18、Windows 2000 网络安全实施指南

Windows 2000 网络安全实施指南

1. Windows 2000 网络安全概述

在当今的组织中，网络安全是 IT 管理者和专业人员首要关注的问题。随着网络的不断发展和复杂化，提供安全服务的需求日益增加。尤其是当企业与互联网连接并提供相关服务时，管理员必须理解并构建一个安全的网络环境。

Windows 2000 引入了新的高级安全特性和工具集，包括重大的安全修订和新增功能，为网络提供了更稳定和安全的平台。这些安全特性涵盖了从简单到高级的各种功能，理解和运用这些新特性对于创建安全的网络环境至关重要。

然而，随着功能的增加，复杂性也随之而来。正确理解和使用这些新工具对于保障 Windows 2000 网络的安全至关重要，不当使用可能会引发问题而非解决问题。

2. 应用安全策略

2.1 安全配置工具集

为了通过组策略提供更高级的配置选项，引入了安全配置工具集。该工具集使管理员能够使用组策略对象来管理和实施安全策略。一旦组策略对象分配到域或组织单位，安全策略就会生效并强制执行。此外，还可以为独立工作站或服务器定义本地组策略。

安全配置工具集由以下五个组件组成：
- 安全配置与分析 MMC 管理单元 ：用于分析和配置安全设置，便于将安全配置导入和导出到文件，以便分发给其他计算机。
- 组策略的安全设置扩展 ：允许通过组策略配置和应用安全设置。
- 安全配置服务 ：提供后台机制，负责安全配置工具集的数据库和引擎。
- 安全模板 ：提供预定义的安全配置，微软提供了几种基本的可定制模板。
- SECEDIT.EXE 命令行实用程序 ：用于自动化大规模的安全配置分发。

2.2 组策略的安全设置扩展

在创建或修改安全配置时，主要使用安全配置与分析管理单元。该管理单元可设置和管理计算机配置，这些配置可以应用于本地计算机或通过组策略应用。完成配置后，可以将其与组策略对象关联，以部署到策略对象范围内的计算机。

组策略框架将安全设置分配到多个区域，每个区域涵盖了一组可配置的安全选项。以下是组策略编辑器中可用的选项类别及其功能描述：
| 策略选项 | 描述 |
| — | — |
| 账户策略 | 用于配置密码策略、账户锁定策略和 Kerberos 策略 |
| 本地策略 | 用于配置审核策略、用户权限分配和安全选项 |
| 事件日志 | 用于配置事件日志设置 |
| 受限组 | 用于配置安全敏感组的成员资格 |
| 系统服务 | 用于配置单个服务的选项和安全设置 |
| 注册表 | 用于配置注册表项的安全设置 |
| 文件系统 | 用于配置 NTFS 分区的安全设置 |
| 公钥策略 | 用于配置加密证书代理，包括数据恢复代理 |
| IP 安全策略 | 用于配置计算机之间安全通信的 IP 安全设置 |

2.3 策略优先级顺序

在应用安全策略时，必须考虑策略的优先级顺序。由于组策略对象可以在多个位置定义，因此需要明确哪些策略具有更高的优先级。例如，如果本地系统分配了一个策略，而组织单位分配了另一个策略，则后者将优先应用。

安全策略的优先级顺序从高到低依次为：
1. 组织单位策略
2. 域策略
3. 本地策略

与早期版本的 Windows NT 不同，在 Windows 2000 中，如果应用了域策略，它将直接影响本地策略。例如，在 Windows NT 4.0 中，域账户策略设置对本地安全账户数据库没有影响，但在 Windows 2000 中，应用于域的账户策略将覆盖计算机的本地策略。

3. 创建、修改和分析安全配置

3.1 安全配置工具集

要应用安全策略，首先需要使用安全配置工具集创建和配置安全配置。该工具集可用于创建、分析和修改 Windows 2000 和 Windows NT 计算机的安全配置。随着 Windows NT 4.0 服务包 4 的发布，该工具集也可以移植到旧版本的 Windows 上，提供遗留支持。

该工具集包括安全配置与分析工具和 SECEDIT.EXE 命令行实用程序。此外，审计策略等安全功能对于监控对安全系统的访问至关重要，分析功能也是一个重要特性。通过理解和使用这些安全工具，可以为计算机系统应用有效的安全配置，提供更安全稳定的环境。

3.2 安全配置与分析管理单元

创建或修改安全配置时，必须使用安全配置与分析管理单元。该管理单元将安全区域划分为功能组，通过组策略可应用的九个功能区域中，有七个通过这些安全工具进行配置。以下是这七个可用组及其配置内容：
- 账户策略 ：密码策略、账户锁定策略和 Kerberos 策略
- 本地策略 ：审计策略、用户权限分配和安全选项
- 事件日志 ：事件日志设置
- 受限组 ：安全敏感组的成员资格
- 系统服务 ：单个服务的选项和安全设置
- 注册表 ：注册表项的安全设置
- 文件系统 ：NTFS 分区的安全设置

3.3 SECEDIT.EXE 命令行实用程序

除了安全配置与分析工具集和组策略管理单元外，还提供了命令行版本的工具。SECEDIT.EXE 可用于分析、配置、导出、刷新策略和验证配置文件，适用于需要对大量计算机进行分析或配置的情况。以下是 SECEDIT.EXE 的命令行选项：
| 命令选项 | 描述 |
| — | — |
| /Analyze | 用于分析安全配置 |
| /DB filename | 选择要用于此操作的数据库。如果指定新数据库，必须同时使用 /CFG 选项 |
| /CFG filename | 仅与 /DB 一起使用，指定要使用的安全模板 |
| /log logpath | 指定要使用的日志文件 |
| /verbose | 指定提供更详细的信息 |
| /quiet | 指定不输出或记录任何信息 |
| /Configure | 用于配置计算机的安全配置 |
| /overwrite | 指定覆盖现有数据库数据，默认是追加到现有数据，仅在 /CFG 选项下有效 |
| /areas area1 area2… | 指定要应用到系统的区域，默认为所有区域 |
| /Export | 用于将计算机的安全配置导出到模板文件 |
| /MergedPolicy | 在导出前合并本地和域策略 |
| /Refreshpolicy | 刷新安全策略 |
| /machine_policy | 刷新本地计算机的策略设置 |
| /user_policy | 刷新登录用户的策略设置 |
| /Enforce | 即使没有更改，也刷新安全设置 |
| /Validate | 验证已创建的安全模板文件 |
| Filename | 要验证的安全模板的文件名 |

3.4 配置审计策略

高级和广泛的安全参数固然重要，但如果没有有效的监控方法，这些参数将毫无意义。Windows 2000 中的审计功能用于跟踪用户和系统事件，对于监控计算机和网络的健康与安全至关重要。

在 Windows 2000 中，主要使用三个日志来监控计算机：
- 系统日志 ：用于监控系统事件，如服务未启动或设备故障。
- 应用程序日志 ：用于监控应用程序级别的故障，如 Internet Information Server 或 SQL Server。
- 安全日志 ：用于监控所有与安全相关的事件，如登录失败请求、文件删除被拒绝或密码更改成功。

审计用于设置安全日志，一个审计条目包含三个项目：
- 执行操作的用户或进程
- 执行的操作
- 操作的成功或失败

在网络环境中配置审计策略时，需要注意以下规则：
- 为服务器或工作站配置审计策略时，必须为每台计算机单独配置策略。可以使用组策略自动化此过程。
- 为域控制器配置审计策略时，只需定义一个策略，因为域控制器共享域数据库，不维护本地数据库。

配置审计策略的步骤如下：
1. 启动 Microsoft 管理控制台，选择“添加/删除管理单元”。
2. 点击“添加”按钮，选择“组策略”。点击“浏览”按钮选择除本地组策略之外的策略。
3. 在弹出的窗口中，选择要分配的组策略，选择“所有”选项卡，选择“默认域策略”，然后点击“确定”。
4. 点击“完成”完成设置。点击“关闭”和“确定”，选择不添加其他管理单元。
5. 展开策略对象、计算机配置对象、Windows 设置对象和安全设置对象。
6. 展开“本地策略”并突出显示“账户策略”。
7. 在右窗格中右键单击要配置的特定审计事件，选择“安全”。
8. 选中“定义这些策略设置”框以启用此策略。选择要审计的成功和/或失败事件，然后点击“确定”。

审计事件类型分为多个类别，每个类别包含可设置为成功或失败事件监控的事件类型。以下是审计策略中可用的事件类型及其描述：
| 事件类型 | 描述 |
| — | — |
| 账户登录 | 包括域控制器对用户账户的身份验证 |
| 账户管理 | 包括任何用户账户管理，如密码更改 |
| 目录服务访问 | 活动目录对象管理，需要额外配置才能审计这些事件 |
| 登录事件 | 包括登录和注销访问，包括网络连接 |
| 对象访问 | 用户对文件、文件夹和打印机对象的访问，需要额外配置才能审计这些事件类型 |
| 策略更改 | 监控对用户安全选项、策略或审计设置所做的更改 |
| 特权使用 | 监控用户行使的权限 |
| 进程跟踪 | 监控系统和应用程序进程 |
| 系统事件 | 监控系统事件，如服务启动和停止 |

3.5 分析安全配置

在实际环境中，计算机的安全配置可能需要根据需求进行更改。为了确保更改后的配置符合组织的标准，需要对计算机的安全配置进行分析。

可以使用安全配置与分析管理单元或 SECEDIT.EXE 命令行实用程序来分析计算机的配置。使用安全配置与分析管理单元分析计算机配置的步骤如下：
1. 右键单击“安全配置与分析”，选择“打开数据库”。
2. 如果选择创建新数据库，指定名称并点击“确定”。在弹出的提示中，选择适当的模板并点击“确定”。
3. 选择数据库后，右键单击“安全配置与分析”，选择适当的选项进行配置或分析。
4. 选择要保存分析进度的日志文件。
5. 分析完成后，可以使用配置来验证所选选项是否符合适当的设置，甚至创建新的配置模板。

3.6 安全配置模板

安全模板用于保存安全配置，以便应用到其他计算机。微软提供了几种默认模板，存储在 \Security\Templates 中。这些模板在 Windows 2000 干净安装时使用，包括：
- Basicdc.inf ：用于 Windows 2000 域控制器
- Basicsv.inf ：用于 Windows 2000 服务器计算机
- Basicwk.inf ：用于 Windows 2000 专业版计算机

此外，还有增量模板，用于在基本模板的基础上提供额外的安全设置功能。这些模板不包含基本模板中定义的配置设置，应在应用适当的基本模板后使用。增量模板包括：
- Compatws.inf ：移除工作站的高级用户权限，允许大多数旧版应用程序在授予高级用户权限的情况下运行。
- Dedicadc.inf ：用于专用域控制器的计算机。
- DC security.inf ：另一种域控制器安全设置。
- Securedc.inf ：为域控制器提供额外的安全配置，不修改访问控制列表。
- Securews.inf ：为工作站和服务器提供额外的安全配置，不修改访问控制列表。
- Hisecdc.inf ：为域控制器提供高安全配置。
- Hisecws.inf ：为工作站和服务器提供高安全配置。
- Setup security.inf ：另一种基本安全配置。

在 Windows 升级过程中，已应用的安全策略会丢失，因此需要重新应用安全策略以维持所需的安全配置。

4. 实施公钥安全

4.1 公钥服务的重要性

随着网络的不断扩大和企业提供的服务越来越多，网络安全的需求变得更加关键。公钥服务作为一种新兴技术，在互联网领域越来越受欢迎。它使用对称加密算法来验证用户或对象的身份，通过公钥和私钥的结合，提供了比传统方法更安全的环境。

公钥服务在电子商务和基于 Web 的应用程序中变得至关重要，一些企业甚至使用该技术来替代网络登录 ID，提高了安全性。

4.2 公钥服务的组件

公钥基础设施（PKI）由多个组件组成，每个安装根据所提供的服务和创建基础设施的供应商而有所不同。Windows 2000 增加了对构建、维护和利用公钥服务的支持，公钥服务可以与 Active Directory 集成或作为独立配置提供组织外部的服务。Windows 2000 公钥服务包括以下组件：
- 证书 ：可以定义为权威机构提供的数字签名，表明证书有效且属于特定用户或服务。证书用于将加密公钥绑定到证书分配的人员或服务。
- 证书颁发机构（CA） ：用于执行多种功能，包括验证证书的真实性、响应证书请求和吊销过期证书。
- 组策略扩展 ：提供额外的公钥服务配置选项，如自动证书请求设置、加密数据恢复代理、受信任的根证书颁发机构和企业信任。
- 硬件附加组件 ：Windows 2000 支持基于硬件的公钥服务，如智能卡。这些设备用于存储加密信息和证书，可用于用户身份验证。

4.3 证书

证书是一种数字签名，用于将公钥绑定到特定的用户或服务。它遵循 X509v3 格式，包含证书接收者或发布者的标识符、公钥算法信息、有效期等信息。证书的有效期有限，过期后需要获取新的证书。此外，证书可以在有效期之前被吊销，每个颁发者必须维护一个证书吊销列表（CRL），每次使用证书时都要检查该列表。

4.4 证书颁发机构

证书颁发机构（CA）是公钥基础设施的关键组件，用于验证证书的真实性、响应证书请求和吊销过期证书。主要的供应商如 Verisign 和 Cybertrust 为公众提供证书颁发机构服务。Windows 2000 允许在私有内部网中创建证书颁发机构，以便管理证书的使用。

公钥基础设施可以由两级层次结构的证书颁发机构组成，根 CA 位于顶层，中间 CA 用于标识所有其他下级 CA。通过将这些证书颁发机构链接在一起，可以根据组织的需求创建高级的基础设施。

证书颁发机构必须维护证书吊销列表（CRL），用于在证书过期前吊销证书。在 Windows 2000 中，可以配置两种类型的证书颁发机构：企业 CA 和独立 CA。企业 CA 通常用于 Windows 2000 Active Directory 内的用户，独立 CA 用于 Windows 2000 网络外部。

不同类型的证书颁发机构有不同的环境要求：
- 企业根 CA ：用于基于 Windows 2000 Active Directory 的网络，为网络内的用户提供服务。要求包括 Windows 2000 Active Directory、Windows 2000 DNS 服务（AD 所需）以及对证书颁发机构、Active Directory 和 DNS 服务器的管理权限。
- 企业从属 CA ：与企业根 CA 类似，但不维护根权限。可用于为较小数量的用户或计算机（如组织单位）提供服务，需要信任企业根 CA。要求包括 Windows 2000 Active Directory、Windows 2000 DNS 服务（Active Directory 所需）和父 CA。
- 独立根 CA ：用于 Windows 2000 网络外部，位于 CA 层次结构的顶层。主要用于为从属 CA 提供证书，要求本地管理权限。
- 独立从属 CA ：作为独立服务器或存在于独立信任层次结构中，主要用于为组织外部提供证书。要求本地管理权限以及与能够响应证书请求的证书颁发机构关联。

4.5 组策略

组策略中包含一些公钥服务配置选项，虽然这些服务不是运行公钥基础设施所必需的，但它们提供了额外的服务，可以利用公钥服务的优势。以下是组策略中可用的公钥服务选项：
- 自动证书请求设置 ：可以使用此策略选项自动执行计算机对象的证书请求。允许计算机根据定义的组策略设置自动请求、接收和安装证书，仅适用于使用企业模块的 Windows 2000 证书颁发机构（CA）。
- 加密数据恢复代理 ：用于识别被授权恢复由加密文件系统使用的文件的用户。如果私钥丢失，数据恢复代理可以使用公钥服务恢复由 EFS 加密的文件。
- 受信任的根证书颁发机构 ：用于发布用户或计算机要使用的证书颁发机构。如果 CA 是 Windows 2000 Active Directory 的一部分，则不需要此选项。如果使用第三方 CA，则应使用此选项发布这些 CA。
- 企业信任 ：定义证书颁发机构的范围。尽管 CA 可能能够为多个项目创建证书，但此选项可用于过滤所需的功能。

4.6 硬件附加组件

除了基于软件的公钥服务外，Windows 2000 还支持基于硬件的公钥服务，如智能卡。这些设备用于存储加密信息和证书，可用于用户身份验证，如登录验证、Web 服务器身份验证或安全电子邮件服务。

4.7 使用公钥服务

配置公钥服务以支持 PKI 的第一步是选择并设置四种类型的证书颁发机构之一。设置证书颁发机构的步骤如下：
1. 选择“开始”|“设置”|“控制面板”，选择“添加/删除程序”小程序。
2. 选择左侧边栏中的“添加/删除 Windows 组件”按钮。
3. 选择“证书服务”，会出现一个提示，说明由于证书服务的安全性，计算机不能重命名或更改其域成员身份。点击“是”接受提示，然后点击“下一步”继续。
4. 选择要使用的证书颁发机构角色。“高级”按钮提供额外的功能，如加密服务提供商和加密算法。
5. 点击“下一步”继续。接下来显示 CA 标识信息屏幕，输入信息后点击“下一步”。
6. 选择此 CA 要使用的数据库和日志位置。点击“下一步”继续。如果万维网服务正在运行，会出现一个提示，这是设置 CA 的 Web 发布服务所必需的。点击“确定”继续。
7. 如果选择安装从属 CA，现在会出现一个选项，指定要使用的父 CA。填写路径并点击“下一步”继续。
8. 文件复制将开始证书服务的安装过程（可能会提示插入服务器 CD）。完成后，点击“完成”完成安装。

验证证书服务是否正常运行，可以使用 Internet Explorer 5 打开以下 URL：http:// /certsrv。按照提示操作，应该可以从服务器请求证书。请求证书的步骤如下：
1. 通过导航到“开始”|“程序”|“Internet Explorer”打开 Internet Explorer 5。
2. 选择适当服务器的 URL 和“certsrv”虚拟目录，点击“下一步”。
3. 指定要请求的证书类型，点击“下一步”。
4. 填写信息以在证书中标识自己，这些信息将存储在证书中供将来使用。某些类型的证书可以通过查询 Active Directory 自动收集信息。
5. 如果证书颁发机构配置为企业服务器，它将立即响应证书请求，但独立服务器将等待管理员批准后才授予证书请求。

管理证书需要使用证书颁发机构管理控制台管理单元，可以通过“开始”|“程序”|“管理工具”|“证书颁发机构”访问。使用此工具接受待处理的证书请求。

安装证书的步骤如下：
1. 打开 Internet Explorer 5，导航到运行 IIS 的 CA 服务器，连接到“certsrv”虚拟目录。
2. 选择“下载 CA 证书”，也可以下载证书吊销列表，以保护证书免受未经授权的使用。
3. 打开证书并将其安装到计算机上，提供有关其可能用途和有效期的信息。选择“安装证书”。
4. 证书管理器导入向导将启动，点击“下一步”。选择用于管理证书的证书存储，默认情况下会自动检测。
5. 指定所选的选项，点击“完成”。

5. 启用和管理文件加密

5.1 加密文件系统（EFS）的必要性

在计算机硬盘故障时，管理员通常会使用软盘启动计算机，这可能会绕过已启用的安全功能。此外，网络上可能存在敏感文档，即使是域管理员也不应被允许访问。为了解决这些问题，Windows 2000 引入了加密文件系统（EFS）。

5.2 加密文件系统架构

EFS 旨在防止未经授权的用户访问文件或目录，它与 NTFS 文件系统协同工作。当设置加密文件或文件夹时，用户可以像操作普通对象一样使用它们，加密和解密过程对用户是透明的。如果文件夹被加密，用户将文件复制到其中，新文件也会自动加密。如果用户尝试使用应用程序（如 Microsoft Word）打开加密文件，文件会在后台自动解密。

未经授权的用户尝试重命名、移动、复制或删除加密文件或文件夹时，将收到“访问被拒绝”的错误消息。用户可以通过选择或取消选择加密属性来加密或解密文件或文件夹，就像设置系统或隐藏属性一样。目前，EFS 仅支持 Windows 2000 版本的 NTFS 文件系统。

5.3 加密和解密

EFS 基于 Windows 2000 和 Active Directory 中的公钥技术，使用 Microsoft 的 CryptoAPI 安全架构提供安全的文件加密。它使用基于随机字符生成的快速对称加密算法，每个加密文件都有自己的文件加密密钥（FEK），该密钥也被加密。在加密过程中，每个文件关联两个公钥：与用户关联的公钥和恢复代理公钥。

当文件需要解密时，首先由原始用户或恢复代理解密 FEK，然后使用 FEK 解密原始源文件。因此，恢复代理的职责需要仔细监控和控制。此外，私钥存储在与安全账户管理器数据库分开的安全私有存储中，提供了更安全的环境。

5.4 数据恢复

使用 EFS 时，总会有需要数据恢复的情况，例如用户丢失文件需要恢复，或者用户离开组织后需要访问他们曾经处理过的文件。EFS 内置了数据恢复机制，要求在启用加密之前设置恢复策略，指定一个人作为恢复代理。

恢复策略默认在非 Windows 2000 网络的计算机上本地设置，对于这些计算机，策略可以在域、组织单位或计算机对象本身进行配置。当此策略应用于这些级别之一时，该范围内的所有计算机都会受到影响。这些恢复策略由证书颁发机构（CA）颁发，并在证书 Microsoft 管理控制台管理单元中进行管理。

恢复代理使用证书和私钥根据策略中设置的范围进行恢复。设置恢复的步骤如下：
1. 首先导出关联的证书和私钥，并将它们存储在安全区域。
2. 在管理控制台管理单元中删除证书。
3. 使用“导入”命令恢复关联的私钥和证书后，可以恢复丢失的文件。
4. 再次删除证书。

5.5 使用加密文件系统

Windows 2000 提供了两种使用 EFS 的方法：

5.5.1 使用 Windows 资源管理器

设置文件夹使用加密文件系统的步骤如下：
1. 选择“开始”|“程序”|“附件”|“Windows 资源管理器”。
2. 在右窗格中突出显示适当的目录。
3. 右键单击所选目录，选择“属性”，完成后点击“高级”按钮。
4. 选择“加密内容以保护数据”复选框，其他选项包括存档、索引和压缩。
5. 选择将更改应用到该文件夹或文件夹、文件和子目录，点击“确定”应用更改。

5.5.2 使用命令行实用程序

Cipher.exe 命令用于应用、删除或修改应用于目录的加密。当不使用任何命令行选项时，将显示当前文件和目录的加密状态。以下是 Cipher.exe 的命令行选项：

CIPHER [/E | /D] [/S:dir] [/A] [/I] [/F] [/Q] [/H] [pathname [...]]
/E：加密指定的目录，目录将被标记，后续添加的文件将被加密。
/D：解密指定的目录，目录将被标记，后续添加的文件将不会被加密。
/S：对给定目录及其所有子目录中的目录执行指定的操作。
/A：对文件和目录都执行操作。如果父目录未加密，加密文件在修改时可能会解密，建议同时加密文件和父目录。
/I：即使发生错误也继续执行指定的操作，默认情况下，Cipher 在遇到错误时会停止。
/F：强制对所有指定的对象执行加密操作，即使它们已经加密，默认情况下会跳过已加密的对象。
/Q：仅报告最基本的信息。
/H：显示具有隐藏或系统属性的文件，默认情况下会省略这些文件。
pathname：指定模式、文件或目录。

5.6 使用 EFS 的指南

使用 EFS 时，需要遵循以下准则：
- 仅 NTFS 卷支持 EFS。
- 压缩文件或文件夹不支持加密。
- 复制或移动加密文件时，确保目标卷支持加密服务，目前仅 Windows 2000 NTFS 卷支持 EFS。
- 加密文件不能共享，只有加密文件的用户有权限打开它。
- 系统文件不能加密。
- 标记为只读属性的文件不能加密。
- 加密文件在通过网络复制时不保持其安全性，需要使用额外的功能（如 IPSEC）提供安全的通信机制。
- 如果文件使用 128 位加密创建，必须恢复到同样使用 128 位加密的系统，否则文件将无法读取。

6. 最佳实践

为了正确配置和管理 Windows 2000 网络的安全，以下是一些最佳实践：
- 配置策略时，记住 Active Directory 只允许在目录根目录存在一个域账户策略。
- 尽量减少组策略对象的数量，以提高可管理性。
- 使组策略对象尽可能细化，以减少所需的策略对象数量。
- 尝试将策略配置分组到逻辑组中，有助于管理组策略对象。
- 在实施预定义的安全模板之前进行测试，复制并自定义模板以供将来安装使用。
- 导入安全配置时，要仔细检查每个安全模板，确保不引入安全漏洞。
- 计算机升级到 Windows 2000 网络时，账户和密码策略将覆盖任何计算机上的本地策略。
- 设置受限组时，未指定的成员资格将被删除。
- 根据策略范围将计算机放置在 Active Directory 中，有助于维护和管理组策略对象。
- 记住维护公钥证书颁发机构的有效备份，否则可能无法管理现有证书。
- 使用最适合需求的证书颁发机构，企业 CA 通常用于内部用户，独立 CA 用于外部提供公钥服务。
- 加密正在使用的任何临时目录，强制默认创建的临时文件被加密。
- 加密文件夹而不是文件，这样可以加密未来创建的文件。
- 加密用于存储文档的文件夹，例如加密“我的文档”目录以保护个人文件。
- 使用证书 Microsoft 管理控制台管理单元中的“导出”实用程序制作证书的备份副本，以便恢复使用。
- 导出并删除证书，将它们存储在安全位置，进一步保证系统的安全性。如果需要恢复，重新导入证书，恢复特定文件，然后再次删除证书和关联的密钥。
- 移动文件时，使用“剪切和粘贴”而不是“拖放”方法，拖放文件时加密不会随之移动。

7. 总结

随着网络的发展，安全在组织中变得越来越重要。Windows 2000 引入了新的安全增强功能，包括组策略安全扩展、安全配置管理器、公钥服务和加密文件系统（EFS）等。这些工具和功能提供了分析、配置和监控企业安全设置的能力，帮助管理员构建更安全的网络环境。

安全配置工具集包括安全配置与分析管理单元、组策略的安全设置扩展、安全配置服务、安全模板和 SECEDIT.EXE 命令行实用程序，通过组策略基础设施实现安全策略的轻松部署和高级管理。

公钥服务基于对称加密算法，为网络提供了更安全的环境，包括证书、证书颁发机构、组策略扩展和硬件附加组件。

加密文件系统（EFS）与 NTFS 结合使用，为存储文件和文件夹提供了更安全的方法，对用户透明，所有功能在后台执行。同时，EFS 提供了数据恢复机制，确保在需要时可以恢复加密数据。

通过遵循最佳实践和正确使用这些安全工具，管理员可以有效地配置和管理 Windows 2000 网络的安全，应对不断变化的安全需求。

8. 常见问题解答

为了帮助大家更好地理解和应用上述安全设置，下面对一些常见问题进行解答：
| 问题 | 答案 |
| — | — |
| 什么用于应用安全设置的标准配置？ | 安全模板。 |
| 组策略中用于配置审计策略、用户权限分配和安全选项的设置是什么？ | 本地策略。 |
| Windows 2000 公钥服务的四个组件是什么？ | 证书、证书颁发机构（CAs）、组策略安全扩展和硬件附加组件支持。 |
| Windows 2000 中有哪四种类型的证书颁发机构？ | 企业根 CA、企业从属 CA、独立根 CA 和独立从属 CA。 |
| 加密文件系统支持哪些文件系统？ | Windows 2000 NTFS。 |
| 配置 EFS 有哪两种方法？ | Windows 资源管理器和 Cipher.exe 命令行实用程序。 |

9. 安全配置流程梳理

为了更清晰地展示安全配置的整体流程，下面用 mermaid 格式的流程图来呈现：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([开始]):::startend --> B(规划安全策略):::process
    B --> C{选择配置工具}:::decision
    C -->|安全配置与分析MMC| D(分析与配置安全设置):::process
    C -->|SECEDIT.EXE| E(自动化大规模配置):::process
    D --> F(设置审计策略):::process
    E --> F
    F --> G(分析计算机安全配置):::process
    G --> H(使用安全模板):::process
    H --> I(实施公钥安全):::process
    I --> J(设置证书颁发机构):::process
    J --> K(请求与管理证书):::process
    K --> L(启用和管理文件加密):::process
    L --> M(遵循使用 EFS 指南):::process
    M --> N([结束]):::startend

该流程图展示了从开始规划安全策略，到选择合适的配置工具，再到逐步完成审计策略设置、安全配置分析、公钥安全实施、文件加密启用等一系列操作，最后遵循 EFS 使用指南完成整个安全配置流程。

10. 安全策略优先级的重要性及影响

安全策略的优先级顺序在 Windows 2000 网络安全配置中起着关键作用。不同级别的策略（组织单位策略、域策略、本地策略）具有不同的优先级，这直接影响到安全设置的最终应用效果。

10.1 优先级顺序的实际影响

当存在多个安全策略时，优先级高的策略会覆盖优先级低的策略。例如，若组织单位策略与本地策略存在冲突，组织单位策略将生效。这种机制确保了在复杂的网络环境中，能够根据实际需求灵活调整安全设置。

10.2 对网络稳定性和安全性的影响

合理设置策略优先级可以避免安全设置的混乱，提高网络的稳定性。如果优先级设置不当，可能会导致某些安全设置无法生效，从而增加网络的安全风险。例如，若错误地将本地策略的优先级设置得过高，可能会使域级别的安全策略无法正常应用，导致整个网络的安全防护出现漏洞。

10.3 优先级设置的建议

在设置策略优先级时，应根据网络的实际架构和安全需求进行合理安排。一般来说，组织单位策略应根据不同部门或业务需求进行定制，以满足特定的安全要求；域策略则应设置一些通用的、基础性的安全规则；本地策略可作为补充，用于满足个别计算机的特殊需求，但应谨慎使用，避免与高级别的策略产生冲突。

11. 公钥服务的应用场景及优势

公钥服务在 Windows 2000 网络中具有广泛的应用场景，为网络安全提供了重要保障。

11.1 应用场景

• 电子商务 ：在电子商务交易中，公钥服务可用于验证用户身份、确保交易信息的保密性和完整性。例如，用户在进行网上购物时，通过证书验证商家的身份，防止假冒商家骗取用户信息。
• 安全电子邮件 ：通过使用公钥加密技术，可对电子邮件进行加密和签名，确保邮件内容不被泄露，同时验证发件人的身份。
• 远程访问 ：当用户远程访问企业网络时，公钥服务可用于身份验证，确保只有合法用户能够访问内部资源。

11.2 优势

• 增强安全性 ：公钥服务使用对称加密算法，结合公钥和私钥的机制，大大提高了用户身份验证和数据传输的安全性。
• 方便管理 ：通过证书颁发机构（CA）集中管理证书，方便对用户身份进行验证和管理，减少了手动管理的工作量。
• 可扩展性 ：公钥基础设施（PKI）具有良好的扩展性，可根据企业的发展和需求，灵活调整和扩展安全服务。

12. 加密文件系统（EFS）的深入分析

12.1 EFS 的性能影响

虽然 EFS 为文件和文件夹提供了强大的加密功能，但在使用过程中可能会对系统性能产生一定影响。加密和解密操作需要消耗一定的系统资源，尤其是在处理大量文件或大文件时，可能会导致文件访问速度变慢。因此，在使用 EFS 时，需要根据实际情况权衡安全需求和性能需求。

12.2 EFS 与其他安全机制的协同作用

EFS 并非孤立存在，它可以与其他安全机制（如 NTFS 权限、公钥服务等）协同工作，提供更全面的安全防护。例如，NTFS 权限可以控制用户对文件和文件夹的访问权限，而 EFS 则进一步对文件内容进行加密，即使文件被非法复制，没有相应的解密密钥也无法访问其中的内容。公钥服务则为 EFS 提供了密钥管理和身份验证的支持，确保加密和解密操作的安全性。

12.3 EFS 的未来发展趋势

随着信息技术的不断发展，EFS 也可能会不断改进和完善。未来可能会引入更先进的加密算法，提高加密强度和性能；同时，可能会与更多的安全技术进行集成，提供更智能化、自动化的安全防护。

13. 持续学习与安全更新

网络安全是一个不断发展和变化的领域，新的安全威胁和漏洞不断涌现。因此，管理员需要持续学习和关注最新的安全技术和动态，及时更新安全策略和配置。

13.1 学习资源

管理员可以通过参加专业培训课程、阅读安全技术书籍和文章、参与安全社区讨论等方式，不断提升自己的安全知识和技能。

13.2 安全更新机制

定期检查和更新 Windows 2000 系统的安全补丁，确保系统具备最新的安全防护能力。同时，及时更新安全模板和策略，以应对新出现的安全威胁。

13.3 应急响应计划

制定完善的应急响应计划，当发生安全事件时，能够迅速采取有效的措施进行处理，减少损失。应急响应计划应包括事件监测、事件评估、响应措施和恢复流程等内容。

14. 总结与展望

14.1 总结

Windows 2000 提供了一系列丰富的安全工具和功能，包括安全配置工具集、公钥服务、加密文件系统等，为构建安全的网络环境提供了有力支持。通过合理配置和管理这些安全设置，管理员可以有效地保护网络中的数据和资源，防止未经授权的访问和攻击。

14.2 展望

尽管 Windows 2000 已经提供了较为完善的安全机制，但随着网络技术的不断发展和安全威胁的日益复杂，未来的网络安全需求将更加多样化和严格。因此，需要不断探索和引入新的安全技术和方法，进一步提升网络的安全性和可靠性。同时，加强安全意识教育，提高全体用户的安全素养，也是保障网络安全的重要环节。

在未来的网络安全建设中，我们应充分利用现有的技术和经验，不断创新和改进，以应对不断变化的安全挑战，为企业和组织的发展提供坚实的安全保障。