隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是Internet的不斷普及，如何防止信息不被非法截獲和破壞，即有效維護網(wǎng)絡(luò)信息的安全性，成為越來越多的人關(guān)注的焦點，

Windows 2000中信息網(wǎng)絡(luò)安全技術(shù)

。作為新一代的操作系統(tǒng)的Windows 2000，可通過多種技術(shù)和手段來控制用戶對資源的訪問，提高網(wǎng)絡(luò)的安全性，其中包括與活動目錄（Active Directory）服務(wù)的集成、支持認證Windows 2000用戶的Kerberos v5認證協(xié)議、提供了公鑰基礎(chǔ)設(shè)施PKI支持，用公鑰證書對外部用戶進行認證、使用加密文件系統(tǒng)EFS（Encrypting File System）保護本地數(shù)據(jù)以、使用Internet協(xié)議安全IPSec（Internet Protocol security）來保證通過公有網(wǎng)絡(luò)的通信的安全性，以及基于Windows 2000的安全應(yīng)用開發(fā)的可擴展性等等。

　　1 活動目錄技術(shù)

　　活動目錄服務(wù)在Windows 2000信息安全和網(wǎng)絡(luò)安全中具有重要作用，它是關(guān)于用戶、硬件、應(yīng)用和網(wǎng)絡(luò)數(shù)據(jù)的存儲中心，也存儲用戶的認證信息，以及用戶使用某一資源的授權(quán)信息等�；顒幽夸浥cWindows 2000的其他安全服務(wù)緊密集成，如Kerberos認證協(xié)議、公鑰基礎(chǔ)設(shè)施PKI、加密文件系統(tǒng)EFS、安全設(shè)置管理器和組策略等。同Windows NT中的平面文件（flat-file）目錄不同，Windows 2000活動目錄采用了代表商業(yè)企業(yè)組織結(jié)構(gòu)的分層目錄結(jié)構(gòu)來存儲信息，這樣可以簡化管理，具有良好的可伸縮性。為了創(chuàng)建這種分層結(jié)構(gòu)，同Windows采用文件和文件夾來組織本地資源的方法類似，活動目錄使用域（domains）、組織單元OUs（Organizational Units）和對象來管理和使用網(wǎng)絡(luò)資源。

　　一個域是網(wǎng)絡(luò)對象，包括組織單元、用戶賬號、組和計算機等的集合，它們共享一個公共目錄數(shù)據(jù)庫，并組成活動目錄中邏輯結(jié)構(gòu)的核心單元。每個域中可能包含多個組織單元和用戶（對象），這樣更符合公司或企業(yè)的組織模式。大的企業(yè)或組織可能包含多個域，這種情況下的域分層就稱為域樹（Domain Tree）。創(chuàng)建的第一個域為根（root）域，也稱為父域，在其下面創(chuàng)建的域為子（child）域。為了支持更大的組織結(jié)構(gòu)，多個域樹連接起來可以組成森林（forest），在這種情況下，需要使用多個域控制器，活動目錄就可以定時在多個域控制器之間復(fù)制信息，從而保持目錄數(shù)據(jù)庫信息的同步，

電腦資料

《Windows 2000中信息網(wǎng)絡(luò)安全技術(shù)》(http://www.cfdfis.com)。

　　在域中，一個組織單元OU是把對象組織成邏輯管理組的容器，其中包括一個或多個對象，如用戶賬號、組、計算機、打印機、應(yīng)用、文件共享或其他OU等。一個對象包括一個獨立個體，如特定的用戶、計算機或硬件信息（屬性），如一個用戶的屬性可能包括名字、電話號碼和電子郵件等；一個計算機對象的屬性可能包括計算機位置和指定哪些用戶或組能夠訪問該計算機資源的存取控制列表ACL（Access Control List）等。通過域和OU的組織形式，系統(tǒng)就可以以集合的形式來管理對象的安全性，如用戶組和計算機組等，而不需要對每個獨立的用戶和對象進行配置。

　　為了使用戶登錄一次而在整個網(wǎng)絡(luò)中使用資源，即單次登錄（single sign-on），Windows 2000支持域之間的信任關(guān)系。在域之間建立起相互認證的邏輯關(guān)系，允許計算機和用戶只需在域樹（甚至森林）中的任何一個域中進行身份認證，然后就可以在整個網(wǎng)絡(luò)中使用經(jīng)過授權(quán)的資源。

　　2 Kerberos認證

　　Kerberos認證協(xié)議定義了客戶端和稱為密鑰分配中心KDC（Key Distribution Center）的認證服務(wù)之間的安全交互過程。Windows 2000在每一個域控制器中應(yīng)用KDC認證服務(wù)，其域同Kerberos中的realm功能類似，具體可參考RFC 1510協(xié)議。Windows 2000中采用多種措施提供對Kerberos協(xié)議的支持：Kerberos客戶端使用基于SSPI的Windows 2000安全提供者，初始Kerberos認證同WinLogon的單次登錄進行了集成，而Kerberos KDC也同運行在域控制器中的安全服務(wù)進行了集成，并使用活動目錄作為用戶和組的賬號數(shù)據(jù)庫。

　　Kerberos是基于共享密鑰的認證協(xié)議，用戶和密鑰分配中心KDC都知道用戶的口令，或從口令中單向產(chǎn)生的密鑰，并定義了一套客戶端、KDC和服務(wù)器之間獲取和使用Kerberos票據(jù)的交換協(xié)議。當用戶初始化Windows登錄時，Kerberos SSP利用基于用戶口令的加密散列獲取一個初始Kerberos票據(jù)TGT，Windows 2000把TGT存儲在與用戶的登錄上下文相關(guān)的工作站的票據(jù)緩存中。當客戶端想要使用網(wǎng)絡(luò)服務(wù)時，Kerberos首先檢查票據(jù)緩存中是否有該服務(wù)器的有效會話票據(jù)。如果沒有，則向KDC發(fā)送TGT來請求一個會話票據(jù)，以請求服務(wù)器提供服務(wù)。請求的會話票據(jù)也會存儲在票據(jù)緩存中，以用于后續(xù)對同一個服務(wù)器的連接，直到票據(jù)超期為止。票據(jù)的有效期由域安全策略來規(guī)定，一般為8個小時。如果在會話過程中票據(jù)超期，Kerberos SSP將返回一個響應(yīng)的錯誤值，允許客戶端和服務(wù)器刷新票據(jù)，產(chǎn)生一個新的會話密鑰，并恢復(fù)連接。