电子商务环境中windows2000的安全性.doc

电子商务环境中 Windows 2000 的安全性 Microsoft 企业服务白皮书电子商务的技术准备工作 引言 Windows 2000 体系结构 图 2 多个身份验证服务的体系结构 表 1 显示各种安全软件包所支持的身份验证级别： 表 1 安全软件包功能 服务器/客户机身份验证 安全软件包支持 双方均无法得到对方的名称 无 客户机能验证服务器，但是服务器不能验证客户机 SChannel 客户机不能发现服务器，但是服务器能得到客户机的用户 ID NTLM 相互身份验证：如果得到许可的话，客户机和服务器就都能知道彼此的名称 NTLM（本地）和 Kerberos V5 协议 协商 协商是 SSP 的一种特殊情况。当某应用程序调用 SSPI 时，它可指定一个 SSP 来处理事务。但是，如果该应用程序没有指定 SSP，则协商将检查用户凭据并确定哪个 SSP 最能处理该事务。协商可使 ISV 使用 SSPI 执行网络登录过程，而无需知道该计算机上安装的是哪些 SSP。这也被称为“Snego”，在下面的章节中将会讨论到。 Kerberos 身份验证协议 图 3 Kerberos 身份验证协议概述 Snego 与安全协商 模拟与委派 Windows 2000 模拟等级 图 4 Windows 2000 中的 DCOMCNFG 委派模拟等级 委派级 (RPC_C_IMP_LEVEL_DELEGATE) 是功能最为强大的模拟等级。选择这个等级时，服务器（无论本地还是远程）就能在代表客户机工作的同时模拟客户机的安全上下文。在模拟过程中，客户机的凭据（本地和网络）可被传递到任何数量的计算机上。 注意 在 Windows NT 4.0 系统上，NTLM 可支持身份和模拟这两个模拟等级。而在 Windows 2000 系统上，NTLM 还能以跨线程和跨进程的方式（但是不能以远程方式）额外支持委派模拟等级。这种情况下，您必须使用 Kerberos 协议。 要想在委派等级进行模拟，必须满足以下要求： 客户机必须将模拟等级设为“委派”。 不得在 Active Directory 服务中将客户机帐户标为“敏感帐户，不能被委派”。 必须在 Active Directory 服务中将服务器帐户标为“可委派其他帐户”。如果服务器被标为正在“启动用户”的身份下运行，则该用户帐户也必须被标为“可委派其他帐户”。 托管客户机、服务器、以及任何“下游”服务器的计算机都必须在 Windows 2000 域中运行 Windows 2000 （因为要求使用 Kerberos 协议）。 托管服务器的计算机必须经过明确启用才能委派。因为恶意程序从一台计算机传染给另一台计算机所造成的潜在危害，Windows 2000 在其默认情况下禁用委派功能。 下面将就完成上述操作或任务所需的步骤进行讨论。 将客户机模拟等级设为“委派” 为此，请执行下列操作之一： 在客户机上，运行 DCOMCNFG，将默认模拟等级设为“委派”并使用 RPC_C_IMP_LEVEL_DELEGATE 或 RPC_C_IMP_LEVEL_DEFAULT 调用 CoInitializeSecurity。 使用 RPC_C_IMP_LEVEL_DELEGATE 调用 CoInitializeSecurity。 在 Active Directory 服务中设置客户机帐户属性 请执行下列操作： 在装有 Active Directory 的计算机上，运行程序- 管理工具- Active Directory 服务管理器。 单击“帐户”并选择“属性”。 单击“帐户”选项卡。 确保选中了“帐户可以委派其他帐户”且“敏感帐户，不能被委派”未被选中，如图 5 所示。 图 5 Active Directory 帐户管理器 使服务器计算机可委派 运行程序-管理工具-Active Directory 服务管理器。 选择 Active Directory 中的服务器并单击“属性”。 选中“相信这台计算机的委派”复选框，如图 6 所示。 图 6 相信这台计算机的委派 使用委派 服务器必须调用 CoImpersonateClient 和 RevertToSelf，正如在上述模拟情况中所做的。此外，服务器必须“掩盖”自己的身份，才能确保客户机的安全令牌出示给被调用的计算机（注意：如果服务器为一个 COM+ 应用程序，则系统将替您完成此项操作）。我们将在下一节对此进行讨论。 当服务器调用 CoImpersonateClient 时，返回的令牌在 5 分钟到 8 小时之内有效。超过这一时间后，该符号仍可以在服务器计算机上使用，但不能离开计算机使用。 掩盖