文档介绍：第4章 Windows 2000网络操作系统的安全
Windows 2000的安全性设计
Windows 2000中的验证服务架构
Windows 2000的安全特性
Windows 2000的组策略的管理安全
审计与入侵检测
修补程序
信息安全对今天的网络系统来说,是一个非常重要又非常严重的问题,它涉及到从硬件到软件、从单机到网络的各个方面的安全性机制。而网络操作系统的安全性是整个网络系统安全体系中的基础环节。Windows 2000的分布式安全机制,实现高度的安全性集成,以保护和促进业务的发展
§ Windows 2000的安全性设计
作为继Windows NT之后的新一代的企业级网络操作系统,Windows 2000在安全特性主要体现在三个方面:
· 上的新型服务的支持
Windows 2000可以实现移动办公、远程服务、以及安全通信和基于SSL/TLS的电子商务等服务。
· 使用安全性框架
Windows 2000中有“安全服务提供者接口”即SSPI,(Security Service Provider Interface),方便了其它验证方式在Windows 2000中对于其上层应用层来说,是没有任何不同的。
· 实现对Windows NT
Windows 2000提供了对Windows NT (NT LAN Manager)安全验证机制的支持。用户可以迁移到Windows 2000中,替代NTLM的Kerberos安全验证机制。
§ Windows 2000中的验证服务架构
在Windows 2000中的验证服务是以整个体系框架的结构来完成的,它的具体的验证服务架构如图4-1所示。
Kerberos的验证机制
上广泛采用的一种安全验证机制,它基于公钥技术。Kerberos协议规定了客户机/密钥发布中心(Key Distribution Center,KDC)/服务器三者之间获得和使用Kerberos票证进行通信规则和过程。
Kerberos验证机制加强了Windows 2000的安全性,它使网络应用服务验证速度更快捷,同时可以建立域信任以及在建立域信任的域中传递信任关系,另外Kerberos验证有互操作性的优势。在一个多种操作系统并存的异构网络环境中,Kerberos协议使用一个统一的用户数据库对各种用户进行验证,这样就解决了现在异构环境中的统一验证问题。
§ Windows 2000的安全特性
Windows 2000有数据安全性、企业间通信的安全性、网的单点安全登录、以及易用和良好扩展性的安全管理等安全特性。
1. 数据安全性
数据安全是指数据的保密性和完整性,Windows 2000的数据安全性表现在:
(1)用户登录时的安全性
在用户登录网络时,数据的安全保护开始,Windows 2000使用Kerberos和PKI验证协议提供了强有力的口令保护和单点登录。
(2)网络数据的保护
网络数据指的是本地网络中数据以及不同网络间传送的数据。
· 本地网络的数据是由验证协议以及IP Security加密来实现。
· 网络间传送的数据可以通过IP Security 加密TCP/IP通信、Windows 2000路由和远程访问服务、代理服务等实现。
(3) 存储数据的保护
存储数据的保密在Windows 2000中有文件加密系统以及数字签名等来实现存储数据的保密。
2. 通信的安全性
Windows 2000提供了多种安全协议和用户模式的内置的集成。它支持虚拟专用网技术以及使用公钥体制并可以使用电子证书来把外部用户映射成为目录服务中的一个用户账户。
3. 单点安全登录
Windows 2000的用户单点登录网络后,通过网络验证之后,它就可以根据自己拥有的权限访问其相应的服务,Windows 2000透明地管理一个用户的安全属性(Security Credentials)。
4. 安全的管理性
Windows 2000使用安全性模板对计算机进行安全性配置和分析。安全性模板MMC提多种管理模板从而实现了对工作站、服务器、域控制器的安全管理,在这些安全性模板中,可以配置相应的安全策略。
§ Windows 2000组策略的管理安全
在Windows 2000中的组策略有如下几种:
· 帐户策略\密码策略配置密码存留期、长度和复杂性
· 帐户策略\帐户锁定策略配置锁定时间、阈值和复位计数器
· 帐户策略\Kerberos 策略配置票证寿命
· 本地策略\审计策略启用/禁用特定事件的记录
· 本地策略\用户权限定义权限,如本地登录、从网络访问等
· 本地策略\安全选项修改与注册表值