第11章 Windows2000系统的安全机制.pptVIP

第11章 Windows2000系统的安全机制 学习目标 l???????? 了解Windows 2000 Server的加密机制 l???????? 了解Windows 2000 Server的认证机制 l???????? 了解Windows 2000 Server的审计机制 l???????? 熟练掌握Windows 2000 Server的基本安全配置 11.1 windows2000的认证机制 11.1.1身份认证 Windows 2000 身份认证的重要功能就是它对单一注册的支持。单一注册允许用户使用一个密码一次登录到域，然后向域中的任何计算机认证身份。 单一注册在安全性方面提供了两个主要优点：对用户而言，单个密码或智能卡的使用减少了混乱，提高了工作效率；对管理员而言，由于管理员只需要为每个用户管理一个帐户，域用户所要求的管理支持减少了。 Windows 2000 身份认证分两部分过程执行：交互式登录和网络身份认证。 1.交互式登录 交互式登录过程向域帐户或本地计算机确认用户的身份，这一过程根据用户帐户的类型而不同。如果使用域帐户登录，被授权的用户可以访问该域以及任何信任域中的资源。如果使用密码登录到域帐户，Windows 2000 将使用 Kerberos V5 进行身份认证。如果使用智能卡，Windows 2000 将使用带证书的 Kerberos V5 身份认证。 2．网络身份认证 网络身份认证确认用户对于试图访问的任意网络服务的身份。为了提供这种类型的身份认证，Windows 2000 安全系统支持多种不同的身份认证机制，包括 Kerberos V5、安全套接字层/传输层安全 (SSL/TLS) 以及为了与 Windows NT 4.0兼容而提供的NTLM。 11.1.2消息验证 1．消息身份验证 消息身份验证是验证发送消息的用户就是它们所申明的用户的过程。消息身份验证也保证了消息不被篡改。 2．用户证书 用户证书主要用于验证消息发送者的 SID。只有当用户证书在 Active Directory 中首次注册时才能验证 SID。 3．外部证书 外部用户证书包含由证书颁发机构 (CA) 提供（而不是 SID）的信息，以验证发送者的身份。创建证书的 CA 保证外部证书中的消息。 4．服务器身份验证 客户使用服务器身份验证功能可以来验证发送到消息队列服务器的查询结果是否没有被篡改，是否为正确的消息队列服务器返回的结果。 11.1.3数字签名 Microsoft 的数字签名向用户保证：如果某个特定文件已经满足了某项测试级别，则不会被另一个程序的安装进程修改或覆盖。 Windows 2000 包含以下功能，用于确保您的设备驱动程序和系统文件保持在原始状态，即数字签名状态。 l???????? Windows 文件保护 l???????? 系统文件检查程序 l???????? 文件签名验证 1．Windows 文件保护 在 Windows 2000 之前的 Windows 版本上，安装操作系统之外的软件可能会覆盖共享的系统文件，如动态链接库（.dll 文件）和可执行文件（.exe 文件）等。如果系统文件被覆盖，则可能会导致系统性能不可预知、程序运行无规律以及操作系统失败等问题。Windows 2000 中，“Windows 文件保护”能够阻止替换受保护的系统文件，如 .sys、.dll、.ocx、.ttf、.fon 和 .exe 文件。 启用“Windows 文件保护”后，只有在安装以下程序时，系统才允许替换受保护的系统文件： 2??????? 使用 Update.exe 的 Windows 2000 Service Pack 2??????? 使用 Hotfix.exe 的修补程序分发 2??????? 使用 Winnt32.exe 的操作系统升级 2??????? Windows 更新 2．系统文件检查程序 “系统文件检查程序”(sfc.exe) 是一个命令行实用程序，其作用是在重新启动计算机之后扫描并验证所有受保护的系统文件的版本。如果系统文件检查程序发现受保护的文件被覆盖，则从 %systemroot%\system32\dllcache 文件夹中检索文件的正确版本，然后替换不正确的文件。 “系统文件检查程序”的具体语法如下： sfc [/scannow] [/scanonce] [/scanboot] [/cancel] [/quiet] [/enable] [/purgecache] [/cachesize=x] 其中，各参数的含义是： 2??????? /scannow：立即扫描所有受保护的系统文件。 2??????? /scanonce：一次扫描所有受保护的系统