ASP 的最佳安全做法
引言
安全管理的主要目標是保證 SLA 中規(guī)定的 ASP 和客戶之間的機密性、完整性和可用性的級別。最佳做法可向 ASP 展示如何確保實現(xiàn)安全目標。

Active Directory 的主要安全優(yōu)勢
使用 Active Directory 服務(wù)，ASP 可更好地為內(nèi)部用戶和外部客戶提供適當?shù)陌踩?。從根本上說，Active Directory 是 ASP 安全策略和帳戶信息的中心位置。

ASP 可用 Active Directory 安全功能來自定義 ASP 的安全策略，保護系統(tǒng)不被非授權(quán)訪問并避免可能的損失。Active Directory 可提供多方面的安全優(yōu)勢。其中包括：

一次性登錄到域
支持標準的 Internet 安全協(xié)議
能夠?qū)⒂蛑杏脩艉蛯ο蟮墓芾砦山o他人
一次性登錄
具有多目錄服務(wù)的 ASP 中，用戶和客戶訪問不同的網(wǎng)絡(luò)資源可能需要進行多次登錄。Active Directory 通過為資源的訪問提供一次性登錄而改變了這種不必要的重復(fù)。一旦用戶登錄到域控制器，所有網(wǎng)絡(luò)資源都會根據(jù)這次登錄的結(jié)果而授權(quán)或拒絕訪問。一次性登錄提供了安全的身份驗證，用于加密與網(wǎng)絡(luò)之間的會話。登錄過程通常使用 Kerberos 身份驗證協(xié)議，我們將在文章的后面討論該協(xié)議。由于在客戶或用戶登錄時，數(shù)據(jù)安全就已啟動，所以一次性登錄減小了破壞安全的威脅，因為客戶和用戶不需要去寫多個密碼。另外，由于所有的帳戶都統(tǒng)一在 Active Directory 中的一個地方，因此可對帳戶的管理具有更多的控制。

組策略繼承和本地設(shè)置
ASP 環(huán)境中的 AD 容器有一個層次結(jié)構(gòu)。一些容器可認為是其它容器的“父”容器。組策略具有繼承性，即它可以從父容器傳遞給下面的子容器。當為父容器分配一個“組策略”時，該“組策略”也適用于父容器下面的所有容器。若更改子容器的設(shè)置，則可替代父容器傳遞下來的設(shè)置。如果子容器和父容器的“組策略”設(shè)置不兼容，則不繼承父容器的設(shè)置，并且用戶只接收子容器的“組策略”設(shè)置。

在繼承過程中，可以對特定容器進行更改，它會自動影響所有下級容器及其對象。為了便于管理，推薦在高級別的容器（如高級別的文件夾）上定義權(quán)限。這樣，這些權(quán)限將自動傳遞給該文件夾內(nèi)的對象。

支持 Internet 標準身份驗證協(xié)議
Active Directory 服務(wù)提供對幾種身份驗證方法的支持，如 Internet 標準協(xié)議 Kerberos、公鑰基本結(jié)構(gòu) (PKI) 以及加密套接字協(xié)議層 (SSL) 上的輕型目錄訪問協(xié)議 (LDAP)。對這些協(xié)議的支持意味著無論用戶是內(nèi)部連接還是通過 Internet 連接，網(wǎng)絡(luò)資源都能得到保護。

安全的身份驗證和網(wǎng)絡(luò)協(xié)議
Windows 通常使用 Windows NT LAN Manager (NTLM) 協(xié)議來進行網(wǎng)絡(luò)身份驗證。ASP 可利用幾種增強的身份驗證方法和網(wǎng)絡(luò)協(xié)議（如 Internet 標準協(xié)議 Kerberos、公鑰基本結(jié)構(gòu)、使用 Ipsec 的虛擬專用網(wǎng)絡(luò) (VPN)、加密套接字協(xié)議層 (SSL)）來加強安全性。Windows 2000 提供對這些協(xié)議的支持。

Kerberos 身份驗證的優(yōu)點：

快速連接。利用 Kerberos 身份驗證，服務(wù)器不必轉(zhuǎn)向域控制器。它可通過檢查客戶提供的憑據(jù)來驗證客戶的身份。客戶可一次獲得對特定服務(wù)器的憑據(jù)并在整個 ASP 登錄會話中重復(fù)使用。
相互身份驗證。NTLM 允許服務(wù)器驗證其客戶的身份。它不允許客戶驗證服務(wù)器的身份，也不允許一臺服務(wù)器驗證另一服務(wù)器的身份。NTLM 身份驗證是為網(wǎng)絡(luò)環(huán)境設(shè)計的，假定該環(huán)境中的服務(wù)器是真實的。Kerberos 協(xié)議不做這種假設(shè)。網(wǎng)絡(luò)連接兩端的 ASP 和客戶可以知道另一端的一方聲稱是什么人。
委派的身份驗證。當代表客戶機訪問資源時，Windows 服務(wù)就模擬成客戶機。許多情況下，服務(wù)可通過訪問本地計算機上的資源為客戶機完成其工作。NTLM 和 Kerberos 都可提供服務(wù)在本地模擬其客戶機時需要的信息。但是，一些分布式的應(yīng)用程序是這樣設(shè)計的：當連接到其它計算機上的后端服務(wù)時，前端服務(wù)必須模擬客戶機。Kerberos 協(xié)議有一個代理機制，允許當某個服務(wù)連接到其它服務(wù)時模擬其客戶機。
公鑰基本結(jié)構(gòu) (PKI)
公鑰基本結(jié)構(gòu) (PKI) 是新出現(xiàn)的標準，適用于利用數(shù)字證書來驗證用戶的身份。PKI 使用三種技術(shù)來提供避免安全破壞的保護：數(shù)字信封、數(shù)字簽名和數(shù)字證書。這些技術(shù)經(jīng)常用于 Extranet 和 ASP 解決方案?？墒褂?PKI 的例子有：

安全電子郵件

基于 PK 的安全電子郵件產(chǎn)品（包括 Microsoft Exchange），依靠 PK 技術(shù)完成：

數(shù)字簽名，用來證明電子郵件的來源和可靠性
沒有預(yù)先共享密碼的大量加密，用以保守通信者之間的機密
操作中，這些系統(tǒng)利用用戶的私鑰為發(fā)出的電子郵件添加數(shù)字簽名。證書和電子郵件一起發(fā)送，這樣接收者可驗證該簽名。S/MIME 為這些證書定義一個配置文件以確保互操作性，并采用一種層次模型來提供可伸縮的信任管理。若要對電子郵件加密，用戶可從以前的電子郵件或目錄服務(wù)中獲得接收方的加密證書。一旦驗證了該證書，用戶就可用所包含的公鑰對所用的密鑰加密，從而實現(xiàn)對電子郵件的加密。

確認/加密文件系統(tǒng)

Windows 2000 加密文件系統(tǒng) (EFS) 支持 Windows NT 文件系統(tǒng) (NTFS) 中在磁盤上存儲的文件的透明加密和解密。用戶可指定要加密的個別文件或需要對其內(nèi)容保持加密格式的文件夾。應(yīng)用程序可以像訪問非加密文件一樣訪問用戶的加密文件。但是，它們無法對任何其他用戶的加密文件進行解密。

PKI 和 UPN

Windows 2000 PKI 執(zhí)行一項安全服務(wù)，該服務(wù)使用證書信息來映射到存儲于 Active Directory 中的帳戶，以便確定已驗證身份的客戶的訪問權(quán)限。該目錄操作可根據(jù)證書中的用戶主要名稱 (UPN) 來執(zhí)行，或通過在目錄中搜索與客戶證書中的屬性、頒發(fā)者或頒發(fā)者和主題匹配的帳戶來執(zhí)行。如果 UPN 都不匹配，或者頒發(fā)者未被授權(quán)頒發(fā)域身份驗證的證書，則用戶可以登錄。這樣，它就增強了登錄的安全性。

通過 SSL 的安全 Web
加密套接字協(xié)議層 (SSL) 協(xié)議依賴于基于 PK 的身份驗證技術(shù)，并使用基于 PK 的密鑰協(xié)商來為每個客戶端/服務(wù)器會話生成唯一的加密密鑰。它們最常與基于 Web 的應(yīng)用程序及 HTTP 協(xié)議（稱為 HTTPS）相關(guān)聯(lián)。

ASP 可通過使用加密的安全 SSL 通道，利用 SSL 協(xié)議進行保密的網(wǎng)絡(luò)通訊。服務(wù)器和客戶端針對要使用的加密算法進行協(xié)商。它們還協(xié)商用于安全通訊的保密的共享會話密鑰。如果客戶沒有有效的受信任的身份驗證證書（它可以降低拒絕服務(wù)攻擊的風險），則 ASP 可用 SSL 來防止（可能的）客戶與 ASP 解決方案進行通訊。您還可以用 SSL 協(xié)議來保護所有 Web 通訊的通道，以保護機密信息，例如個人信息和信用卡號碼。

虛擬專用網(wǎng)絡(luò) (VPN)
VPN 技術(shù)使用了隧道協(xié)議，該協(xié)議可使 ASP 在公用 Internet 上建立專用數(shù)據(jù)網(wǎng)。換句話說，通過“共享管道”進行安全的隧道客戶通信，VPN 能使 ASP 降低成本。