Windows XP Professional和Windows XP Home Edition的新增安全特性

WindowsXPProfessional和WindowsXPHomeEdition的新增安全特性同以往各個(gè)版本的Windows系統(tǒng)相比，WindowsXP一個(gè)是最為可靠的系統(tǒng)，它擁有Windows系統(tǒng)有史以來最為強(qiáng)大的安全性和隱私保護(hù)能力?？偟恼f來，WindowsXP通過對(duì)安全性進(jìn)行改進(jìn)，為用戶提供了一種安全、可靠和保密的計(jì)算體驗(yàn)。WindowsXP包括兩個(gè)版本：針對(duì)家庭用戶的WindowsXPHomeEdition；以及針對(duì)各種企業(yè)用戶的WindowsXPProfessional。借助于WindowsXPHomeEdition中的安全特性，用戶可以比以往任何時(shí)候都更為安全地上網(wǎng)購物或?yàn)g覽。WindowsXPHomeEdition內(nèi)置Internet連接防火墻，可以在你連接到Internet時(shí)為你提供有力的安全防護(hù)，對(duì)于使用“永遠(yuǎn)在線”式的寬帶連接（例如線纜調(diào)制解調(diào)器和DSL）的用戶，這種防護(hù)就顯得尤為重要和必要。除了包括WindowsXPHomeEdition所能提供的所有安全特性之外，WindowsXPProfessional還附加了其它的安全管理特性。這些重要的新安全特性將減少企業(yè)的IT成本，并極大增強(qiáng)企業(yè)環(huán)境的安全性。WindowsXPHomeEdition的安全性服務(wù)是一種靈活的安全服務(wù)，它在設(shè)計(jì)之時(shí)已經(jīng)將家庭用戶可能面對(duì)的各種安全和隱私保護(hù)情況考慮在內(nèi)。如果你已經(jīng)對(duì)MicrosoftWindowsNT?version4.0和MicrosoftWindows2000的安全模型比較熟悉，你會(huì)從WindowsXPHomeEdition的安全特性中認(rèn)出很多熟悉的面孔。與此同時(shí)，你還會(huì)發(fā)現(xiàn)有些原來很熟悉的安全特性已經(jīng)發(fā)生了很大的改變，而眾多新增的安全特性則會(huì)極大改善你管理系統(tǒng)安全性的能力。例如，如果你使用Internet同他人在網(wǎng)上聊天，或者通過Internet收發(fā)電子郵件，你便很有可能遭到黑客的攻擊。為了保護(hù)你不受這些攻擊的侵害，WindowsXP集成了眾多先進(jìn)的安全特性，力圖使你的網(wǎng)絡(luò)體驗(yàn)更加安全。讓我們首先看一看WindowsXPHomeEdition中的重要安全和隱私特性。在讓你擁有比以往更加高效的Windows用戶體驗(yàn)的同時(shí)，這些特性可以使你和你的信息比以往更加安全。請(qǐng)記?。褐挥心阍诠ぷ鹘M中或者獨(dú)立計(jì)算機(jī)上使用WindowsXPHomeEdition，并且擁有管理員權(quán)限，你才能使用操作系統(tǒng)的所有安全特性。如果你配備WindowsXPHomeEdition的計(jì)算機(jī)是一個(gè)網(wǎng)絡(luò)的一部分，那么你能夠使用的安全性選項(xiàng)要取決于網(wǎng)絡(luò)管理員為你分配的權(quán)限。個(gè)性化登錄

如果使用WindowsXP，所有的家庭成員都可以在使用自己的口令進(jìn)行登錄后，享受自己特有的個(gè)性化用戶界面。系統(tǒng)新增的安全性級(jí)別確保了任何人都不會(huì)訪問（或者偶然刪除）你的重要文檔。如果你有孩子，你可以利用不同的安全性配置文件對(duì)他們能夠訪問的Internet站點(diǎn)進(jìn)行限制和過濾，以避免他們?cè)L問到與他們年齡不相應(yīng)的信息。針對(duì)同一臺(tái)計(jì)算機(jī)上的多個(gè)用戶的快速用戶切換

快速用戶切換（FastUserSwitching）功能針對(duì)家庭的實(shí)際使用需要而設(shè)計(jì)，它允許所有家庭成員共享同一臺(tái)計(jì)算機(jī)，就如同這臺(tái)計(jì)算機(jī)是他們每個(gè)人自己的一樣。你無需注銷當(dāng)前登錄的用戶和決定是否保存其它用戶的文件。WindowsXP可以終端服務(wù)技術(shù)單獨(dú)運(yùn)行每一個(gè)用戶會(huì)話，這使得每個(gè)用戶的數(shù)據(jù)都是相互完全分離的。在用戶使用密碼進(jìn)行登錄的情況下，這些會(huì)話彼此之間都是安全的。如果你在一臺(tái)獨(dú)立計(jì)算機(jī)或者工作組計(jì)算機(jī)上使用WindowsXPHomeEdition或WindowsXPProfessional，在默認(rèn)情況下，快速用戶切換功能處于啟用狀態(tài)。如果你使用WindowsXPProfessional計(jì)算機(jī)并且加入了一個(gè)域，那么你將不能使用快速用戶切換功能?？焖儆脩羟袚Q使所有家庭成員共享同一臺(tái)計(jì)算機(jī)的過程變得更加容易了。例如，如果母親正在使用計(jì)算機(jī)運(yùn)行一個(gè)家庭財(cái)務(wù)軟件，但是需要離開計(jì)算機(jī)一會(huì)兒，兒子便可以切換到他自己的賬戶開始玩游戲。該財(cái)務(wù)軟件會(huì)仍然運(yùn)行在母親的賬戶中。而所有這一切都不需要當(dāng)前登錄用戶進(jìn)行注銷操作。因?yàn)樾碌摹皻g迎”屏幕可以通過每位用戶的照片進(jìn)行輕松定制，所以用戶切換的過程非常容易，如圖1所示。

圖1：“個(gè)性化登錄”和“快速用戶切換”歡迎屏幕個(gè)人隱私

通過對(duì)W3C（WorldWideWebConsortium，萬維網(wǎng)聯(lián)盟）的P3P（PlatformforPrivacyPreferences）標(biāo)準(zhǔn)提供支持，MicrosoftInternetExplorerversion6.0能夠在你訪問Web站點(diǎn)時(shí)保護(hù)你的個(gè)人信息不被泄漏。Microsoft幫助開發(fā)了一個(gè)Web站點(diǎn)的隱私標(biāo)準(zhǔn)，所以你可以自己決定為站點(diǎn)提供哪些類型的信息以及提供多少這樣的信息。InternetExplorer6.0會(huì)判定你正在訪問的站點(diǎn)是否符合W3C的標(biāo)準(zhǔn)，然后在你向站點(diǎn)提供私人信息之前向你告知有關(guān)情況。當(dāng)你在InternetExplorer6.0中針對(duì)個(gè)人信息的暴露定義了相關(guān)隱私參數(shù)之后，瀏覽器會(huì)判定你正在訪問的站點(diǎn)是否符合P3P標(biāo)準(zhǔn)。對(duì)于符合P3P標(biāo)準(zhǔn)的站點(diǎn)，瀏覽器會(huì)將你的隱私參數(shù)同針對(duì)該站點(diǎn)定義的隱私策略進(jìn)行對(duì)比。InternetExplorer使用HTTP交換隱私信息。瀏覽器會(huì)根據(jù)你的隱私參數(shù)設(shè)定決定是否向Web站點(diǎn)提交你的個(gè)人信息。Cookie管理

P3P標(biāo)準(zhǔn)還支持InternetExplorer6.0中的cookie管理特性。Cookie是Web站點(diǎn)存儲(chǔ)在你的計(jì)算機(jī)中的一個(gè)小文件，以實(shí)現(xiàn)站點(diǎn)的定制化功能。例如，當(dāng)你對(duì)MSN?進(jìn)行定制的時(shí)候，相關(guān)信息便存儲(chǔ)在你計(jì)算機(jī)的Cookie文件之中。在你每次訪問該站點(diǎn)的時(shí)候，MSN都會(huì)讀取Cookie文件的內(nèi)容，然后為你顯示經(jīng)過定制的個(gè)性化內(nèi)容。作為隱私策略的一部分，符合P3P標(biāo)準(zhǔn)的Web站點(diǎn)可以為它們的Cookie提供策略信息。當(dāng)你對(duì)隱私參數(shù)進(jìn)行設(shè)置的時(shí)候，你可以要求InternetExplorer以如下方式對(duì)Cookies進(jìn)行處理：不允許在你的計(jì)算機(jī)上存儲(chǔ)Cookies。拒絕第三方的Cookies（即Cookies的來源地與所訪問的Web站點(diǎn)不處在同一個(gè)域中，因此沒有包括在Web站點(diǎn)的隱私策略中），但是允許所有其它的Cookies存儲(chǔ)在你的計(jì)算機(jī)中。允許所有Cookies不經(jīng)確認(rèn)就存儲(chǔ)在你的計(jì)算機(jī)上。請(qǐng)參看下面的圖2和圖3了解更多Cookies管理選項(xiàng)。

圖2：Cookie管理：根據(jù)不同站點(diǎn)執(zhí)行相應(yīng)隱私操作

圖3：Cookie管理：高級(jí)隱私設(shè)置有關(guān)P3P的更多信息，請(qǐng)?jiān)L問W3CWeb站點(diǎn)。Internet連接共享

Internet連接共享（ICS）可以將多臺(tái)計(jì)算機(jī)通過一條Internet連接連接到Internet上。借助于ICS，用戶可以安全地在多臺(tái)計(jì)算機(jī)間共享一條DSL、線纜調(diào)制解調(diào)器或者電話線連接訪問Internet。ICS的工作方式

被稱作ICS主機(jī)的一臺(tái)計(jì)算機(jī)直接連接到Internet，網(wǎng)絡(luò)中的其它計(jì)算機(jī)則共享ICS主機(jī)上的連接訪問Internet?？蛻粲?jì)算機(jī)需要依靠ICS主機(jī)計(jì)算機(jī)訪問Internet。在通過ICS訪問Internet的時(shí)候，系統(tǒng)具有更高的安全性，因?yàn)榇藭r(shí)只有ICS主機(jī)暴露在Internet之上?？蛻粲?jì)算機(jī)上的任何Internet通信都需要通過ICS主機(jī)來完成，ICS主機(jī)上的一個(gè)轉(zhuǎn)換過程保證了客戶計(jì)算機(jī)不會(huì)被Internet所看到。因?yàn)榭蛻粲?jì)算機(jī)不能被網(wǎng)絡(luò)外部所看到，所以它們的安全也得到了保護(hù)。只有運(yùn)行ICS的計(jì)算機(jī)暴露在Internet之上。此外，ICS主機(jī)還對(duì)網(wǎng)絡(luò)的地址分配進(jìn)行管理。ICS主機(jī)自身擁有一個(gè)永久性的靜態(tài)IP地址，并且向網(wǎng)絡(luò)中的ICS客戶機(jī)提供動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)。通過為每臺(tái)ICS主機(jī)分配一個(gè)唯一的IP地址，ICS主機(jī)為網(wǎng)絡(luò)中各臺(tái)計(jì)算機(jī)之間的通信提供了一條途徑。WindowsXP提供的ICS功能使你可以在家庭或者小型辦公環(huán)境中的多臺(tái)計(jì)算機(jī)間共享同一條連接訪問Internet。該功能首次出現(xiàn)于Windows2000Professional和Windows98SecondEdition操作系統(tǒng)，并且在WindowsXP中得到了改善。使用網(wǎng)絡(luò)協(xié)議

在WindowsXP中，ICS為家庭網(wǎng)絡(luò)提供了網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、DHCP和域名服務(wù)（DNS），從而消除了對(duì)客戶端計(jì)算機(jī)進(jìn)行配置的需要。WindowsXP的DNS功能已經(jīng)得到改進(jìn)，它現(xiàn)在包括了一個(gè)本地的DNS解析程序（DNSResolver），以便向家庭網(wǎng)絡(luò)中的所有客戶計(jì)算機(jī)提供名稱解析服務(wù)。通過這個(gè)DNS解析程序，那些沒有使用Windows技術(shù)的網(wǎng)絡(luò)設(shè)備也能夠?yàn)榫W(wǎng)絡(luò)客戶端進(jìn)行名稱解析。但是Internet域名的解析工作仍然需要轉(zhuǎn)發(fā)到Internet服務(wù)提供商的DNS服務(wù)器上進(jìn)行。遠(yuǎn)程發(fā)現(xiàn)和控制功能

此外，ICS還包括了遠(yuǎn)程發(fā)現(xiàn)和控制功能。在使用通用即插即用的情況下，網(wǎng)絡(luò)客戶端可以檢測到ICS主機(jī)的存在，然后客戶端將查詢ICS主機(jī)，以確定Internet連接的當(dāng)前狀態(tài)。當(dāng)你想在家中的另一臺(tái)個(gè)人計(jì)算機(jī)上瀏覽Internet的時(shí)候，WindowsXP計(jì)算機(jī)會(huì)自動(dòng)通過ICS主機(jī)連接到Internet--如果當(dāng)前沒有連接到Internet?；蛘撸彝ブ械钠渌脩粢部梢粤私獾絀nteret連接現(xiàn)在是否處于活動(dòng)狀態(tài)，如果需要，他們還可以斷開Internet連接，以便使用電話進(jìn)行正常的語音通信。如果你使用撥號(hào)網(wǎng)絡(luò)，并且按照使用時(shí)間向ISP付費(fèi)，這個(gè)功能就顯得十分有用處，或者，你也可以在沒有網(wǎng)絡(luò)活動(dòng)的時(shí)候關(guān)閉Internet連接。請(qǐng)參見圖4了解ICS的設(shè)置選項(xiàng)。

圖4：設(shè)置ICSInternet連接防火墻

Windows?XP以新的Internet連接防火墻的形式提供了Internet安全防護(hù)。多年以來，企業(yè)網(wǎng)絡(luò)一直通過使用防火墻保護(hù)自己免受外部攻擊的侵害。WindowsXP利用它的ICF防護(hù)特性為普通用戶提供了同樣的安全保護(hù)。這意味著：在你開始使用WindowsXP之后，你的信息、計(jì)算機(jī)和家庭數(shù)據(jù)就立即得到了保護(hù)，不會(huì)被外來入侵者所竊取和破壞。日益增長的安全性需要

隨著越來越多的家庭和企業(yè)用戶采用寬帶連接訪問Internet，對(duì)采取某種安全措施保護(hù)個(gè)人計(jì)算機(jī)及其它設(shè)備和家庭網(wǎng)絡(luò)數(shù)據(jù)安全的需要也日益高漲。甚至那些通過撥號(hào)訪問Internet的計(jì)算機(jī)也不能免遭外部攻擊的侵害。ICF針對(duì)家庭或小型企業(yè)辦公環(huán)境而設(shè)計(jì)，可以為直接連接到Internet的WindowsXP個(gè)人計(jì)算機(jī)提供安全保護(hù)。如果ICS主機(jī)運(yùn)行了ICF，那些通過Internet連接共享連接到Internet的計(jì)算機(jī)或設(shè)備也能受到ICF的庇護(hù)。Internet連接防火墻的工作方式

WindowsXPICF使用了主動(dòng)的數(shù)據(jù)包過濾技術(shù)，這意味著防火墻上的端口只有在你需要訪問相應(yīng)服務(wù)的時(shí)候才被動(dòng)態(tài)開放。這種防火墻技術(shù)通常應(yīng)用于更加復(fù)雜的企業(yè)防火墻之上，以防止黑客對(duì)計(jì)算機(jī)端口和資源進(jìn)行掃描--包括文件和打印機(jī)共享。這種技術(shù)顯著降低了外部攻擊對(duì)計(jì)算機(jī)帶來的威脅。用戶可以針對(duì)每條連接啟用相應(yīng)的ICF。該防火墻特性可以應(yīng)用在局域網(wǎng)（LAN）連接、PPPoE（Point-to-PointProtocolOverEthernet）連接、VPN連接或者撥號(hào)連接上。PPPoE是一種新的IETF標(biāo)準(zhǔn)草案。PPPoE一般用在通過線纜調(diào)制解調(diào)器或數(shù)字用戶線路（DSL）連接到Internet的寬帶連接上，它使得用戶通過這些設(shè)備訪問Internet的過程如同使用撥號(hào)調(diào)制解調(diào)器建立連接一樣容易。WindowsXP是為PPPoE提供內(nèi)置支持的第一個(gè)Windows操作系統(tǒng)。當(dāng)你在外部途中使用便攜式計(jì)算機(jī)通過撥號(hào)連接或者其它手段訪問Internet的時(shí)候，ICF特性會(huì)自動(dòng)啟用，以保護(hù)計(jì)算機(jī)的安全。易于激活的防火墻保護(hù)

在你運(yùn)行網(wǎng)絡(luò)安裝向?qū)В∟etworkSetupWizard）時(shí)，它會(huì)自動(dòng)在找到的Internet連接上啟用ICF。為了檢查某條連接是否使用了ICF，你可以：打開“控制面板”。點(diǎn)擊“網(wǎng)絡(luò)和Internet連接”。點(diǎn)擊“網(wǎng)絡(luò)連接”。右擊你的Internet連接，然后點(diǎn)擊“屬性”。點(diǎn)擊“屬性”對(duì)話框中的“高級(jí)”選項(xiàng)卡。參見圖5了解如何激活I(lǐng)CF。

圖5：激活I(lǐng)CF端口映射

默認(rèn)情況下，ICF不允許未經(jīng)請(qǐng)求的網(wǎng)絡(luò)流量進(jìn)入計(jì)算機(jī)。如果你想讓其它人通過Internet訪問你的計(jì)算機(jī)--例如，你在家中安裝了一臺(tái)Web服務(wù)器或者玩Internet聯(lián)網(wǎng)游戲，WindowsXP可以允許你在防火墻上開一個(gè)“小洞”，允許使用特定端口的網(wǎng)絡(luò)流量進(jìn)入計(jì)算機(jī)。這種技術(shù)被稱作“端口映射”。共享文檔文件夾

共享文件夾類似于你的個(gè)人文件夾：我的文檔、我的圖片和我的音樂。共享文檔、共享圖片和共享音樂為您存儲(chǔ)文件、圖片和音樂提供了一個(gè)地點(diǎn)，計(jì)算機(jī)上的每個(gè)用戶都可以看到這些文件。例如，Billy可以將他的家庭作業(yè)放在“共享文檔”中，這樣Billy的媽媽就可以檢查他的作業(yè)是否已經(jīng)完成，而Billy的爸爸則可以將全家在休假時(shí)拍攝的數(shù)字照片放到“共享圖片”文件夾中，以便所有家庭成員都可以看到這些照片。因?yàn)榧彝ビ?jì)算機(jī)一般處于一個(gè)可信賴的環(huán)境之中，默認(rèn)情況下，WindowsXP的家庭用戶可以分別存儲(chǔ)他們自己的文件，并且可以通過一個(gè)可選的口令對(duì)文件進(jìn)行保護(hù)。這種方法使得所有家庭成員可以容易地在同一臺(tái)計(jì)算機(jī)或者家庭網(wǎng)絡(luò)中的多臺(tái)計(jì)算機(jī)上共享文檔、照片、音樂和視頻文件。但是，在你為自己的賬戶建立一個(gè)口令的時(shí)候，Windows會(huì)鎖定你的“我的文檔”文件夾及其子文件夾。如果你不想讓自己的文件被別人所看到，你可以設(shè)置一個(gè)口令，這樣，除了這臺(tái)計(jì)算機(jī)的管理員以外，其它用戶就不能在看到你的保密文件了。說明：只有在你的硬盤分區(qū)以NTFS格式進(jìn)行格式化的時(shí)候，這種方法才適用；如果你的硬盤分區(qū)為FAT或FAT32格式，該特性將不會(huì)起任何作用。WindowsXPProfessional操作系統(tǒng)是各種規(guī)模和類型企業(yè)的理想選擇，它針對(duì)企業(yè)計(jì)算提供了最為可靠的安全性服務(wù)。WindowsXPProfessional包括了企業(yè)網(wǎng)絡(luò)建設(shè)和安全防護(hù)所需的大量安全特性。這些安全特性不僅為你賦予了新的管理能力，而且在降低IT成本的同時(shí)，允許你將更多的精力和資源集中到商業(yè)服務(wù)和解決方案的構(gòu)建方面來。如果你已經(jīng)對(duì)MicrosoftWindowsNT4.0和MicrosoftWindows2000的安全特性比較熟悉，那么你會(huì)在WindowsXPProfessional中發(fā)現(xiàn)很多熟悉的面孔。同時(shí)，你還會(huì)發(fā)現(xiàn)很多原來很熟悉的功能特性已經(jīng)發(fā)生了較大的改變，而眾多新增的安全特性則會(huì)極大改善你在系統(tǒng)安全性方面的管理能力。請(qǐng)記?。褐挥心阍诠ぷ鹘M中或者獨(dú)立計(jì)算機(jī)上使用WindowsXPProfessional，并且擁有管理員權(quán)限，你才能使用操作系統(tǒng)的所有安全特性。如果你配備WindowsXPProfessional的計(jì)算機(jī)是一個(gè)網(wǎng)絡(luò)的一部分，那么你能夠使用的安全性選項(xiàng)要取決于網(wǎng)絡(luò)管理員為你分配的權(quán)限。企業(yè)安全性

WindowsXPProfessional的強(qiáng)大安全特性可以幫助企業(yè)保護(hù)敏感數(shù)據(jù)的安全，并且為網(wǎng)絡(luò)用戶的管理工作提供支持。WindowsXPProfessional的一個(gè)優(yōu)秀之處在于它可以使用組策略對(duì)象（GroupPolicyobjects，GPO）。GPO允許系統(tǒng)管理員將一個(gè)安全性配置文件應(yīng)用到多臺(tái)計(jì)算機(jī)上，并且可以通過智能卡技術(shù)，利用存儲(chǔ)在智能卡中的信息驗(yàn)證用戶的身份。安全性增強(qiáng)

企業(yè)用戶可以利用WindowsXPProfessional的很多安全特性對(duì)挑選出的文件、應(yīng)用程序和其它資源進(jìn)行保護(hù)。這些特性包括：訪問控制列表（ACL），安全組和組策略，此外，WindowsXPProfessional還提供了很多允許企業(yè)對(duì)這些功能特性進(jìn)行配置和管理的工具。所有這一切為企業(yè)網(wǎng)絡(luò)提供了一個(gè)強(qiáng)大但是靈活的訪問控制基礎(chǔ)架構(gòu)。WindowsXP提供了數(shù)以千計(jì)的安全性相關(guān)設(shè)置，用戶可以單獨(dú)對(duì)這些設(shè)置進(jìn)行配置。WindowsXP操作系統(tǒng)還包括了一些經(jīng)過預(yù)先定義的安全性模板，企業(yè)既可以不加修改地直接應(yīng)用這些模板文件，也可以在現(xiàn)有模板文件基礎(chǔ)之上進(jìn)行定制。企業(yè)可以在以下活動(dòng)中應(yīng)用這些安全性模板：創(chuàng)建一個(gè)資源，例如文件夾或文件共享，用戶可以選擇接受默認(rèn)的訪問控制列表，或者對(duì)訪問控制列表進(jìn)行定制。將用戶添加到標(biāo)準(zhǔn)的安全組中，例如：Users、PowerUsers和Administrators組，并且在這些安全組上應(yīng)用默認(rèn)的ACL設(shè)置。使用操作系統(tǒng)提供的“基本”（Basic）、“兼容”（Compatible）、“安全”（Secure）和“高度安全”（HighlySecure）組策略模板。WindowsXP的每一種安全特性--ACL、安全組和組策略--都具有一組默認(rèn)設(shè)置，你可以對(duì)這些默認(rèn)設(shè)置進(jìn)行修改，以適合你所在組織的獨(dú)特需要。此外，企業(yè)還可以使用相關(guān)工具實(shí)現(xiàn)或者修改訪問控制。WindowsXPProfessional就提供了很多工具，例如MicrosoftManagementConsole插件。WindowsXPProfessionalResourceKit中也包含了一些這樣的工具。受控制的網(wǎng)絡(luò)訪問

WindowsXP已經(jīng)內(nèi)置了安全防護(hù)機(jī)制，以避免用戶的計(jì)算機(jī)和數(shù)據(jù)受到入侵者的破壞。它之所以能夠做到這一點(diǎn)，很大原因是它為從網(wǎng)絡(luò)上訪問你的計(jì)算機(jī)的人僅僅賦予了“Guest”（來賓）級(jí)的訪問權(quán)限。如果入侵者試圖侵入你的計(jì)算機(jī)并且通過猜解口令獲得未經(jīng)授權(quán)的訪問權(quán)限，他只需徒勞無獲--或者只能獲得一個(gè)有限的來賓級(jí)訪問權(quán)限。管理網(wǎng)絡(luò)身份驗(yàn)證

基于Windows2000Professional的系統(tǒng)的數(shù)量正在不斷增加，很多這樣的系統(tǒng)都直接連接到Internet，而不是連接到域。這使得正確的訪問控制管理（包括復(fù)雜的口令和不同賬戶的權(quán)限分配）比以往任何時(shí)候都更為重要。為了確保系統(tǒng)的安全性，我們必須對(duì)開放Internet環(huán)境下的相對(duì)匿名訪問進(jìn)行控制和限制。所以，在默認(rèn)情況下，WindowsXP要求所有用戶在通過網(wǎng)絡(luò)訪問計(jì)算機(jī)時(shí)都使用“Guest”賬戶。這種做法旨在防止Internet上的黑客使用沒有設(shè)置口令的本地管理員賬戶登錄和訪問系統(tǒng)。簡單共享

默認(rèn)情況下，如果WindowsXPProfessional系統(tǒng)沒有連接到域，所有通過網(wǎng)絡(luò)登錄到計(jì)算機(jī)的訪問操作都被強(qiáng)迫使用“Guest”賬戶。除此之外，在那些使用了簡單共享安全模式的計(jì)算機(jī)上，“安全性屬性”對(duì)話框都會(huì)被一個(gè)經(jīng)過簡化的“共享文檔屬性”對(duì)話框所取代。強(qiáng)制使用“Guest”賬戶

針對(duì)本地賬戶的共享和安全性模式允許你在“僅來賓”（Guest-only）安全模式或者“典型”（Classic）模式之間做出選擇。在“僅來賓”模式之中，通過網(wǎng)絡(luò)登錄到本地計(jì)算機(jī)的所有登錄嘗試都被強(qiáng)制使用來賓賬戶。在“典型”安全模式中，通過網(wǎng)絡(luò)登錄到本地計(jì)算機(jī)的所有嘗試都使用用戶本身的賬戶進(jìn)行身份驗(yàn)證。該策略不適用于那些已經(jīng)加入到一個(gè)域中的計(jì)算機(jī)。另外，“僅來賓”模式在默認(rèn)情況下處于啟用狀態(tài)。如果啟用了來賓賬戶，并且該賬戶的口令為空，那么使用該賬戶登錄到計(jì)算機(jī)中的用戶便可以訪問“來賓”賬戶有權(quán)訪問的任何資源。如果啟用了“強(qiáng)制所有使用本地賬戶的網(wǎng)絡(luò)登錄使用來賓身份進(jìn)行身份驗(yàn)證”這條策略，本地賬戶必須以來賓身份進(jìn)行身份驗(yàn)證。該策略決定了是否對(duì)直接連接到網(wǎng)絡(luò)計(jì)算機(jī)上的本地賬戶用來賓身份進(jìn)行身份驗(yàn)證。你可以使用該策略限制試圖訪問目標(biāo)計(jì)算機(jī)系統(tǒng)資源的本地賬戶的訪問權(quán)限。如果你啟用了這條策略，所有嘗試進(jìn)行直接的本地賬戶都被限制為“來賓”權(quán)限，而“來賓”賬戶的權(quán)限一般都極其有限。空口令限制

為了保護(hù)那些沒有為賬戶設(shè)置口令的用戶，沒有口令的WindowsXPProfessional賬戶只能用來登錄到物理計(jì)算機(jī)上。默認(rèn)情況下，具有空口令的賬戶不能通過網(wǎng)絡(luò)遠(yuǎn)程登錄到其它計(jì)算機(jī)上，也不能進(jìn)行其它的登錄活動(dòng)，除非是在主物理控制臺(tái)登錄屏幕中。例如，如果某個(gè)本地用戶沒有為他的賬戶設(shè)置口令，那么你便不能使用該用戶的賬戶運(yùn)行備用登錄服務(wù)（RunAs）。為本地賬戶分配一個(gè)口令可以解除不能通過網(wǎng)絡(luò)登錄這個(gè)限制。此外，通過為賬戶分配一個(gè)口令，用戶還可以訪問該賬戶有權(quán)訪問的任何資源，即便是那些只有通過網(wǎng)絡(luò)連接才能訪問的網(wǎng)絡(luò)資源。請(qǐng)注意，如果你的計(jì)算機(jī)并沒有放在一個(gè)安全的物理位置，我們建議你為所有本地用戶賬戶都分配一個(gè)口令。如果您沒有這樣做，所有能夠接近該臺(tái)計(jì)算機(jī)的人員都可以使用沒有口令的賬戶訪問這臺(tái)計(jì)算機(jī)上的資源。對(duì)于便攜式計(jì)算機(jī)，這一點(diǎn)顯得特別重要，所以你應(yīng)該為所有本地用戶都使用復(fù)雜、難于破解的口令。說明：本限制并不適用于域賬戶。另外，本限制不適用于本地計(jì)算機(jī)上的來賓賬戶。如果啟用了來賓賬戶并且沒有為其分配口令，其它用戶仍然可以通過來賓賬戶登錄到計(jì)算機(jī)上并訪問權(quán)限所允許的各種資源。如果你想禁用該限制，以便沒有口令的用戶也可以登錄到網(wǎng)絡(luò)上，你可以通過修改本地安全策略實(shí)現(xiàn)這一目的。加密文件系統(tǒng)

加密文件系統(tǒng)（EncryptingFileSystem，EFS）功能的日益增強(qiáng)已經(jīng)顯著提升了WindowsXPProfessional的能量，企業(yè)用戶可以使用經(jīng)過加密的數(shù)據(jù)文件靈活地部署他們的安全解決方案。EFS架構(gòu)

EFS基于標(biāo)準(zhǔn)的公共密鑰加密技術(shù)，并且利用了WindowsXP中的CryptoAPI架構(gòu)。EFS的默認(rèn)配置無需進(jìn)行任何管理操作--你可以立刻開始對(duì)文件進(jìn)行加密。EFS會(huì)自動(dòng)生成一對(duì)加密密鑰，如果用戶沒有證書，EFS還會(huì)為用戶生成一個(gè)證書。EFS既可以使用擴(kuò)展數(shù)據(jù)加密標(biāo)準(zhǔn)（expandedDataEncryptionStandard，DESX），也可以使用3DES加密算法。標(biāo)準(zhǔn)的RSA軟件和增強(qiáng)型RSA軟件（即WindowsXP包括的加密服務(wù)提供者，CSP）可以用來生成EFS證書，也可以用于對(duì)稱加密密鑰的制作。如果你對(duì)一個(gè)文件夾進(jìn)行了加密，在加密之時(shí)該文件夾中的所有文件和子文件夾以及以后新建的文件和文件夾都會(huì)自動(dòng)進(jìn)行加密處理。我們建議您在文件夾級(jí)別進(jìn)行加密，以避免文件轉(zhuǎn)換期間在硬盤上生成純文本格式的臨時(shí)文件。EFS和NTFS

如果用戶使用NTFS文件系統(tǒng)保存敏感文件和數(shù)據(jù)，EncryptingFileSystem（EFS）就可以有效保護(hù)這些文件的安全。EFS是加密和解密存儲(chǔ)在NTFS卷中的文件所需使用的核心技術(shù)。只有對(duì)文件進(jìn)行加密的用戶才能打開和修改這些文件。這一特性對(duì)于移動(dòng)計(jì)算機(jī)的用戶來說特別有用，因?yàn)榧词蛊渌送蹈`或揀到了你丟失的筆記本電腦，他（她）也無法訪問磁盤上的文件。對(duì)于WindowsXP，EFS現(xiàn)在還可以對(duì)脫機(jī)文件和文件夾進(jìn)行加密。EFS允許你加密單個(gè)文件或文件夾。即使攻擊者通過安裝新的操作系統(tǒng)繞開了系統(tǒng)的安全防護(hù)，他也仍然無法訪問這些經(jīng)過加密的文件。EFS利用符合行業(yè)標(biāo)準(zhǔn)的加密算法實(shí)現(xiàn)了強(qiáng)大的加密功能，另外，由于和NTFS緊密集成在一起，它還非常易于使用。WindowsXPProfessional中的EFS提供了一些新的選項(xiàng)，可以進(jìn)行加密文件的共享或者禁用數(shù)據(jù)恢復(fù)代理，并且通過組策略和命令行工具方便了加密功能的管理工作。保證文件的機(jī)密性

類似登錄驗(yàn)證或者文件權(quán)限保護(hù)這樣的安全特性可以保護(hù)網(wǎng)絡(luò)資源免遭非法訪問。但是，任何能夠從物理形式上接近計(jì)算機(jī)的人都可以通過安裝一個(gè)新的操作系統(tǒng)來繞過現(xiàn)有操作系統(tǒng)的安全性。如果這樣，敏感數(shù)據(jù)的安全將無法得到保證。通過使用EFS對(duì)敏感文件進(jìn)行加密，文件的安全可以說又增加了一層保障。在你對(duì)文件進(jìn)行加密之后，這些數(shù)據(jù)便得到了徹底的保護(hù)，即使攻擊者能夠訪問計(jì)算機(jī)的硬盤和文件目錄，他們也無法還原這些經(jīng)過加密的數(shù)據(jù)。只有授權(quán)用戶和制定的數(shù)據(jù)恢復(fù)代理才能解密這些經(jīng)過加密的文件?？赡軗碛屑用芪募夏骋粋€(gè)訪問權(quán)限--甚至是“獲得所有權(quán)”權(quán)限--的其它系統(tǒng)賬戶在未經(jīng)授權(quán)的情況下也不能打開文件。如果沒有將管理員賬戶制定為數(shù)據(jù)恢復(fù)代理，即使是管理員也無法打開加密文件。如果某個(gè)未經(jīng)授權(quán)的用戶試圖打開一個(gè)加密文件，系統(tǒng)將拒絕他訪問文件。圖6展示了對(duì)EFS進(jìn)行設(shè)置的位置。

圖6：EFS本地安全設(shè)置EFS的工作原理

EFS允許你在計(jì)算機(jī)上存儲(chǔ)一些機(jī)密信息，雖然其它用戶也可以使用這臺(tái)計(jì)算機(jī)，但是不管是有意還是無意，他們都不能獲取到這些機(jī)密信息。EFS在那些存儲(chǔ)了敏感數(shù)據(jù)的便攜計(jì)算機(jī)或者由多個(gè)用戶共享的計(jì)算機(jī)上非常有用。通過繞過ACL的訪問限制，其它人很容易對(duì)這兩種系統(tǒng)發(fā)動(dòng)攻擊。在一個(gè)共享系統(tǒng)中，一位攻擊者可以通過啟動(dòng)不同的操作系統(tǒng)來獲得加密文件的訪問能力。此外，攻擊者還可以偷走計(jì)算機(jī)，取出硬盤，然后將硬盤放到另一臺(tái)計(jì)算機(jī)中，從而對(duì)存儲(chǔ)在硬盤上的文件進(jìn)行訪問。然而，在使用EFS進(jìn)行加密之后，如果攻擊者沒有解密所需的密鑰，即使拿到這些文件，他們也只能看到一堆亂碼。因?yàn)镋FS與NTFS緊密集成，文件的加密和解密過程都是透明的。在你打開一個(gè)文件的時(shí)候，隨著數(shù)據(jù)不斷從硬盤上被讀出，EFS也不斷對(duì)數(shù)據(jù)進(jìn)行解密操作。而在你保存文件的時(shí)候，EFS會(huì)將數(shù)據(jù)進(jìn)行加密然后寫入硬盤。作為一個(gè)授權(quán)用戶，你甚至不能感覺到文件經(jīng)過了加密，因?yàn)槟阍谑褂梦募臅r(shí)候并沒有感到它與普通的未加密文件有任何的不同。在使用默認(rèn)配置的情況下，EFS允許你直接在WindowsExplorer中加密文件。從用戶的觀點(diǎn)來看，加密一個(gè)文件就如同設(shè)置一個(gè)文件屬性那樣簡單。用戶還可以設(shè)置文件夾的加密屬性。這意味著該文件夾中的所有現(xiàn)有或新增文件都會(huì)自動(dòng)得到加密。針對(duì)你自己的獨(dú)特環(huán)境配置EFS

EFS在默認(rèn)情況下為啟用狀態(tài)。如果你有修改文件的權(quán)限，你就可以對(duì)文件進(jìn)行加密。因?yàn)镋FS需要使用一個(gè)公共密鑰加密文件，所以，為了加密文件，你需要一堆公共-私有密鑰以及一個(gè)公共密鑰證書。因?yàn)镋FS可以使用自簽署的證書，所以在使用它加密文件之前你并不需要進(jìn)行什么額外的設(shè)置工作。如果EFS不適用于你所處的環(huán)境，或者你沒有文件需要加密，你可以通過很多方式禁用EFS。另外，你還可以使用很多方法對(duì)EFS進(jìn)行配置，使其符合你的組織的使用需要。為了使用EFS，所有用戶都必須擁有EFS證書。如果你現(xiàn)在還沒有建立一個(gè)公共密鑰基礎(chǔ)結(jié)構(gòu)（PublicKeyInfrastructure，PKI），你可以使用自簽署證書，該證書是由操作系統(tǒng)自動(dòng)為你生成的。但是，如果你擁有頒發(fā)證書的權(quán)力，你就可以為其它用戶頒發(fā)EFS證書。最后，如果你在系統(tǒng)中使用EFS，你還需要制定一個(gè)災(zāi)難恢復(fù)計(jì)劃。哪些內(nèi)容能夠被加密？

NTFS卷上的單個(gè)文件和文件夾（或者子文件夾）都可以被設(shè)置加密屬性。雖然我們通常說的加密都是針對(duì)文件夾而言的，但是實(shí)際上文件夾本身并沒有被加密，設(shè)置文件夾的加密屬性也不要使用一對(duì)公共密鑰。在我們對(duì)某個(gè)文件夾進(jìn)行加密的時(shí)候，EFS會(huì)自動(dòng)對(duì)以下內(nèi)容進(jìn)行加密：文件夾中的所有新建文件。復(fù)制或移動(dòng)到該文件夾中的所有純文本文件。所有現(xiàn)有文件和子文件夾（可選）。脫機(jī)文件也可以通過EFS加密，例如Windows2000中的客戶端緩存。加密脫機(jī)文件

Windows2000引入了客戶端緩存這一功能，該功能現(xiàn)在被稱作“脫機(jī)文件”（OfflineFiles）。它使用了一種叫做MicrosoftIntelliMirror的管理技術(shù)，使得網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)連接斷開的情況下也能夠訪問網(wǎng)絡(luò)共享上的文件。在網(wǎng)絡(luò)連接斷開時(shí)，移動(dòng)用戶仍然可以瀏覽、閱讀和編輯文件，因?yàn)檫@些文件已經(jīng)被緩存在客戶端計(jì)算機(jī)中。當(dāng)用戶再次連接到服務(wù)器的時(shí)候，系統(tǒng)會(huì)自動(dòng)修改服務(wù)器上的文件，使其與客戶端計(jì)算機(jī)上的文件保持一致。WindowsXPProfessional客戶端可以使用EFS加密脫機(jī)文件和文件夾。該功能對(duì)于那些經(jīng)常需要出差的商務(wù)人員具有特別的吸引力，因?yàn)樗麄兘?jīng)常會(huì)離線工作，并且需要保證數(shù)據(jù)的安全和機(jī)密。加密脫機(jī)文件數(shù)據(jù)庫

現(xiàn)在，你還可以對(duì)脫機(jī)文件數(shù)據(jù)庫進(jìn)行加密。這是對(duì)Windows2000類似功能的一個(gè)改進(jìn)，在Windows2000中，緩存下來的文件不能被加密。而在WindowsXP中，你可以加密脫機(jī)文件數(shù)據(jù)庫，以在計(jì)算機(jī)失竊時(shí)仍然能夠保證本地緩存文檔的安全，此外，加密脫機(jī)文件數(shù)據(jù)庫還為本地的緩存數(shù)據(jù)提供了更多的安全性。例如，你可以在使用脫機(jī)文件同時(shí)，保證敏感數(shù)據(jù)的安全。如果你是一個(gè)IT管理員，你甚至可以使用該特性保護(hù)所有本地緩存文檔的安全。如果你在移動(dòng)計(jì)算機(jī)上以脫機(jī)文件的方式保存了一些機(jī)密文件，即使計(jì)算機(jī)丟失，你也可以保證這些脫機(jī)文件的安全。本特性支持整個(gè)離線數(shù)據(jù)庫的加密和解密操作。配置脫機(jī)文件的加密需要你具有管理員權(quán)限。為了加密脫機(jī)文件，請(qǐng)?jiān)凇拔业碾娔X”中的“工具”菜單中點(diǎn)擊“文件夾選項(xiàng)”命令，然后選中“脫機(jī)文件”選項(xiàng)卡下的“加密脫機(jī)文件以保護(hù)數(shù)據(jù)”復(fù)選框。請(qǐng)參見圖7了解加密脫機(jī)文件數(shù)據(jù)庫的各種選項(xiàng)。

圖7：加密脫機(jī)文件數(shù)據(jù)庫。文件共享和Web文件夾上的遠(yuǎn)程EFS操作

你可以加密和解密存儲(chǔ)在網(wǎng)絡(luò)文件共享或者WebDAV（WebDistributedAuthoringandVersioning）Web文件夾中的文件。與文件共享相比，Web文件夾具有一些顯著的優(yōu)點(diǎn)，Microsoft建議你盡可能使用Web文件夾來進(jìn)行加密文件的遠(yuǎn)程存儲(chǔ)。Web文件夾需要你花費(fèi)一定的管理勞動(dòng)進(jìn)行配置，但是它比文件共享的安全性要高。Web文件夾還可以使用標(biāo)準(zhǔn)的HTTP文件傳輸，通過Internet安全地存儲(chǔ)和傳遞加密文件。使用文件共享進(jìn)行遠(yuǎn)程EFS操作要求你具有Windows2000或者更高版本的域環(huán)境。這種環(huán)境是必需的，因?yàn)镋FS必須通過Kerberos協(xié)議委派對(duì)用戶進(jìn)行模擬，以便加密或解密用戶的文件。主要差異

文件共享和Web文件夾上的遠(yuǎn)程EFS操作的主要差異在于具體產(chǎn)生EFS操作的地點(diǎn)存在不同。如果文件存儲(chǔ)在文件共享中，所有的EFS操作都發(fā)生在存儲(chǔ)該文件的計(jì)算機(jī)上。例如，如果你連接到了一個(gè)網(wǎng)絡(luò)文件共享，并且想打開一個(gè)你以前進(jìn)行了加密的文件，這個(gè)文件必須在存儲(chǔ)它的計(jì)算機(jī)上進(jìn)行解密，然后再通過網(wǎng)絡(luò)傳輸?shù)侥愕挠?jì)算機(jī)上。如果文件存儲(chǔ)在一個(gè)Web文件夾中，所有的EFS操作都發(fā)生在你的本地計(jì)算機(jī)上。例如，如果你連接到一個(gè)Web文件夾，并且希望打開一個(gè)加密文件，那么在文件傳輸?shù)侥愕挠?jì)算機(jī)上的過程中，這個(gè)文件仍然是加密的，它的解密操作由本地計(jì)算機(jī)上的EFS系統(tǒng)來完成。了解了EFS操作在執(zhí)行地點(diǎn)上存在不同，你也就明白了為什么配置文件共享比配置Web文件夾需要更大的管理權(quán)限。Web文件夾環(huán)境中的遠(yuǎn)程EFS操作

如果你打開了存儲(chǔ)在Web文件夾中的加密文件，該文件在傳輸過程中仍然保持加密狀態(tài)，而由本地計(jì)算機(jī)上的EFS系統(tǒng)執(zhí)行解密操作。在你向Web文件夾上傳和下載文件的過程中，在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)都是經(jīng)過加密的數(shù)據(jù)，所以攻擊者無法通過截取數(shù)據(jù)來獲取你的機(jī)密信息，他們所捕捉到的數(shù)據(jù)都是經(jīng)過加密和無法使用的。Web文件夾與EFS的結(jié)合消除了你使用特殊軟件對(duì)用戶、企業(yè)或組織間往來的共享加密文件進(jìn)行保護(hù)的需要。文件可以存儲(chǔ)在一個(gè)公共的企業(yè)內(nèi)部網(wǎng)服務(wù)器或者Internet社區(qū)中，在方便文件訪問過程的同時(shí)，通過EFS使系統(tǒng)保有了強(qiáng)有力的安全性。WebDAV重定向

WebDAV重定向（WebDAVRedirector）是一個(gè)支持協(xié)議的微型重定向程序，它圍繞HTTP上的遠(yuǎn)程文檔共享，對(duì)HTTPV1.1標(biāo)準(zhǔn)進(jìn)行了擴(kuò)展。WebDAV重定向支持現(xiàn)有程序的使用，并且允許跨越Internet（例如，穿過防火墻和路由器）與HTTP服務(wù)器進(jìn)行文件共享。InternetInformationServices（IIS）version5.0（Windows2000）支持Web文件夾。訪問Web文件夾與訪問文件共享所使用的方法相同。你可以使用“NETUSE”命令在Web文件夾上映射一個(gè)網(wǎng)絡(luò)驅(qū)動(dòng)器，或者通過WindowsExplorer訪問Web文件夾。在連接到Web文件夾后，你就可以復(fù)制、加密或者解密文件，與你在文件共享中所做的完全一樣。證書服務(wù)

證書服務(wù)（CertificateServices）是核心操作系統(tǒng)的一部分，它允許企業(yè)建立自己的證書頒發(fā)機(jī)構(gòu)（CA），為用戶發(fā)放和管理數(shù)字證書。WindowsXPProfessional支持多級(jí)CA結(jié)構(gòu)和跨證書的信任網(wǎng)絡(luò)：這包括離線和在線的證書頒發(fā)機(jī)構(gòu)。證書和公共密鑰存儲(chǔ)

WindowsXPProfessional將公鑰證書存儲(chǔ)在個(gè)人證書存儲(chǔ)區(qū)中。由于是公開信息，所以證書以純文本形式進(jìn)行保存，證書經(jīng)過證書頒發(fā)機(jī)構(gòu)的數(shù)字簽署，以保證其內(nèi)容不被篡改。用戶證書位于“DocumentsandSettings\username\ApplicationData\Microsoft\SystemCertificates\My\Certificates”目錄下的用戶配置文件中。在你每次登錄到計(jì)算機(jī)上的時(shí)候，這些證書都被寫入到你的個(gè)人存儲(chǔ)區(qū)中。對(duì)于漫游配置文件，你的證書可以在任意一個(gè)地方進(jìn)行存儲(chǔ)，當(dāng)你登錄到域中的不同計(jì)算機(jī)上的時(shí)候，證書也會(huì)跟著你四處“走動(dòng)”。私鑰存儲(chǔ)

面向Microsoft加密服務(wù)提供程序（CSP）--包括BaseCSP和EnhancedCSP--的私鑰位于位于“RootDirectory\DocumentsandSettings\username\ApplicationData\Microsoft\Crypto\RSA”目錄下的用戶配置文件中。在使用漫游配置文件的情況下，私鑰保存在域控制器的RSA文件夾中，用戶可以將私鑰下載到自己使用的計(jì)算機(jī)上，當(dāng)用戶從計(jì)算機(jī)上注銷或者重新啟動(dòng)計(jì)算機(jī)后，下載的私鑰將被刪除。因?yàn)樗借€必須收到保護(hù)，所以RSA文件夾中的所有文件都會(huì)通過一個(gè)被稱為“用戶主密鑰”的隨機(jī)對(duì)稱密鑰進(jìn)行加密。用戶主密鑰的長度為64個(gè)字節(jié)，由一個(gè)強(qiáng)大的隨機(jī)數(shù)字生成程序產(chǎn)生。3DES密鑰則從主密鑰派生出來，并且用來對(duì)私鑰進(jìn)行保護(hù)。主密鑰是由系統(tǒng)自動(dòng)生成的，并且定期進(jìn)行更新。在將主密鑰保存到磁盤上的時(shí)候，系統(tǒng)會(huì)使用3DES算法和根據(jù)你的密碼得出的一個(gè)密鑰保護(hù)主密鑰。在文件創(chuàng)建時(shí)，它會(huì)對(duì)RS文件夾中的每一個(gè)文件進(jìn)行自動(dòng)加密。用戶證書的自動(dòng)登記（Autoenrollment）

Windows2000引入了用戶證書的自動(dòng)登記功能。計(jì)算機(jī)或域控制器證書的自動(dòng)登記是通過組策略和MicrosoftActiveDirectory?啟用的。計(jì)算機(jī)證書的自動(dòng)登記功能非常有用，它大大方便了計(jì)算機(jī)與WindowsXP路由和遠(yuǎn)程訪問服務(wù)器或者其它類似服務(wù)建立IPSec或L2TP/IPSecVPN連接的過程。證書的自動(dòng)登記降低了企業(yè)的整體擁有成本，并且簡化了用戶和管理員的證書管理周期。智能卡自動(dòng)登記和自注冊(cè)機(jī)構(gòu)特性則為企業(yè)用戶提供了更高的安全性，同時(shí)還簡化了需要高度安全性的組織實(shí)現(xiàn)安全性所需執(zhí)行的操作過程。未決證書的申請(qǐng)和續(xù)訂

WindowsXPProfessional中的用戶自動(dòng)登記支持未決證書的申請(qǐng)和續(xù)訂功能。你可以從Windows.NETServerCA那里手動(dòng)或自動(dòng)申請(qǐng)一個(gè)證書。在得到管理人員的批準(zhǔn)或者驗(yàn)證過程完成之前，證書申請(qǐng)過程一直在進(jìn)行。當(dāng)證書得到批準(zhǔn)和發(fā)放之后，自動(dòng)登記過程也隨之結(jié)束，并且會(huì)自動(dòng)在你的計(jì)算機(jī)上安裝證書。對(duì)到期的用戶證書進(jìn)行續(xù)訂的過程也可以從自動(dòng)登記功能中受益。證書會(huì)自動(dòng)代表用戶進(jìn)行續(xù)訂--這要取決于ActiveDirectory證書模板中的相關(guān)規(guī)范。默認(rèn)情況下，證書和密鑰都受系統(tǒng)保護(hù)。你也可以采取一個(gè)可選的安全措施，為它們提供額外的安全保護(hù)。如果你需要提高證書和密鑰的安全性，你可以導(dǎo)出私鑰，并且將其存放在一個(gè)安全的物理位置。圖8展示了證書自動(dòng)登記功能的一些選項(xiàng)

圖8：Autoenrollment（自動(dòng)登記）設(shè)置屬性憑據(jù)管理

WindowsXP中的憑據(jù)管理（CredentialManagement）功能包括三個(gè)組件：憑證提示用戶界面，保存的用戶名和口令以及Keyring（密鑰環(huán)）。這三者結(jié)合在一起便形成了一個(gè)單點(diǎn)登錄解決方案。憑據(jù)提示

如果一個(gè)程序在進(jìn)行身份驗(yàn)證時(shí)發(fā)生了錯(cuò)誤，憑據(jù)提示界面便會(huì)出現(xiàn)。（僅僅適用于那些提供了用戶界面的應(yīng)用程序。）在對(duì)話框中，你可以輸入一個(gè)用戶名和一個(gè)口令，或者從“我的存儲(chǔ)區(qū)”對(duì)象中選擇一個(gè)X.509證書。此外，應(yīng)用程序還會(huì)提供一個(gè)“記住我的口令”復(fù)選框，你可以選中該復(fù)選框保存你的憑據(jù)以備今后使用。只有集成化的身份驗(yàn)證程序包（例如：Kerberos協(xié)議、NTLM、SSL等）允許保存憑據(jù)。對(duì)于簡單的身份驗(yàn)證，憑據(jù)提示界面仍然會(huì)顯示，但是你無法通過它保存你的憑據(jù)。圖9展示了一個(gè)憑據(jù)提示界面的例子。

圖9：憑據(jù)提示用戶界面保存的用戶名和口令

保存的用戶名和口令（StoredUserNamesandPasswords）是一種安全的可漫游存儲(chǔ)區(qū)，你可以在這個(gè)存儲(chǔ)區(qū)中持有以前保存的憑據(jù)。憑據(jù)的訪問由本地安全設(shè)置（LocalSecuritySettings，LSA）進(jìn)行控制。憑據(jù)基于資源返回的目標(biāo)信息進(jìn)行存儲(chǔ)。當(dāng)你在憑據(jù)提示用戶界面中選中“記住我的口令”復(fù)選框，把憑據(jù)保存下來的時(shí)候，憑據(jù)將以一種最常見的形式保存下來。例如，如果你正在訪問域中的某個(gè)服務(wù)器，憑據(jù)將會(huì)以“*.”的形式保存下來。系統(tǒng)會(huì)針對(duì)該域中的不同服務(wù)器保存不同的憑據(jù)，而且這些憑據(jù)之間不會(huì)相互覆蓋。憑據(jù)將根據(jù)更加明確的目標(biāo)信息進(jìn)行保存。當(dāng)用戶通過系統(tǒng)集成的一個(gè)身份驗(yàn)證包訪問某個(gè)資源的時(shí)候，身份驗(yàn)證包將檢查已經(jīng)保存下來的用戶名和口令，看看是否存在與資源返回的目標(biāo)信息相匹配的特定憑據(jù)。如果找到了相應(yīng)的憑據(jù)，身份驗(yàn)證包將使用該憑據(jù)，并且不會(huì)同您發(fā)生任何形式的交互動(dòng)作。如果沒有找到憑據(jù)，試圖訪問該資源的應(yīng)用程序?qū)⒎祷匾粋€(gè)身份驗(yàn)證錯(cuò)誤。說明：為了實(shí)現(xiàn)無縫的身份驗(yàn)證，訪問資源的應(yīng)用程序并非一定要使用憑據(jù)提示用戶界面。如果應(yīng)用程序使用了一個(gè)集成的身份驗(yàn)證包，身份驗(yàn)證包將嘗試對(duì)相關(guān)憑據(jù)進(jìn)行檢索。實(shí)際上，如果你輸入了憑據(jù)，也只有身份驗(yàn)證包能夠獲得它。請(qǐng)參見圖10、11a和11b了解口令管理界面（UI）的一些示例。

圖10：傳統(tǒng)的口令管理UI（位于一個(gè)域中的WindowsXPProfessional）

圖11a：友好的口令管理UI（工作組中的WindowsXPHomeEdition和WindowsXPProfessional）

圖11b：友好的口令管理UI（工作組中的WindowsXPHomeEdition和WindowsXPProfessional）Keyring

Keyring允許你手動(dòng)管理已存儲(chǔ)用戶名和口令中的憑據(jù)。Keyring可以通過用戶“控制面板”小程序進(jìn)行訪問。在keyring中，你可以看到已存儲(chǔ)用戶名和口令中當(dāng)前所有憑據(jù)的一個(gè)完整列表。當(dāng)你突出顯示每個(gè)憑據(jù)的時(shí)候，底部的描述部分會(huì)顯示對(duì)該憑據(jù)的一個(gè)簡短介紹。你可以向列表中添加憑據(jù)、對(duì)現(xiàn)有憑據(jù)進(jìn)行編輯，或者刪除現(xiàn)有憑據(jù)。添加憑據(jù)。在添加憑據(jù)時(shí)，你會(huì)看到一個(gè)與憑據(jù)提示界面很類似的一個(gè)用戶界面，你需要在該界面中填寫目標(biāo)信息。需要知道的是，你可以在目標(biāo)信息中使用類似“*”這種形式的通配符。編輯憑據(jù)。通過編輯憑據(jù)，你可以對(duì)目標(biāo)信息或者憑據(jù)本身進(jìn)行修改。如果這是一個(gè)用戶名和（或）口令形式的憑據(jù)，你可以修改服務(wù)器上的口令。但是你不能使用憑據(jù)提示界面來編輯由某個(gè)應(yīng)用程序創(chuàng)建的憑據(jù)。例如，你不能編輯Passport憑據(jù)。刪除憑據(jù)。你可以刪除任何一個(gè)憑據(jù)。在已存儲(chǔ)用戶名和口令中保存憑據(jù)的能力可以通過組策略開啟或關(guān)閉。為了允許其它軟件開發(fā)商使用這種機(jī)制，Microsoft通過PlatformSoftwareDevelopmentKit（SDK）對(duì)憑據(jù)提示API和底層憑據(jù)進(jìn)行了詳細(xì)的介紹?？焖儆脩羟袚Q

WindowsXPProfessional中已經(jīng)包括了WindowsXPHomeEdition所有的快速用戶切換特性。在沒有連接到域的WindowsXPProfessional的計(jì)算機(jī)上，你無需注銷當(dāng)前用戶或者關(guān)閉正在運(yùn)行的應(yīng)用程序，即可從一個(gè)用戶賬戶切換到另一個(gè)用戶賬戶。說明：只有獨(dú)立計(jì)算機(jī)或者工作組計(jì)算機(jī)能夠使用WindowsXPProfessional中的快速用戶切換功能。如果你的計(jì)算機(jī)是域的一部分，你的登錄選項(xiàng)將由IT管理員設(shè)定的策略來決定。個(gè)人隱私

WindowsXPProfessional所涉及的隱私問題與WindowsXPHomeEdition所涉及的完全相同。說明：如果你在一臺(tái)工作組或獨(dú)立計(jì)算機(jī)上使用WindowsXPProfessional，那么你可以使用的隱私特性與你在域中使用計(jì)算機(jī)時(shí)會(huì)有所不同。如果你的計(jì)算機(jī)是域的一部分，系統(tǒng)管理員設(shè)定的策略比你設(shè)定的相關(guān)策略具有更高的優(yōu)先級(jí)。Internet連接共享

WindowsXPProfessional包括了WindowsXPHomeEdition的所有ICS功能。具有位置意識(shí)的ICS組策略

WindowsXPProfessional具有WindowsXPHomeEdition所沒有的一個(gè)ICS特性--它擁有一個(gè)具有位置意識(shí)的組策略。對(duì)于移動(dòng)用戶，這一特性非常有用。當(dāng)WindowsXPProfessional計(jì)算機(jī)加入一個(gè)域時(shí)，域管理員可以啟用一個(gè)組策略，以阻止用戶使用企業(yè)網(wǎng)絡(luò)上的Internet連接共享。當(dāng)你把計(jì)算機(jī)拿回家時(shí)，Internet連接共享又可以繼續(xù)使用了，因?yàn)樵摬呗圆粫?huì)應(yīng)用到你的家庭網(wǎng)絡(luò)中。Internet連接防火墻

WindowsXPProfessional包含了WindowsXPHomeEdition的全部Internet連接防火墻特性。但是，WindowsXPProfessional不能使用網(wǎng)絡(luò)安裝向?qū)Ъ尤胍粋€(gè)域。WindowsXPProfessional的Internet連接防火墻（ICF）為使用DSL、線纜調(diào)制解調(diào)器或者撥號(hào)調(diào)制解調(diào)器連接訪問Internet的桌面和移動(dòng)計(jì)算機(jī)提供了安全保障，使其免遭各種外部威脅的攻擊和破壞。具有位置意識(shí)的ICF組策略

WindowsXPProfessional具有一個(gè)獨(dú)一無二的ICF功能--它擁有一個(gè)具有位置意識(shí)的組策略。這個(gè)功能對(duì)移動(dòng)用戶很有用，當(dāng)他們?cè)诩抑?、機(jī)場、酒店或者其它提供公共Internet連接的“熱點(diǎn)地帶”時(shí)，他們可以利用這一特性保護(hù)計(jì)算機(jī)的安全。如果一個(gè)WindowsXPProfessional計(jì)算機(jī)是域的一部分，域的管理員可以啟用一個(gè)組策略，在計(jì)算機(jī)連接到企業(yè)網(wǎng)絡(luò)時(shí)，禁止計(jì)算機(jī)使用ICF。從而在不增加更多管理工作的情況下，使筆記本電腦得以使用企業(yè)網(wǎng)絡(luò)上的各種資源。當(dāng)你把計(jì)算機(jī)拿回家或者拿到一個(gè)提供公共Internet連接的“熱點(diǎn)地帶”，ICF又會(huì)重新開始發(fā)揮作用，因?yàn)樵摬呗圆粫?huì)應(yīng)用到企業(yè)網(wǎng)絡(luò)之外的其它網(wǎng)絡(luò)之中。ICF的工作原理

ICF充當(dāng)了一個(gè)數(shù)據(jù)包狀態(tài)過濾器的角色，它與ICS共享同一種技術(shù)。雖然ICF可以獨(dú)立工作，但是你也可以針對(duì)某條共享Internet連接啟用ICF，以保護(hù)家庭網(wǎng)絡(luò)的安全在你啟用了ICF之后，這個(gè)狀態(tài)過濾器就可以阻止公共網(wǎng)絡(luò)上所有未經(jīng)請(qǐng)求的流量進(jìn)入你的計(jì)算機(jī)。為了實(shí)現(xiàn)這一目的，ICF使用了數(shù)據(jù)流量表，并且將進(jìn)入計(jì)算機(jī)的每一條流量與流量表中的相關(guān)條目進(jìn)行對(duì)比。只有那些在現(xiàn)有流量表中存在映射（這些映射來自網(wǎng)絡(luò)防火墻系統(tǒng)）或者來自內(nèi)部網(wǎng)絡(luò)的流量允許進(jìn)入計(jì)算機(jī)。換句話說，如果網(wǎng)絡(luò)通信并非由受保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)發(fā)起的，那么相應(yīng)的通信數(shù)據(jù)將被丟棄。如果你使用了WindowsXPProfessional的ICF，黑客將無法對(duì)你的系統(tǒng)進(jìn)行掃描或者與你的資源建立連接。但是，這樣做也會(huì)帶來一些缺點(diǎn)。如果你想將系統(tǒng)配置為一臺(tái)服務(wù)器，允許其它人通過Internet連接到你的計(jì)算機(jī)，防火墻可能會(huì)給你帶來一些麻煩。與安全性相關(guān)的組策略設(shè)置

WindowsXP提供了幾種安全性模板，這些模板預(yù)先定義了一些與安全性相關(guān)的策略，你可以使用這些模板保證計(jì)算機(jī)具有相應(yīng)的安全級(jí)別。這些模板分別代表了低、中和高三種安全級(jí)別的標(biāo)準(zhǔn)配置，你可以對(duì)它們進(jìn)行定制，以滿足自己獨(dú)特的使用需要。此外，你還可以針對(duì)口令管理項(xiàng)目設(shè)置安全性策略，例如：確定最小口令長度設(shè)置口令的更改周期控制資源和數(shù)據(jù)的訪問軟件限制策略

軟件限制策略為管理員提供了一種由策略驅(qū)動(dòng)的管理機(jī)制，以識(shí)別在域中運(yùn)行的軟件和對(duì)軟件的運(yùn)行實(shí)施控制。通過使用一種軟件限制策略，管理員可以禁止沒有得到允許的應(yīng)用程序在計(jì)算機(jī)上運(yùn)行，其中包括病毒和特洛伊木馬程序，或者其它已知的、會(huì)引起系統(tǒng)沖突的軟件程序。使用軟件限制策略

如果你是一個(gè)管理員，你可以使用軟件限制策略對(duì)哪些軟件能夠在計(jì)算機(jī)中運(yùn)行做出限制。你可以在策略中通過文件路徑、文件哈希值、MicrosoftAuthenticode?簽名證書或者Internet區(qū)域（InternetZone）對(duì)應(yīng)用程序進(jìn)行限制。一旦發(fā)現(xiàn)與策略限制內(nèi)容相符的程序，系統(tǒng)便啟用管理員設(shè)定的策略限制該程序的運(yùn)行。軟件限制策略還有助于防范基于腳本的病毒和特洛伊木馬。管理員可以配置軟件限制策略，僅僅允許經(jīng)過本IT組織簽署的腳本才能運(yùn)行。從而防止那些基于腳本的病毒（例如愛蟲病毒）對(duì)系統(tǒng)造成破壞。另外，軟件限制策略還可以對(duì)用戶能夠在計(jì)算機(jī)上安裝哪些程序做出限制。通過配置相應(yīng)的本地安全策略，軟件限制策略也可以用在一臺(tái)獨(dú)立計(jì)算機(jī)上。軟件限制策略還與組策略和ActiveDirectory集成在一起。你可以針對(duì)不同的用戶組或者計(jì)算機(jī)組定制不同的軟件限制策略。你還可以在Windows2000環(huán)境下為WindowsXP計(jì)算機(jī)創(chuàng)建相應(yīng)的軟件限制策略。運(yùn)行Windows2000操作系統(tǒng)的計(jì)算機(jī)會(huì)忽略這些限制策略，但是WindowsXP計(jì)算機(jī)能夠應(yīng)用它們。創(chuàng)建軟件限制策略

軟件限制策略的創(chuàng)建是通過Microsoft管理控制臺(tái)（MicrosoftManagementConsole，MMC）的組策略插件進(jìn)行的。策略由一條默認(rèn)規(guī)則組成，該規(guī)則指出了哪些程序能夠運(yùn)行，以及規(guī)則中的一些特例。默認(rèn)規(guī)則可以被設(shè)定為“不限制”或者“不允許”--也就是“允許運(yùn)行”或“不允許運(yùn)行”。如果將默認(rèn)規(guī)則設(shè)置為“不限制”，管理員可以定義一些特例，指出禁止哪些程序在計(jì)算機(jī)上運(yùn)行。一個(gè)更安全的方法是將默認(rèn)規(guī)則設(shè)置為“不允許”，然后僅僅指定一些認(rèn)為可靠的程序，允許這些程序在計(jì)算機(jī)上運(yùn)行。軟件限制策略的兩種類型

你可以通過兩種方法使用軟件限制策略。如果管理員能夠指明所有能夠在計(jì)算機(jī)上運(yùn)行的程序，他們可以使用軟件限制策略對(duì)軟件做出限制，只允許用戶運(yùn)行那些可信的程序。如果管理員不知道他的用戶將會(huì)運(yùn)行哪些程序，他們必須在發(fā)現(xiàn)用戶運(yùn)行了不正確的程序之后，采取應(yīng)對(duì)措施，限制這些程序的運(yùn)行。軟件限制策略可以應(yīng)用到以下情境之中：只允許可信代碼運(yùn)行。如果所有的可信代碼都可以被一一指明，管理員就可以有效地對(duì)系統(tǒng)加以防范。以下便是“只允許可信代碼運(yùn)行”策略的一些應(yīng)用實(shí)例：應(yīng)用程序站任務(wù)站信息終端機(jī)（Kiosk）對(duì)于上述情境，默認(rèn)規(guī)則應(yīng)該被設(shè)定為“不允許”。然后，管理員可以在規(guī)則中指出一些允許運(yùn)行的程序特例，只允許這些程序在計(jì)算機(jī)上運(yùn)行。使用此種策略的一個(gè)較好例子便是那些只需要運(yùn)行特定應(yīng)用程序軟件的計(jì)算機(jī)，用戶不能在這些計(jì)算機(jī)上安裝其它軟件。例如，管理員可以創(chuàng)建一個(gè)策略，只允許用戶在計(jì)算機(jī)上運(yùn)行MicrosoftWord和MicrosoftExcel。如果用戶下載了一個(gè)軟件或者想從軟盤上運(yùn)行一個(gè)軟件，限制策略將禁止程序運(yùn)行，因?yàn)樵诓呗远x的可信程序列表中并沒有包括這些程序。禁止未經(jīng)授權(quán)的代碼運(yùn)行。在某些情況下，管理員不能完全預(yù)見到用戶需要使用哪些軟件。此時(shí)，管理員只能在發(fā)現(xiàn)不希望運(yùn)行的程序之后，再對(duì)這些程序采取限制措施。那些對(duì)客戶端計(jì)算機(jī)管理不十分嚴(yán)格的企業(yè)可以使用這種模式。以下提供了此種模式的一些應(yīng)用實(shí)例：無需太多管理的個(gè)人計(jì)算機(jī)進(jìn)行適當(dāng)管理的個(gè)人計(jì)算機(jī)例如，如果管理員發(fā)現(xiàn)很多用戶都在運(yùn)行一個(gè)文件共享軟件，并且因此耗用了大量的網(wǎng)絡(luò)帶寬。管理員就可以創(chuàng)建一個(gè)規(guī)則，禁止該文件共享軟件的運(yùn)行。如果用戶正在安裝一個(gè)程序，但是管理員知道這個(gè)程序會(huì)和現(xiàn)有軟件發(fā)生沖突，他也可以創(chuàng)建一個(gè)規(guī)則，阻止該程序被安裝到用戶的計(jì)算機(jī)上。請(qǐng)參見圖12了解軟件限制策略的設(shè)置選項(xiàng)。

圖12：軟件限制策略--本地安全策略軟件識(shí)別規(guī)則

管理員可以通過以下規(guī)則識(shí)別軟件：哈希規(guī)則：軟件限制策略的MMC插件允許管理員瀏覽一個(gè)文件，然后計(jì)算它的哈希值。哈希值是一個(gè)數(shù)字指紋，該指紋對(duì)于每一個(gè)文件或程序來說都是唯一的。文件可以被重命名，也可以被移動(dòng)到其它文件夾或計(jì)算機(jī)上，但是它的哈希值始終保持不變。路徑規(guī)則：路徑規(guī)則利用帶有安全路徑的文件名對(duì)軟件進(jìn)行識(shí)別，例如“C:\ProgramFiles\MicrosoftOffice\Office\excel.exe”；也可以通過路徑名包含的文件夾名進(jìn)行識(shí)別，例如“C:\Windows\System32”。（它指向了該目錄及其子目錄包含的所有程序。）此外，路徑規(guī)則中還可以使用環(huán)境變量，例如：“%userprofile%\LocalSettings\Temp”。證書規(guī)則：證書規(guī)則通過對(duì)軟件進(jìn)行數(shù)字簽署的發(fā)行機(jī)構(gòu)證書來識(shí)別軟件。例如，管理員可以配置一個(gè)證書規(guī)則，只允許用戶安裝經(jīng)過Microsoft或者M(jìn)icrosoftIT部門簽署的軟件。區(qū)域規(guī)則：區(qū)域規(guī)則對(duì)來自Internet、企業(yè)的本地內(nèi)部網(wǎng)、可信站點(diǎn)或者受限站點(diǎn)區(qū)域的軟件進(jìn)行識(shí)別?？刂平?jīng)過數(shù)字簽署的軟件

軟件限制策略從以下幾個(gè)方面改善了管理員對(duì)經(jīng)過數(shù)字簽署的軟件的控制能力：限制MicrosoftActiveX?控件：管理員可以通過列出可信任的軟件發(fā)行商證書，為應(yīng)用軟件限制策略的特定域指定能夠在InternetExplorer中運(yùn)行的ActiveX控件。如果某個(gè)ActiveX控件的發(fā)行商是一個(gè)可信的發(fā)行商，軟件在下載完畢后便可以自動(dòng)運(yùn)行。此外，軟件限制策略還可以列出不被接收的發(fā)行商名單。軟件限制策略會(huì)禁止這些發(fā)行商簽署的ActiveX控件在IE中運(yùn)行。如果使用軟件限制策略，管理員還可以就由誰來判斷某個(gè)未知發(fā)行商（即沒有明確指出是否可信的發(fā)行商）是否是一個(gè)可信發(fā)行商做出正確判斷進(jìn)行控制。軟件限制策略可以規(guī)定，只有本地管理員或者域管理員能夠決定一個(gè)發(fā)行商是否是可信的，以防止用戶自己做出這些判斷和決定。使用WindowsInstaller：使用WindowsInstaller安裝的程序可以被數(shù)字簽署。通過使用一個(gè)軟件限制策略，某個(gè)管理員可以要求：只有經(jīng)過某個(gè)特定軟件發(fā)行商數(shù)字簽署的軟件才能夠被安裝。然后，WindowsInstaller將對(duì)軟件進(jìn)行檢查，看看將要安裝的軟件是否具有一個(gè)得到認(rèn)可的數(shù)字簽名。使用MicrosoftVisualBasic?腳本：VisualBasic腳本文件可以被數(shù)字簽署。管理員能夠配置軟件限制策略，規(guī)定只有經(jīng)過認(rèn)可的軟件發(fā)行商數(shù)字簽署的VisualBasic腳本才能夠在系統(tǒng)中運(yùn)行。Internet協(xié)議安全（IPSec）

對(duì)IP網(wǎng)絡(luò)安全性的需要普遍存在于針對(duì)商業(yè)用途的Internet、Intranet、分支辦公室和遠(yuǎn)程訪問的每個(gè)角落。網(wǎng)絡(luò)管理員和其它信息服務(wù)專業(yè)人員所肩負(fù)的職責(zé)便是確保網(wǎng)絡(luò)數(shù)據(jù)：在傳輸過程中不會(huì)被篡改。不會(huì)被截取、查看或者復(fù)制。不會(huì)被未經(jīng)驗(yàn)證的人員修改。不會(huì)被截取和還原，以免敏感資源被他人竊??；加密口令便是這方面的一個(gè)典型例子。這些安全服務(wù)一般被稱作數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)驗(yàn)證和數(shù)據(jù)還原保護(hù)。為什么需要使用IPSec

IP本身不存在任何默認(rèn)的安全機(jī)制，IP數(shù)據(jù)包可以被他人輕松地閱讀、修改、還原和偽造，公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)都很容易受到黑客未經(jīng)授權(quán)的監(jiān)視和訪問。盡管發(fā)生內(nèi)部攻擊的原因可能是因?yàn)閮?nèi)部網(wǎng)沒有部署或者只部署了很少的安全措施，但來自私有網(wǎng)絡(luò)外部的危險(xiǎn)往往是由Internet或者Extranet（外部網(wǎng)）帶來的。僅僅依靠基于口令的用戶訪問控制并不能確保網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?。所以，IETF（InternetEngineeringTaskForce，Internet工程任務(wù)組）設(shè)計(jì)IPSec的目的就在于為網(wǎng)絡(luò)級(jí)別的數(shù)據(jù)驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密和還原保護(hù)提供相應(yīng)支持。IPSec與Windows2000和WindowsXPProfessional的安全性緊密結(jié)合，為Internet和Intranet的安全通信提供了一個(gè)理想的平臺(tái)。它使用了行業(yè)標(biāo)準(zhǔn)的加密算法和一個(gè)完善的安全管理方法，以便為企業(yè)防火墻兩側(cè)的所有TCP/IP通信提供安全性保護(hù)。其結(jié)果便是Windows2000和WindowsXPProfessional中的端到端安全策略，該策略可以防止黑客從外部和內(nèi)部兩側(cè)向系統(tǒng)發(fā)送攻擊。IP安全在傳輸層以下進(jìn)行部署，從而避免了網(wǎng)絡(luò)管理員針對(duì)每個(gè)程序的部署對(duì)安全性進(jìn)行協(xié)調(diào)。通過部署WindowsXPProfessional和Windows2000IPSec，網(wǎng)絡(luò)管理員為整個(gè)網(wǎng)絡(luò)提供了一層強(qiáng)有力的安全防護(hù)，而且應(yīng)用程序可以從啟用了IPSec的服務(wù)器和客戶機(jī)上自動(dòng)獲得保護(hù)。請(qǐng)參見圖13了解IPSec的相關(guān)設(shè)置選項(xiàng)。

圖13：IPSec-本地安全設(shè)置IPSec防范網(wǎng)絡(luò)攻擊的工作原理

如果沒有采取任何的安全措施，數(shù)據(jù)很容易被黑客攻擊所破壞和泄漏。某些攻擊是被動(dòng)進(jìn)行的，也就是說，黑客只是簡單地對(duì)信息傳輸進(jìn)行監(jiān)視。而有些攻擊是主動(dòng)進(jìn)行的，黑客的目的在于篡改或毀壞數(shù)據(jù)，甚至是迫使整個(gè)網(wǎng)絡(luò)癱瘓。表1展示了當(dāng)今網(wǎng)絡(luò)中一些常見的安全風(fēng)險(xiǎn)，以及利用IPSec防范這些風(fēng)險(xiǎn)的方法。Table1

TypesofNetworkAttacksandPreventingThembyUsingIPSec攻擊類型使用描述IPSec防范攻擊的方法竊聽（又稱嗅探和窺探）對(duì)純文本和未經(jīng)加密的數(shù)據(jù)包進(jìn)行監(jiān)視在開始數(shù)據(jù)傳輸之前，對(duì)數(shù)據(jù)進(jìn)行加密處理，即使數(shù)據(jù)包被黑客監(jiān)視或截取，原始數(shù)據(jù)也不會(huì)泄漏。只有通信雙方知道加密所用的密鑰。數(shù)據(jù)修改對(duì)數(shù)據(jù)進(jìn)行修改，然后將經(jīng)過修改的數(shù)據(jù)發(fā)送給接收方每個(gè)數(shù)據(jù)包都附帶了一個(gè)通過數(shù)據(jù)散列算法得出的加密校驗(yàn)和，接收數(shù)據(jù)包的計(jì)算機(jī)會(huì)檢查該校驗(yàn)和的值，看看數(shù)據(jù)包是否已經(jīng)被他人修改。標(biāo)識(shí)符欺騙使用自己構(gòu)造或者截取到的數(shù)據(jù)包偽裝一個(gè)有效的地址標(biāo)識(shí)。Kerberosversion5協(xié)議、公共密鑰證書或者預(yù)先共享的密鑰能夠在安全通信開始之前對(duì)通信雙方進(jìn)行身份驗(yàn)證。拒絕服務(wù)阻止合法用戶對(duì)網(wǎng)絡(luò)的正常訪問。例如用大量數(shù)據(jù)包阻塞網(wǎng)絡(luò)可以關(guān)閉某些協(xié)議或端口中間人將IP數(shù)據(jù)包轉(zhuǎn)移到一個(gè)不知情的第三方處，對(duì)數(shù)據(jù)進(jìn)行監(jiān)視或修改。對(duì)通信雙方進(jìn)行身份驗(yàn)證已知密鑰用來對(duì)數(shù)據(jù)進(jìn)行解密或修改在WindowsXPProfessional中，加密密鑰會(huì)定期更新，從而降低了因黑客獲取密鑰造成敏感信息泄漏的可能。應(yīng)用層攻擊大都發(fā)生在應(yīng)用程序服務(wù)器上，該攻擊常常會(huì)導(dǎo)致網(wǎng)絡(luò)操作系統(tǒng)或者應(yīng)用程序發(fā)生故障，或者將病毒引入到網(wǎng)絡(luò)中。因?yàn)镮PSec是在網(wǎng)絡(luò)層實(shí)現(xiàn)的，不滿足網(wǎng)絡(luò)層安全過濾條件的數(shù)據(jù)包絕對(duì)不會(huì)傳遞給應(yīng)用程序，從而保護(hù)了應(yīng)用程序和操作系統(tǒng)的安全?；诿艽a的安全機(jī)制

IPSec通過使用基于密碼的安全機(jī)制對(duì)攻擊進(jìn)行防范。通過對(duì)信息進(jìn)行散列和加密，信息能夠得到安全的傳輸。只有將算法和密鑰結(jié)合在一起，信息的安全才能夠得到保障：算法是一種對(duì)信息進(jìn)行處理的數(shù)學(xué)過程。密鑰是一組保密代碼或數(shù)字，用來讀取、修改或者校驗(yàn)需要進(jìn)行保密的數(shù)據(jù)。IPSec使用了一種基于策略的安全機(jī)制來確定通信會(huì)話所需的安全級(jí)別。策略可以通過網(wǎng)絡(luò)中的Windows2000域控制器進(jìn)行分發(fā)，或者保存在WindowsXP計(jì)算機(jī)的注冊(cè)表中。IPSec的工作過程

在開始數(shù)據(jù)傳輸之前，具備IPSec能力的計(jì)算機(jī)會(huì)就安全性級(jí)別進(jìn)行協(xié)商，以保證通信過程的安全。在協(xié)商過程中，身份驗(yàn)證所采用的方式、哈希方法、隧道方法（可選）以及加密方法（也可選）都被確定下來。保密的身份驗(yàn)證密鑰由每臺(tái)計(jì)算機(jī)通過使用每次交換的信息本地決定。密鑰實(shí)際上并不通過網(wǎng)絡(luò)傳輸。在密鑰生成之后，計(jì)算機(jī)對(duì)標(biāo)識(shí)符進(jìn)行驗(yàn)證，然后開始安全的數(shù)據(jù)交換過程。最終的安全級(jí)別可以很高也可以很低，這要視通信雙方的IP安全策略的具體設(shè)置而定。例如，在WindowsXPProfessional計(jì)算機(jī)和不具備IPSec意識(shí)的計(jì)算機(jī)之間進(jìn)行的通信會(huì)話可能不需要一個(gè)安全的傳輸隧道。反過來，在一臺(tái)包含敏感數(shù)據(jù)的Windows2000服務(wù)器和一臺(tái)內(nèi)部網(wǎng)主機(jī)之間進(jìn)行的通信可能就需要較高的安全性。智能卡支持

智能卡是一種集成電路卡（ICC，IC卡），體積與一塊信用卡大體相當(dāng)。你可以使用它存儲(chǔ)證書和私鑰，以及執(zhí)行各種公鑰加密操作，例如身份驗(yàn)證，數(shù)字簽署和密鑰交換等。智能卡可以從以下方便增強(qiáng)系統(tǒng)的安全性：它能夠防止私鑰或者其它形式的個(gè)兒識(shí)別信息被非法篡改。它可以將涉及身份驗(yàn)證、數(shù)字簽署和密鑰交換的關(guān)鍵安全計(jì)算與不需要使用這些數(shù)據(jù)的系統(tǒng)其它部分隔離開來。它使憑據(jù)和其它私有信息得以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)（例如，從一個(gè)業(yè)務(wù)部門的計(jì)算機(jī)移動(dòng)到家中或者遠(yuǎn)程計(jì)算機(jī)上）。使用PIN（個(gè)人身份識(shí)別碼）代替口令

智能卡使用個(gè)人身份識(shí)別碼（PIN）代替了口令。PIN可以保護(hù)智能卡不被智能卡以外的人所使用。為了使用智能卡，你可以將智能卡插入到智能卡閱讀器中，然后輸入你的PIN。同標(biāo)準(zhǔn)的網(wǎng)絡(luò)口令相比，PIN可以提供更多的保護(hù)。口令（或者其它類似的東西，例如哈希值）需要在網(wǎng)絡(luò)上傳輸，因此很有可能被截取。一條口令的強(qiáng)度取決于它的長度，口令越復(fù)雜，攻擊者猜解口令的難度也越大。與此對(duì)比，PIN不需要在網(wǎng)絡(luò)上傳輸。此外，智能卡對(duì)口令輸入錯(cuò)誤的次數(shù)有一定限制（一般為3到5次），超過了這個(gè)限度，智能卡將被鎖定。如果智能卡被鎖定，即使輸入了正確的PIN也無濟(jì)于事。用戶必須同系統(tǒng)管理員聯(lián)系，將卡片解鎖。智能卡標(biāo)準(zhǔn)

Windows2000支持行業(yè)標(biāo)準(zhǔn)、與個(gè)人計(jì)算機(jī)/智能卡（PC/SC）規(guī)范兼容的智能卡，以及符合PC/SC工作組所開發(fā)規(guī)范的即插即用智能卡閱讀器。為了能在Windows2000Server和Wind