Windows 2000 Server安全机制与身份认证.pdfVIP

◼了解Windows2000Server的加密机制

◼了解Windows2000Server的认证机制

◼了解Windows2000Server的审计机制

◼掌握Windows2000Server的基本安全配置

◼5.1.1认证

◼5.1.2消息验证

◼5.1.3数字签名

◼认证是系统安全性的一个基本方面。

◼它负责确认试图登录域或网络资源的用户的身

份。

◼Windows2000认证的重要功能就是它对单一注

册的支持。

◼单一允许用户使用一个一次登录到域，然

后可以向域中的任何计算机认证。

◼Windows2000认证分两部分过程执行：

◼交互式登录：交互式登录过程向域帐户或本地计算机确

认用户的；

◼网络认证：网络认证确认用户对于试图的

任意网络服务的。

◼用户认证的成功与否同时取决于这两个过程。

消息验证包含四个方面的内容：

◼消息验证

◼用户

◼外部

◼服务器验证

消息验证：

◼消息验证是验证发送消息的用户就是它们所申

明的用户的过程。

◼消息验证也保证了消息不被篡改。经过验证的

消息带着数字签名和一同发送。

◼在Windows2000中，使用公钥（不对称）的加密系

统创建数字签名。

消息验证可按下面两个步骤完成：

◼首先，使用运行在Windows2000域控制器上的消

息队列服务器在ActiveDirectory上用户

。

◼其次，在发送已验证的消息时，在源计算机上的消

息队列应用程序使用散列算法计算特定消息的散列

值以为该消息创建数字签名，使用源计算机的私用

密钥加密散列值，并将用户和SID附加到消息

中，然后发送消息。

用户：

◼用户主要用于验证消息发送者的SID。

◼只有当用户在ActiveDirectory中首次时

才能验证SID。

◼消息队列验证附加到消息的SID是否与用于Active

Directory中的SID相同。

◼在首次登录到计算机时，计算机用户在安装和

到ActiveDirectory过程中自动创建。

外部：

◼外部用户包含由颁发机构(CA)（而

不是SID）的信息，以验证发送者的。

◼创建的CA保证外部中的消息。

◼目标计算机上的消息队列服务在接受消息时仍然要

验证数字签名，但是不验证外部。

◼在对此消息执行操作之前验证外部