Windows 2000 安全性技术概述.doc

Windows 2000 安全性技术概述 操作系统 白皮书 摘要 Microsoft? Windows? 2000 Server 操作系统的分布式安全服务能让组织识别网络用户并控制他们对资源的访问。操作系统的安全模型使用信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。其核心功能包括了与 Windows 2000 Active Directory? 服务的集成、支持 Kerberos 版本 5 身份验证协议（用于验证 Windows 2000 (EFS)，及使用 Internet 协议安全性 (IPSec) Windows 2000 安全性元素，且组织可以将 Windows 2000 Kerberos 安全设置的操作系统集成在一起。 Microsoft? Windows? 2000 Server 操作系统不仅通过新的网络技术来协助组织扩展其操作，也通过增强的安性服务来协助组织保护其信息及网络资源。 Windows 2000 分布式安全服务针对主要业务需求，其中包括： 强大的用户身份验证及授权能力。 内部和外部资源间的安全通讯。 设置及管理必要安全性策略的能力。 自动化的安全性审核。 与其他操作系统和安全协议的互操作性。 支持使用 Windows 2000 安全设置功能进行应用程序开发的可扩展架构。 Windows 2000 安全设置架构的重要元素。Windows 2000 Active Directory? 中的数据项以及访问控制列表 (ACL)，后者定义对象（包括打印机、文件、网络文件、及打印共享）的权限。 Windows 2000 分布式安全模型基于信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。 首先，域中的每台客户机都通过安全地对域控制器验证身份来创建直接信任路径。其次，客户端不可能直接访问网络资源；相反，网络服务创建客户端访问令牌并使用客户端的凭据来执行请求的操作以模拟客户端。最后，Windows 操作系统核心在访问令牌中使用安全性标识符来验证用户是否被授予所需的对目标对象的访问权限。 本白皮书描述 Windows 2000 分布式安全服务支持此模型的主要元素；包括 Active Directory、身份验证和授权、以及有关 Kerberos 身份验证协议的介绍。并对 Windows 2000 (EFS)。最后，它描述应用程序开发人员如何获得 Windows 2000 安全服务以及这些安全服务如何与其他操作系统提供的服务进行互操作。 Windows 2000 Web 站点技术库 /windows2000/library Active Directory 的角色 Windows 2000 Active Directory 服务在网络安全性中扮演重要角色。Windows 2000 Server 和 Windows 2000 Professional 都有安全性功能保护存储在个别 PC 上的信息。但对于控制网络资源访问的广泛的、基于策略的安全，组织应该同时使用 Windows 2000 Server 和 Professional 才可利用 Active Directory 所提供的分布式安全性功能的优势。 Active Directory 此外，Active Directory 与 Windows 2000 安全服务（如 Kerberos 身份验证协议、公钥基本结构、加密文件系统 (EFS)、安全性配置管理器、组策略以及委派管理等）紧密集成。此集成允许 Windows 应用程序利用现有安全性架构，这项功能在本白皮书中的稍后部分有说明。 Active Directory 由于两者密不可分的关系，若要了解安全服务在 Windows 2000 中的工作方式，就需要对 Active Directory Active Directory，本部分提供了简要概述。 Active Directory 的详细信息，请 Windows 2000 技术库 与用在 Windows NT? Server 操作系统中的平面文件目录不同，Windows 2000 Active Directory Active Directory 使用域、组织单元 (OU) 及对象来让您以更类似于在 Windows 中使用文件夹和文件来组织您 PC 上信息的方式来组织网络资源。 单击此处在单独的页中查看。 图 1 Active Directory 服务的层次结构 域是网络对象（包括组织单元、用户帐户、组和计算机，他们都共享与安全性有关的公用目录数据库）的集合。域形成 Active Diectory 内逻辑体系结构的核心单元，因此在安全性中扮演重要角色。如果