TNQ400-05,TAPE1.docVIP

Page  PAGE \* MERGEFORMAT 44 TNQ400-05, TAPE 1 MARIO TORRES: 大家好，欢迎参加Microsoft TechNet会议TNQ400-05。本次会议的主题是认识Windows 2000的安全特性。我叫Mario Torres，我是在新英格兰实践基地的Microsoft咨询服务成员。在会议开始之前，让我们先来介绍一下本次会议的一些必备的条件。 本次会议假设您已经接触过或具备了一些Windows 2000的基本操作知识。大概您已经有机会参加其它一些会议，或者已经操作过Windows 2000，或者已经在您所处的环境中使用过Windows 2000。同时，您也需要对Active Directory的基础知识有所了解。本次会议没有详细介绍什么是Active Directory，只是介绍了Active Directory的一些安全问题。另外，对Windows安全有一定的了解和操作经验也是很重要的。在几处引用了NT4或NT LAN管理器的安全性，所以对这些概念有一些了解对您来说将是很有帮助的。这也是一次等级为200的会议。它没有过于详细地涉及Windows 2000安全特性中的一些特殊方面，只是试图从整体上进行广泛的介绍。 我们将要介绍的内容以及今天您将学习到的知识包括：Kerberos验证协议，所以我们将讨论Kerberos，它是Windows 2000中默认的安全提供器。当我介绍Active Directory和组策略时，将对公钥基础结构进行一些详细的介绍。我们尤其要讨论一些证书授权机构并对智能卡验证进行一些操作。另外，我们打算使用公钥基础结构，或者PKI，实现安全的Web访问和安全的S-MIME的电子邮件访问。最后，我们将就维护系统安全、抵制常用攻击等内容进行讨论。我们将就识别一些常见的攻击过程进行基本的介绍，以及Windows 2000是如何解决这些问题的。 Windows 2000提供了一个基本的安全模型。它具有共享的密钥协议，例如Windows NT NTLM验证。这样就为混合域中的NT 4.0工作站或者NT 4.0服务器提供了兼容性，然后Windows 2000就能够使用NTLM验证。显然，它也为企业网络提供了Kerberos 5.0版本。另外，还具有可用的公钥证书协议，例如SSL协议，即安全套接字层协议和TLS，即传输层安全。另外，IP安全已经添加到Windows 2000中，作为公共用户证书协议的一部分。IP安全或者IPSec，更加为人所知，在设置虚拟私人网络或校园网安全时特别有用。而且，Active Directory本身也包括多种表单和证书。 下面我们来看一下多种验证服务的体系结构。它根据SSPI（安全支持提供器接口）而进行分类。如果我们看一下SSPI的下面，将看到有几个多种提供器，它们提供在我们所处的环境中提供了多种安全服务。首先是NTLM，即NT LAN管理器，在同样的数据库中存储其信息。接下来我们向下移动滚动条，将看到这里也提供了Kerberos。Kerberos同密钥分配中心和目录服务协同工作来存储其信息。我们也有S通道，即安全通道，在我们所处的环境中提供最基本的证书服务。它也支持SSL和TLS。还有另外一个安全项DPA，表示已分配的口令的验证。DPA同成员关系服务协同工作，例如站点服务器能够为您的团体提供成员服务。如果我们再看一下SSPI（安全支持提供器接口）的上面，将看到您的环境中的其它一些服务集，它们同一个应用程序集协同工作。我们将看到CIFS SMB。CIFS表示公用Internet文件系统，它允许我们创建远程文件访问。还有一个安全的RPC，即远程进程调用，允许应用程序使用DCOM来提供安全性。还有HTTP，为我们提供了安全的Web访问，它同Internet Explorer和Internet信息服务器协同工作。还有LDAP，同目录使能的应用程序协同工作，能够使用诸如Active Directory等服务接口通过LDAP来访问，例如，目录服务。最后，看一下POP3和NTP，正如例子中所看到的，提供了邮件、聊天和新闻应用程序。 好了，下面是一个关于Kerberos的小测试。为什么Windows 2000使用Kerberos作为它的安全提供器，或者，也就是说，为什么我们不用NTLM而使用它作为默认的安全提供器。 原因是由于它是基于一个标准的。Kerberos已经应用相当长的时间并可以用于非Windows的环境中。所以等到互用性被连接，Kerberos为我们提供了同UNIX服务器进行验证的能力，同UNIX工作站验证到一个NT环境中一样。它也提供了更好的网络性能。它在网络上具有比早期NTLM模型更佳的性能，我打算多花费一些时间来对它进行一些讨