Windows2000中的信息网络安全技术

随着信息技术和网络技术的发展，特别是互联网的普及，如何防止信息被非法截获和破坏，即有效维护网络信息的安全，已经成为越来越多人关注的焦点。Windows作为新一代操作系统

000，可以通过多种技术和手段控制用户对资源的访问，提高网络的安全性，包括与Active Directory服务的集成、支持Windows 2000用户身份验证的Kerberos v5身份验证协议、PKI支持、使用公钥证书对外部用户进行身份验证以及使用EFS(加密文件

System)保护本地数据，使用互联网协议安全IPSec(Internet Protocol security)保证通过公网通信的安全性，基于Windows 2000的安全应用开发的扩展性等。

1活动目录技术

活动目录服务在Windows 2000的信息安全和网络安全中起着重要的作用。它是用户、硬件、应用和网络数据的存储中心，也存储着用户的认证信息和用户使用某项资源的授权信息。活动目录和Windows

H.2000的其他安全服务紧密集成，如Kerberos身份验证协议、公钥基础设施PKI、加密文件系统EFS、安全设置管理器和组策略。

与Windows NT中的平面文件目录不同，Windows 2000 Active Directory采用代表商业企业组织结构的分层目录结构来存储信息，可以简化管理，具有良好的可扩展性。为了创建这种分层结构，Active Directory使用域、组织单位(OUS)和对象来管理和使用网络资源，类似于Windows使用文件和文件夹来组织本地资源的方式。

域是网络对象的集合，包括组织单位、用户帐户、组、计算机等。它们共享一个公共的目录数据库，构成了活动目录中逻辑结构的核心单元。每个域可能包含多个组织单元和用户(对象)，这更符合公司或企业的组织模型。

大型企业或组织可能包含多个域。在这种情况下，域层次结构称为域树。由创建的第一个域是根域，也称为父域，在其下创建的域是子域。为了支持更大的组织结构，可以将多个域树连接起来形成一个林。在这种情况下，需要多个域控制器，Active Directory可以定期在多个域控制器之间复制信息，从而保持目录数据库信息的同步。

在域中，组织单位(OU)是将对象组织成逻辑管理组的容器，包括一个或多个对象，如用户帐户、组、计算机、打印机、应用程序、文件共享或其他OU。

对象包括个人，如特定用户、计算机或硬件信息(属性)，如用户的属性可能包括姓名、电话号码和电子邮件等。计算机对象的属性可以包括计算机的位置和指定哪些用户或组可以访问计算机资源的访问控制列表(ACL)。通过域和OU的组织形式，系统可以以集合的形式管理对象的安全，如用户组和计算机组，而不需要配置每个独立的用户和对象。

Win2000支持域间的信任关系，以使用户一次登录，使用全网资源，即单点登录。域之间建立相互认证的逻辑关系，允许计算机和用户在域树(甚至是森林)中的任意一个域进行认证，然后就可以使用全网的授权资源。

2 Kerberos身份验证

Kerberos身份验证协议定义了客户端和称为KDC(密钥分发中心)的身份验证服务之间的安全交互过程。Windows2000在每个域控制器中应用KDC认证服务，其域类似于Kerberos中的realm。详情请参考RFC 1510协议。Windows2000采用许多措施来支持Kerberos协议:Kerberos客户端使用基于SSPI的Windows2000安全提供程序，初始Kerberos身份验证与WinLogon单点登录集成，Kerberos KDC还与运行在域控制器中的安全服务集成，使用Active Directory作为用户和组的帐户数据库。

Kerberos是一种基于共享密钥的身份验证协议。用户和密钥分发中心KDC都知道用户的密码，或者从密码单向生成的密钥，并且定义了一组用于在客户端、KDC和服务器之间获得和使用Kerberos票据的交换协议。当用户初始化Windows登录时，Kerberos SSP使用基于用户密码的加密哈希获得初始Kerberos票证TGT。Windows2000将TGT存储在与用户登录上下文相关的工作站票证缓存中。当客户机想要使用网络服务时，Kerberos首先检查在票证缓存中是否有该服务器的有效会话票证。如果没有，就派TGT去KDC请求一个会话票证，以请求服务器提供服务。

所请求的会话票证也将存储在票证缓存中，以便随后连接到同一服务器，直到票证过期。账单的有效期由域安全策略指定，通常为8小时。如果在会期内票据过期，

Kerberos SSP将返回一个响应错误值，允许客户端和服务器刷新票证，生成新的会话密钥，并恢复连接。