Windows 2000 安全性技術概述--1
icrosoft? Windows? 2000 Server 操作系統的分布式安全服務能讓組織識別網絡用戶并控制他們對資源的訪問。操作系統的安全模型使用信任域控制器身份驗證、服務之間的信任委派以及基于對象的訪問控制。其核心功能包括了與 Windows 2000 Active Directory? 服務的集成、支持 Kerberos 版本 5 身份驗證協議（用于驗證 Windows 2000 用戶的身份）、驗證外部用戶的身份時使用公鑰證書、保護本地數據的加密文件系統 (EFS)，及使用 Internet 協議安全性 (IPSec) 來支持公共網絡上的安全通訊。此外，開發人員可在自定義應用程序中使用 Windows 2000 安全性元素，且組織可以將 Windows 2000 安全設置與其他使用基于 Kerberos 安全設置的操作系統集成在一起。

引言

Microsoft? Windows? 2000 Server 操作系統不僅通過新的網絡技術來協助組織擴展其操作，也通過增強的安性服務來協助組織保護其信息及網絡資源。

Windows 2000 分布式安全服務針對主要業務需求，其中包括：

讓用戶登錄一次即可訪問所有企業資源的能力。
強大的用戶身份驗證及授權能力。
內部和外部資源間的安全通訊。
設置及管理必要安全性策略的能力。
自動化的安全性審核。
與其他操作系統和安全協議的互操作性。
支持使用 Windows 2000 安全設置功能進行應用程序開發的可擴展架構。
這些功能是整體 Windows 2000 安全設置架構的重要元素。Windows 2000 安全性基于簡單的身份驗證和授權模型。身份驗證在用戶登錄時識別用戶并將網絡連接到服務。經過識別后，用戶就會有權按照權限對一組特定的網絡資源進行訪問。授權是通過訪問控制機制來進行的，使用存儲在 Active Directory? 中的數據項以及訪問控制列表 (ACL)，后者定義對象（包括打印機、文件、網絡文件、及打印共享）的權限。

此安全模型讓經過授權的用戶在擴展的網絡上工作時更為容易，同時也提供強大的保護以對抗攻擊。Windows 2000 分布式安全模型基于信任域控制器身份驗證、服務之間的信任委派以及基于對象的訪問控制。

首先，域中的每臺客戶機都通過安全地對域控制器驗證身份來創建直接信任路徑。其次，客戶端不可能直接訪問網絡資源；相反，網絡服務創建客戶端訪問令牌并使用客戶端的憑據來執行請求的操作以模擬客戶端。最后，Windows 操作系統核心在訪問令牌中使用安全性標識符來驗證用戶是否被授予所需的對目標對象的訪問權限。

本白皮書描述 Windows 2000 分布式安全服務支持此模型的主要元素；包括 Active Directory、身份驗證和授權、以及有關 Kerberos 身份驗證協議的介紹。并對 Windows 2000 如何使用公鑰基本結構以及操作系統如何支持證書服務進行概述。另外還介紹用來保護硬盤上數據的加密文件系統 (EFS)。最后，它描述應用程序開發人員如何獲得 Windows 2000 安全服務以及這些安全服務如何與其他操作系統提供的服務進行互操作。
Active Directory 的角色

Windows 2000 Active Directory 服務在網絡安全性中扮演重要角色。Windows 2000 Server 和 Windows 2000 Professional 都有安全性功能保護存儲在個別 PC 上的信息。但對于控制網絡資源訪問的廣泛的、基于策略的安全，組織
應該同時使用 Windows 2000 Server 和 Professional 才可利用 Active Directory 所提供的分布式安全性功能的優勢。

Active Directory 提供一個中央位置來存儲關于用戶、硬件、應用程序和網絡上數據的信息，這樣用戶就可以找到他們所需要的信息。它也保存了必要的授權及身份驗證信息以確保只有適當的用戶才可訪問每一網絡資源。

此外，Active Directory 與 Windows 2000 安全服務（如 Kerberos 身份驗證協議、公鑰基本結構、加密文件系統 (EFS)、安全性配置管理器、組策略以及委派管理等）緊密集成。此集成允許 Windows 應用程序利用現有安全性架構，這
項功能在本白皮書中的稍后部分有說明。

Active Directory 基礎

由于兩者密不可分的關系，若要了解安全服務在 Windows 2000 中的工作方式，就需要對 Active Directory 架構有個基本了解。若您不熟悉 Active Directory，本部分提供了簡要概述。

注意 有關 Active Directory 的詳細信息，請瀏覽 Windows 2000 技術庫 中的資源。

與用在 Windows NT? Server 操作系統中的平面文件目錄不同，Windows 2000 Active Directory 在以表示您的業務結構的邏輯層次結構中存儲信息。這種方式允許更大的增長空間及簡化的管理。為了創建層次結構，Active Directory 使用域、組織單元 (OU) 及對象來讓您以更類似于在 Windows 中使用文件夾和文件來組織您 PC 上信息的方式來組織網絡資源。