Windows2000通过创建一个证书机构CA来管理其公钥基础设施PKI，以提供证书服务。一个CA通过发布证书来确认用户公钥和其他属性的绑定关系，以提供对用户身份的证明。Windows2000证书服务创建的CA可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书，以及发布证书废除列表CRL（Certificate Revocation List）。证书服务是通过内置的证书管理单元来实现的。

　　 4 智能卡技术

　　 现在越来越多的企业正在寻找各种方法来提高其网络资源的安全性，智能卡（smart cards，或称为灵巧卡）就是其中比较流行的一个。智能卡提供了让非授权人更难获取网络存取权限的一种简单方式，Windows2000对智能卡安全提供了内在支持。

　　 智能卡同普通信用卡的大小差不多，并提供了抗修改能力，用于保护其中的用户证书和私钥。在这种方式下，智能卡提供了一种非常安全的方式以进行用户认证、交互式登录、代码签名和安全e-mail传送等。每一个智能卡中都包含一个芯片，其中存储有用户的私钥、登录信息和用于不同目的的公钥证书，如数字签名证书和数据加密证书等。

　　 使用智能卡比使用口令进行认证具有更高的安全性：

　　 ² 智能卡方式下需要使用物理对象（卡）来认证用户。

　　 ² 智能卡的使用必须提供一个个人标识号PIN（Personal Identification Number），这样可以保证只有经过授权的人才能使用该智能卡。

　　 ² 从物理形式上，密钥不能从卡中导出，就消除了通过盗取用户证书而对系统发起的攻击和威胁。

　　 ² 没有智能卡，攻击者不能存取和使用经过卡保护的信息资源。

　　 ² 在网络中，没有口令或任何可重用信息的传输。

　　 在存取和使用资源之前，智能卡通过要求用户提供物理对象（卡）和卡使用信息（如卡的PIN）的方式来增强纯软件认证方案的安全性，这种认证方式称为双因素（two-factor）认证，比较适合应用于安全性要求较高的重要场合。

　　 同口令认证方式不同，采用智能卡进行认证时，用户把卡插入连接到计算机的读写器中，并输入卡的PIN，Windows就可以使用卡中存储的私钥和证书来向Windows2000域控制器的KDC认证用户。认证完用户以后，KDC将返回一个许可票据。

　　 5 加密文件系统EFS

　　 前面讨论的技术，包括活动目录、Kerberos认证和PKI等，都是用于保护存储在中心网络中的资源。如何保护本地系统，如硬盘中的数据的安全性，也是人们很关心的问题。

　　 Windows2000加密文件系统EFS则满足了上述需求，让用户可以对指定的本地计算机中的文件或文件夹进行加密，非授权用户不能对这些文件进行读写操作。当用户的计算机物理丢失时，使用EFS系统可以防止敏感信息的丢失和泄漏，因为这些文档都是经过加密处理的。

　　 当使用EFS对NTFS文件系统的文件或文件夹进行安全处理时，操作系统将使用CryptoAPI所提供的公钥和对称密钥加密算法对文件或文件夹进行加密。EFS作为操作系统级的安全服务，内部实现机制非常复杂，但管理员和用户使用起来却非常简单。选中某一文件或文件夹以后，右击，在弹出式按钮中选择“属性”菜单项，在弹出的对话框中选择“常规标签页”，单击“高级”按钮，并选择“加密内容以便保护数据”检查框，如图3所示。单击“确定”按钮即可完成文件或文件夹的加密处理。

　　 当文件保存时EFS将自动对文件进行加密，当用户重新打开文件时将对文件进行自动解密。除加密文件的用户和具有EFS文件恢复证书的管理员之外，没有人可以读写经过加密处理的文件或文件夹。因为加密机制建立到了文件系统内部，它对用户的操作是透明的，而对攻击者来说却是加密的。

　　 EFS加密文件的时候，使用对该文件唯一的对称加密密钥，并使用文件拥有者EFS证书中的公钥对这些对称加密密钥进行加密。因为只有文件的拥有者才能使用密钥对中的私钥，所以也只有他才能解密密钥和文件。

　　 在某些情况下，即使有些人使用底层的磁盘工具，也不能越过EFS机制来读取文件信息，这点在Windows NT中是无法做到的。如果不是合法的用户登录到网络中，即使文件通过网络或物理方法被窃取到，因为没有密钥，同样不能读写，也不能进行任何不被发觉的修改。

　　 在某些情况下会发生诸如用户私钥丢失或雇员离开公司等突发事件，EFS提供了一种恢复机制，可以恢复经EFS加密的文件信息。当使用EFS时，系统将自动创建一个独立的恢复密钥对，并存储在管理员EFS文件恢复证书中。恢复密钥对的公钥用于加密原始的加密密钥，并在紧急情况下使用私钥来恢复加密文件的密钥，从而恢复经过加密的文件。

　　

标签：