Win2000优化技巧篇之：网络优化技巧

随着信息技术和网络技术的发展，特别是互联网的普及，如何防止信息被非法截获和破坏，即有效维护网络信息的安全，已经成为越来越多人关注的焦点。Windows作为新一代操作系统

000，可以通过多种技术和手段控制用户对资源的访问，提高网络的安全性，包括与Active Directory服务的集成、支持Windows 2000用户身份验证的Kerberos v5身份验证协议、PKI支持、使用公钥证书对外部用户进行身份验证以及使用EFS(加密文件

System)保护本地数据，使用互联网协议安全IPSec(Internet Protocol security)保证通过公网通信的安全性，基于Windows 2000的安全应用开发的扩展性等。

1活动目录技术

活动目录服务在Windows 2000的信息安全和网络安全中起着重要的作用。它是用户、硬件、应用和网络数据的存储中心，也存储着用户的认证信息和用户使用某项资源的授权信息。活动目录和Windows

H.2000的其他安全服务紧密集成，如Kerberos身份验证协议、公钥基础设施PKI、加密文件系统EFS、安全设置管理器和组策略。

与Windows NT中的平面文件目录不同，Windows 2000 Active Directory采用代表商业企业组织结构的分层目录结构来存储信息，可以简化管理，具有良好的可扩展性。为了创建这种分层结构，Active Directory使用域、组织单位(OUS)和对象来管理和使用网络资源，类似于Windows使用文件和文件夹来组织本地资源的方式。

域是网络对象的集合，包括组织单位、用户帐户、组、计算机等。它们共享一个公共的目录数据库，构成了活动目录中逻辑结构的核心单元。每个域可能包含多个组织单元和用户(对象)，这更符合公司或企业的组织模型。

大型企业或组织可能包含多个域。在这种情况下，域层次结构称为域树。由创建的第一个域是根域，也称为父域，在其下创建的域是子域。为了支持更大的组织结构，可以将多个域树连接起来形成一个林。在这种情况下，需要多个域控制器，Active Directory可以定期在多个域控制器之间复制信息，从而保持目录数据库信息的同步。

在域中，组织单位(OU)是将对象组织成逻辑管理组的容器，包括一个或多个对象，如用户帐户、组、计算机、打印机、应用程序、文件共享或其他OU。

对象包括个人，如特定用户、计算机或硬件信息(属性)，如用户的属性可能包括姓名、电话号码和电子邮件等。计算机对象的属性可以包括计算机的位置和指定哪些用户或组可以访问计算机资源的访问控制列表(ACL)。通过域和OU的组织形式，系统可以以集合的形式管理对象的安全，如用户组和计算机组，而不需要配置每个独立的用户和对象。

Win2000支持域间的信任关系，以使用户一次登录，使用全网资源，即单点登录。域之间建立相互认证的逻辑关系，允许计算机和用户在域树(甚至是森林)中的任意一个域进行认证，然后就可以使用全网的授权资源。

2 Kerberos身份验证

Kerberos身份验证协议定义了客户端和称为KDC(密钥分发中心)的身份验证服务之间的安全交互过程。Windows2000在每个域控制器中应用KDC认证服务，其域类似于Kerberos中的realm。详情请参考RFC 1510协议。Windows2000采用许多措施来支持Kerberos协议:Kerberos客户端使用基于SSPI的Windows2000安全提供程序，初始Kerberos身份验证与WinLogon单点登录集成，Kerberos KDC还与运行在域控制器中的安全服务集成，使用Active Directory作为用户和组的帐户数据库。

Kerberos是一种基于共享密钥的身份验证协议。用户和密钥分发中心KDC都知道用户的密码，或者从密码单向生成的密钥，并且定义了一组用于在客户端、KDC和服务器之间获得和使用Kerberos票据的交换协议。当用户初始化Windows登录时，Kerberos SSP使用基于用户密码的加密哈希获得初始Kerberos票证TGT。Windows2000将TGT存储在与用户登录上下文相关的工作站票证缓存中。当客户机想要使用网络服务时，Kerberos首先检查在票证缓存中是否有该服务器的有效会话票证。如果没有，就派TGT去KDC请求一个会话票证，以请求服务器提供服务。

所请求的会话票证也将存储在票证缓存中，以便随后连接到同一服务器，直到票证过期。账单的有效期由域安全策略指定，通常为8小时。如果在会期内票据过期，

Kerberos SSP将返回一个响应错误值，允许客户端和服务器刷新票证，生成新的会话密钥，并恢复连接。
使用Kerberos身份验证协议的客户端、KDC和应用服务器之间的关系:

在初始连接消息中，Kerberos将会话票证提交给远程服务，会话票证的一部分用服务和KDC共享的密钥加密。因为服务器端的Kerberos有一个服务器密钥的缓存副本，所以服务器不需要去KDC进行身份验证，而是可以通过验证会话票证直接对客户端进行身份验证。在服务器端，Kerberos认证系统的会话建立速度比NTLM认证快得多，因为有了NTLM，服务器获得用户的信任信后，要与域控制器建立连接，对用户进行重新认证。

Kerberos会话票证包含由KDC创建的新会话密钥，用于加密客户端和服务器之间的数据传输和身份验证信息。在Kerberos模型中，KDC作为可信第三方存在，生成会话密钥，更适合分布式计算环境中的认证服务。

Kerberos作为一个基本的Windows2000身份验证协议，与Windows 2000身份验证和访问控制安全框架紧密集成。的初始Windows域登录由WinLogon提供，它使用Kerberos安全提供程序来获取初始Kerberos票证。操作系统的其他组件(如重定向器)使用安全提供程序的SSPI接口来获取会话票证，以连接SMB服务器进行远程文件访问。

V5协议用会话票证中的授权数据定义了一个加密域，该域的使用保留给应用程序开发，而Windows2000使用Kerberos票证中的授权数据来附加代表用户和组成员的Windows安全ID。服务器端的Kerberos安全提供者使用授权数据代表用户建立Windows安全访问控制令牌，可以模拟客户端请求相应的服务。

Windows2000应用了Kerberos协议的扩展，除了支持共享密钥之外，还支持基于公/私钥对的身份验证机制。Kerberos公钥身份验证的扩展允许客户端在请求初始TGT时使用私钥，而KDC使用公钥来验证请求，公钥是从存储在active directory中的用户对象的X.509证书中获得的。用户的证书可以由权威的第三方颁发，如VeriSign和Digital IDs，也可以由Windows2000中的Microsoft certificate server生成。在初始身份验证之后，您可以使用标准Kerberos来获取会话票证并连接到相应的网络服务。

通过扩展Kerberos协议的公钥，用户可以以多种方式登录工作站和网络，如智能卡技术。通常，智能卡存储用户的私钥，可用于Kerberos初始化身份验证。

目前，使用公钥技术扩展Kerberos协议的计划和建议已经提交给IETF进行标准化推进。