nc环境安全优化.docx
- 文档编号:30767755
- 上传时间:2023-08-23
- 格式:DOCX
- 页数:20
- 大小:31.25KB
nc环境安全优化.docx
《nc环境安全优化.docx》由会员分享,可在线阅读,更多相关《nc环境安全优化.docx(20页珍藏版)》请在冰豆网上搜索。
nc环境安全优化
微软安全策略综述
总体技术部
瞿宏阳
2001年11月
一、windows系统的安全策略
Windows2000操作系统的分布式安全服务能让组织识别网络用户并控制他们对资源的访问。
操作系统的安全模型使用信任域控制器身份验证、服务之间的信任委派以及基于对象的访问控制。
其核心功能包括了与Windows2000活动目录服务的集成、支持Kerberos版本5身份验证协议(用于验证Windows2000用户的身份)、验证外部用户的身份时使用公钥证书、保护本地数据的加密文件系统(EFS),及使用Internet协议安全性(IPSec)来支持公共网络上的安全通讯。
Windows2000分布式安全服务针对主要业务需求,其中包括:
1、让用户登录一次即可访问所有企业资源的能力。
2、强大的用户身份验证及授权能力。
3、内部和外部资源间的安全通讯。
4、设置及管理必要安全性策略的能力。
5、自动化的安全性审核。
6、与其他操作系统和安全协议的互操作性。
7、支持使用Windows2000安全设置功能进行应用程序开发的可扩展架构。
1.1活动目录
活动目录服务在网络安全性中扮演重要角色。
活动目录提供一个中央位置来存储关于用户、硬件、应用程序和网络上数据的信息,这样用户就可以找到他们所需要的信息。
它也保存了必要的授权及身份验证信息以确保只有适当的用户才可访问每一网络资源。
此外,活动目录与Windows2000安全服务(如Kerberos身份验证协议、公钥基本结构、加密文件系统(EFS)、安全性配置管理器、组策略以及委派管理等)紧密集成,此集成允许Windows应用程序利用现有安全性架构。
1.1.1域
域是网络对象(包括组织单元、用户帐户、组和计算机,它们都共享与安全性有关的公用目录数据库)的集合。
域形成活动目录内逻辑体系结构的核心单元,因此在安全性中扮演重要角色。
如果将对象分组到一个或多个域中,公司的网络就可反映公司的组织方式。
较大型的组织可以含有多个域,这种情况下的域层次结构就称为域目录树。
第一个创建的域是根域,它是在其下创建的域的父域,其下的域称为子域。
若要支持非常大型的组织,可将域目录树链接在一起,形成一种称为目录林的排列。
(在使用多个域控制器的情况下,活动目录会按固定时间间隔复制到域中的每个域控制器上,以使数据库永远同步。
)
域可标识一个安全机构,并使用一致的内部策略及与其它域间的明确安全性关系形成一个安全边界。
特定域的管理员只在本域中有设置策略的权限。
这对大型企业的帮助很大,因为不同的管理员可以创建并管理组织中不同的域。
1.1.2站点
域通常会反映一个组织的商业结构,而站点则通常被用来定义与地理分布有关的活动目录服务器组,这些计算机通常都以高速链接来连接,但它们彼此之间可以有也可以没有逻辑关系。
1.1.3组织单元
组织单元(OU),是指一个容器,可用它将对象组织成域中的逻辑管理组。
OU可包含对象,如:
用户帐户、组、计算机、打印机、应用程序、文件共享和其他的OU。
1.1.4对象
对象包含关于个别项目(如特定用户、计算机或硬件)等的信息(称为属性)。
例如,用户对象的属性可能包含姓和名、电话号码和管理器名称,计算机的对象可能包含计算机的位置及访问控制列表(ACL),列表中会指定对该计算机拥有访问权限的组和个人。
1.1.5域间的信任关系
为了让用户登录网络一次就可以使用网络上所有资源(通常称为单一登录能力),Windows2000支持域间的信任关系。
所谓信任关系,是指一种逻辑关系,这种逻辑关系在域之间建立,用来支持直接传递身份验证,让用户和计算机可以在目录林的任何域中接受身份验证。
这让用户或计算机仅需登录网络一次就可以对任何他们有适当权限的资源进行访问。
这种穿越许多域的能力说明了传递信任这个术语,它是指跨越一连串信任关系的身份验证。
当基于Windows2000的域被组织成目录树时,域间会创建隐含信任关系,这使在中型和大型组织中建立域间的信任关系更为容易。
属于域目录树的域定义与目录树中的父域的双向信任关系,而所有域都隐含地信任目录树中的其他域,如果有不应该有双向信任的特定域,应该定义明确的单向信任关系。
传递信任在默认情况下建立于目录树中,这样做之所以有意义是因为通常是由单个管理员来管理一个目录树,但因为目录林不太可能被单个管理员控制,因此目录林的目录树间的传递信任关系必须特别创建。
为了向后兼容性,在Windows2000中,信任关系通过使用KerberosV5协议及NTLM身份验证支持跨域的身份验证。
这一点很重要,因为许多组织的基于WindowsNT的企业域模型非常复杂,具有多个主域和许多资源域,而这些组织发现管理资源域和其主帐户域间的信任关系既花费成本又非常复杂。
因为基于Windows2000的域目录树支持传递信任目录树,它简化了较大型组织的网络域集成及管理。
但是,对于ACL不同意授予某些权限的人,传递信任不会自动将这些权限指派给他(或她)。
传递信任让管理员更容易定义和配置访问权限。
1.1.6使用组策略管理安全性
组策略设置是配置设置,管理者可用此设置来控制活动目录中对象的各种行为。
“组策略”是活动目录一项显著的功能,它可以用相同的方式将所有类型的策略应用到众多计算机上。
系统将“组策略”设置在计算机激活时应用于计算机,在用户登录时应用于用户。
可以将“组策略”配置设置与三个活动目录容器相关联:
组织单元(OU)、域或站点。
与给定的容器相关的“组策略”设置不是影响该容器中所有的用户或计算机,就是影响该容器中特定的对象集合。
可以使用“组策略”来定义广泛的安全性策略。
域级策略应用于域中的所有用户并包含如帐户策略等的信息。
在使用“组策略”功能来应用广泛的策略后,可以进一步细化个别PC上的安全性设置。
本地计算机安全性设置控制特定用户或计算机的权限和特权。
特定计算机的设置是从域到OU所有策略设置的组合。
1.1.7身份验证和访问控制
身份验证是系统安全性的基本方面。
身份验证是用来确认任何试图登录到域或访问网络资源的用户的身份。
Windows2000身份验证过程是使单一登录可访问所有网络资源的过程的一部分。
使用单一登录,用户可以用单一密码或智能卡登录到域中一次,并可对域中任何计算机进行身份验证。
在基于Windows2000的计算环境中,成功的用户身份验证是由两个单独的过程组成的:
互动式登录,这会向域帐户或本地计算机确认用户的身份;以及网络身份验证,这会向用户试图访问的任何网络服务确认用户的身份。
一旦用户帐户经过身份验证并可访问对象时,要么是分配至该用户的权力要么就是附加于对象的许可来决定所授予的访问权限的类型。
至于域中的对象,该对象类型的对象管理器会实施访问控制。
1.1.7.1身份验证
用户在活动目录中必须有一个Windows2000用户帐户,以登录到计算机或域中,此帐户会为用户创建一个身份,然后操作系统会使用此身份验证用户的身份并授予访问特定域资源的权限。
用户帐户还可用作一些应用程序的服务帐户。
也就是说,服务可被配置成以用户帐户登录(身份验证),然后通过该用户帐户授予对特定网络资源的访问权限。
与用户帐户一样,Windows2000计算机帐户提供一种方法来进行身份验证以及审核计算机对网络的访问权限以及对域资源的访问权限。
每一台需要授予访问资源权限的基于Windows2000计算机都必须有一个唯一的计算机帐户。
当用户进入网络时,用户必须提供身份验证信息以便安全系统身份验证其身份,之后再决定要允许该用户以什么权限(如果有的话)访问网络资源。
Kerberos身份验证协议用来验证Windows2000用户的身份。
Windows2000支持数种产业标准身份验证机制,包括X.509证书、智能卡和Kerberos协议。
此外,Windows2000还支持在Windows中使用多年的NTLM协议,并为开发生物身份验证机制的厂商提供接口。
在活动目录中使用“组策略”,可以根据用户的角色和安全需要为个别用户或用户组指派特定身份验证机制。
无论用什么方法来证明身份,Windows2000总是使用活动目录来查阅身份验证机制所呈现的身份。
若身份验证成功,可以根据身份验证机制所提供的身份找到用户帐户,Windows2000会为用户提供一组凭据,该凭据可用来访问整个网络上的资源。
1.1.7.2访问控制
Windows2000通过让管理员给对象指派安全性描述符来执行访问控制。
对象的安全性描述符包括访问控制列表(ACL),该列表是用来定义哪一用户(依照个人或组)有权限对该对象执行特定操作。
对象的安全性描述符还指定该对象待审核的各种访问事件。
通过管理对象的属性,管理员可以设置使用权限,指派拥有权,并监视用户的访问。
管理者不仅可控制对特定对象的访问,也可控制对该对象的特定属性的访问。
使用对象的ACL,Windows2000会比较关于客户端和关于对象的信息来决定用户对该对象是否具有所需的访问权。
访问检查是在Windows2000的安全性子系统内的核心模式中完成的。
服务会根据此比较的结果来响应客户端,要么对对象提供服务,要么返回一个访问遭拒绝的失败。
为了给管理者较大的弹性来指派安全性设置,活动目录提供对目录中对象的精密访问控制。
目录中的项可以有丰富的架构,用户或组可以有数百种属性。
可以对该用户帐户的所选属性授予权限,但不授予对所有属性的完整读取/写入权限。
也可以依照属性来审核客户端帐户的更改或其他活动目录记录的更改。
1.1.8管理委派
活动目录让管理者在域的目录林中委派管理任务子集,这样组织就可以将域管理的责任分发给数个职员。
可以通过创建包含委派控制的对象的组织单元来对域目录树的任何级别委派管理控制,然后把这些组织单元的管理控制委派给特定用户或组。
在组织单元级别,管理员可授予特定操作权限。
“组策略”设置和用户组允许管理员精确定义委派的授权单位。
另外,因为精密的访问控制,管理员可严密地定义委派任务的范围。
1.2kerberos
Windows2000使用Internet标准KerberosV5协议(RFC1510)作为验证用户身份的主要方法。
Kerberos协议提供在客户机和服务器两者之间的网络连接打开前交互身份验证的机制。
此方法对包含开放通讯(如那些已经在Internet上实现的)的网络来说是非常理想的。
Kerberos身份验证是根据票据。
当客户端登录到基于Windows2000的域时,会收到一张票据,这张票据是用来向所访问网络资源验证客户端,以及向客户端验证网络资源。
为此,Kerberos协议依靠身份验证技术,这个技术叫做共享机密身份验证。
这个方法的前提很简单:
若仅有两个人知道秘密,那么两人中的任何一个人都可以通过确认另一个人是否知道这个秘密来确认对方的身份。
使用Kerberos协议,客户机和服务器都会向Kerberos身份验证服务器注册。
使用Kerberos身份验证的客户端将由用户密码派生的加密信息发送到Kerberos服务器,该服务器使用它来验证用户的身份。
同样地,服务器将信息发送到客户端的Kerberos软件,该软件就可验证服务器的身份。
此交互身份验证过程(下面有较详尽的描述)可同时避免客户机和服务器被恶意的用户冒充。
此方法是对WindowsNT4.0身份验证过程(称为NTLM)的一种改进,后者需要对用户所访问的每个网络资源进行单独的客户端身份验证。
Kerberos替换NTLM成为访问基于Windows2000Server的域内或域间的资源的主要安全协议。
(为确保向后兼容性,仍支持NTLM。
)完整的Kerberos协议支持提供对基于Windows2000Server的资源以及支持此协议的其它环境进行快速、单一的登录。
1.2.1Kerberos身份验证过程
Kerberos身份验证过程就是在客户机和服务器之间检查和发送凭据,以下是它运作的方式:
当用户登录到基于Windows2000的域时,Windows2000会找到活动目录服务器和Kerberos身份验证服务,并将客户端凭据发送给Kerberos服务。
客户端用取得密钥的密码来验证身份,这个密钥可由服务器验证,或(在使用智能卡登录的情况下)由使用私钥加密的信息来验证身份,此私钥的公开部分是在活动目录中注册的。
在检查客户端身份验证信息后,Kerberos服务,称为“密钥发行服务”(KDC),为用户签发授予票据的票据(TGT),当客户端要求后续Kerberos票据以登录到网络资源时,这个票据就会用来标识客户端。
(使用TGT减少KDC必须查阅客户端信息的次数。
)虽然这是一个复杂的过程,但用户唯一要做的就是输入自己的密码来登录。
1.2.2Kerberos和活动目录
每个基于Windows2000的域控制器将活动目录实现为其目录并集成KDC。
这允许所有用户帐户信息存储在单个目录中。
若公司的组织是中型或大型的,则可能有多个域控制器来给组织提供可用性和容量,但这不会影响使用Kerberos身份验证的能力,因为只要有活动目录的副本,就会有Kerberos身份验证服务的副本。
1.2.3身份验证委派
对应用程序而言,使用几个服务器来执行任务是很平常的。
不用让客户端通过其所使用的每个服务器的个别身份验证过程,Windows2000提供跨多层应用程序(也称为三层应用程序)的安全措施。
基于Windows2000的域间的传递信任关系极大地扩展了运行Windows2000或WindowsNT工作站的客户端在登录到基于Windows2000的域后可访问的资源范围,不需许多不同密码来访问不同服务器和资源。
访问范围(称为单一登录)是通过结合Windows2000信任机制和Kerberos协议使用活动目录来处理客户端身份验证的方法而达成。
操作系统提供单一安全模型及基本结构以定义用户帐户及管理访问权限。
这表示可以在活动目录中一次性定义设置,然后将他们用于组织中的所有应用程序服务器。
这种用来支持三层模型的方法就叫做身份验证委派。
这种模型允许客户端身份验证交给应用程序涉及的服务器。
此服务器会模拟客户端,并代表客户端来执行访问请求。
这表示所有身份验证凭据和票据的传递并不需要用户输入。
虽然服务器会模拟客户端,但对原始客户端的审核记录会被保存。
当服务器处理一个由另一个服务器转送过来的请求时,其记录会显示客户机的名称,而非中介服务器的名称。
此模型是Windows2000的一个重要元素,因为它支持单一登录并简化(不影响)安全性。
今天的许多应用程序需要为安全性准备单独的帐户数据库。
但是使用活动目录集中存储安全信息的应用程序有助于创建更易于管理和伸缩的网络。
1.3公钥基本结构
公钥加密技术用于保护开放网络上活动的安全,如在Internet上。
它允许加密数据、签名、并通过使用证书来验证客户机和服务器的身份,此技术的关键在于跟踪证书。
公钥基本结构(PKI)提供使用、管理、及查找公钥证书的能力。
PKI是数字证书、证书颁发机构(CA)和其他检查并验证参与电子交易各方合法身份的注册机构的一种行业标准系统。
可以使用公钥基本结构来支持广泛的网络和信息安全性需求。
公钥证书是用来验证身份并发送用来加密和解密数据的密钥。
有两种用于公钥加密技术的密钥类型,一种是公钥、另一种是私钥。
公钥在证书中很容易取得,但通过公钥加密后的数据只可以使用私钥来解密。
一笔受到保护的交易需要公钥和私钥两种密钥来对包含于交易中的数据进行加密和解密。
Windows2000PKI提供服务架构、技术、协议和允许部署并管理强大的信息安全性系统(该系统基于公钥技术)的标准。
Windows2000中的PKI支持公钥加密技术,应用程序和用户轻易可以找到并使用证书,而无须了解它们存放的地方和运作的方式。
此外,Windows2000PKI与活动目录和操作系统的分布式安全服务完全集成在一起。
1.3.1PKI证书支持
基本上,证书是一个由颁发机构签发的数字声明,它可担保私钥持有者的身份。
证书将公钥与持有相应私钥的人员、计算机或服务等身份连接到一起。
基于Windows2000证书的过程所使用的标准证书格式是X.509v3。
X.509证书包含关于证书接收方的人或实体的信息、证书的信息、还有签发证书的颁发机构的可选信息。
1.3.2证书服务
为了实现PKI而不需依靠外部CA,Windows2000包含一个称为“证书服务”的组件,用来创建并管理CA,“证书服务”与活动目录和分布式安全服务集成。
CA负责创建并担保证书持有人的身份。
CA也可以撤消证书(如果证书不再被视为有效),并发布证书撤消列表(CRL)供证书确认方使用。
最简单的PKI设计仅有一个根CA。
然而,实际上,大多数部署PKI的组织会使用许多CA,这些CA组织成信任组(称为证书层次结构)。
“证书服务”有一个独立的组件是CAWeb登记页。
默认情况下,这些Web页在设置CA并允许证书请求者具有用网页浏览器提交证书请求的能力时就安装好了。
此外,CAWeb页可以安装在未安装证书颁发机构的基于Windows2000的服务器上。
这种情况下,Web页用于将证书请求定向到CA。
如果创建自定义Web页来访问CA,则可将Windows2000中所提供的Web页当作示例使用。
为使部署公钥安全措施变成一项简单的工作,在Windows2000内实现了计算机所用证书登记步骤的自动化。
因为使用了活动目录,服务器会知道他们可以取得证书,而且会在需要时自动取得。
这表示服务器管理员不需要到每一个服务器上手动执行所有步骤来登记服务器证书。
1.3.3公钥策略
使用Windows2000中的“组策略”不仅可以自动将证书分发给计算机,建立证书信任列表及信任证书颁发机构的列表,而且可以管理加密文件系统的恢复策略。
1.3.4CryptoAPI
除“证书服务”外,Windows2000PKI还依靠MicrosoftCryptoAPI版本2来进行安全的密码操作及私钥管理。
CryptoAPI是Windows2000应用程序编程接口(API),为Windows和Windows应用程序提供密码服务。
它提供一组功能,以允许应用程序加密数据或以数字方式灵活地签发数据,而同时又提供对私钥的保护。
实际的密码功能由被称为密码服务提供程序(CSP)的独立模块实现。
开发人员可以使用CryptoAPI将“证书服务”与现有数据库及第三方目录服务集成到一起。
CryptoAPI的常规用途包括支持自定义过程来保护电子文档。
1.3.5使用证书来验证外部用户的身份
Windows2000提供一种方法可安全地为用户授予访问权限,即使用PKI和活动目录来验证用户的身份。
这里是它的运作方式的一般概述:
通过在活动目录中创建用户帐户并指派给外部用户来提供访问权,此帐户对外部用户可在网络上使用的资源具有访问权。
每个外部用户都需要有证书来验证其身份。
该证书必须由证书颁发机构签发,这些机构列在活动目录站点、域或组织单元(已在其中创建了用户帐户)的证书信任列表中,当用户登录时,系统会将用户的证书映射到帐户,然后决定用户可以使用内部Web站点的哪些部分。
身份验证过程对外部用户来说是透明的。
1.3.6PKI用于Windows2000的情况
除了上述的供外部用户验证其身份的方法外,还有其他一些情况也需要依赖PKI。
使用公钥技术的常规安全功能有:
使用安全/多重目的Internet邮件扩展(S/MIME)来保护电子邮件通讯的安全。
为进行安全交易而创建数字签名。
使用SecureSocketsLayer(SSL)或TransportLayerSecurity(TLS)来保护Web上的通讯安全。
签署可执行代码以便在公用网络上传递。
支持本地网络登录或远程网络登录。
为不使用Kerberos协议的客户端,或为IPSec通讯的共享机密密码提供Internet协议安全性(IPSec)身份验证。
使用Windows2000EFS对文件进行加密。
使用智能卡保护登录凭据的安全。
1.4智能卡
增加网络资源安全性的另一种方法是使用智能卡。
若要使XX的人更难取得访问网络的权限,智能卡是相对简单的一种方法。
因此,Windows2000中包含对智能卡安全性的内置支持。
智能卡通常和信用卡大小一样,它所提供的抗篡改存储能够保护用户的证书和私钥。
因此,智能卡提供了一种十分安全的用于用户身份验证、交互式登录、代码签名以及安全电子邮件的方法。
智能卡包含一个芯片,用于存储用户私钥、登录信息和具有多种用途(如数字签名和数据加密)的公钥证书。
由于以下几种原因,智能卡要比密码安全一些:
验证用户身份时需要实体对象,即智能卡。
智能卡必须与个人标识号码(PIN)一起使用,以确保专人用专卡。
入侵者使用偷来的凭据这一风险被有效地排除了,因为要从卡中抽取密钥实际上是不可能的。
没有此卡,入侵者就无法访问智能卡所保护的资源。
没有任何密码形式或任何可重复使用的信息是通过网络传的。
智能卡增强了仅针对软件的身份验证,方法是在让用户访问资源前先要求用户提供实际对象(智能卡)并需要知道卡片的PIN码。
这种既要展示卡片又要展示PIN的需求称为两项因素身份验证。
在额外安全性很重要的情况下使用智能卡验证用户身份是理想之选。
用户不是输入密码,而是将卡片插入附于PC上的读取器,然后输入卡的PIN。
Windows2000使用私钥和存储在卡片上的证书以对在Windows2000域控制器上的KDC验证用户身份。
验证用户身份后,KDC会返回授予票据的票据。
自此,用户在此会话期间所进行的其它连接也都会使用上述的Kerberos身份验证。
1.5加密文件系统
Windows2000加密文件系统(EFS)用来保护计算机上存储的数据。
为使本地存储的数据多一些保护措施,EFS允许对本地计算机上指定的文件或文件夹进行加密,这样XX的人就无法读取这些文件。
EFS对保护可能被偷窃的计算机上的数据特别有用,可在便携机上配置EFS以确保用户的文档文件夹中的所有商业信息均被加密。
当对NTFS文件系统(NTFS)卷上的文件或文件夹启用EFS时,操作系统会使用公钥和通过CryptoAPI取得的对称加密算法来加密文件。
虽然基本机制很复杂,但管理员和用户只需在“高级属性”对话框(通过“文件属性”对话框访问)中选中一个复选框就可以利用额外安全性。
EFS在保存文件时自动对其进行加密,并且在用户再次打开文件时解密。
除了加密文件的人和具有EFS文件恢复证书的管理员以外,没有人可以读取这些文件。
由于加密机制已经内置于文件系统中,因此它的操作对用户是透明的而且很难侵犯。
EFS使用对每个文件都各不相同的对称加密密钥对文件进行加密。
然后它还要使用来自文件拥有者的EFS证书的公钥对加密密钥进行加密。
由于文件拥有者是唯一能够访问私钥的人,因此他是唯一能为密钥、从而为文件解密的人。
即使有人想绕过E
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- nc 环境 安全 优化