大探讨Windows 2000安全机制.docVIP

前言 本篇文章主要探讨Windows 2000的安全机制，包含Kerberos Version 5、IP Security Protocol和Encryption File System。由于本篇文章撰写时，Windows 2000正式版尚未发表，因此本篇文章是以Windows 2000 Advanced Server RC2为测试环境。 Kerberos Version 5 在Windows 2000的环境中，Microsoft使用了Kerberos Version 5这个protocol来验证使用者身份。但是在Windows 2000中为了与NT 4.0兼容，也提供了以往NTLM(Windows NT Lan Manager)的验证方式。 Kerberos的验证方式提供了以下的优点： 快速网络连结：在以往NT 4.0 NTLM 的验证方式中，每一个提供使用的伺 服器收到使用者的存取要求后，都必须再去连结域控制器 (Domain Controllers)确认使用者身份。但是在Kerberos中， 使用者存取服务器时只要提供session key与session ticket， 服务器就可以验证使用者的身份，不需要再去连结网域控制 器要求验证。 双向验证：NT 4.0中的NTLM仅允许服务器验证使用者身份，并不允许使 用者去验证他现在连结的服务器是否就是他所要存取的伺服 器。换句话说，NTLM是假设所有的服务器皆是真实的。但是， Kerberos protocol可以提供双向验证，除了服务器必须验证使用 者身份外，使用者也可以要求对服务器验证。 委托验证：这个功能主要是应用在三层式架构的应用程序上(Three-tier Application)。在这个架构下，使用者的应用程序会先连上应用程 式服务器(Application Server)，再由应用程序服务器连结至数据库 服务器(Database Server)，而在应用程序连结至数据库服务器时， Kerberos提供了一种代理机制(Proxy mechanism)可以让应用程序 服务器以使用者身份登入并存取数据库服务器。这个功能NTLM 并没有提供。 兼容性：Windows 2000采用的Kerberos Version 5是一个IETF的标准。因此 Windows 2000可以透过Kerberos与其它的网络操作系统互相验证， 结合异质化网络。 ˙Kerberos 简介 在Kerberos的验证方式中，主要有使用者端、服务器及被信任的中介者端。而这个被信任的中介者即所谓的KDC(Key Distribution Center)。KDC储存了这个领域(Realm，在Windows 2000中对应至Domain)中所有使用者和服务器的金钥(Key)，而这个金钥只有KDC与其使用者或服务器知道。举例而言，如Allice这个使用者要存取服务器ServerB，则Allice须先向KDC申请一个session key，同时KDC也会把这个session key交给ServerB，而Allice将封包以session key加密后送至ServerB，ServerB收到这个封包后会以session key将这个封包解密，而因此session key只有Allice和ServerB知道，若ServerB能以此session key将封包解密，就代表要求存取的使用者确实为Allice。 ˙Kerberos in Windows 2000 但是以上的验证方法有其缺点存在，因ServerB并非只有一个使用者会来要求存取。若采用上述的方法，则ServerB必须记住所有要求存取的使用者的session key，如此一来，服务器的效能将会变得非常差。 因此，Microsoft Windows 2000并非采用上述之作法。兹以上述例子为例，当Allice登入Windows 2000的网域时，Allice这台计算机上的Kerberos Client Service会将Allice输入的密码以算法转换成一个long-term key，而此long-term key会透过网络送到KDC。KDC收到Allice的long-term key之后会去搜寻Active Directory Database(在Windows 2000，所有的DC(Domain