6 安全设置模板

　　 为了方便一个组织网络安全设置的建立和管理，Windows 2000提供了安全模板（Security Templates）工具。管理员使用微软管理控制台MMC可以很容易定义标准模板，并统一地应用到多个计算机或用户中。

　　 一个安全模板是一个安全配置的物理表示，换句话说，它是存储一组安全设置的文件。Windows2000中包括一系列的标准安全模板，并应用于不同的场合和计算机的不同角色。这些标准模板包括的范围比较广，从低安全的域客户端设置到高安全的域控制器设置都有。这些模板可直接应用、修改或作为创建用户自定义安全模板的基础。

　　 预定义的安全模板包括如下几种：

　　 ² 默认工作站 (basicwk.inf)

　　 ² 默认服务器 (basicsv.inf)

　　 ² 默认域控制器 (basicdc.inf)

　　 ² 兼容工作站或服务器 (compatws.inf)

　　 ² 安全工作站或服务器 (securews.inf)

　　 ² 高度安全工作站或服务器 (hisecws.inf)

　　 ² 专用域控制器 (dediCADc.inf)

　　 ² 安全域控制器 (securedc.inf)

　　 ² 高度安全域控制器 (hisecdc.inf)

　　 系统中的每个模板都为基于文本的 .inf 文件。可允许复制、粘贴、导入或导出某些或所有模板属性。除了IP安全性和公用密钥策略之外，可以在安全模板中包含所有其他安全属性。

　　 一个模板中一般包括如下安全设置项：

　　 ² 账号策略。密码、账号锁定和 Kerberos 策略的安全性。

　　 ² 本地策略。用户权利和记录安全事件。

　　 ² 事件日志。定义事件日志的安全性。

　　 ² 受限的组。本地组成员的管理。

　　 ² 注册表。本地注册表项的安全性。

　　 ² 文件系统。本地文件系统的安全性。

　　 ² 系统服务。本地服务的安全性和启动模式。

　　 7 Windows 2000中的网络安全

　　 在Windows2000安全结构和框架中，除了能够保护网络资源和硬盘资源的合法使用以外，还应该提供多种技术措施来保证网络传输数据的安全性。为满足这种需求，Windows2000中集成了对Internet协议安全IPSec的支持。

　　 IPSec是一组Internet标准协议，可以在非安全网络之间建立安全通道，对传输的信息进行安全处理。IPSec的加密技术应用于网络的IP层，所以，对于大部分使用特定网络通信协议的上层应用来说都是透明的。IPSec提供了端到端（end-to-end）的安全性，也就是说由发送端计算机加密的IP包只能被接收端计算机解密，中间截获的数据都是不可读的。

　　 IPSec提供了如下安全功能：

　　 Ø 在Kerberos认证、数字证书或共享密钥的基础上认证IP数据包的发送者。

　　 Ø 保证IP数据包在网络传输过程中的完整性。

　　 Ø 对通过网络传输的所有信息进行加密，以保证数据的机密性。

　　 Ø 在数据传输过程中，可以隐藏数据的原始IP地址。

　　 所以，Windows 2000使用IPSec，可以充分保障网络数据传输的机密性、认证性、完整性和不可否认性。

　　 另外，Windows 2000中还提供了其它的网络和信息安全技术支持，如虚拟专用网VPN支持和Internet验证服务等。所私，通过对Windows 2000的合理化管理和配置，可以在现有投资的情况下有效保证网络信息的安全性。

　　

标签：