同口令认证方式不同 , 采用智能卡进行认证时 , 用户把卡插入连接到计算机的读写器中 , 并输入卡的PIN , Windows就可以使用卡中存储的私钥和证书来向Windows2000域控制器的KDC认证用户 。认证完用户以后 , KDC将返回一个许可票据 。
5 加密文件系统EFS
前面讨论的技术 , 包括活动目录、Kerberos认证和PKI等 , 都是用于保护存储在中心网络中的资源 。如何保护本地系统 , 如硬盘中的数据的安全性 , 也是人们很关心的问题 。
Windows2000加密文件系统EFS则满足了上述需求 , 让用户可以对指定的本地计算机中的文件或文件夹进行加密 , 非授权用户不能对这些文件进行读写操作 。当用户的计算机物理丢失时 , 使用EFS系统可以防止敏感信息的丢失和泄漏 , 因为这些文档都是经过加密处理的 。
当使用EFS对NTFS文件系统的文件或文件夹进行安全处理时 , 操作系统将使用CryptoAPI所提供的公钥和对称密钥加密算法对文件或文件夹进行加密 。EFS作为操作系统级的安全服务 , 内部实现机制非常复杂 , 但管理员和用户使用起来却非常简单 。选中某一文件或文件夹以后 , 右击 , 在弹出式按钮中选择“属性”菜单项 , 在弹出的对话框中选择“常规标签页” , 单击“高级”按钮 , 并选择“加密内容以便保护数据”检查框 , 如图3所示 。单击“确定”按钮即可完成文件或文件夹的加密处理 。
当文件保存时EFS将自动对文件进行加密 , 当用户重新打开文件时将对文件进行自动解密 。除加密文件的用户和具有EFS文件恢复证书的管理员之外 , 没有人可以读写经过加密处理的文件或文件夹 。因为加密机制建立到了文件系统内部 , 它对用户的操作是透明的 , 而对攻击者来说却是加密的 。
EFS加密文件的时候 , 使用对该文件唯一的对称加密密钥 , 并使用文件拥有者EFS证书中的公钥对这些对称加密密钥进行加密 。因为只有文件的拥有者才能使用密钥对中的私钥 , 所以也只有他才能解密密钥和文件 。
在某些情况下 , 即使有些人使用底层的磁盘工具 , 也不能越过EFS机制来读取文件信息 , 这点在Windows NT中是无法做到的 。如果不是合法的用户登录到网络中 , 即使文件通过网络或物理方法被窃取到 , 因为没有密钥 , 同样不能读写 , 也不能进行任何不被发觉的修改 。
在某些情况下会发生诸如用户私钥丢失或雇员离开公司等突发事件 , EFS提供了一种恢复机制 , 可以恢复经EFS加密的文件信息 。当使用EFS时 , 系统将自动创建一个独立的恢复密钥对 , 并存储在管理员EFS文件恢复证书中 。恢复密钥对的公钥用于加密原始的加密密钥 , 并在紧急情况下使用私钥来恢复加密文件的密钥 , 从而恢复经过加密的文件 。
6 安全设置模板 为了方便一个组织网络安全设置的建立和管理 , Windows 2000提供了安全模板(Security Templates)工具 。管理员使用微软管理控制台MMC可以很容易定义标准模板 , 并统一地应用到多个计算机或用户中 。
一个安全模板是一个安全配置的物理表示 , 换句话说 , 它是存储一组安全设置的文件 。Windows2000中包括一系列的标准安全模板 , 并应用于不同的场合和计算机的不同角色 。这些标准模板包括的范围比较广 , 从低安全的域客户端设置到高安全的域控制器设置都有 。这些模板可直接应用、修改或作为创建用户自定义安全模板的基础 。
预定义的安全模板包括如下几种:
?默认工作站 (basicwk.inf)
?默认服务器 (basicsv.inf)
?默认域控制器 (basicdc.inf)
?兼容工作站或服务器 (compatws.inf)
推荐阅读
- Win2000优化技巧篇之:其他优化技巧
- Win2000优化技巧篇之:硬件及环境的优化
- Win2000优化技巧篇之:显示方面的优化技巧
- Win2000优化技巧篇之:为Win2000减肥
- 梦中的婚礼踏板怎么踩
- 让Windows 98/2000也拥有图片屏保
- 有始有终 替换法解决Win2000“关门”故障
- Windows 2000终端存在的问题及解决方案
- Win2000终端存在的问题及解决方案
- 去除掉Wind 2000系统的登录界面