶證書而對系統發起的攻擊和威脅。

² 沒有智能卡，攻擊者不能存取和使用經過卡保護的信息資源。

² 在網絡中，沒有口令或任何可重用信息的傳輸。

在存取和使用資源之前，智能卡通過要求用戶提供物理對象（卡）和卡使用信息（如卡的PIN）的方式來增強純軟件認證方案的安全性，這種認證方式稱為雙因素（two-factor）認證，比較適合應用于安全性要求較高的重要場合。

同口令認證方式不同，采用智能卡進行認證時，用戶把卡插入連接到計算機的讀寫器中，并輸入卡的PIN，Windows就可以使用卡中存儲的私鑰和證書來向Windows2000域控制器的KDC認證用戶。認證完用戶以后，KDC將返回一個許可票據。

5 加密文件系統EFS

前面討論的技術，包括活動目錄、Kerberos認證和PKI等，都是用于保護存儲在中心網絡中的資源。如何保護本地系統，如硬盤中的數據的安全性，也是人們很關心的問題。

Windows2000加密文件系統EFS則滿足了上述需求，讓用戶可以對指定的本地計算機中的文件或文件夾進行加密，非授權用戶不能對這些文件進行讀寫操作。當用戶的計算機物理丟失時，使用EFS系統可以防止敏感信息的丟失和泄漏，因為這些文檔都是經過加密處理的。

當使用EFS對NTFS文件系統的文件或文件夾進行安全處理時，操作系統將使用CryptoAPI所提供的公鑰和對稱密鑰加密算法對文件或文件夾進行加密。EFS作為操作系統級的安全服務，內部實現機制非常復雜，但管理員和用戶使用起來卻非常簡單。選中某一文件或文件夾以后，右擊，在彈出式按鈕中選擇“屬性”菜單項，在彈出的對話框中選擇“常規標簽頁”，單擊“高級”按鈕，并選擇“加密內容以便保護數據”檢查框，如圖3所示。單擊“確定”按鈕即可完成文件或文件夾的加密處理。

當文件保存時EFS將自動對文件進行加密，當用戶重新打開文件時將對文件進行自動解密。除加密文件的用戶和具有EFS文件恢復證書的管理員之外，沒有人可以讀寫經過加密處理的文件或文件夾。因為加密機制建立到了文件系統內部，它對用戶的操作是透明的，而對攻擊者來說卻是加密的。

EFS加密文件的時候，使用對該文件唯一的對稱加密密鑰，并使用文件擁有者EFS證書中的公鑰對這些對稱加密密鑰進行加密。因為只有文件的擁有者才能使用密鑰對中的私鑰，所以也只有他才能解密密鑰和文件。

在某些情況下，即使有些人使用底層的磁盤工具，也不能越過EFS機制來讀取文件信息，這點在Windows NT中是無法做到的。如果不是合法的用戶登錄到網絡中，即使文件通過網絡或物理方法被竊取到，因為沒有密鑰，同樣不能讀寫，也不能進行任何不被發覺的修改。

在某些情況下會發生諸如用戶私鑰丟失或雇員離開公司等突發事件，EFS提供了一種恢復機制，可以恢復經EFS加密的文件信息。當使用EFS時，系統將自動創建一個獨立的恢復密鑰對，并存儲在管理員EFS文件恢復證書中?；謴兔荑€對的公鑰用于加密原始的加密密鑰，并在緊急情況下使用私鑰來恢復加密文件的密鑰，從而恢復經過加密的文件。

6 安全設置模板

為了方便一個組織網絡安全設置的建立和管理，Windows 2000提供了安全模板（Security Templates）工具。管理員使用微軟管理控制臺MMC可以很容易定義標準模板，并統一地應用到多個計算機或用戶中。

一個安全模板是一個安全配置的物理表示，換句話說，它是存儲一組安全設置的文件。Windows2000中包括一系列的標準安全模板，并應用于不同的場合和計算機的不同角色。這些標準模板包括的范圍比較廣，從低安全的域客戶端設置到高安全的域控制器設置都有。這些模板可直接應用、修改或作為創建用戶自定義安全模板的基礎。

預定義的安全模板包括如下幾種：

² 默認工作站 (basicwk.inf)

² 默認服務器 (basicsv.inf)

² 默認域控制器 (basicdc.inf)

² 兼容工作站或服務器 (compatws.inf)

² 安全工作站或服務器 (securews.inf)

² 高度安全工作站或服務器 (hisecws.inf)

² 專用域控制器 (dediCADc.inf)

² 安全域控制器 (securedc.inf)

² 高度安全域控制器 (hisecdc.inf)

系統中的每個模板都為基于文本的 .inf 文件?？稍试S復制、粘貼、導入或導出某些或所有模板屬性。除了IP安全性和公用密鑰策略之外，可以在安全模板中包含所有其他安全屬性。

一個模板中一般包括如下安全設置項：

² 賬號策略。密碼、賬號鎖定和 Kerberos 策略的安全性。

² 本地策略。用戶權利和記錄安全事件。

² 事件日志。定義事件日志的安全性。

² 受限的組。本地組成員的管理。

² 注冊表。本地注冊表項的安全性。

² 文件系統。本地文件系統的安全性。

² 系統服務。本地服務的安全性和啟動模式。

7 Windows 2000中的網絡安全

在Windows2000安全結構和框架中，除了能夠保護網絡資源和硬盤資源的合法使用以外，還應該提供多種技術措施來保證網絡傳輸數據的安全性。為滿足這種需求，Windows2000中集成了對Internet協議安全IPSec的支持。

IPSec是一組Internet標準協議，可以在非安全網絡之間建立安全通道，對傳輸的信息進行安全處理。IPSec的加密技術應用于網絡的IP層，所以，對于大部分使用特定網絡通信協議的上層應用來說都是透明的。IPSec提供了端到端（end-to-end）的安全性，也就是說由發送端計算機加密的IP包只能被接收端計算機解密，中間截獲的數據都是不可讀的。

IPSec提供了如下安全功能：

Ø 在Kerberos認證、數字證書或共享密鑰的基礎上認證IP數據包的發送者。

Ø 保證IP數據包在網絡傳輸過程中的完整性。

Ø 對通過網絡傳輸的所有信息進行加密，以保證數據的機密性。

Ø 在數據傳輸過程中，可以隱藏數據的原始IP地址。

所以，Windows 2000使用IPSec，可以充分保障網絡數據傳輸的機密性、認證性、完整性和不可否認性。

另外，Windows 2000中還提供了其它的網絡和信息安全技術支持，如虛擬專用網VPN支持和Internet驗證服務等。所私，通過對Windows 2000的合理化管理和配置，可以在現有投資的情況下有效保證網絡信息的安全性。