Windows_NT_Server_企业级技术白皮书.docVIP

Windows NT Server 企业级技术白皮书 安全性 信息安全是指对共享数据的控制以确保在正确的时间，正确的人访问正确的信息。这个要求转化为一系列的安全服务，它们实现了对谁能显示，修改或者删除信息的控制，以及一系列的操作服务，以实现和管理这些安全服务。 并不是所有的安全服务都由操作系统来实现。某些安全功能，例如认可（nonrepudiation）或者数字签名（digital signatures），更适合在应用程序层次上实现。 在白皮书的这一部分，我们将分别介绍Windows NT的安全服务和操作服务。 验证 商业应用程序要被不同的人访问-他们使用远程或者本地计算机。操作系统需要回答的第一个问题是这个人是否有权力访问这个应用程序？。确保用户就是他们自己声称的那个人的能力是操作系统必须提供的最重要的安全功能之一。验证机制把系统标识，该标识用于当用户在系统上工作时跟踪他们，同真实身份标识绑定在一起。 验证机制可以归结为四种： 你知道的某些事情-这是最常用的，相对来说也是不很安全的机制，例如用户名字/密码对。 你拥有的某种东西-汽车钥匙，ATM卡，以及其他物理记号，这是一种需要对某个唯一设备进行物理处理以确认用户的验证机制。 你具有的某种特征-指纹，视网膜扫描，以及声音检测等等，这是一种可以提供很高安全性的生物验证机制。 你所在的某个位置-网络适配卡地址，基于全球卫星定位的系统等等可以提供基于用户位置的的验证信息。 一个强大的验证系统一般至少需要同时使用上面这些验证机制中的两种。例如，在ATM上取款就需要你拥有ATM卡并且同时还要知道密码。验证信息的保密性是非常重要的，如果你把密码写在ATM卡上，就降低了这种验证的强度。同样的道理，如果用户名字/密码信息在网络上用明文传递，要实现可靠的验证也就不可能了。 操作系统的验证机制可以通过下面这些指标来评估： 支持的验证方法的数量。 方法的强度。 验证信息是否集成到所有安全操作中。 Microsoft Windows NT 4.0验证服务 Windows NT 4.0要求在访问系统资源，例如文件，目录等等，以前进行验证。Windows NT提供了一个引发安全性的键组合（CTRL-ALT-DEL组合键）建立到操作系统的通信，而且也只到操作系统的，以进行验证。这种信任路径机制的使用可以防止特洛伊木马程序截获一个经过适当培训的用户的初始认证信息。 缺省的验证机制是用户名字和密码。Windows NT提供了设置密码有效期限，强度（也就是长度），历史，以及使用时间的能力。Windows NT还针对可猜测性或者字典攻击提供了对管理员密码的强度的密码过滤器。Windows NT对储存在注册表中的密码信息进行了加密。这样的手段降低了对密码文件的基于字典的猜测式攻击，无论该文件是在本地机上或者攻击者把该文件复制到其他机器上。 虽然Windows NT提供了用户名字/密码验证，它还提供了标准的图形化标识和验证接口（GINA，Graphical Identification and Authentication），这样第三方可以很容易的把附加的验证方法集成到Windows NT中。存在广泛的第三方验证机制，从单用途密码到智能卡到生物测定学方法到多方认证。 除了GINA，Windows NT还提供了安全服务提供者接口（Security Services Provider Interface）和加密应用程序编程接口（CAPI，Cryptographic Applications Programming Interface）。这些模块提供应用程序访问操作系统上的加密服务的标准方法，以及供应商为操作系统提供附加加密服务的标准方法。 Windows NT把验证机制集成到全部安全操作和体系中。分布式应用程序使用Windows NT验证机制进行客户/服务器访问。这些验证机制使用挑战/响应协议，这个协议对密码进行数学转换，密码决不会以明文形式传递。结合前面提到的很难被欺骗的信任路径登录，经过认真选择的用户密码是非常强大的。 访问控制 一旦操作系统断定连接的用户是正确的用户，它就必须回答该用户可用的信息是什么？访问控制是防止未经授权的实体对系统信息进行访问的机制。典型的企业操作系统都支持访问控制机制，该机制指定可以读，写，修改，或者复制特定的系统对象。 访问控制可以有不同的粒度级别，从字节级别到系统级别并且可以基于一组系统级别模型： 托管访问控制要求进行集中的授权以决定对某人什么是可以访问的-数据所有者和创建者不可以修改访问控制。 自由选择访问控制允许对象的所有者定义和修改分配给对象的访问控制。 基于角色的访问控制，允许给用户分配角色，然后对角色应用访问规则。这样可简