系统管理员如何防范黑客的攻击(9)

　　网络和单个系统在Windows 2000下要远比Windows NT 4更加安全。对安全性要求极高的金融机构和其它公司或部门会很满意这个新的操作系统。但是，全面利用Windows 2000的安全性意味着必须使用Active Directory，并且需要相当重视管理并进行重要的培训。 　　

　　认证—确定用户是否名副其实—已经在Windows 2000中经受了彻底检查。如果你拒绝采用Active Directory，Server版本仍然支持Windows NT 4的NTLM（Windows NT LAN Manager，Windows NT局域网管理器）协议，因而能够对原有的客户进行认证，不过Active Directory还提供了对Kerberos 5的支持。 　　

　　Kerberos最大的好处是单次登录，登录后客户不需要重新认证就能访问网络中的其它Windows 2000服务器。Kerberos采用一种称为密钥分发中心（Key Distribution Center，KDC）的特殊服务器，它在Windows 2000上必须是一个域控制器。KDC为客户提供“门票”，以便提交给其它服务器进行认证。与NTLM不同，Kerberos可以用来进行服务器之间的相互认证；它还可以让客户对服务器进行认证。利用其它的Kerberos 5工具，或者通过被信任的数字证书权限，单次登录还可以扩充到非Windows 2000服务器上。同Windows 98一样，Windows 2000 Professional客户端能通过符合PC/SC 1.0规范的智能卡进行认证。　　

　　Windows 2000具有公共密钥加密基础架构。证书服务（Certificate Services）是通过密码保护的加密数据文件，其中包含的数据可用于对传输系统进行鉴别，证书服务可以分发、管理和撤消数字证书。基于公司的证书服务器可以用于客户机与服务器之间的相互认证，或者对不安全的联接中的数据进行加密—特别是对于Business-to-Business的电子商务。 　

　　Windows 2000可以使用IPSec这种加密的IP协议来加密网络上的数据。同样，它可以在更高的传输层上使用SSL和更新的TLS规范来加密数据。在Active Directory中，这两种方式都可以被设置为强制性策略，以便特定的客户机和服务器之间能够进行通信。Windows 2000的公共密钥加密是其VPN支持的基础。 　　

　　但是该操作系统中最棒的加密措施是加密文件系统（Encrypting File System，EFS），它允许你使用只有个别用户和经过认证的恢复代理能够解密的密钥对保存在磁盘上的文件进行加密。EFS改善了容易受到侵袭的系统（例如笔记本电脑）的安全性。除非数据窃贼知道用户的密码，否则就不可能得到加密的数据。EFS非常易于使用；加密不过是文件或文件夹的另一个属性。 　　

　　Windows 2000中的缺省用户权限比Windows NT 4要严格许多。例如，我们发现，如果用户没有Program Files\Netscape\Communicator\Users文件夹的写权限，Netscape Communicator将不能启动，因为它需要在那里写入配置信息。要解决这一类问题，你可以将用户划分到权限更强的组中的成员，或者，如果可能的话，对权限进行微观的管理。使用符合Windows 2000应用规范（Windows 2000 Application Specification）的应用程序也可以解决这种问题。为了有效地利用Windows 2000中众多的安全工具，预先的规划是必需的。负责Windows 2000网络安全性的人员最好能接受专门的研究培训。