10.1 安全的基本概念 10.1.1 安全模型 Windows 2000 安全模型的主要功能是用户身份验证和访问控制。 用户身份验证: Windows 2000 安全模型包括用户身份验证的概念,这种身份验证赋予用户登录系统访问网络资源的能力。在这种身份验证模型中,安全性系统提供了两种类型的身份验证:交互式登录(根据用户的本地计算机或 Active Directory 帐户确认用户的身份)和网络身份验证(根据此用户试图访问的任何网络服务确认用户的身份)。为提供这种类型的身份验证,Windows 2000 安全系统包括了三种不同的身份验证机制:Kerberos V5、公钥证书和 NTLM(与 Windows NT 4.0 系统兼容)。
基于对象的访问控制:通过用户身份验证,Windows 2000 允许管理员控制对网上资源或对象的访问。Windows 2000 通过允许管理员为存储在 Active Directory 中的对象分配安全描述符实现访问控制。安全描述符列出了允许访问对象的用户和组,以及分配给这些用户和组的特殊权限。安全描述符还指定了需要为对象审核的不同访问事件。文件、打印机和服务都是对象的实例。通过管理对象的属性,管理员可以设置权限,分配所有权以及监视用户访问。 管理员不仅可以控制对特殊对象的访问,也可以控制对该对象特定属性的访问。例如,通过适当配置对象的安全描述符,用户可以被允许访问一部分信息,如只访问员工姓名和电话号码而不能访问他们的家庭住址。 Active Directory 和安全性:Active Directory 通过使用对象和用户凭据的访问控制提供了对用户帐户和组信息的保护存储。由于 Active Directory 不仅存储用户凭据还存储访问控制信息,因此登录到网络的用户将同时获得访问系统资源的身份验证和授权。例如,用户登录到网络时,Windows 2000 安全系统通过存储在 Active Directory 上的信息来验证用户。然后,当用户试图访问网络上的服务时,系统检查由任意访问控制列表为这一服务定义的属性。由于 Active Directory 允许管理员创建组帐户,因此管理员可以更有效地管理系统的安全性。例如,通过调节文件属性,管理员可以允许组中的所有用户读取文件。这样,访问 Active Directory 中的对象以组成员为基础。
10.1.2 域的体系结构 域和安全性 域是网络对象的分组。例如:用户、组和计算机。域中所有的对象都存储在 Active Directory 下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。每个域都是一个安全界限,这意味着安全策略和设置(例如系统管理权利、安全策略和访问控制表)不能跨越不同的域。特定域的系统管理员有权设置仅属于该域的策略。由于每个域都是一个安全壁垒,因此不同的系统管理员可以在单位中创建和管理不同的域。 理解域的关键是: 安全策略可以贯穿整个域来实现。 为保证数据库的同步,包括安全信息的 Active Directory 会定期复制到域中每个域控制器。 Active Directory 中的对象可以按组织单位的不同级别进行组织和管理。 可转移的信任关系可以建立在域树中的域之间。 单个域和多个域 Windows NT 4.0 限制了目录可以存储的用户帐户的个数。因此,为了适应大计算环境的需要,创建和管理多个域而且每个都拥有自己的用户帐户目录对于单位来说就非常必要了。域通常按以下两种类型进行组织:主域(存储用户和组的帐户)和资源域(存储文件、打印机、应用程序服务等等)。
这种多域的计算环境被称为多主域模式。多主域模式意味着资源域需要与所有的主域具有多个信任关系。这些信任关系允许主域的用户访问资源域中的资源。 通过扩大存储用户、组和计算机帐户的能力,Active Directory 可实现多个域的功能,因此取而代之。通过 Active Directory,系统管理员可以把跨越多个域的所有帐户(过去必须存储在主域中)和所有资源(过去必须存储在资源域中)合并到单个域中。出于管理目的,系统管理员可以在域中将对象分组到不同组织单位 (OU) 中以维持对象的逻辑分组。然而,在某些情况下,用户出于策略原因可能希望保留多个域。 可转移的信任关系 当用户将对象从多个域转到单个域时,会降低必须建立和保持的域信任关系的数量。同样,将域合并成单个域林时,这些域将自动建立可转移的信任关系,减少了在域之间手动建立信任关系所需的数量。要访问域林中所有其他域,每个域同域林中的另一个域只需要一个信任关系。 服务器角色 域中的服务器担当下面的其中一种角色: 域控制器运行 Active Directory 并且提供身份验证和策略。 成员服务器不提供 身份验证和策略,常作为文件、应用程序、数据库、Web服务器等使用。
10.1.3 身份验证 身份验证是系统安全性的一个基本方面。它负责确认试图登录域或访问网络资源的任何用户的身份。Windows 2000 身份验证允许对整个网络资源进行单独登记。采用单独登记的方法,用户可以使用单个密码或智能卡一次登录到域,然后通过身份验证向域中的所有计算机表明身份。 Windows 2000 支持几种工业标准的身份验证类型。验证用户身份时,Windows 2000 依据多种要素使用不同种类的身份验证。Windows 2000 支持的身份验证类型有: Kerberos V5 身份验证 安全套接字层 (SSL) 和传输层安全性 (TLS) 的身份验证 NTLM 身份验证 在 Windows 2000 中,NTLM 被用作域中两台计算机之间事务的身份验证协议,其中一台或两台计算机运行 Windows NT 4.0 或更早版本。Windows 2000 在默认情况下以混合模式网络配置安装。混合模式的网络配置使用 Windows NT 4.0 和 Windows 2000 的任意组合系统。如果没有混合模式网络,可以在域控制器中转换为本地模式来禁用 NTLM 身份验证。
设为主页
收藏本站
相关文章: