4.1 组建Windows 2000 Server的局域网(4)

4.1.19 当同时具有外部因特网业务时，应如
何设计动态域名系统？
为了一致性，可以对内部和外部的用户提供一个相同的DNS名称空间。在这种方案中，代表一个目录的单个DDNS域，如aa.com，它内部的资源能在防火墙的内部和外部方便地转换为IP 地址。当然，对内部和外部的用户使用单一的名称空间也有一些问题需要解决，例如，不想让因特网的每个用户都知道内部主机的记录，不想把所有的内部IP地址在因特网上公开，以及需要提供一种方法给内部用户，实现把内部和外部资源转换为IP 地址等。最好的办法是将内部资源和外部资源记录存储在不同的区域中，让内部资源的IP地址对外部用户是不可见的，在内部和外部的区域之间没有复制，即本质上它们共享相同的域名，但它们的操作是独立的：它们都是在DDNS服务器上不同的基本区域。那么内部的用户怎样才能访问域外的资源呢？这有多种解决方案，较流行的方法是在防火墙的内部建立外部资源的副本，然后通过代理来访问，此时就好像访问内部名称一样了。

内部和外部域可以有不同的名称。例如在防火墙内部使用aa.local，防火墙的外部使用aa.com。通过用不同的内部和外部名称空间，为内部资源提供保密，同时简化名称解析过程。不需要把外部服务器镜像到防火墙内部，或在外部服务器和镜像服务器之间配置代理。这种方法配置起来非常简单，公司用户可以根据FQDN来区分内部和外部的资源。此时DDNS建立的两个域名空间，都应该在因特网上单独注册。尽管aa.local只在内部使用，但也应该注册，以防止其他人使用。否则如果被别人注册了，当内部用户把浏览器指向www. aa.local时，就有可能访问到其他的Web站点了。

在设计DDNS时要衡量所有的因素。如果决定使用单个名称空间，则设计DDNS较复杂；如果使用不同的内部和外部空间，实现起来较容易些。用户应多方面分析衡量，找到最适合需要的解决方案。

4.1.20 什么是Windows 2000的组策略？
组策略是Windows 2000中新增加的功能， 它提供了Windows NT所没有的功能：对用户计算机集中而详尽地控制，可以把组策略看做是NT 4.0中系统策略的改进。组策略对象（GPO）是基于活动目录（AD）的对象，用户可以通过它集中地对Windows 2000台式机和服务器系统进行配置，它的功能包括从NT 4.0台式机的锁定到安全性配置和软件安装等。

GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中，一个单一的系统策略文件（例如ntconfig.pol）包括所有的可以执行的策略功能，但它依赖于用户计算机中的系统注册表的设置。在Windows 2000中，GPO包括文件和AD对象。通过组策略，可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Windows 2000的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装。这样，在安装软件时就可以对文件夹进行重新定向。

微软管理控制台（MMC）中的组策略编辑器（GPE）插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点（例如软件设置、Windows设置、管理模块等）都是MMC插件扩展，在MMC插件中扩展是可选的管理工具，如果用户是应用程序开发者，可以通过定制的扩展来拓展GPO的功能，从而针对用户的应用程序提供附加的策略控制。

只有运行Windows 2000的系统可以执行组策略，运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。

4.1.21 什么是Windows 2000 的默认访问
控制设置？
Microsoft Windows 2000 操作系统安全的一个重要部分是由默认访问权限定义的，这些权限分三个组授予：用户组、Power User 组和管理员组。

管理员具有所有权限。默认 Windows 2000 安全设置不限制管理员对任何注册表或文件系统对象的访问。管理员可以执行操作系统所支持的所有功能。管理员在默认情况下不具有的任何权限都可以由自己赋予。在下列情况管理员需要访问系统：

l 安装操作系统和组件（包括硬件驱动程序，系统服务及其他）。
l 安装 Service Pack 和修补程序。
l Windows Update。
l 将操作系统升级。
l 修复操作系统。
l 配置机器范围内的重要的操作系统参数。
在实际操作中，管理员账户经常用来安装和运行基于 Windows 的旧版应用程序。

用户组和管理员是对立的。假如 Windows 2000 是在 NTFS 分区上的全新安装，默认安全设置了用来防止用户破坏操作系统和安装的应用程序的完整性，不能修改机器范围的注册表设置、操作系统文件或程序文件。用户不能安装能够被其他用户运行的应用程序（防止特洛伊木马）。用户也不能访问其他用户的专用数据。因此，以下两个方面对于保证基于 Windows 2000 的系统的安全非常重要：

l 保证终端用户仅是用户组的成员。
l 部署普通用户可以顺利运行的应用程序。
一般情况下，用户应该能够运行由管理员、Power User 或自己事先安装的任何应用程序，而不能运行由其他用户安装的应用程序。

Power User组介于用户组和管理员组之间。默认情况下，Windows 2000为Power User组的安全设置是向下兼容Windows NT 4.0的。理想状态下，Power User组应该能够执行上面所描述的一些任务，Power User组可以做的事情包括：

l 在每台机器上安装和卸载非系统服务的应用程序。
l 自定义资源（例如系统时间、显示设置、共享、电源设置、打印机等）。
注意，Power User组应该不能访问其他用户的数据。

实际上，Power User 组无法安装某些程序，因为这些程序可能在安装过程中试图替换操作系统的某些文件。

默认访问控制设置在用户安装Windows 2000的时候就已经应用，不论是Clean安装，还是升级安装，当然，用户必须使用NTFS分区。

Windows 2000不论是工作站服务器、服务器或者是域控制器，默认访问控制设置都可以在以下的文件中找到：

winntinfdefltwk.inf -->Workstation

winntinfdefltsv.inf -->Server

winntinfdefltdc.inf -->Domain Control

4.1.22 什么是Windows 2000的加密文件系统？
在Windows 2000中，除了Kerberos v5验证、IPSec、TLS、智能卡支持和PKI的集成外，Windows 2000还提供了比以前产品更高的安全可信性，这就是加密文件系统（EFS）。EFS能让用户在一个硬盘上使用公钥加密去保护数据。如果硬盘上的文件已经使用EFS进行了加密，这样即使一个攻击者能访问到硬盘上，由于没有解密的Key，文件也是不可用的。这种特性对于移动用户、通过宽带连接的家庭用户、对敏感数据有更高安全要求的机构等的益处是显而易见的。

EFS由EFS服务、EFS驱动、EFS文件系统运行库（FSRTL）和Win32 API组成。EFS服务作为一个标准系统服务运行，它是Windows 2000安全子系统的一部分。它与CryptoAPI接口产生钥匙、DDF和DRF，EFS驱动就像是NTFS的一部分，它呼叫EFS服务请求钥匙，DDF和DRF作为需要被创建。EFS驱动的一个组成是EFS FSRTL，它定义了EFS驱动程序能作为NTFS的代表而执行的功能。

4.1.23 Windows 2000的EFS如何工作？
EFS工作分为以下几步：

（1）文件被拷贝到临时文本文件，当拷贝过程中发生错误时利用此文件进行恢复。

（2）文件被一个随机产生的Key加密，这个Key叫做文件加密钥匙，FEK的长度为128位（仅US和Canada），这个文件使用DESX加密算法进行加密。

（3）数据加密区域（DDF）产生，这个区域包含了使用RSA加密的FEK和用户的公钥。

（4）数据恢复区域（DRF）产生，这个区域的目的是为了在用户解密文件中发生解密文件不可用（丢失Key、离开公司等）情况时帮助数据恢复。这些用户叫做恢复代理，恢复代理在加密数据恢复策略（EDRP）中定义，它是一个域的安全策略。如果一个域的EDRP没有设置，本地EDRP被使用。在任一种情况下，一个加密发生时，EDRP必须存在（因此至少有一个恢复代理被定义）。DRF包含使用RSA加密的FEK和恢复代理的公钥。如果在EDRP列表中有多个恢复代理，FEK必须用每个恢复代理的公钥进行加密，因此，必须为每个恢复代理创建一个DRF。

（5）包含加密数据、DDF及所有DRF的加密文件被写入磁盘。

（6）在第（1）步中创建的文本文件被删除。

4.1.24 EFS和NTFS如何共存？
EFS可以被认为是除NTFS外的第二层防护。访问一个被加密的文件，用户必须有访问该文件的NTFS权限。在相关NTFS权限的用户能看到文件夹中的文件，但不能打开文件，除非有相应的解密钥匙。同样，一个用户有相应的钥匙但没有相应的NTFS权限也不能访问到文件。所以一个用户要打开加密的文件，需要同时具有NTFS权限和解密钥匙。

然而，NTFS权限可能被大量的方法穿越，包括口令破解程序、用户在离开前没有退出系统或系统内部的NTFSDOS。在NT 4.0下，硬盘上所有的数据都可以访问。在Windows 2000下，当一个文件用EFS加密后，一个未授权的用户，即使访问到磁盘上的文件，也不能访问文件上数据，因为没有授权用户的私钥。

4.1.25 使用EFS有什么好处？
在硬盘上加密数据对于进出硬盘自身有极大的好处。另外，EFS的应用产生了其他三方加密方法。

访问一个加密的文件不需要用户任何的操作，先前的第三方的文件加密工具需要用户每次访问文件时键入口令，它们并没有与文件系统或操作系统进行无缝地集成。

EFS密码组结合了对称加密（DESX）和非对称加密（RSA）的优点，优于对数据使用非对称加密（用这种方法仅FEK被加密）和数据使用对称加密进行加密的方法。备份进程中备份加密格式的文件，消除了备份操作时对访问数据的需要。

EFS集成进文件系统，因此一个恶意用户不能绕过文件系统访问到硬盘。而且，所有运行在内核模式的EFS驱动程序不能由用户直接访问。

Windows 2000 的CryptoAPI体系允许用户在智能卡上存取他们的私钥，这比将钥匙放在硬盘或软盘上更为安全，但这也使多个位置访问成为可能。

4.1.26 EFS有什么局限性？
安全性的增加伴随着花费的增加，任何加密进程都将会增加处理量和降低某些方面的性能，下面是一些关于在硬盘上加密文件的实行结果。

l 仅仅对存储在磁盘上的文件进行加密，而不是全部的网络上。必须应用其他的加密方法，例如IPSec，保证网络传输安全。
l 自动病毒监测不能扫描加密文件除非已访问到用户的钥匙。
l 如果一个文件或硬盘被盗，恶意的用户如果有能力破译加密数据的话，数据可能会被解密。
下面是Micorsoft EFS特定的更多的局限性：

l EFS仅仅工作在NTFS卷，目前EFS在FAT卷上不支持。
l EFS目前使用DESX作为它的加密算法，更强壮的加密方法已存在，[M$]许诺在将来的EFS本提供支持。
l 如果系统文件被加密，系统将不能用，EFS仅对数据文件加密。OS操作需要引导的文件不能被加密，否则在开始运行时将不能访问。为保护这些，加密被限制在文件属性的设置上，然而，在2000年7月25日，SecuriTeam报告了一个有关EFS的DoS，如果批处理文件（没有系统属性）被加密后，系统将不能被引导。
l 定义太多的恢复代理将影响性能。对每一个恢复代理，FEK发布被加密的同时，一个DRF被创建，这将引起两个问题：一是，为存储多个DRF需要大量的磁盘空间；二是，创建多个DRF将花费更多的时间和处理器资源。
l 在这个版本上不支持文件共享，仅仅创建DDF用户的钥匙能访问到文件，[M$]通知在将来的EFS版本将支持文件共享。
l EFS将增加系统管理员的管理，而且管理加密钥匙的区域是非常重要的。
l 在加密进程的第一步中创建的文本备份文件在进程中以未加密的格式存在，恶意用户可能在文件存在时访问到这个文件。