《{安全生产管理}安全性技术概观》由会员分享,可在线阅读,更多相关《{安全生产管理}安全性技术概观(31页珍藏版)》请在金锄头文库上搜索。
1、Windows Server安全性技術概觀Microsoft 公司發行日期:2002年7月摘要企業結合了內部網路、外部網路與網站,而擴大了傳統區域網路 (LAN) 的範圍。如此一來,強化的系統安全性扮演了比以往更加重要的角色。Microsoft Windows Server 2003 提供許多新功能和改良的特點,這些功能和特點結合之後,可以建立更安全的交易進行平台。本文件為討論為組織部署Windows Server提供重要安全性效益的工具和程序。包括:驗證、存取控制、安全性原則、稽核、Active Directory、資料保護、網路資料保護、公開金鑰基礎架構 (PKI) 和信任。本文件是最終文
2、件的初期版本,在最終的商業版本發行之前可能會有許多變更。本文件中所包含的資訊內容,僅係Microsoft公司對各項討論議題於發行當日所持的看法。由於 Microsoft公司必須隨著市場的變更而改變,所以上述資訊不應被視為是Microsoft公司的某種承諾,而Microsoft公司也無法保證在產品發行之後,相關資訊的正確性和精確度。本文件僅適用於資訊用途,Microsoft公司對此文件不做任何擔保,不論其為明示或默示者。使用者有責任遵守所有應當遵守之智慧財產法。本文件包含所有受到版權保護的所有資訊,未經Microsoft公司的書面許可,嚴禁以任何形式、方法 (包括電子、機械、影印或其他方法),或
3、出於任何目的,複製、保存或輸入於檢索系統。Microsoft公司可能擁有專利、專利權應用、商標、版權、或其他本文件中所提及之智慧財產權。除非有Microsoft公司出具的使用授權合約,本文件無法提供您這些專利、商標、版權、或其他知識財產的合法使用權。本文件中所描述的公司、組織、產品、人名和事件等範例皆屬虛構。皆無意暗示或不該揣測任何實際的公司、組織、產品、人名或事件。 2002. Microsoft公司,版權所有,並保留一切權利。Microsoft、Active Directory、Authenticode、Visual C#、Windows、Windows標誌、與 Windows NT 均為
4、 Microsoft公司在美國及 (或) 其他國家的註冊商標或商標。本文中所提到的真實公司和產品名稱,可能係其專屬公司的商標。目錄簡介1效益3驗證4驗證類型4Internet Information Services安全性4互動式登入4網路驗證4單次登入5雙因素驗證 (Two-factor Authentication)5智慧卡5使用智慧卡登入網域5以物件為基礎的存取控制6存取控制概念6權限6物件的擁有權7權限繼承7有效權限7使用者權利8物件稽核8安全性原則9安全性設定管理員 (Security Configuration Manager)9安全性設定和分析9安全性分析9安全性設定9稽核10建
5、立策略10接受稽核的日常事件10實作稽核原則10Active Directory 與安全性12資料保護13加密檔案系統 (EFS)13加密及解密13EFS 功能13透過TCP/IP網路傳送加密資料14使用EFS加 / 解密資料14備份及修復加密資料14數位簽章15CAPICOM15網路資料保護17網際網路通訊協定安全性 (IPSec)17路由及遠端存取服務17網際網路驗證服務 (IAS)17公開金鑰基礎架構 (PKI)19未經授權存取的機會19關鍵問題19何謂PKI?19為何需要部署 PKI19實作PKI19憑證19憑證服務21憑證範本21憑證自動註冊22Web註冊網頁22智慧卡支援22公開金
6、鑰原則23信任24信任方向24信任類型24單向信任24雙向信任25信任關係25樹系信任25樹系信任效益25樹系信任關係25總結26相關連結27簡介企業結合了內部網路、外部網路與網站,而擴大了傳統區域網路 (LAN) 的範圍。如此一來,強化的系統安全性扮演了比以往更加重要的角色。為了提供安全的電腦環境,Windows Server 2003 作業系統將會提供許多重要的新安全性功能,並且改善 Windows 2000 Server 原本所擁有的安全性功能。本文件為討論部署Windows Server的組織所提供重要安全性效益的工具和程序。內容包括:驗證、存取控制、安全性原則、稽核、Active D
7、irectory、資料保護、網路資料保護、公開金鑰基礎架構 (PKI) 和信任。高可信賴電腦運算 (Trustworthy Computing)病毒的存在與軟體的安全性是一場永無止息的挑戰。為了迎接這些挑戰,Microsoft 推出高可信賴電腦運算(Trustworthy Computing),作為自己所有產品面對挑戰的主要措施。高可信賴電腦運算(Trustworthy Computing)是一種開發的架構,由安全和可信賴的電腦和軟體所驅動,這種安全和可信賴的程度,好比您每天在家使用的裝置和設備。雖然目前沒有真正的高可信賴電腦運算平台,但是 Windows Server 2003 的基本重新設
8、計,卻可視為實現這項願景的穩健步驟。共通語言執行環境 (Common Language Runtime)共通語言執行環境 (CLR,Common Language Runtime) 軟體引擎是 Windows Server 2003 的關鍵要素,同時有助於確保安全的電腦環境。可降低由一般程式設計錯誤引起的錯誤和安全漏洞次數,進而減少攻擊者能夠利用的弱點。CLR也會確認應用程式可以執行而不發生錯誤,並會檢查適當的安全性使用權限,確定程式碼只能執行適當的作業。能夠確認應用程式可以毫無錯誤地執行,並進行適當的安全性權限檢查,以確保程式碼僅執行適當的操作。為完成上述工作,CLR會進行如下的檢查:程式碼
9、下載或安裝的來源;程式碼是否擁有信任開發人員的數位簽章;經過數位簽章後,程式碼是否曾遭修改。安全程式碼基於對提供可靠、安全和高可信賴電腦運算的承諾,Microsoft重新檢查過Windows Server 系列產品的每一行程式碼,使其成為強化功能的一環,並判斷出可能發生錯誤及容易被利用的弱點所在之處。本文件包括本文件包括以下主題: 安全性效益 驗證 存取控制 安全性原則 稽核 Active Directory 與安全性 資料保護 網路資料保護 公開金鑰基礎架構(PKI) 信任效益Windows Server 2003 將提供更安全且經濟的交易進行平台。效益說明 降低成本這可歸功於簡化的安全性管
10、理程序,例如,存取控制清單、憑證管理員 (Credential Manager) 及公開金鑰基礎架構 (PKI)。執行開放式標準IEEE 802.1X 通訊協定讓保護企業環境內的無線 LAN 不受竊聽威脅的工作,變得更加容易。如需其他支援標準資訊,請查閱:RFCs 2459、3280、2797、2527和 公開金鑰密碼編譯標準 (PKCS) 1、5、8、10、12。保護行動電腦和其他新裝置加密檔案系統 (EFS)、憑證服務和自動智慧卡註冊等安全性功能,使得保護所有裝置的安全性變得更容易。EFS 為加密和解密儲存於 NTFS 磁碟區檔案的核心技術。只有加密保護檔案的使用者才可以開啟和使用該檔案。
11、憑證服務是核心作業系統的一部份,其允許企業以其本身的憑證授權單位 (CA) 行動,並核發和管理數位憑證。自動憑證註冊和自我登錄授權功能,透過新增另一個驗證層,為企業使用者提供增強的安全性。除了簡化的安全性程序,也是注重安全性的組織所另外必須進行的程序。部署Windows Server系列產品所獲得的安全性效益,將在下列章節中討論。驗證驗證是判別自稱為某人或某事之實體或物件的程序。程序對象包括確認資訊的來源和完整性,例如,檢查數位簽章,或是檢查使用者或電腦的識別。驗證是系統安全性的根基。能對任何有意登入網域或存取網路資源的使用者進行識別確認。Windows Server 系列產品驗證使得單次登入
12、功能可應用在所有網路資源。有了單次登入功能,使用者只需使用單一密碼或智慧卡登入一次網域,就能在網域內通過任何電腦的驗證。驗證類型當要驗證使用者身份時,隨著情況不同,就會使用不同的業界標準驗證類型。Windows Server系列產品所支援的驗證類型包括:驗證協定說明Kerberos V5驗證使用於密碼或智慧卡進行互動式登入的協定。也是網路服務驗證的預設方式。Secure Sockets Layer/Transport Layer Security (SSL/TLS) 驗證使用於使用者想存取安全Web伺服器時的協定。NTLM 驗證使用於當用戶端或伺服器端執行舊版Windows時的協定。摘要式驗證
13、 (Digest Authentication)摘要式驗證使用MD5 雜湊法或訊息摘要方式,跨網路傳送憑證。Passport 驗證提供單次登入服務的使用者驗證服務。Internet Information Services安全性當使用Internet Information Services (IIS),驗證在安全性上扮演至關重要的角色。IIS 6.0是功能齊備的Web伺服器,提供Microsoft .NET Framework、既有Web應用程式和Web Services的基礎架構。IIS 6.0 經過最佳化,可在主機環境下執行Web應用程式和Web Services。許多內建於IIS的新功
14、能強化了安全性、可靠性、管理能力和效能。使用IIS,可以將個別Web 應用程式或多個網站區隔成獨立Web Services處理序,直接與作業系統的核心程式溝通。獨立Web Services處理序保護單一應用程式或網站,不受到伺服器上的Web Services或其他Web 應用程式干擾。IIS更具備狀態監視能力,可發覺、修復和防範Web 應用程式錯誤。就Web伺服器而言,安全性是一大考量,您可運用IIS來防範Web伺服器遭受來自真實世界的攻擊。IIS是提供輕鬆管理安全伺服器所必需工具與功能的堅固平台。互動式登入互動式登入是向使用者的本機電腦或Active Directory 帳戶,確認使用者身份
15、識別。網路驗證網路驗證是向使用者正在存取的網路服務,確認使用者身份識別。為了提供這類驗證,安全性系統中包括下列驗證機制: Kerberos V5 公開金鑰憑證 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 摘要 NTLM (使用於相容Windows NT 4.0架構系統) 單次登入單次登入讓使用者在網路上存取資源時,無須重複提出憑證的作法得以實現。對Windows Server系列產品來說,使用者存取網路資源時只需驗證一次,之後的驗證動作對使用者而言近乎無形。 雙因素驗證 (Two-factor Authentication)Windows Server系列產品的驗證方式還包括了雙因素驗證,例如,智慧卡。智慧卡智慧卡是種可拒絕竄改及可攜式的使用方法,專門提供安全的
