本章主要内容:
1、 网络目录
2、 X.500 推荐标准
3、 Kerberos
4、 ADS 的引入及其相关概念
5、 DNS、DHCP、WINS 服务在 Windows 2000 Server 中的新变化
6、 账号与安全
1. 什么是网络目录
在目录服务出现之前,大多数的网络操作系统都是"基于服务器"的操作系统,即多数的帐户管理工作都是由网络中的各个服务器独立完成的,每台服务器都维护着一个用户列表,它记录了用户是否可以访问它的资源(帐户数据库)及相应用户访问资源的权限(访问控制列表),即资源的分散管理。
网络目录的引入解决了上面的问题,网络目录是一个存储着用于访问、管理或配置网络的信息的数据库。
它们可以存储多种不同类型的信息,包括:
§ 用户帐户信息(登录名、口令、权限)
§ 用户个人信息(电话号码、地址、雇员ID、部门、职位、工资等)
§ 外围设备配置信息(打印机、扫描仪、传真、调制解调器)
§ 应用程序配置信息(桌面系统参数、缺省目录)
§ 安全信息
§ 网络设备配置信息
只要用户能够想到的信息,都可以存储在目录中;当把这些信息都存储在一个统一的标准数据库中,用户可以利用它们完成许多工作。最为普遍地就是网络管理员利用这些信息完成网络访问控制和网络资源访问控制,从而使目录成为对大多数网络活动的集中控制中心。许多在早期网络中最难于解决的配置问题,在网络目录服务应用后都变得非常简单。目前一些成熟的网络目录有:
域名系统(Domain Name System)
Windows 因特网名称服务(Windows Internet Name Service)
NOVELL 目录服务(NOVELL Directory Service)
这些目录服务虽然工作方式和应用环境不同,但是它们都存储着用于访问或管理网络的信息,从实现集中化的网络管理。它们为在 Windows 2000 中新推出的 Active Directory Services 提供了有益的经验。
2. 什么是 X.500
由于网络目录需要存储信息的多样性,数据库中的相关数据文件的增长的快速性,可能导致现有计算机的处理能力无法满足它的需求,在 Active Directory Services 中就采用了 X.500这个推荐标准。X.500 技术规范提供了一个供开发商建立自己产品的模型,使不同的开发商开发的产品能够彼此访问共享信息,它规定了信息组织、命名和访问的一般性方法,即规定了目录技术为了实现互操作性而遵守的格式。如微软开发的 ADS 与 NOVELL 公司开发的 NDS 在实现形式上截然不同,但由于两者的名字空间一致,所以两种产品均可以访问目录中存储的信息。从某种意义上讲,它类似于 OSI 的七层网络结构模型,OSI 网络模型简单定义了网络软件在各层必须完成的功能,而没有直接规定具体的实现方法。对于符合 X.500 的网络目录(如:ADS),其数据库在设计时均遵循以下两个原则:
使用目的---存储网络资源信息
整体结构---采用层次结构
3. 什么是简化目录访问协议(LDAP)
在向目录中填入对象后,用户需要考虑的问题是如何提供一整套完善的数据访问功能用于向用户显示信息,以便用户查找和使用。利用 X.500 技术规范提供的目录访问协议 DAP 可以完成这一功能。DAP 定义了用于读取目录数据库信息和修改目录数据库的方法,DAP 在安全性上的可扩展性满足了 X.500 允许采用多种安全保护方法的需求,并且 DAP 利用将工作转移到客户机上的方法有效的降低了目录服务器的工作负荷。但是由于现有的客户机的无法提供足够资源以满足 DAP 软件得需要及 DAP 的兼容性差的原因,它并未得到广泛的应用,人们针对 DAP 的以上缺陷开发了一个新协议:简化目录访问协议 LDAP。LDAP 是 DAP 的一个子集,它能够实现 DAP 的大部分功能,它不是基于客户的服务,客户的许多处理工作还转移到了支持 LDAP 服务的服务器上,所以它对客户设备的要求很低,掌上型笔记本能够对目录进行远程服务就是得益于此;LDAP 客户软件包能够访问多家厂商提供的目录信息,由于以上优点大多数目录技术都将 LDAP 服务作为基本功能的一部分,ADS 也采用它作为其基本功能。LDAP 实际上是一个机制,用来与 Active Directory 通信,完成基本的读写和修改操作。
4. 什么是 kerberos V5 验证
Windows 2000 支持两个内核确认协议:Windows NT LAN 管理器(NTLM)和 Kerberos,Kerberos 是首选的确认协议。当与 NT3.x-NT4.0 网络共存时,Windows 2000 利用 NTLM 实现安全访问确认,使访问共享资源生效。由于 Windows 2000 对多确认协议的透明支持,使得用户可以实现阶段性的将桌面系统迁移到 Windows 2000 如只将服务器升级到 Windows 2000 Server 而桌面操作系统仍为 Win95/98,对于这些用户 Windows 2000 采用 NTLM 确认模式。
在 Windows NT 3.x-4.0 中确认关系是不可传递的,即域 1 信任域 2,域 2 信任域 3,并不说明域 1 信任域 3。当采用 Kerberos 确认协议时,Windows 2000 支持传递信任。Kerberos 确认协议通过以下优点实现了在 Windows 2000 的精密级存取控制,大大提高了 Windows 2000 的安全性和访问控制的灵活性,这些是 NTLM 所无法比拟的:
Kerberos 是一个独立的平台,能广泛的实现安全协议
Kerberos 能更快的与其它计算机建立会话
Kerberos 的信任关系是完全可传递的
Kerberos 支持对确认的授权
Kerberos 使用对称加密技术
5. 什么是活动目录(Active Directory)
5.1 没有 ADS 的 Windows NT 系统
在 ADS 出现之前,WindowsNT(4.0及以前的版本)使用基于域的方式管理网络,它解决了"基于服务器"的操作系统中存在地许多问题,推动了网络的发展,基于域结构的网络地优点在于:
§ 用户一次性登录,访问域内所有资源
§ 集中管理用户、工作组和网络资源
§ 对资源的一般性访问
而 Windows NT 在大型网络中使用时,由于其平面式的域间结构,域与域之间的资源共享需要通过域间信任来完成,且这种信任是无法传递的,所以增加了结构的复杂性和管理难度,它只能满足工作组级网络的需求,无法满足大型网络的需求。
5.2 什么是域
域:由用户和计算机组成的一个逻辑组。
在一个域中由域控制器统一的管理帐户数据库,管理所有的用户登录、资源访问认证及其它管理任务。用户的登录认证过程是一次性的认证过程,即用户只有在登录时才会访问域控制器,在以后访问网络的过程中即使它访问资源的权限发生变化,也不影响现有对网络资源的访问权限,只有重新登录才能使改变生效。
5.3 主域控制器和备份域控制器
在 Windows NT 中有三种服务器类型:
主域控制器 PDC
备份域控制器 BDC
成员服务器
每一类服务器都对应着网络整体设计中的一方面功能,在安装 NT Server 时需要选择计算机的类型,在每个域中只能有一台 PDC 和多台 BDC。在 PDC 中存储着域帐户数据库用于对用户的认证,在每个 BDC 中都保存着一个帐户数据库的复本,BDC 通过定期的数据库同步过程保证数据库副本与 PDC 中的主数据库保持一致。用户只能在 PDC 中对帐户数据库进行修改,在 BDC 中只能对用户进行认证,无法修改帐户数据库。成员服务器中不存储帐户数据库的复本,它主要用于处理各种专项的工作任务如打印服务器、文件服务器、邮件服务器等。
5.4 域间的委托
NT 在缺省状态下,每个域是一个独立的实体,域与域之间不共享信息。如果需要访问其它域中的资源,则需要在两个域之间建立委托关系,委托关系定义了连接两个域的通信链路,在委托关系中包含两个对象:在一个域中包含需要访问其它域资源的用户帐户或组(受托域Trusted)、在另一个域中包含着需要被访问的资源(委托域Trusting),在确定委托关系时要注意这两个对象的定义区别。当 A 域委托 B 域而 B 域并未作反向委托 A 域时,称为单向委托(one-way trust),即B域用户访问A域资源反之则不行;当A域委托B域同时B域也反向委托A域时,称为双向委托(two-way trust),即B域用户访问A域资源反之亦然。
5.5 四种域模型
针对不同的网络应用环境,用户可以采用不同的域模型,域模型定义了用户环境中目录服务的结构。在 NT 环境中有四种基本的域模型,下面说明了它们的优缺点:
单域 所有用户和计算机都定义在一个域中,适用于需要进行集中管理的少于 40000 个对象的环境。其优缺点如下:
1. 单域模型的实现和管理简单,但随着资源的增加,系统性能会降低
2. 用户帐户的集中管理,但所有用户帐户存储在一个数据库中,无法按功能或位置进行分类
3. 域内资源的集中控制,与用户管理一样也无法按功能或位置进行分类
4. 不需要委托关系,随着服务器数量的增加,浏览器的性能会降低
单主域模型 至少包含两个域,在主域中定义了所有的用户帐户,在另一个域中管理所有的资源。在模型中,系统为域中的每项资源都建立了对主域的单向委托关系。它适用于成员对象大于 40000,集中的管理用户帐户,而且需要控制不同部门或位置的物理资源的用户环境。其优缺点如下:
1. 方便的集中控制多个工作组的资源,但随着用户数量的增加,系统性能会降低
2. 用户帐户的集中管理,但必须在每个资源域中定义本地工作组
3. 可以对资源进行逻辑分类(按部门、地理位置),资源域必须委托主域以便正确的设置全局工作组。
4. 全局工作组只能生成一次
多主域模型
在四种模型中缩放性最好的一种。它在单主域模型的基础上允许有多个域定义用户帐户。在这种模型中主域与主域之间具有双向委托关系,且每个资源域都与所有包含可能访问其资源的用户的主域保持单向委托关系。其优缺点如下:
1. 为具有中心信息部门的大型应用环境而设计,但必须在多个域中定义本地工作组和全局工作组
2. 可以灵活的缩放以适应不同规模的网络,但必须管理数量众多的委托关系
3. 每个域都可以进行独立的管理,但用户帐户分散存储在各个域的数据库中,会造成管理的混乱
完全委托模型
它充分利用了目录服务,每个域都具有用户帐户和资源帐户,每个域必须委托所有的其它域,这种模型适合于企业的各个部门或地方分支机构都需要控制自己的用户帐户和资源。其优缺点如下:
1. 适合于没有中心信息部门的企业应用,但需要管理数量众多的委托关系
2. 灵活的缩放以适合任何数量级的用户环境,随着域的增加管理负荷也相应增加
3. 每个域都可以进行独立的管理,但必须与其它管理员之间有清楚的职责划分
4. 用户和资源帐户被划分成多个便于管理的单位
以上用户回顾了不带 ADS 的 NT 操作系统的特点和优缺点,下面用户来讨论一些关于带有 ADS 的 NT 操作系统的基本概念。
5.6 带有 ADS 的 Windows 2000 系统
正如 Windows NT 的出现克服了"基于服务器"的网络操作系统在管理用户和资源时的缺点,而 Windows 2000 Server 和 Active Directory Services 的出现是用于解决基于域的网络环境对大型网络的应用过于复杂,无法满足扩展的需要。
体系结构。当使用活动目录时,网络和网络中的对象通过域、树、森林、信任关系、组织单元(OU)和站点的结构来进行组织。
内部交流。因为活动目录是基于标准的目录访问协议,因此它可以和其他的目录服务相互操作,并且可以被遵守协议的第三方应用程序进行访问。最后的部分描述活动目录如何与其他更广泛的技术相互交流的。
Windows 2000 操作系统中活动目录可以提供一下的优点:
与 DNS 集成。活动目录使用域名系统(DNS)。DNS 是一种 Internent 标准服务,它可以进行用户可读的计算机名称(例如 mycomputer.microsoft.com)和计算机可读的数值 Internet(IP)地址(由句号分隔的四位数)之间的转换。这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。
灵活的查询。用户和管理员可以使用"开始"菜单上的"查询"命令、桌面上的"我的网络"图标或者"活动目录用户和计算机连接"插件来根据对象的属性快速的查找网络上的对象。例如,可以使用一个人的姓、名、E-mail 名称、办公室地址或者其他属性来进行查找。查找信息的功能已经用全局目录进行了优化了。
可扩展性。活动目录是可扩展的,就是说管理员可以向模式中添加新的对象类,也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义,它们可以存储在目录中。例如,可以向用户对象添加购买机构属性,然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。
基于策略的管理。组策略是在初始化时对计算机或者用户进行的配置。所有的小组策略设置都包含在组策略对象(GPO)中,它可以应用与活动目录站点、域或组织单元中。GPO 设置确定对目录对象和域资源的访问、哪些资源域是用户可以访问的以及这些资源域应该如何使用。
可伸缩性。活动目录包括一个或多个域,其中每一个都有一个或多个域控制器,这些控制器使用户可以对目录进行改变来任何满足网络的需求。多个域可以结合成为一个域树,而多个域树又可以结合成为一个森林。最简单的结构就是只有一个域、一个树和一个森林的网络。
信息复制。用户可以在任何域控制器中更新目录。在一个域中配置多个域控制器可以提供容错功能和平衡网络负荷的功能。如果域中一个域控制器变慢、停止或出现故障,那么此时由于相同域中的其他的域控制器包含与它相同的数据,它们就可以提供必要的目录访问。
信息安全。用户授权和访问控制的管理与活动目录完全的集成,它们是 Windows 2000 操作系统的重要安全特性。活动目录集中管理用户授权。访问控制不仅可以作用于目录中的每一个对象,还可以作用于每一个对象的任何属性上。此外,活动目录提供应用程序的安全存储和安全策略范围。
互操作性。因为活动目录是基于标准的目录访问协议,例如轻型目录访问协议(LDAP),因此它可以和其他使用这些协议的目录服务进行互操作。一些应用程序编程接口(API)--例如活动目录服务接口(ADSI)--使得开发者可以访问这些协议。
ADS 的目标
ADS 的总目标是为了减少用户和管理员在网络相关工作上的工作负荷。为了达到这一目的,ADS 通过提供通用的网络资源接口和直观的网络资源访问界面,使用户能够以一致性的方式管理自己的整个网络。
什么是域
Windows 2000 Server 中的域的概念与 NT 中域的概念并没有区别,只是将它的范围扩大到了整个网络。域是 ADS 树状结构的基石,最先建立的域用户称之为根域,它位于整个树状结构的顶级,并决定了 ADS 名字空间的起始点。如用户建立了一个根域为 NT2000.COM,可以在其下建立相应的子域如 ADS.NT2000.COM ,以后在根域下所建立的域均为其的子域。
在NT中用户利用建立域间委托实现域间的资源互访,在 Windows 2000 中这种委托关系仍然存在,但它们是缺省设置,与在 NT 中的委托关系的工作方式有所不同。在 Windows 2000 的树状结构中所有的子域都会自动与其父域建立双向委托关系,并且这种委托关系已经变为具有传递性。
什么是 OU(Organizational Units)
OU 对象是用于组织目录中资源的容器对象,它可以保含下列类型的对象:用户、计算机、工作组、打印机、应用程序、安全策略、文件共享、其它 OU,但只有一种对象不能包含在 OU 中,即其它域中的任何对象。组织机构给域带来了层次化的结构,就象是将多个域连接在一起形成了一个完整的目录,每个 OU 都象是一个子目录一样用于组织目录中的指定的不同资源。微软为了适应企业对目录结构的不同需求,提出了七种不同的基本 OU 结构模型:地理模型、对象模型、以成本为中心的模型、项目模型、业务单位模型、管理模型、及混合模型;用户可以根据企业自身业务的需要选择相应的模型。
什么是域树
当在域中用户创建了根域并在其下创建子域,这样由根域及其子域就组成了一个域树,一个域树必须有一个相邻的名字空间,并把根域名作为域名。按树结构主枝目录为用户带来了许多好处,在树结构中所有子域与父域之间都具有双向委托关系,并且这种委托关系具有可传递性,由此说明域树中的用户和组均可被授权访问树中的任何对象。
什么是域森林
在一个机构中如果包含多个域树并且希望在多个域树间共享资源,用户可以通过在域树间建立双向委托关系将它们联合在一起,即形成了所谓的域森林。这些树没有形成一个相邻的名字空间。在建立域森林后,所有树拥有一个公共的全局目录,包含森林中每个对象的特定信息。
什么是站点
站点反映网络的物理结构,站点为域树和域森林中的域控制器及其它计算机提供信息以识别连通性好的网络区域,以便域控制器间以最快速度复制变更信息。活动目录中每个站点可以包含多个域,并且一个域可以作为多个站点的成员。
什么是全局目录
全局目录是有活动目录自动创建,包含域树和域森林中的每个对象的多个属性,可以利用这些属性在目录中搜索整个域森林。而在域树中可以搜索对象的任何属性。在每个域中包含一个全局目录已经足够,过多的全局目录会造成网络带宽的浪费。
6. TCP/IP基础
TCP/IP的背景
传输控制协议/网际协议 (TCP/IP) 是业界标准的协议组,为跨越局域网和广域网环境的大规模互联网络设计,TCP/IP 始于 1969 年。
§ 1974 年,传输控制协议 (TCP) 作为规范草案引入,描述了如何在网络上建立可靠的、主机对主机的数据传输服务。
§ 1981 年,网际协议 (IP) 以草案形式引入,描述了如何在互连的网络之间实现寻址的标准以及如何进行数据包的路由。
1983 年 1 月 1 日,ARPANET 开始对所有的网络通讯和基本通讯都要求标准使用 TCP 和 IP 协议。
TCP/IP 协议组在各种 TCP/IP 软件中实现,可用于多种计算平台。今天,TCP/IP 在 Internet 上广泛使用,并经常用于建立大的路由专用互联网络。
TCP/IP参考模型
TCP/IP 基于四层参考模型。属于 TCP/IP 协议组的所有协议都位于该模型的上面三层。
如图 1 所示,TCP/IP 模型的每一层都对应于国际标准组织 (ISO) 提议的七层"开放系统互连 (OSI)"参考模型的一层或多层。
TCP/IP 模型中每一层所执行的服务类型和所使用的协议在下表中详细描述。
层
描述
协议
应用
定义了 TCP/IP 应用协议以及主机程序与要使用网络的传输层服务之间的接口。
HTTP、Telnet、FTP、TFTP、SNMP、DN、SMTP、X-Window 以及其他应用协议
传输
提供主机之间的通讯会话管理。定义了传输数据时的服务级别和连接状态。
TCP、UDP、RTP
Internet
将数据装入 IP 数据报,包括用于在主机间以及经过网络转发数据报时所用的源和目标的地址信息。实现 IP 数据报的路由。
IP、ICMP、ARP、RARP
网络接口
指定如何通过网络物理地发送数据,包括直接与网络媒体(如同轴电缆、光纤或双绞铜线)接触的硬件设备如何将比特流转换成电信号。
以太网、令牌环、FDDI、X.25、帧中继、RS-232、v.35
IP地址
Internet 团体定义了五种类型的地址。A 类、B 类 和 C 类地址用于指派 TCP/IP 节点。
地址类定义了每个地址的网络 ID 和主机 ID 使用哪些位。地址类还定义了每个网络能支持多少网络和主机。
下表用 w.x.y.z 指定任意给定 IP 地址中的四个八位字节数。这个表用于显示:
§ 任意给定 IP 地址的第一个八位字节数 (w) 如何有效地表示地址类。
§ 地址中的八位字节数如何分成网络 ID 和主机 ID。
§ 每个网络可用于每个类的可能网络和主机数量。
类别
w 的值
网络 ID
主机 ID
网络数量
每个网络的主机数量
A
1-126
w
x.y.z
126
16,777,214
B
128-191
w.x
y.z
16,384
65,534
C
192-223
w.x.y
z
2,097,152
254
D
224-239
为多播寻址保留
N/A
N/A
N/A
E
240-254
为实验性应用保留
N/A
N/A
N/A
对于不是直接或间接连接到 Internet 的专用 TCP/IP 网络,用户可以使用 A 类、B 类或 C 类的有效 IP 地址范围。
对于通过网络地址转换器 (NAT) 或代理服务器之类的应用层网关间接连接到 Internet 的专用 TCP/IP 网络,指定的网络编号机构 (IANA) 推荐用户使用下表中的专用 IP 地址。
专用网络 ID
子网掩码
IP 地址的范围
10.0.0.0
255.0.0.0
10.0.0.1 - 10.255.255.254
172.16.0.0
255.240.0.0
172.16.0.1 - 172.31.255.254
192.168.0.0
255.255.0.0
192.168.0.1 - 192.168.255.254
这些范围中的数字是 IANA 为 TCP/IP 网络上的私有使用而保留的,并且不用于 Internet。
Windows 2000 TCP/IP的新增功能
Windows 2000 TCP/IP 是:
§ 基于工业标准网络协议的网络软件。
§ 支持 Windows 计算机与局域网和广域网环境连接的可选择路由的企业网络协议。
§ 用于 Windows 计算机和不同系统进行连接并共享信息的核心技术和实用程序。
§ 访问全局 Internet 服务,如 World Wide Web 和文件传输协议 (FTP) 服务器的基础。
§ 强健的、可缩放的、跨平台的客户/服务器框架。
Windows 2000 的 TCP/IP 已经更新,包括简化单个子网的配置、在高带宽的网络环境中优化 TCP 性能的许多功能。这些新功能包括支持:
§ 自动专用地址配置。
§ 大 TCP 窗口。
§ 选择性确认。
§ 更好的往返时间 (RTT) 估计。
§ ICMP 路由器发现。
§ DNS 缓存。
§ 禁用 TCP/IP 上的 NetBIOS。
自动专用地址配置
使用"自动专用 IP 寻址 (APIPA)"为不包含 DHCP 服务器的单个子网网络自动执行 TCP/IP 地址配置。
默认情况下,运行 Windows 2000 的计算机首先尝试与网络上的 DHCP 服务器联系,以便为每个已安装的网络连接动态获得配置。
§ 如果访问了 DHCP 服务器并且租约配置成功,则 TCP/IP 配置完成。
§ 如果不能访问 DHCP 服务器,则计算机改为使用 APIPA 自动配置 TCP/IP。使用 APIPA 时,Windows 2000 在 169.254.0.1 到 169.254.255.254 的保留 IP 地址范围内确定地址。这个地址用作临时的 IP 地址配置,直至找到 DHCP 服务器为止。将设置子网掩码为 255.255.0.0。
IP 地址的 APIPA 范围是指定的网络编号机构 (IANA) 所保留的。这个范围内的任何 IP 地址都不用于 Internet。
APIPA 为不连接到 Internet 的单个网络的小型公司或家庭公司网络免去 IP 地址配置。
大 TCP 窗口
窗口大小反映不需要等候正确认就能发送的数据报的最大数量。当大量数据在发送者和接收者之间传输时,大 TCP 窗口能提高 TCP/IP 的性能。在典型的基于 TCP 的通讯中,窗口的最大尺寸通常在连接开始时固定并且最大限额为 64 KB。
通过支持大窗口,用户可以在较长的会话过程中使用 TCP 选项动态地重新计算和调整实际窗口大小。使用该选项,每次可以在网络上传输更多的数据包,以此增加吞吐量。
选择性确认
在典型的基于 TCP 的通讯中,确认是累积的。TCP 只确认与以前获得确认的数据段相邻的接收段。非相邻段,即不按顺序接收的段,不能明确确认。TCP 要求在很短的时间内接收并确认段,而丢失的段及所有跟随其后的段都必需重新传输。
选择性确认是最新的 TCP 选项,它允许接收者有选择地通知和请求发送者只重新发送实际丢失的数据。这样可以减少需要重新传输的数据量,更好地利用网络带宽。
更好的 RTT 估计
TCP 用往返时间 (RTT) 估计在发送者和接收者之间往返通讯所需要的时间。Windows 2000 支持"TCP 往返时间测量"选项来改进估计 RTT。通过经常计算更精确的 RTT 信息,TCP 能更好地估计时间来设置重新传输计时器,这有助于提高整个 IP 速度和性能。
对估计 RTT 的改进明显有助于长时间的往返网络链路,如跨洲的广域网或使用无线或卫星通讯的链路。
ICMP 路由器发现
Internet 控制消息协议 (ICMP) 路由器发现是在默认网关不是手动配置或用 DHCP 指派时用 ICMP 消息发现网段上的默认网关。ICMP 路由器发现由两个 ICMP 消息组成:路由器请求和路由器公布。路由器请求由主机发送以发现网络上的路由器。路由器公布由路由器发送响应路由器请求,并且周期性地通知网络上的主机该路由器仍然可用。默认情况下,ICMP 路由器发现在 Windows 2000 主机的 TCP/IP 上是启用的。
可以将运行"路由和远程访问"服务的 Windows 2000 Server 计算机配置成支持 ICMP 路由器发现的路由器。
DNS 缓存
Windows 2000 TCP/IP 中的域名系统 (DNS) 解析器将 DNS 名称查询进行缓存。使用 Ipconfig 实用程序,可以查看并刷新 DNS 缓存的内容。
禁用 TCP/IP 上的 NetBIOS
使用 Windows 2000,用户可以对每个网络连接禁用 TCP/IP (NetBT) 上的 NetBT。此功能是为仅使用 DNS 名称注册和解析技术的计算机使用"Microsoft 网络客户端"和"Microsoft 网络的文件和打印共享"组件与其他禁用 NetBT 的计算机通讯而准备的。禁用 NetBT 的范例包括网络的特定或安全角色的计算机,如边缘代理服务器或防火墙中的安全防护主机,此时不要求或不需要 NetBT 支持。
以下是运行 Windows 2000 的计算机上禁用 NetBT 应该考虑的:
§ 计算机不再对通信监听"用户数据报协议 (UDP)"端口 138 上的 NetBIOS 数据报服务、UDP 端口 137 上的 NetBIOS 名称服务,以及"传输控制协议 (TCP)"端口 139 上的 NetBIOS 会话服务。
§ 使用"Microsoft 网络客户端"和"Microsoft 网络的文件及打印共享"组件的基于 TCP/IP 的连接只能用于其他禁用 NetBT 的计算机。这样会影响查看网络上的计算机以及连接文件共享和网络打印机的能力。
§ 诸如 WINS、本地子网广播和 Lmhosts 文件之类的 NetBIOS 名称解析技术将不再使用。所有名称解析都通过 DNS 查询和主机文件进行。
§ 如果计算机需要作为客户机加入 WINS,则必须在至少一个网络连接上启用 NetBT。
§ 如果 Windows 2000 Server 计算机需要运行 WINS 服务,则必须在至少一个网络连接上启用 NetBT。
禁用 NetBT 的一个很好的范例就是连接专用网络和外部网络(如 Internet)的服务器。在这种情况下,Internet 连接不要求 NetBT。通过只对 Internet 连接禁用 NetBT,双重宿主的计算机可以继续用作 WINS 服务器或内部网络的客户机,并且 WINS 客户机仍然为计算机上安装的其他物理网卡产生的连接提供服务。
可以在 TCP/IP 协议属性中的"WINS"选项卡上禁用 NetBT。
Windows 2000 TCP/IP 的安全功能
Windows 2000 TCP/IP 合并了在网络上发送 TCP/IP 数据时提供保护以及处理各种本地主机通讯配置的安全功能。
网际协议安全
网际协议安全 (IPSec) 是一组 Internet 标准,使用加密安全服务提供:
§ 机密
IPSec 通信是经过加密的。如果不知道加密密钥,捕获的 IPSec 通信也是无法知道的。
§ 身份验证
IPSec 通信是经过数字签名的,带有共享的加密钥匙,因此接收者可以验证它是由 IPSec 端发送的。
§ 数据完整性
IPSec 通信包含合并到加密钥匙中的加密求校验和。接收方可以确认数据包在传输中是否没有被修改。
TCP/IP 筛选
使用 TCP/IP 筛选,在 Windows NT 4.0 中叫做"TCP/IP 安全"的功能,用户可以为每个 IP 接口严格指定所处理的传入 TCP/IP 通讯类型。这个功能设计用于隔离 Internet 或 Intranet 服务器所处理的通信,在没有"路由和远程访问"服务或其他 TCP/IP 应用程序或服务提供 TCP/IP 筛选的情况下。TCP/IP 筛选默认是禁用的。
TCP/IP 筛选是用于入站本地主机 TCP/IP 通讯的一组筛选器。因为入站 TCP/IP 通讯的目标 IP 地址编成指定的端口地址、适当的子网广播地址或多播地址,因此本地主机通讯是由主机处理的通讯。TCP/IP 筛选不适用于接口之间转发的路由通讯。
使用 TCP/IP 筛选,用户可以限制本地主机的入站 TCP/IP 通讯,根据:
§ 目标 TCP 端口
§ 目标 UDP 端口
§ IP 协议
7. 动态主机配置协议(DHCP)
动态主机配置协议 (DHCP) 是一种简化主机 IP 配置管理的 TCP/IP 标准。DHCP 标准为 DHCP 服务器的使用提供了一种有效的方法:即管理 IP 地址的动态分配以及网络上启用 DHCP 客户机的其他相关配置信息。TCP/IP 网络上的每台计算机都必须有唯一的计算机名称和 IP 地址。IP 地址(以及与之相关的子网掩码)标识主计算机及其连接的子网。将计算机移动到不同的子网时,必须更改 IP 地址。DHCP 允许用户从本地网络上的 DHCP 服务器 IP 地址数据库中为客户机动态指派 IP 地址。对于基于 TCP/IP 的网络,DHCP 减少了重新配置计算机所涉及的管理员的工作量和复杂性。Windows 2000 Server 中的 DHCP 提供以下新功能:
§ 为 DHCP 管理员和用户提供有限的服务器和控制台访问的新本地组。
§ IP 地址的自动指派
§ 增强的性能监视和服务器报告能力
§ 多播作用域和超级作用域的扩展作用域支持
§ 对用户指定和供应商指定选项类别的支持
§ DHCP 与 DNS 的集成
§ 通过使用 Active Directory 集成来检测未授权的 DHCP 服务器。
§ BOOTP 客户机的动态支持。
在第十一章中用户还要深入的学习DHCP服务器的安装、配置与管理。
8. Windows 网际名称服务(WINS)
Windows Internet 命名服务 (WINS) 为注册和查询网络上计算机和用户组 NetBIOS 名称的动态映射提供分布式数据库。WINS 将 NetBIOS 名称映射为 IP 地址,并设计以解决路由环境的 NetBIOS 名称解析中所出现的问题。WINS 对于使用 TCP/IP 上的 NetBIOS 路由网络中的 NetBIOS 名称解析是最佳选择。在Windows 2000 网络中仍然保留了WINS服务并且进行了改进,这主要是为了与非Windows 2000环境的客户机共同使用。Windows 2000 提供了以下 WINS 增强特性:
§ 持续连接
§ 手动逻辑删除
§ 增强的管理实用程序
§ 使用和管理高级 WINS 特性更加容易
§ 增强的筛选及记录搜索功能
§ 动态记录删除和多选
§ 记录验证和版本号有效性
§ 导出功能
§ 对客户增强的容错能力
§ 客户端名的动态重新插入
§ 只读控制台访问 WINS 控制台。
§ WINS 服务器的命令行管理。
§ 增强的数据库引擎。
而在纯 Windows 2000 的环境中使用 DNS 作为名字确认方案,每个域都由一个 DNS 域名来代表,所以可以不使用 WINS 服务。用户将在第十二章中深入的学习 WINS 的安装与配置。
9. 动态域名服务器(DDNS)
DNS 是域名系统 (Domain Name System) 的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于 TCP/IP 网络,如 Internet,用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与此名称相关的其他信息,如 IP 地址。动态更新允许 DNS 客户机在发生更改的任何时候使用 DNS 服务器注册和动态地更新其资源记录。它减少了对区域记录进行手动管理的需要,特别对于频繁移动或改变位置并使用 DHCP 获得 IP 地址的客户机更是如此。对于 Windows 2000 Server,DNS 服务器的服务已经集成到 Active Directory 的设计和实现中,它是由 Microsoft 为使用 Windows NT 技术的网络所设计的下一代目录服务。由于它们的结合为用户带来了以下好处:
§ 以 Active Directory 的能力为基础的多主机更新和增强的安全性
§ 只要将新的区域添加到 Active Directory,区域就会自动复制并同步至新的 DC
§ 通过将 DNS 区域数据库的存储集成到 Active Directory 中,可以简化针为网络规划的数据库复制过程。
§ 与标准 DNS 复制相比,目录复制更快捷、更有效
用户将在第五章中深入的学习 DDNS 的安装与配置。
10. 帐号与计算机安全
用户帐号
用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软件的服务帐号。Windows 2000 在安装时提供了两个预定义用户帐号:
§ Administrator
系统管理员帐号,拥有最高的权限,用户可以利用它来管理Windows2000Server 的资源,但Administrator并不是自动对Server中的所有目录和文件都拥有访问权限,管理员帐号的名称可以更改,但不可以删除。
§ Guest account
为来客临时使用而设立的帐号,它只有很少的权限,它的名称可以更改,但也不能删除,在默认状态下它是不可用的。
计算机帐号
每一个运行Windows 2000和Windows NT的计算机在加入到域时都需要一个计算机帐号,就象用户帐号一样,被用来验证和审核计算机的登录过程和访问域资源。
组
组是可包含用户、联系人、计算机和其他组的 Active Directory 或本机对象。使用组可以:
§ 管理用户和计算机对 Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。
§ 筛选器组策略设置
§ 创建电子邮件通讯组
有两种类型的组:
§ 安全组
§ 通讯组
安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。
通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。
任何时候,组都可以从安全组转换为通讯组,反之亦然,但仅限于域处于本机模式的情况下。域处于混合模式时不能转换组。
下表总结了域模式对组的作用。
本机模式域
混合模式域
安全组和通讯组均可具有通用作用域。
只有通讯组才能有通用作用域。
允许整组嵌套。
对于安全组,组嵌套限于具有域本地作用域的组,该组将其成员作为有全局作用域的组(Windows NT 4.0 规则)。对于通讯组,允许整组嵌套。
组可在安全组和通讯组之间自由转换。有全局或域本地作用域的组可转换为具有通用作用域的组。
不允许组转换。
组作用域
每个安全组和通讯组均具有作用域,该作用域标识组在域树或树林中所应用的范围。有三类不同的作用域通用、全局和域本地。
§ 有通用作用域的组可将其成员作为来自域树或树林中任何 Windows 2000 域的组和帐户,并且在域树或树林的任何域中都可获得权限。有通用作用域的组称为通用组。
§ 有全局作用域的组可将其成员作为仅来自组所定义的域的组和帐户,并且在树林的任何域中都可获得权限。有全局作用域的组称作全局组。
§ 具有域本地作用域的组可将其成员作为来自 Windows 2000 或 Windows NT 域的组和帐户,并且可用于仅在域中授予权限。具有域本地作用域的组称作域本地组。
如果具有多个树林,仅在一个树林中定义的用户不能放入在另一个树林中定义的组,并且仅在一个树林中定义的组不能指派另一个树林中的权限。
通用作用域
全局作用域
域本地作用域
在本机模式域中,可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。
在本机模式域中,可将其成员作为来自相同域的帐户和来自相同域的全局组。
在本机模式域中,可将其成员作为来自任何域的帐户、全局组和通用组,以及来自相同域的域本地组。
在本机模式域中,不能创建有通用作用域的安全组。
在本机模式域中,可将其成员作为来自相同域的帐户。
在本机模式域中,可将其成员作为来自任何域的帐户和全局组。
组可被放入其他组(当域处于本机模式时)并且在任何域中指派权限。
组可被放入其他组并且在任何域中指派权限。
组可被放入其他域本地组并且仅在相同域中指派权限。
不能转换为任何其他组作用域。
只要它不是有全局作用域的任何其他组的成员,则可以转换为通用作用域。
只要它不把具有域本地作用域的其他组作为其成员,则可转换为通用作用域。
内置和预定义组
安装域控制器时,部分默认的组安装于"Active Directory 用户和计算机"控制台的"内置"和"用户"文件夹中。这些组是安全组并且代表一些公用的权利和权限集合,可用于将某些角色、权利和权限授予用户放入默认组的帐户和组。
有域本地作用域的默认组放在"内置"文件夹中。有全局作用域的预定义组放在"用户"文件夹中。可将内置和预定义组移动到域中的其他组或组织单位文件夹,但不能将它们移动至其他域。
内置组
放入"Active Directory 用户和计算机"的"内置"文件夹中的默认组为:
§ 帐户操作员
§ 管理员
§ 备份操作员
§ 来宾
§ 打印操作员
§ 复制器
§ 服务器操作员
§ 用户
下表显示了这些组拥有的默认权利:
用户权利
允许
在默认情况下分配有此权利的组
从网络访问该计算机
连接到网上的计算机。
管理员、每个人、超级用户
备份文件和文件夹
备份文件和文件夹该权利将取代文件和文件夹权限
管理员、备份操作员
旁路遍历检查
即使用户没有访问父文件夹的权限,也可在文件夹之间移动以访问文件。
每个人
更改系统时间
设置计算机内部时钟的时间。
管理员、超级用户
创建页面文件
该权利无效。
管理员
(续表)
用户权利
允许
在默认情况下分配有此权利的组
调试程序
调试各种底层对象,例如线程。
管理员
从远程系统强制关机
关闭远程计算机。
管理员
增加调度优先级
提高进程的执行优先级。
管理员、超级用户
加载和卸载设备驱动程序
安装和删除设备驱动程序。
管理员
本地登录
通过计算机键盘在计算机上登录。
管理员、备份操作员、每个人、来宾、超级用户和用户
(续表)
用户权利
允许
在默认情况下分配有此权利的组
管理审计和安全日志
指定需要审计的资源访问(诸如文件访问)类型,并且查看和清除安全日志。该权利不允许用户设置系统审计策略。管理员组的成员始终可以查看和清除安全日志。
管理员
修改固件环境变量
修改存储于支持此类配置的计算机非易失内存中的系统环境变量。
管理员
图示单独的进程
用图表的形式显示某个进程的情况(性能数据采集)
管理员、超级用户
图示文件系统性能
用图表的形式显示计算机的情况(性能数据采集)
管理员
还原文件和文件文件夹
恢复备份文件和文件文件夹该权利将取代文件和目录权限
管理员、备份操作员
(续表)
用户权利
允许
在默认情况下分配有此权利的组
关闭系统
关闭 Windows 2000
管理员、备份操作员、每个人、超级用户和用户
取得文件或其他对象的所有权
取得文件、文件夹、打印机和计算机上(或连接在计算机上)的其他对象的所有权。该权利将取代保护对象的权限。有关文件和文件夹权限的信息。
管理员
这些具有域本地作用域的内置组主要用于将默认权限集合指派给在该域中具有某些管理控制权的用户。例如,域中的管理员组对域中的所有帐户和资源具有广泛的管理权限。
预定义组
放在"Active Directory 用户和计算机"的"用户"文件夹中的预定义组有:
§ 组名称
§ 证书发行者
§ 域管理器
§ 域计算机
§ 域控制器
§ 域来宾
§ 域用户
§ 企业管理员
§ 组策略管理员
§ 架构管理员
可使用这些有全局作用域的组将该域中各种类型的用户帐户(普通用户、管理员和来宾)收集到组中。然后这些组可以放入该域和其他域中有域本地作用域的组。
在默认情况下,用户创建的任何用户帐户都将自动添加到域用户组中,并且用户创建的任何计算机帐户都将自动添加到域计算机组。可使用域用户和域计算机组来表示域中创建的全部帐户。例如,如果用户希望本域中所有用户有访问打印机的权限,可将打印机的权限指派给域用户组(或将域用户组放入具有打印机权限的域本地组中)。
特殊身份
除"内置"和"用户"文件夹中的组以外,Windows 2000 Server 还包括几种特殊身份:为方便起见,这些身份通称为组。这些特殊组没有用户可修改的特别成员身份,但是它们能根据环境在不同时间代表不同用户。这三个特殊组为:
§ 每个人
代表所有当前网络的用户,包括来自其他域的来宾和用户。无论用户何时登录到网络上,它们都将被自动添加到 Everyone 组。
§ 网络
代表当前通过网络访问给定资源的用户(不是通过从本地登录到资源所在的计算机来访问资源的用户)。无论用户何时通过网络访问给定的资源,它们都将自动添加到网络组。
§ 交互
代表当前登录到特定计算机上并且访问该计算机上给定资源的所有用户(不是通过网络访问资源的用户)。无论用户何时访问当前登录的计算机上所给的资源,它们都被自动添加到交互组。
组对网络性能影响
用户登录到 Windows 2000 网络时,Windows 2000 域控制器决定用户属于哪个组。Windows 2000 创建安全令牌并将其指派给用户。安全令牌列出了用户帐户 ID 和用户所属的所有安全组的安全 ID。组成员身份可能影响网络性能,由于:
§ 登录的影响
建立安全令牌需要时间,所以用户所属的安全组越多,生成这个用户安全令牌的时间越长,并且该用户登录到网络的时间也越长。造成这一影响的程度将随着网络带宽以及处理登录过程的域控制器的配置而变化。
有时,用户可能想创建只用于电子邮件的组,并不准备使用该组将权利和权限指派给它的成员。为提高登录性能,可创建类似通讯组的组而非安全组。因为 Windows 2000 在登录过程中生成用户安全令牌时忽略了通讯组,所以这将减少令牌的大小以及生成令牌所需的时间。
§ 有通用作用域的组的复制
对存储在全局编录中的数据的更改将复制到树林的每个全局编录中。有通用作用域的组及其成员列在全局编录中。有通用作用域的组的一个成员更改时,整个组成员身份都必须复制到域树或树林中的所有全局编录中。
具有全局或域本地作用域的组也列在全局编录中,但未列出其成员。这将会减小全局编录的大小,并且明显减少需要随时更新全局编录的复制通信量。可通过为经常更改的目录对象使用具有全局或域本地作用域的组来提高网络性能。
§ 网络带宽
每个用户的安全令牌都被发送到用户访问的每台计算机,以使目标计算机能够对照该计算机上所有资源的权限列表比较包含在令牌内的所有安全 ID,从而决定用户在该计算机上是否有相应的权利或权限。目标计算机还检查令牌中的任何安全 ID 是否属于目标计算机上的任何本地组。
用户所属的组越多,其安全令牌就越大。如果用户的网络有大量用户,这些大型安全令牌对网络带宽和域控制器处理能力的影响非常明显。
安全模型
Windows 2000 安全模型的主要功能是用户身份验证和访问控制。
用户身份验证: Windows 2000 安全模型包括用户身份验证的概念,这种身份验证赋予用户登录系统访问网络资源的能力。在这种身份验证模型中,安全性系统提供了两种类型的身份验证:交互式登录(根据用户的本地计算机或 Active Directory 帐户确认用户的身份)和网络身份验证(根据此用户试图访问的任何网络服务确认用户的身份)。为提供这种类型的身份验证,Windows 2000 安全系统包括了三种不同的身份验证机制:Kerberos V5、公钥证书和 NTLM(与 Windows NT 4.0 系统兼容)。
基于对象的访问控制:通过用户身份验证,Windows 2000 允许管理员控制对网上资源或对象的访问。Windows 2000 通过允许管理员为存储在 Active Directory 中的对象分配安全描述符实现访问控制。安全描述符列出了允许访问对象的用户和组,以及分配给这些用户和组的特殊权限。安全描述符还指定了需要为对象审核的不同访问事件。文件、打印机和服务都是对象的实例。通过管理对象的属性,管理员可以设置权限,分配所有权以及监视用户访问。
管理员不仅可以控制对特殊对象的访问,也可以控制对该对象特定属性的访问。例如,通过适当配置对象的安全描述符,用户可以被允许访问一部分信息,如只访问员工姓名和电话号码而不能访问他们的家庭住址。
Active Directory 和安全性:Active Directory 通过使用对象和用户凭据的访问控制提供了对用户帐户和组信息的保护存储。由于 Active Directory 不仅存储用户凭据还存储访问控制信息,因此登录到网络的用户将同时获得访问系统资源的身份验证和授权。例如,用户登录到网络时,Windows 2000 安全系统通过存储在 Active Directory 上的信息来验证用户。然后,当用户试图访问网络上的服务时,系统检查由任意访问控制列表为这一服务定义的属性。由于 Active Directory 允许管理员创建组帐户,因此管理员可以更有效地管理系统的安全性。例如,通过调节文件属性,管理员可以允许组中的所有用户读取文件。这样,访问 Active Directory 中的对象以组成员为基础。
域的体系结构
域和安全性
域是网络对象的分组。例如:用户、组和计算机。域中所有的对象都存储在 Active Directory 下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。每个域都是一个安全界限,这意味着安全策略和设置(例如系统管理权利、安全策略和访问控制表)不能跨越不同的域。特定域的系统管理员有权设置仅属于该域的策略。由于每个域都是一个安全壁垒,因此不同的系统管理员可以在单位中创建和管理不同的域。 理解域的关键是:
安全策略可以贯穿整个域来实现。
为保证数据库的同步,包括安全信息的 Active Directory 会定期复制到域中每个域控制器。
Active Directory 中的对象可以按组织单位的不同级别进行组织和管理。
可转移的信任关系可以建立在域树中的域之间。
单个域和多个域
Windows NT 4.0 限制了目录可以存储的用户帐户的个数。因此,为了适应大计算环境的需要,创建和管理多个域而且每个都拥有自己的用户帐户目录对于单位来说就非常必要了。域通常按以下两种类型进行组织:主域(存储用户和组的帐户)和资源域(存储文件、打印机、应用程序服务等等)。
这种多域的计算环境被称为多主域模式。多主域模式意味着资源域需要与所有的主域具有多个信任关系。这些信任关系允许主域的用户访问资源域中的资源。
身份验证
身份验证是系统安全性的一个基本方面。它负责确认试图登录域或访问网络资源的任何用户的身份。Windows 2000 身份验证允许对整个网络资源进行单独登记。采用单独登记的方法,用户可以使用单个密码或智能卡一次登录到域,然后通过身份验证向域中的所有计算机表明身份。
身份验证过程
在 Windows 2000 计算环境中成功的用户身份验证包括两个独立的过程:
交互式登录向域帐户或本地计算机确定用户的身份
网络身份验证对该用户试图访问的任何网络服务确定用户身份
身份验证类型
Windows 2000 支持几种工业标准的身份验证类型。验证用户身份时,Windows 2000 依据多种要素使用不同种类的身份验证。Windows 2000 支持的身份验证类型有:
Kerberos V5 身份验证
Kerberos V5 是在域中进行身份验证的主要安全协议。Kerberos V5 协议校验了用户的身份和网络服务。这种双重验证被称为相互身份验证。这也是为系统服务提供的默认网络身份验证方法。
Kerberos V5 的工作原理
Kerberos V5 身份验证机制颁发用于访问网络服务的票证。这些票证包含加密的数据,包括加密的密码,用于向请求的服务确定用户的身份。除了输入密码或智能卡凭据,整个身份验证过程对用户都是不可见的。Kerberos V5 中的一项重要服务是密钥分发中心 (KDC)。KDC 作为 Active Directory 的一部分在每个域控制器上运行,它存储了所有客户密码和其他帐户信息。
Kerberos V5 身份验证过程按如下方式工作:
客户端系统上的用户使用密码或智能卡对 KDC 进行身份验证。
KDC 向此客户颁发了一个特别的授权票证。客户系统使用 TGT 访问授票服务 (TGS),这是域控制器上的Kerberos V5 身份验证机制的一部分。
TGS 接着向客户颁发服务票证。
客户向请求的网络服务出示服务票证。服务票证向此服务证明用户的身份,同时也向该用户证明服务的身份。
Kerberos V5 和域控制器
Kerberos V5 服务安装在每个域控制器上,并且 Kerberos 客户端安装在每个 Windows 2000 工作站和服务器上。 每个域控制器作为 KDC 使用。Windows 2000 系统使用域名服务器 (DNS) 查找最近的可用域控制器的位置。域控制器在用户登录会话中作为该用户的首选 KDC 运行。如果首选 KDC 不可用,Windows 2000 系统查找预备的 KDC 来提供身份验证。
身份验证的委派
身份验证的委派是管理员授予用户或计算机帐户的一种特权。在默认情况下,只有域管理员才被授予这一特权。这一特权必须有选择性地指派给可信任的服务。在 N 层的应用程序中,用户向中层服务验证身份。中层服务代表用户向后端数据服务器验证身份。委派取决于信任委派的中层服务。信任委派意味着这一服务可以模拟用户使用其他的网络服务。
Kerberos V5 互操作性
Windows 2000 支持两种类型的 Kerberos V5 互操作性:
信任关系必须建立在域和基于 MIT 的 Kerberos 领域之间。这意味着 Kerberos 领域的客户可对 Active Directory 域验证身份,以访问该域上的网络资源。
在某个域中,UNIX 客户和服务器可以拥有 Active Directory 帐户,并因此从域控制器获得身份验证。
安全套接字层 (SSL) 和传输层安全性 (TLS) 的身份验证
在用户试图访问安全的 Web 服务器时使用。
NTLM 身份验证
在 Windows 2000 中,NTLM 被用作域中两台计算机之间事务的身份验证协议,其中一台或两台计算机运行 Windows NT 4.0 或更早版本。Windows 2000 在默认情况下以混合模式网络配置安装。混合模式的网络配置使用 Windows NT 4.0 和 Windows 2000 的任意组合系统。如果没有混合模式网络,可以在域控制器中转换为本地模式来禁用 NTLM 身份验证。
授权
Windows 2000 的安全性建立在身份验证和授权之上。
管理员可以指派特定权利组帐户或单个用户帐户。
用户权利定义了本地级别上的功能。虽然用户权利可以应用于单个的用户帐户,但最好是在组帐户基础上管理。这样可以确保作为组成员登录的帐户将自动继承该组的相关权利。通过对组而不是对单个用户指派用户权利,可以简化用户帐户管理的任务。当组中的用户都需要相同的用户权利时,用户可以一次对该组指派用户权利,而不是重复地对每个单独的用户帐户指派相同的用户权利。
对组指派的用户权利应用到该组的所有成员(在它们还是成员的时候)。如果用户是多个组的成员,则用户权利是累积的,这意味着用户有多组权利。指派给某个组的权利只有在特定登录权利的情况下才会与指派给其他组的权利发生冲突。然而,指派给某个组的用户权利通常不会与指派给其他组的权利冲突。要删除用户的权利,管理员只需简单地从组中删除用户。在这种情况下,用户不再拥有指派给这个组的权利。
用户权利有两种类型:特权和登录权利。
§ 特权。特权的一个典型范例就是备份文件和目录的权利。
§ 登录权利。登录权利的一个典型范例就是登录本地系统的权利。
审核
安全审核是 Windows 2000 的一项功能,负责监视各种与安全性有关的事件。监视系统事件对于检测入侵者以及危及系统数据安全性的尝试是非常必要的。
应该被审核的最普通的事件类型包括:
§ 访问对象,例如文件和文件夹
§ 户和组帐户的管理
§ 用户登录以及从系统注销时
除了审核与安全性有关的事件,Windows 2000 还生成安全日志并提供了查看日志中所报告的安全事件的方法。
安全策略
安全设置定义了系统的安全相关操作。通过对 Active Directory 中组策略对象的使用,系统管理员可以集中应用保护企业系统所要求的安全级别。
确定包括多台计算机的组策略对象的设置时,必须考虑给定站点、域或单位的组织和功能特征。例如,销售部门的计算机和财务部门的计算机对安全级别的需要就大不一样。
安全设置
安全设置包括安全策略(帐户和本地策略)、访问控制(服务、文件、注册表)、事件日志、组成员(受限的组)、网际协议 (IP) 的安全策略和公钥策略。
安全模板
安全模板是安全配置的物理表现:一组安全设置应该存储于一个文件中。Windows 2000 包括一组以计算机的角色为基础的安全模板:从低安全域客户端的安全设置到非常安全的域控制器。这些模板可用于创建自定义安全模板,修改模板或者作为自定义安全模板的基础。
安全配置工具
管理员可使用安全模板管理单元来定义和使用安全模板。
管理员可使用安全配置和分析管理单元来配置和分析本地的安全性。
管理员可使用组策略管理单元来配置 Active Directory 中的安全性。
数据保护
数据的保密性和完整性开始于网络的身份验证。用户可以通过适当的凭据(安全的密码或者公钥凭据)在网络上登录,并在此过程中获得访问存储数据的权限。
Windows 2000 支持两种数据保护方式:存储数据和网络数据。以下部分介绍这两种类型的保护方式。
存储数据的保护
保护存储的数据(联机或是脱机)可以通过:
文件加密系统 (EFS):EFS 使用公钥加密技术对本地的 NTFS 数据进行加密。
数字签名:数字签名对软件组件进行签名以确保它们的合法性。
网络数据的保护
在用户的工作环境(局域网和子网)中的网络数据通过身份验证协议来保护它的安全。用户也可以选择其他的安全级对用户工作环境中的网络数据进行加密。使用网际协议 (IP) 的安全机制,用户可以为指定的客户端或某个域中的所有客户端的所有网络通讯数据进行加密。
传入及传出用户所在工作环境的网络数据(通过内部网、外部网或 Internet 网关)可以通过使用以下实用程序进行保护:
网际协议安全。对客户端的所有 TCP/IP 通讯进行加密。
路由和远程访问。配置远程访问协议和路由。
代理服务器。为站点提供防火墙和代理服务器。
另外,象 Microsoft Exchange、Microsoft Outlook 和 Microsoft Internet Explorer 这样的程序都提供了某个站点内或者整个网络上的信息和事务的公钥加密。
公钥基础结构
在这个信息互连的时代,单位的网络可能包括内部网、Internet 站点和外部网这些都有可能被一些未经授权、蓄意盗阅或更改单位数字信息财产的个人访问。
有许多潜在的机会可未经授权访问网络上的信息。个人可以尝试监视或更改类似于电子邮件、电子商务和文件传输这样的信息流。用户的单位可能与合作伙伴在限定的范围和时间内进行项目合作,有些雇员用户虽然一无所知,但却必须给他们一定的权限访问用户的部分信息资源。如果用户的用户为了访问不同安全系统需要记住许多密码,他们可以会选择一些防护性较差或很普通的密码,以便于记忆。这不仅给黑客提供一个容易破解的密码,而且还提供了众多安全系统和存储数据的访问。
那么,系统管理员怎样才能确定正在访问信息的用户的身份而且利用身份对被访问的信息进行控制呢?另外,系统管理员怎样才能轻松而安全地分发和管理单位中的身份凭证呢?这些都是可以通过仔细规划的公钥基础结构解决的问题。
通常缩写为 PKI 的公钥系统是由数字证书、证书颁发机构 (CA) 以及核实和验证通过公钥加密方法进行电子交易的每一方的合法性的其他注册颁发机构所构成的系统。尽管作为电子商务必要组成部分的公钥基础结构 (PKI) 已被广泛应用,但它仍然在发展之中。有关规划 PKI 和使用公钥加密的详细信息,请参考资源:公钥基础结构
一个单位选择使用 Windows 2000 配置 PKI 的原因有很多:
§ 强大的安全性。通过智能卡获得强大的身份验证。也可以通过使用网际协议 (IP) 的安全机制来维护传输在公网上的数据保密性和完整性,并使用 EFS(文件加密系统)维护已存储数据的保密性。此外,管理员可以使用 Windows 2000 安全权限来确定何种证书可以颁发到哪个用户。
§ 简化管理。用户的单位可以颁发证书以取代密码。必要时可以吊销证书并公布证书吊销清单 (CRL)。管理整个企业的信任关系也有极大的灵活性。也可以利用与 Active Directory 和组策略结合的证书服务。在 Windows 2000 中还提供了将证书映射为 Active Directory 中的或通过 Internet 信息服务 (IIS) 得到的用户帐户的功能。
§ 新的机遇。可以在 Internet 这样的公网上安全地交换文件和数据。用户可以通过使用 S/MIME(安全的多用途 Internet 邮件扩展)实现安全的电子邮件传输,使用安全套接字层 (SSL) 或传输层安全性(TLS) 实现安全的 Web 连接。
而且,作为电子商务的重要组成部分,用户可以使用数字签名建立相互信任。
Windows 2000 特性可以帮助用户的组织执行公钥基础结构,包括:
§ 证书。证书主要是证明证书持有人的身份颁发机构所颁发的数字声明。证书将公钥与拥有相应私钥的个人、计算机或服务绑在一起。证书由各种公钥安全服务和提供身份验证的应用程序、数据完整性和通过网络的安全通讯(例如 Internet)使用。
Windows 2000 中基于证书的进程所使用的标准证书格式是 X.50d0av3。X.50d0a 证书包括接受证书的个人或实体的有关信息、证书的有关信息以及有关证书颁发机构的可选信息。主题信息可能包括实体名称、公钥、公钥算法以及可选择的唯一主题标识。版本 3 证书的标准扩展部分则包含与密钥标识、密码用法、证书策略、候选名称和属性、证书路径约束相关的信息,以及用于吊销证书的增强部分,其中包括吊销的原因和由 CA 更新的 CRL 部分。
§ Windows 2000 Server 上的证书服务。证书服务是 Windows 2000 用来创建和管理证书颁发机构 (CA) 的组件。CA 负责建立和确定证件持有者的身份。如果证书不再有效,CA 会吊销证书并公布由证书核对者使用的证书吊销列表 (CRL)。最简单的 PKI 设计只有一个根 CA。然而实际上,部署 PKI 的大部分组织会使用多个 CA,这些 CA 被组织成称为证书层次结构的信任组。
证书服务的个别组件是 CA Web 登记页面。这些 Web 页是在用户安装 CA 时默认安装的,并允许证书申请者使用 Web 浏览器递交证书申请。另外,也可以在未安装证书颁发机构的 Windows 2000 服务器上安装 CA Web 页面。在这种情况下,系统使用 Web 页直接将证书申请递交给 CA,而不管是什么原因,用户都不希望申请者直接访问。如果用户选择为单位创建自定义的 Web 页以访问 CA,那么在 Windows 2000 中提供的页面可作为范例。
§ 智能卡支持。Windows 2000 支持通过智能卡上的证书登录,以及使用智能卡存储用于 Web 身份验证、安全的电子邮件以及与公钥加密相关的其他活动的证书。
公钥策略。在 Windows 2000 中可以使用组策略自动给计算机指派证书、建立证书信任表和公用的信任证书颁发机构,以及为 EFS(文件加密系统)管理恢复策略。
返回