Windows XP Professional和Windows XP Home Edition的新增安全特性

WindowsXPProfessional和WindowsXPHomeEdition的新增安全特性同以往各個版本的Windows系統(tǒng)相比，WindowsXP一個是最為可靠的系統(tǒng)，它擁有Windows系統(tǒng)有史以來最為強大的安全性和隱私保護能力?？偟恼f來，WindowsXP通過對安全性進行改進，為用戶提供了一種安全、可靠和保密的計算體驗。WindowsXP包括兩個版本：針對家庭用戶的WindowsXPHomeEdition；以及針對各種企業(yè)用戶的WindowsXPProfessional。借助于WindowsXPHomeEdition中的安全特性，用戶可以比以往任何時候都更為安全地上網購物或瀏覽。WindowsXPHomeEdition內置Internet連接防火墻，可以在你連接到Internet時為你提供有力的安全防護，對于使用“永遠在線”式的寬帶連接（例如線纜調制解調器和DSL）的用戶，這種防護就顯得尤為重要和必要。除了包括WindowsXPHomeEdition所能提供的所有安全特性之外，WindowsXPProfessional還附加了其它的安全管理特性。這些重要的新安全特性將減少企業(yè)的IT成本，并極大增強企業(yè)環(huán)境的安全性。WindowsXPHomeEdition的安全性服務是一種靈活的安全服務，它在設計之時已經將家庭用戶可能面對的各種安全和隱私保護情況考慮在內。如果你已經對MicrosoftWindowsNT?version4.0和MicrosoftWindows2000的安全模型比較熟悉，你會從WindowsXPHomeEdition的安全特性中認出很多熟悉的面孔。與此同時，你還會發(fā)現有些原來很熟悉的安全特性已經發(fā)生了很大的改變，而眾多新增的安全特性則會極大改善你管理系統(tǒng)安全性的能力。例如，如果你使用Internet同他人在網上聊天，或者通過Internet收發(fā)電子郵件，你便很有可能遭到黑客的攻擊。為了保護你不受這些攻擊的侵害，WindowsXP集成了眾多先進的安全特性，力圖使你的網絡體驗更加安全。讓我們首先看一看WindowsXPHomeEdition中的重要安全和隱私特性。在讓你擁有比以往更加高效的Windows用戶體驗的同時，這些特性可以使你和你的信息比以往更加安全。請記?。褐挥心阍诠ぷ鹘M中或者獨立計算機上使用WindowsXPHomeEdition，并且擁有管理員權限，你才能使用操作系統(tǒng)的所有安全特性。如果你配備WindowsXPHomeEdition的計算機是一個網絡的一部分，那么你能夠使用的安全性選項要取決于網絡管理員為你分配的權限。個性化登錄

如果使用WindowsXP，所有的家庭成員都可以在使用自己的口令進行登錄后，享受自己特有的個性化用戶界面。系統(tǒng)新增的安全性級別確保了任何人都不會訪問（或者偶然刪除）你的重要文檔。如果你有孩子，你可以利用不同的安全性配置文件對他們能夠訪問的Internet站點進行限制和過濾，以避免他們訪問到與他們年齡不相應的信息。針對同一臺計算機上的多個用戶的快速用戶切換

快速用戶切換（FastUserSwitching）功能針對家庭的實際使用需要而設計，它允許所有家庭成員共享同一臺計算機，就如同這臺計算機是他們每個人自己的一樣。你無需注銷當前登錄的用戶和決定是否保存其它用戶的文件。WindowsXP可以終端服務技術單獨運行每一個用戶會話，這使得每個用戶的數據都是相互完全分離的。在用戶使用密碼進行登錄的情況下，這些會話彼此之間都是安全的。如果你在一臺獨立計算機或者工作組計算機上使用WindowsXPHomeEdition或WindowsXPProfessional，在默認情況下，快速用戶切換功能處于啟用狀態(tài)。如果你使用WindowsXPProfessional計算機并且加入了一個域，那么你將不能使用快速用戶切換功能?？焖儆脩羟袚Q使所有家庭成員共享同一臺計算機的過程變得更加容易了。例如，如果母親正在使用計算機運行一個家庭財務軟件，但是需要離開計算機一會兒，兒子便可以切換到他自己的賬戶開始玩游戲。該財務軟件會仍然運行在母親的賬戶中。而所有這一切都不需要當前登錄用戶進行注銷操作。因為新的“歡迎”屏幕可以通過每位用戶的照片進行輕松定制，所以用戶切換的過程非常容易，如圖1所示。

圖1：“個性化登錄”和“快速用戶切換”歡迎屏幕個人隱私

通過對W3C（WorldWideWebConsortium，萬維網聯(lián)盟）的P3P（PlatformforPrivacyPreferences）標準提供支持，MicrosoftInternetExplorerversion6.0能夠在你訪問Web站點時保護你的個人信息不被泄漏。Microsoft幫助開發(fā)了一個Web站點的隱私標準，所以你可以自己決定為站點提供哪些類型的信息以及提供多少這樣的信息。InternetExplorer6.0會判定你正在訪問的站點是否符合W3C的標準，然后在你向站點提供私人信息之前向你告知有關情況。當你在InternetExplorer6.0中針對個人信息的暴露定義了相關隱私參數之后，瀏覽器會判定你正在訪問的站點是否符合P3P標準。對于符合P3P標準的站點，瀏覽器會將你的隱私參數同針對該站點定義的隱私策略進行對比。InternetExplorer使用HTTP交換隱私信息。瀏覽器會根據你的隱私參數設定決定是否向Web站點提交你的個人信息。Cookie管理

P3P標準還支持InternetExplorer6.0中的cookie管理特性。Cookie是Web站點存儲在你的計算機中的一個小文件，以實現站點的定制化功能。例如，當你對MSN?進行定制的時候，相關信息便存儲在你計算機的Cookie文件之中。在你每次訪問該站點的時候，MSN都會讀取Cookie文件的內容，然后為你顯示經過定制的個性化內容。作為隱私策略的一部分，符合P3P標準的Web站點可以為它們的Cookie提供策略信息。當你對隱私參數進行設置的時候，你可以要求InternetExplorer以如下方式對Cookies進行處理：不允許在你的計算機上存儲Cookies。拒絕第三方的Cookies（即Cookies的來源地與所訪問的Web站點不處在同一個域中，因此沒有包括在Web站點的隱私策略中），但是允許所有其它的Cookies存儲在你的計算機中。允許所有Cookies不經確認就存儲在你的計算機上。請參看下面的圖2和圖3了解更多Cookies管理選項。

圖2：Cookie管理：根據不同站點執(zhí)行相應隱私操作

圖3：Cookie管理：高級隱私設置有關P3P的更多信息，請訪問W3CWeb站點。Internet連接共享

Internet連接共享（ICS）可以將多臺計算機通過一條Internet連接連接到Internet上。借助于ICS，用戶可以安全地在多臺計算機間共享一條DSL、線纜調制解調器或者電話線連接訪問Internet。ICS的工作方式

被稱作ICS主機的一臺計算機直接連接到Internet，網絡中的其它計算機則共享ICS主機上的連接訪問Internet?？蛻粲嬎銠C需要依靠ICS主機計算機訪問Internet。在通過ICS訪問Internet的時候，系統(tǒng)具有更高的安全性，因為此時只有ICS主機暴露在Internet之上。客戶計算機上的任何Internet通信都需要通過ICS主機來完成，ICS主機上的一個轉換過程保證了客戶計算機不會被Internet所看到。因為客戶計算機不能被網絡外部所看到，所以它們的安全也得到了保護。只有運行ICS的計算機暴露在Internet之上。此外，ICS主機還對網絡的地址分配進行管理。ICS主機自身擁有一個永久性的靜態(tài)IP地址，并且向網絡中的ICS客戶機提供動態(tài)主機配置協(xié)議（DHCP）服務。通過為每臺ICS主機分配一個唯一的IP地址，ICS主機為網絡中各臺計算機之間的通信提供了一條途徑。WindowsXP提供的ICS功能使你可以在家庭或者小型辦公環(huán)境中的多臺計算機間共享同一條連接訪問Internet。該功能首次出現于Windows2000Professional和Windows98SecondEdition操作系統(tǒng)，并且在WindowsXP中得到了改善。使用網絡協(xié)議

在WindowsXP中，ICS為家庭網絡提供了網絡地址轉換（NAT）、DHCP和域名服務（DNS），從而消除了對客戶端計算機進行配置的需要。WindowsXP的DNS功能已經得到改進，它現在包括了一個本地的DNS解析程序（DNSResolver），以便向家庭網絡中的所有客戶計算機提供名稱解析服務。通過這個DNS解析程序，那些沒有使用Windows技術的網絡設備也能夠為網絡客戶端進行名稱解析。但是Internet域名的解析工作仍然需要轉發(fā)到Internet服務提供商的DNS服務器上進行。遠程發(fā)現和控制功能

此外，ICS還包括了遠程發(fā)現和控制功能。在使用通用即插即用的情況下，網絡客戶端可以檢測到ICS主機的存在，然后客戶端將查詢ICS主機，以確定Internet連接的當前狀態(tài)。當你想在家中的另一臺個人計算機上瀏覽Internet的時候，WindowsXP計算機會自動通過ICS主機連接到Internet--如果當前沒有連接到Internet。或者，家庭中的其它用戶也可以了解到Interet連接現在是否處于活動狀態(tài)，如果需要，他們還可以斷開Internet連接，以便使用電話進行正常的語音通信。如果你使用撥號網絡，并且按照使用時間向ISP付費，這個功能就顯得十分有用處，或者，你也可以在沒有網絡活動的時候關閉Internet連接。請參見圖4了解ICS的設置選項。

圖4：設置ICSInternet連接防火墻

Windows?XP以新的Internet連接防火墻的形式提供了Internet安全防護。多年以來，企業(yè)網絡一直通過使用防火墻保護自己免受外部攻擊的侵害。WindowsXP利用它的ICF防護特性為普通用戶提供了同樣的安全保護。這意味著：在你開始使用WindowsXP之后，你的信息、計算機和家庭數據就立即得到了保護，不會被外來入侵者所竊取和破壞。日益增長的安全性需要

隨著越來越多的家庭和企業(yè)用戶采用寬帶連接訪問Internet，對采取某種安全措施保護個人計算機及其它設備和家庭網絡數據安全的需要也日益高漲。甚至那些通過撥號訪問Internet的計算機也不能免遭外部攻擊的侵害。ICF針對家庭或小型企業(yè)辦公環(huán)境而設計，可以為直接連接到Internet的WindowsXP個人計算機提供安全保護。如果ICS主機運行了ICF，那些通過Internet連接共享連接到Internet的計算機或設備也能受到ICF的庇護。Internet連接防火墻的工作方式

WindowsXPICF使用了主動的數據包過濾技術，這意味著防火墻上的端口只有在你需要訪問相應服務的時候才被動態(tài)開放。這種防火墻技術通常應用于更加復雜的企業(yè)防火墻之上，以防止黑客對計算機端口和資源進行掃描--包括文件和打印機共享。這種技術顯著降低了外部攻擊對計算機帶來的威脅。用戶可以針對每條連接啟用相應的ICF。該防火墻特性可以應用在局域網（LAN）連接、PPPoE（Point-to-PointProtocolOverEthernet）連接、VPN連接或者撥號連接上。PPPoE是一種新的IETF標準草案。PPPoE一般用在通過線纜調制解調器或數字用戶線路（DSL）連接到Internet的寬帶連接上，它使得用戶通過這些設備訪問Internet的過程如同使用撥號調制解調器建立連接一樣容易。WindowsXP是為PPPoE提供內置支持的第一個Windows操作系統(tǒng)。當你在外部途中使用便攜式計算機通過撥號連接或者其它手段訪問Internet的時候，ICF特性會自動啟用，以保護計算機的安全。易于激活的防火墻保護

在你運行網絡安裝向導（NetworkSetupWizard）時，它會自動在找到的Internet連接上啟用ICF。為了檢查某條連接是否使用了ICF，你可以：打開“控制面板”。點擊“網絡和Internet連接”。點擊“網絡連接”。右擊你的Internet連接，然后點擊“屬性”。點擊“屬性”對話框中的“高級”選項卡。參見圖5了解如何激活ICF。

圖5：激活ICF端口映射

默認情況下，ICF不允許未經請求的網絡流量進入計算機。如果你想讓其它人通過Internet訪問你的計算機--例如，你在家中安裝了一臺Web服務器或者玩Internet聯(lián)網游戲，WindowsXP可以允許你在防火墻上開一個“小洞”，允許使用特定端口的網絡流量進入計算機。這種技術被稱作“端口映射”。共享文檔文件夾

共享文件夾類似于你的個人文件夾：我的文檔、我的圖片和我的音樂。共享文檔、共享圖片和共享音樂為您存儲文件、圖片和音樂提供了一個地點，計算機上的每個用戶都可以看到這些文件。例如，Billy可以將他的家庭作業(yè)放在“共享文檔”中，這樣Billy的媽媽就可以檢查他的作業(yè)是否已經完成，而Billy的爸爸則可以將全家在休假時拍攝的數字照片放到“共享圖片”文件夾中，以便所有家庭成員都可以看到這些照片。因為家庭計算機一般處于一個可信賴的環(huán)境之中，默認情況下，WindowsXP的家庭用戶可以分別存儲他們自己的文件，并且可以通過一個可選的口令對文件進行保護。這種方法使得所有家庭成員可以容易地在同一臺計算機或者家庭網絡中的多臺計算機上共享文檔、照片、音樂和視頻文件。但是，在你為自己的賬戶建立一個口令的時候，Windows會鎖定你的“我的文檔”文件夾及其子文件夾。如果你不想讓自己的文件被別人所看到，你可以設置一個口令，這樣，除了這臺計算機的管理員以外，其它用戶就不能在看到你的保密文件了。說明：只有在你的硬盤分區(qū)以NTFS格式進行格式化的時候，這種方法才適用；如果你的硬盤分區(qū)為FAT或FAT32格式，該特性將不會起任何作用。WindowsXPProfessional操作系統(tǒng)是各種規(guī)模和類型企業(yè)的理想選擇，它針對企業(yè)計算提供了最為可靠的安全性服務。WindowsXPProfessional包括了企業(yè)網絡建設和安全防護所需的大量安全特性。這些安全特性不僅為你賦予了新的管理能力，而且在降低IT成本的同時，允許你將更多的精力和資源集中到商業(yè)服務和解決方案的構建方面來。如果你已經對MicrosoftWindowsNT4.0和MicrosoftWindows2000的安全特性比較熟悉，那么你會在WindowsXPProfessional中發(fā)現很多熟悉的面孔。同時，你還會發(fā)現很多原來很熟悉的功能特性已經發(fā)生了較大的改變，而眾多新增的安全特性則會極大改善你在系統(tǒng)安全性方面的管理能力。請記?。褐挥心阍诠ぷ鹘M中或者獨立計算機上使用WindowsXPProfessional，并且擁有管理員權限，你才能使用操作系統(tǒng)的所有安全特性。如果你配備WindowsXPProfessional的計算機是一個網絡的一部分，那么你能夠使用的安全性選項要取決于網絡管理員為你分配的權限。企業(yè)安全性

WindowsXPProfessional的強大安全特性可以幫助企業(yè)保護敏感數據的安全，并且為網絡用戶的管理工作提供支持。WindowsXPProfessional的一個優(yōu)秀之處在于它可以使用組策略對象（GroupPolicyobjects，GPO）。GPO允許系統(tǒng)管理員將一個安全性配置文件應用到多臺計算機上，并且可以通過智能卡技術，利用存儲在智能卡中的信息驗證用戶的身份。安全性增強

企業(yè)用戶可以利用WindowsXPProfessional的很多安全特性對挑選出的文件、應用程序和其它資源進行保護。這些特性包括：訪問控制列表（ACL），安全組和組策略，此外，WindowsXPProfessional還提供了很多允許企業(yè)對這些功能特性進行配置和管理的工具。所有這一切為企業(yè)網絡提供了一個強大但是靈活的訪問控制基礎架構。WindowsXP提供了數以千計的安全性相關設置，用戶可以單獨對這些設置進行配置。WindowsXP操作系統(tǒng)還包括了一些經過預先定義的安全性模板，企業(yè)既可以不加修改地直接應用這些模板文件，也可以在現有模板文件基礎之上進行定制。企業(yè)可以在以下活動中應用這些安全性模板：創(chuàng)建一個資源，例如文件夾或文件共享，用戶可以選擇接受默認的訪問控制列表，或者對訪問控制列表進行定制。將用戶添加到標準的安全組中，例如：Users、PowerUsers和Administrators組，并且在這些安全組上應用默認的ACL設置。使用操作系統(tǒng)提供的“基本”（Basic）、“兼容”（Compatible）、“安全”（Secure）和“高度安全”（HighlySecure）組策略模板。WindowsXP的每一種安全特性--ACL、安全組和組策略--都具有一組默認設置，你可以對這些默認設置進行修改，以適合你所在組織的獨特需要。此外，企業(yè)還可以使用相關工具實現或者修改訪問控制。WindowsXPProfessional就提供了很多工具，例如MicrosoftManagementConsole插件。WindowsXPProfessionalResourceKit中也包含了一些這樣的工具。受控制的網絡訪問

WindowsXP已經內置了安全防護機制，以避免用戶的計算機和數據受到入侵者的破壞。它之所以能夠做到這一點，很大原因是它為從網絡上訪問你的計算機的人僅僅賦予了“Guest”（來賓）級的訪問權限。如果入侵者試圖侵入你的計算機并且通過猜解口令獲得未經授權的訪問權限，他只需徒勞無獲--或者只能獲得一個有限的來賓級訪問權限。管理網絡身份驗證

基于Windows2000Professional的系統(tǒng)的數量正在不斷增加，很多這樣的系統(tǒng)都直接連接到Internet，而不是連接到域。這使得正確的訪問控制管理（包括復雜的口令和不同賬戶的權限分配）比以往任何時候都更為重要。為了確保系統(tǒng)的安全性，我們必須對開放Internet環(huán)境下的相對匿名訪問進行控制和限制。所以，在默認情況下，WindowsXP要求所有用戶在通過網絡訪問計算機時都使用“Guest”賬戶。這種做法旨在防止Internet上的黑客使用沒有設置口令的本地管理員賬戶登錄和訪問系統(tǒng)。簡單共享

默認情況下，如果WindowsXPProfessional系統(tǒng)沒有連接到域，所有通過網絡登錄到計算機的訪問操作都被強迫使用“Guest”賬戶。除此之外，在那些使用了簡單共享安全模式的計算機上，“安全性屬性”對話框都會被一個經過簡化的“共享文檔屬性”對話框所取代。強制使用“Guest”賬戶

針對本地賬戶的共享和安全性模式允許你在“僅來賓”（Guest-only）安全模式或者“典型”（Classic）模式之間做出選擇。在“僅來賓”模式之中，通過網絡登錄到本地計算機的所有登錄嘗試都被強制使用來賓賬戶。在“典型”安全模式中，通過網絡登錄到本地計算機的所有嘗試都使用用戶本身的賬戶進行身份驗證。該策略不適用于那些已經加入到一個域中的計算機。另外，“僅來賓”模式在默認情況下處于啟用狀態(tài)。如果啟用了來賓賬戶，并且該賬戶的口令為空，那么使用該賬戶登錄到計算機中的用戶便可以訪問“來賓”賬戶有權訪問的任何資源。如果啟用了“強制所有使用本地賬戶的網絡登錄使用來賓身份進行身份驗證”這條策略，本地賬戶必須以來賓身份進行身份驗證。該策略決定了是否對直接連接到網絡計算機上的本地賬戶用來賓身份進行身份驗證。你可以使用該策略限制試圖訪問目標計算機系統(tǒng)資源的本地賬戶的訪問權限。如果你啟用了這條策略，所有嘗試進行直接的本地賬戶都被限制為“來賓”權限，而“來賓”賬戶的權限一般都極其有限。空口令限制

為了保護那些沒有為賬戶設置口令的用戶，沒有口令的WindowsXPProfessional賬戶只能用來登錄到物理計算機上。默認情況下，具有空口令的賬戶不能通過網絡遠程登錄到其它計算機上，也不能進行其它的登錄活動，除非是在主物理控制臺登錄屏幕中。例如，如果某個本地用戶沒有為他的賬戶設置口令，那么你便不能使用該用戶的賬戶運行備用登錄服務（RunAs）。為本地賬戶分配一個口令可以解除不能通過網絡登錄這個限制。此外，通過為賬戶分配一個口令，用戶還可以訪問該賬戶有權訪問的任何資源，即便是那些只有通過網絡連接才能訪問的網絡資源。請注意，如果你的計算機并沒有放在一個安全的物理位置，我們建議你為所有本地用戶賬戶都分配一個口令。如果您沒有這樣做，所有能夠接近該臺計算機的人員都可以使用沒有口令的賬戶訪問這臺計算機上的資源。對于便攜式計算機，這一點顯得特別重要，所以你應該為所有本地用戶都使用復雜、難于破解的口令。說明：本限制并不適用于域賬戶。另外，本限制不適用于本地計算機上的來賓賬戶。如果啟用了來賓賬戶并且沒有為其分配口令，其它用戶仍然可以通過來賓賬戶登錄到計算機上并訪問權限所允許的各種資源。如果你想禁用該限制，以便沒有口令的用戶也可以登錄到網絡上，你可以通過修改本地安全策略實現這一目的。加密文件系統(tǒng)

加密文件系統(tǒng)（EncryptingFileSystem，EFS）功能的日益增強已經顯著提升了WindowsXPProfessional的能量，企業(yè)用戶可以使用經過加密的數據文件靈活地部署他們的安全解決方案。EFS架構

EFS基于標準的公共密鑰加密技術，并且利用了WindowsXP中的CryptoAPI架構。EFS的默認配置無需進行任何管理操作--你可以立刻開始對文件進行加密。EFS會自動生成一對加密密鑰，如果用戶沒有證書，EFS還會為用戶生成一個證書。EFS既可以使用擴展數據加密標準（expandedDataEncryptionStandard，DESX），也可以使用3DES加密算法。標準的RSA軟件和增強型RSA軟件（即WindowsXP包括的加密服務提供者，CSP）可以用來生成EFS證書，也可以用于對稱加密密鑰的制作。如果你對一個文件夾進行了加密，在加密之時該文件夾中的所有文件和子文件夾以及以后新建的文件和文件夾都會自動進行加密處理。我們建議您在文件夾級別進行加密，以避免文件轉換期間在硬盤上生成純文本格式的臨時文件。EFS和NTFS

如果用戶使用NTFS文件系統(tǒng)保存敏感文件和數據，EncryptingFileSystem（EFS）就可以有效保護這些文件的安全。EFS是加密和解密存儲在NTFS卷中的文件所需使用的核心技術。只有對文件進行加密的用戶才能打開和修改這些文件。這一特性對于移動計算機的用戶來說特別有用，因為即使其它人偷竊或揀到了你丟失的筆記本電腦，他（她）也無法訪問磁盤上的文件。對于WindowsXP，EFS現在還可以對脫機文件和文件夾進行加密。EFS允許你加密單個文件或文件夾。即使攻擊者通過安裝新的操作系統(tǒng)繞開了系統(tǒng)的安全防護，他也仍然無法訪問這些經過加密的文件。EFS利用符合行業(yè)標準的加密算法實現了強大的加密功能，另外，由于和NTFS緊密集成在一起，它還非常易于使用。WindowsXPProfessional中的EFS提供了一些新的選項，可以進行加密文件的共享或者禁用數據恢復代理，并且通過組策略和命令行工具方便了加密功能的管理工作。保證文件的機密性

類似登錄驗證或者文件權限保護這樣的安全特性可以保護網絡資源免遭非法訪問。但是，任何能夠從物理形式上接近計算機的人都可以通過安裝一個新的操作系統(tǒng)來繞過現有操作系統(tǒng)的安全性。如果這樣，敏感數據的安全將無法得到保證。通過使用EFS對敏感文件進行加密，文件的安全可以說又增加了一層保障。在你對文件進行加密之后，這些數據便得到了徹底的保護，即使攻擊者能夠訪問計算機的硬盤和文件目錄，他們也無法還原這些經過加密的數據。只有授權用戶和制定的數據恢復代理才能解密這些經過加密的文件?？赡軗碛屑用芪募夏骋粋€訪問權限--甚至是“獲得所有權”權限--的其它系統(tǒng)賬戶在未經授權的情況下也不能打開文件。如果沒有將管理員賬戶制定為數據恢復代理，即使是管理員也無法打開加密文件。如果某個未經授權的用戶試圖打開一個加密文件，系統(tǒng)將拒絕他訪問文件。圖6展示了對EFS進行設置的位置。

圖6：EFS本地安全設置EFS的工作原理

EFS允許你在計算機上存儲一些機密信息，雖然其它用戶也可以使用這臺計算機，但是不管是有意還是無意，他們都不能獲取到這些機密信息。EFS在那些存儲了敏感數據的便攜計算機或者由多個用戶共享的計算機上非常有用。通過繞過ACL的訪問限制，其它人很容易對這兩種系統(tǒng)發(fā)動攻擊。在一個共享系統(tǒng)中，一位攻擊者可以通過啟動不同的操作系統(tǒng)來獲得加密文件的訪問能力。此外，攻擊者還可以偷走計算機，取出硬盤，然后將硬盤放到另一臺計算機中，從而對存儲在硬盤上的文件進行訪問。然而，在使用EFS進行加密之后，如果攻擊者沒有解密所需的密鑰，即使拿到這些文件，他們也只能看到一堆亂碼。因為EFS與NTFS緊密集成，文件的加密和解密過程都是透明的。在你打開一個文件的時候，隨著數據不斷從硬盤上被讀出，EFS也不斷對數據進行解密操作。而在你保存文件的時候，EFS會將數據進行加密然后寫入硬盤。作為一個授權用戶，你甚至不能感覺到文件經過了加密，因為你在使用文件的時候并沒有感到它與普通的未加密文件有任何的不同。在使用默認配置的情況下，EFS允許你直接在WindowsExplorer中加密文件。從用戶的觀點來看，加密一個文件就如同設置一個文件屬性那樣簡單。用戶還可以設置文件夾的加密屬性。這意味著該文件夾中的所有現有或新增文件都會自動得到加密。針對你自己的獨特環(huán)境配置EFS

EFS在默認情況下為啟用狀態(tài)。如果你有修改文件的權限，你就可以對文件進行加密。因為EFS需要使用一個公共密鑰加密文件，所以，為了加密文件，你需要一堆公共-私有密鑰以及一個公共密鑰證書。因為EFS可以使用自簽署的證書，所以在使用它加密文件之前你并不需要進行什么額外的設置工作。如果EFS不適用于你所處的環(huán)境，或者你沒有文件需要加密，你可以通過很多方式禁用EFS。另外，你還可以使用很多方法對EFS進行配置，使其符合你的組織的使用需要。為了使用EFS，所有用戶都必須擁有EFS證書。如果你現在還沒有建立一個公共密鑰基礎結構（PublicKeyInfrastructure，PKI），你可以使用自簽署證書，該證書是由操作系統(tǒng)自動為你生成的。但是，如果你擁有頒發(fā)證書的權力，你就可以為其它用戶頒發(fā)EFS證書。最后，如果你在系統(tǒng)中使用EFS，你還需要制定一個災難恢復計劃。哪些內容能夠被加密？

NTFS卷上的單個文件和文件夾（或者子文件夾）都可以被設置加密屬性。雖然我們通常說的加密都是針對文件夾而言的，但是實際上文件夾本身并沒有被加密，設置文件夾的加密屬性也不要使用一對公共密鑰。在我們對某個文件夾進行加密的時候，EFS會自動對以下內容進行加密：文件夾中的所有新建文件。復制或移動到該文件夾中的所有純文本文件。所有現有文件和子文件夾（可選）。脫機文件也可以通過EFS加密，例如Windows2000中的客戶端緩存。加密脫機文件

Windows2000引入了客戶端緩存這一功能，該功能現在被稱作“脫機文件”（OfflineFiles）。它使用了一種叫做MicrosoftIntelliMirror的管理技術，使得網絡用戶在網絡連接斷開的情況下也能夠訪問網絡共享上的文件。在網絡連接斷開時，移動用戶仍然可以瀏覽、閱讀和編輯文件，因為這些文件已經被緩存在客戶端計算機中。當用戶再次連接到服務器的時候，系統(tǒng)會自動修改服務器上的文件，使其與客戶端計算機上的文件保持一致。WindowsXPProfessional客戶端可以使用EFS加密脫機文件和文件夾。該功能對于那些經常需要出差的商務人員具有特別的吸引力，因為他們經常會離線工作，并且需要保證數據的安全和機密。加密脫機文件數據庫

現在，你還可以對脫機文件數據庫進行加密。這是對Windows2000類似功能的一個改進，在Windows2000中，緩存下來的文件不能被加密。而在WindowsXP中，你可以加密脫機文件數據庫，以在計算機失竊時仍然能夠保證本地緩存文檔的安全，此外，加密脫機文件數據庫還為本地的緩存數據提供了更多的安全性。例如，你可以在使用脫機文件同時，保證敏感數據的安全。如果你是一個IT管理員，你甚至可以使用該特性保護所有本地緩存文檔的安全。如果你在移動計算機上以脫機文件的方式保存了一些機密文件，即使計算機丟失，你也可以保證這些脫機文件的安全。本特性支持整個離線數據庫的加密和解密操作。配置脫機文件的加密需要你具有管理員權限。為了加密脫機文件，請在“我的電腦”中的“工具”菜單中點擊“文件夾選項”命令，然后選中“脫機文件”選項卡下的“加密脫機文件以保護數據”復選框。請參見圖7了解加密脫機文件數據庫的各種選項。

圖7：加密脫機文件數據庫。文件共享和Web文件夾上的遠程EFS操作

你可以加密和解密存儲在網絡文件共享或者WebDAV（WebDistributedAuthoringandVersioning）Web文件夾中的文件。與文件共享相比，Web文件夾具有一些顯著的優(yōu)點，Microsoft建議你盡可能使用Web文件夾來進行加密文件的遠程存儲。Web文件夾需要你花費一定的管理勞動進行配置，但是它比文件共享的安全性要高。Web文件夾還可以使用標準的HTTP文件傳輸，通過Internet安全地存儲和傳遞加密文件。使用文件共享進行遠程EFS操作要求你具有Windows2000或者更高版本的域環(huán)境。這種環(huán)境是必需的，因為EFS必須通過Kerberos協(xié)議委派對用戶進行模擬，以便加密或解密用戶的文件。主要差異

文件共享和Web文件夾上的遠程EFS操作的主要差異在于具體產生EFS操作的地點存在不同。如果文件存儲在文件共享中，所有的EFS操作都發(fā)生在存儲該文件的計算機上。例如，如果你連接到了一個網絡文件共享，并且想打開一個你以前進行了加密的文件，這個文件必須在存儲它的計算機上進行解密，然后再通過網絡傳輸到你的計算機上。如果文件存儲在一個Web文件夾中，所有的EFS操作都發(fā)生在你的本地計算機上。例如，如果你連接到一個Web文件夾，并且希望打開一個加密文件，那么在文件傳輸到你的計算機上的過程中，這個文件仍然是加密的，它的解密操作由本地計算機上的EFS系統(tǒng)來完成。了解了EFS操作在執(zhí)行地點上存在不同，你也就明白了為什么配置文件共享比配置Web文件夾需要更大的管理權限。Web文件夾環(huán)境中的遠程EFS操作

如果你打開了存儲在Web文件夾中的加密文件，該文件在傳輸過程中仍然保持加密狀態(tài)，而由本地計算機上的EFS系統(tǒng)執(zhí)行解密操作。在你向Web文件夾上傳和下載文件的過程中，在網絡上傳輸的數據都是經過加密的數據，所以攻擊者無法通過截取數據來獲取你的機密信息，他們所捕捉到的數據都是經過加密和無法使用的。Web文件夾與EFS的結合消除了你使用特殊軟件對用戶、企業(yè)或組織間往來的共享加密文件進行保護的需要。文件可以存儲在一個公共的企業(yè)內部網服務器或者Internet社區(qū)中，在方便文件訪問過程的同時，通過EFS使系統(tǒng)保有了強有力的安全性。WebDAV重定向

WebDAV重定向（WebDAVRedirector）是一個支持協(xié)議的微型重定向程序，它圍繞HTTP上的遠程文檔共享，對HTTPV1.1標準進行了擴展。WebDAV重定向支持現有程序的使用，并且允許跨越Internet（例如，穿過防火墻和路由器）與HTTP服務器進行文件共享。InternetInformationServices（IIS）version5.0（Windows2000）支持Web文件夾。訪問Web文件夾與訪問文件共享所使用的方法相同。你可以使用“NETUSE”命令在Web文件夾上映射一個網絡驅動器，或者通過WindowsExplorer訪問Web文件夾。在連接到Web文件夾后，你就可以復制、加密或者解密文件，與你在文件共享中所做的完全一樣。證書服務

證書服務（CertificateServices）是核心操作系統(tǒng)的一部分，它允許企業(yè)建立自己的證書頒發(fā)機構（CA），為用戶發(fā)放和管理數字證書。WindowsXPProfessional支持多級CA結構和跨證書的信任網絡：這包括離線和在線的證書頒發(fā)機構。證書和公共密鑰存儲

WindowsXPProfessional將公鑰證書存儲在個人證書存儲區(qū)中。由于是公開信息，所以證書以純文本形式進行保存，證書經過證書頒發(fā)機構的數字簽署，以保證其內容不被篡改。用戶證書位于“DocumentsandSettings\username\ApplicationData\Microsoft\SystemCertificates\My\Certificates”目錄下的用戶配置文件中。在你每次登錄到計算機上的時候，這些證書都被寫入到你的個人存儲區(qū)中。對于漫游配置文件，你的證書可以在任意一個地方進行存儲，當你登錄到域中的不同計算機上的時候，證書也會跟著你四處“走動”。私鑰存儲

面向Microsoft加密服務提供程序（CSP）--包括BaseCSP和EnhancedCSP--的私鑰位于位于“RootDirectory\DocumentsandSettings\username\ApplicationData\Microsoft\Crypto\RSA”目錄下的用戶配置文件中。在使用漫游配置文件的情況下，私鑰保存在域控制器的RSA文件夾中，用戶可以將私鑰下載到自己使用的計算機上，當用戶從計算機上注銷或者重新啟動計算機后，下載的私鑰將被刪除。因為私鑰必須收到保護，所以RSA文件夾中的所有文件都會通過一個被稱為“用戶主密鑰”的隨機對稱密鑰進行加密。用戶主密鑰的長度為64個字節(jié)，由一個強大的隨機數字生成程序產生。3DES密鑰則從主密鑰派生出來，并且用來對私鑰進行保護。主密鑰是由系統(tǒng)自動生成的，并且定期進行更新。在將主密鑰保存到磁盤上的時候，系統(tǒng)會使用3DES算法和根據你的密碼得出的一個密鑰保護主密鑰。在文件創(chuàng)建時，它會對RS文件夾中的每一個文件進行自動加密。用戶證書的自動登記（Autoenrollment）

Windows2000引入了用戶證書的自動登記功能。計算機或域控制器證書的自動登記是通過組策略和MicrosoftActiveDirectory?啟用的。計算機證書的自動登記功能非常有用，它大大方便了計算機與WindowsXP路由和遠程訪問服務器或者其它類似服務建立IPSec或L2TP/IPSecVPN連接的過程。證書的自動登記降低了企業(yè)的整體擁有成本，并且簡化了用戶和管理員的證書管理周期。智能卡自動登記和自注冊機構特性則為企業(yè)用戶提供了更高的安全性，同時還簡化了需要高度安全性的組織實現安全性所需執(zhí)行的操作過程。未決證書的申請和續(xù)訂

WindowsXPProfessional中的用戶自動登記支持未決證書的申請和續(xù)訂功能。你可以從Windows.NETServerCA那里手動或自動申請一個證書。在得到管理人員的批準或者驗證過程完成之前，證書申請過程一直在進行。當證書得到批準和發(fā)放之后，自動登記過程也隨之結束，并且會自動在你的計算機上安裝證書。對到期的用戶證書進行續(xù)訂的過程也可以從自動登記功能中受益。證書會自動代表用戶進行續(xù)訂--這要取決于ActiveDirectory證書模板中的相關規(guī)范。默認情況下，證書和密鑰都受系統(tǒng)保護。你也可以采取一個可選的安全措施，為它們提供額外的安全保護。如果你需要提高證書和密鑰的安全性，你可以導出私鑰，并且將其存放在一個安全的物理位置。圖8展示了證書自動登記功能的一些選項

圖8：Autoenrollment（自動登記）設置屬性憑據管理

WindowsXP中的憑據管理（CredentialManagement）功能包括三個組件：憑證提示用戶界面，保存的用戶名和口令以及Keyring（密鑰環(huán)）。這三者結合在一起便形成了一個單點登錄解決方案。憑據提示

如果一個程序在進行身份驗證時發(fā)生了錯誤，憑據提示界面便會出現。（僅僅適用于那些提供了用戶界面的應用程序。）在對話框中，你可以輸入一個用戶名和一個口令，或者從“我的存儲區(qū)”對象中選擇一個X.509證書。此外，應用程序還會提供一個“記住我的口令”復選框，你可以選中該復選框保存你的憑據以備今后使用。只有集成化的身份驗證程序包（例如：Kerberos協(xié)議、NTLM、SSL等）允許保存憑據。對于簡單的身份驗證，憑據提示界面仍然會顯示，但是你無法通過它保存你的憑據。圖9展示了一個憑據提示界面的例子。

圖9：憑據提示用戶界面保存的用戶名和口令

保存的用戶名和口令（StoredUserNamesandPasswords）是一種安全的可漫游存儲區(qū)，你可以在這個存儲區(qū)中持有以前保存的憑據。憑據的訪問由本地安全設置（LocalSecuritySettings，LSA）進行控制。憑據基于資源返回的目標信息進行存儲。當你在憑據提示用戶界面中選中“記住我的口令”復選框，把憑據保存下來的時候，憑據將以一種最常見的形式保存下來。例如，如果你正在訪問域中的某個服務器，憑據將會以“*.”的形式保存下來。系統(tǒng)會針對該域中的不同服務器保存不同的憑據，而且這些憑據之間不會相互覆蓋。憑據將根據更加明確的目標信息進行保存。當用戶通過系統(tǒng)集成的一個身份驗證包訪問某個資源的時候，身份驗證包將檢查已經保存下來的用戶名和口令，看看是否存在與資源返回的目標信息相匹配的特定憑據。如果找到了相應的憑據，身份驗證包將使用該憑據，并且不會同您發(fā)生任何形式的交互動作。如果沒有找到憑據，試圖訪問該資源的應用程序將返回一個身份驗證錯誤。說明：為了實現無縫的身份驗證，訪問資源的應用程序并非一定要使用憑據提示用戶界面。如果應用程序使用了一個集成的身份驗證包，身份驗證包將嘗試對相關憑據進行檢索。實際上，如果你輸入了憑據，也只有身份驗證包能夠獲得它。請參見圖10、11a和11b了解口令管理界面（UI）的一些示例。

圖10：傳統(tǒng)的口令管理UI（位于一個域中的WindowsXPProfessional）

圖11a：友好的口令管理UI（工作組中的WindowsXPHomeEdition和WindowsXPProfessional）

圖11b：友好的口令管理UI（工作組中的WindowsXPHomeEdition和WindowsXPProfessional）Keyring

Keyring允許你手動管理已存儲用戶名和口令中的憑據。Keyring可以通過用戶“控制面板”小程序進行訪問。在keyring中，你可以看到已存儲用戶名和口令中當前所有憑據的一個完整列表。當你突出顯示每個憑據的時候，底部的描述部分會顯示對該憑據的一個簡短介紹。你可以向列表中添加憑據、對現有憑據進行編輯，或者刪除現有憑據。添加憑據。在添加憑據時，你會看到一個與憑據提示界面很類似的一個用戶界面，你需要在該界面中填寫目標信息。需要知道的是，你可以在目標信息中使用類似“*”這種形式的通配符。編輯憑據。通過編輯憑據，你可以對目標信息或者憑據本身進行修改。如果這是一個用戶名和（或）口令形式的憑據，你可以修改服務器上的口令。但是你不能使用憑據提示界面來編輯由某個應用程序創(chuàng)建的憑據。例如，你不能編輯Passport憑據。刪除憑據。你可以刪除任何一個憑據。在已存儲用戶名和口令中保存憑據的能力可以通過組策略開啟或關閉。為了允許其它軟件開發(fā)商使用這種機制，Microsoft通過PlatformSoftwareDevelopmentKit（SDK）對憑據提示API和底層憑據進行了詳細的介紹?？焖儆脩羟袚Q

WindowsXPProfessional中已經包括了WindowsXPHomeEdition所有的快速用戶切換特性。在沒有連接到域的WindowsXPProfessional的計算機上，你無需注銷當前用戶或者關閉正在運行的應用程序，即可從一個用戶賬戶切換到另一個用戶賬戶。說明：只有獨立計算機或者工作組計算機能夠使用WindowsXPProfessional中的快速用戶切換功能。如果你的計算機是域的一部分，你的登錄選項將由IT管理員設定的策略來決定。個人隱私

WindowsXPProfessional所涉及的隱私問題與WindowsXPHomeEdition所涉及的完全相同。說明：如果你在一臺工作組或獨立計算機上使用WindowsXPProfessional，那么你可以使用的隱私特性與你在域中使用計算機時會有所不同。如果你的計算機是域的一部分，系統(tǒng)管理員設定的策略比你設定的相關策略具有更高的優(yōu)先級。Internet連接共享

WindowsXPProfessional包括了WindowsXPHomeEdition的所有ICS功能。具有位置意識的ICS組策略

WindowsXPProfessional具有WindowsXPHomeEdition所沒有的一個ICS特性--它擁有一個具有位置意識的組策略。對于移動用戶，這一特性非常有用。當WindowsXPProfessional計算機加入一個域時，域管理員可以啟用一個組策略，以阻止用戶使用企業(yè)網絡上的Internet連接共享。當你把計算機拿回家時，Internet連接共享又可以繼續(xù)使用了，因為該策略不會應用到你的家庭網絡中。Internet連接防火墻

WindowsXPProfessional包含了WindowsXPHomeEdition的全部Internet連接防火墻特性。但是，WindowsXPProfessional不能使用網絡安裝向導加入一個域。WindowsXPProfessional的Internet連接防火墻（ICF）為使用DSL、線纜調制解調器或者撥號調制解調器連接訪問Internet的桌面和移動計算機提供了安全保障，使其免遭各種外部威脅的攻擊和破壞。具有位置意識的ICF組策略

WindowsXPProfessional具有一個獨一無二的ICF功能--它擁有一個具有位置意識的組策略。這個功能對移動用戶很有用，當他們在家中、機場、酒店或者其它提供公共Internet連接的“熱點地帶”時，他們可以利用這一特性保護計算機的安全。如果一個WindowsXPProfessional計算機是域的一部分，域的管理員可以啟用一個組策略，在計算機連接到企業(yè)網絡時，禁止計算機使用ICF。從而在不增加更多管理工作的情況下，使筆記本電腦得以使用企業(yè)網絡上的各種資源。當你把計算機拿回家或者拿到一個提供公共Internet連接的“熱點地帶”，ICF又會重新開始發(fā)揮作用，因為該策略不會應用到企業(yè)網絡之外的其它網絡之中。ICF的工作原理

ICF充當了一個數據包狀態(tài)過濾器的角色，它與ICS共享同一種技術。雖然ICF可以獨立工作，但是你也可以針對某條共享Internet連接啟用ICF，以保護家庭網絡的安全在你啟用了ICF之后，這個狀態(tài)過濾器就可以阻止公共網絡上所有未經請求的流量進入你的計算機。為了實現這一目的，ICF使用了數據流量表，并且將進入計算機的每一條流量與流量表中的相關條目進行對比。只有那些在現有流量表中存在映射（這些映射來自網絡防火墻系統(tǒng)）或者來自內部網絡的流量允許進入計算機。換句話說，如果網絡通信并非由受保護網絡內部的計算機發(fā)起的，那么相應的通信數據將被丟棄。如果你使用了WindowsXPProfessional的ICF，黑客將無法對你的系統(tǒng)進行掃描或者與你的資源建立連接。但是，這樣做也會帶來一些缺點。如果你想將系統(tǒng)配置為一臺服務器，允許其它人通過Internet連接到你的計算機，防火墻可能會給你帶來一些麻煩。與安全性相關的組策略設置

WindowsXP提供了幾種安全性模板，這些模板預先定義了一些與安全性相關的策略，你可以使用這些模板保證計算機具有相應的安全級別。這些模板分別代表了低、中和高三種安全級別的標準配置，你可以對它們進行定制，以滿足自己獨特的使用需要。此外，你還可以針對口令管理項目設置安全性策略，例如：確定最小口令長度設置口令的更改周期控制資源和數據的訪問軟件限制策略

軟件限制策略為管理員提供了一種由策略驅動的管理機制，以識別在域中運行的軟件和對軟件的運行實施控制。通過使用一種軟件限制策略，管理員可以禁止沒有得到允許的應用程序在計算機上運行，其中包括病毒和特洛伊木馬程序，或者其它已知的、會引起系統(tǒng)沖突的軟件程序。使用軟件限制策略

如果你是一個管理員，你可以使用軟件限制策略對哪些軟件能夠在計算機中運行做出限制。你可以在策略中通過文件路徑、文件哈希值、MicrosoftAuthenticode?簽名證書或者Internet區(qū)域（InternetZone）對應用程序進行限制。一旦發(fā)現與策略限制內容相符的程序，系統(tǒng)便啟用管理員設定的策略限制該程序的運行。軟件限制策略還有助于防范基于腳本的病毒和特洛伊木馬。管理員可以配置軟件限制策略，僅僅允許經過本IT組織簽署的腳本才能運行。從而防止那些基于腳本的病毒（例如愛蟲病毒）對系統(tǒng)造成破壞。另外，軟件限制策略還可以對用戶能夠在計算機上安裝哪些程序做出限制。通過配置相應的本地安全策略，軟件限制策略也可以用在一臺獨立計算機上。軟件限制策略還與組策略和ActiveDirectory集成在一起。你可以針對不同的用戶組或者計算機組定制不同的軟件限制策略。你還可以在Windows2000環(huán)境下為WindowsXP計算機創(chuàng)建相應的軟件限制策略。運行Windows2000操作系統(tǒng)的計算機會忽略這些限制策略，但是WindowsXP計算機能夠應用它們。創(chuàng)建軟件限制策略

軟件限制策略的創(chuàng)建是通過Microsoft管理控制臺（MicrosoftManagementConsole，MMC）的組策略插件進行的。策略由一條默認規(guī)則組成，該規(guī)則指出了哪些程序能夠運行，以及規(guī)則中的一些特例。默認規(guī)則可以被設定為“不限制”或者“不允許”--也就是“允許運行”或“不允許運行”。如果將默認規(guī)則設置為“不限制”，管理員可以定義一些特例，指出禁止哪些程序在計算機上運行。一個更安全的方法是將默認規(guī)則設置為“不允許”，然后僅僅指定一些認為可靠的程序，允許這些程序在計算機上運行。軟件限制策略的兩種類型

你可以通過兩種方法使用軟件限制策略。如果管理員能夠指明所有能夠在計算機上運行的程序，他們可以使用軟件限制策略對軟件做出限制，只允許用戶運行那些可信的程序。如果管理員不知道他的用戶將會運行哪些程序，他們必須在發(fā)現用戶運行了不正確的程序之后，采取應對措施，限制這些程序的運行。軟件限制策略可以應用到以下情境之中：只允許可信代碼運行。如果所有的可信代碼都可以被一一指明，管理員就可以有效地對系統(tǒng)加以防范。以下便是“只允許可信代碼運行”策略的一些應用實例：應用程序站任務站信息終端機（Kiosk）對于上述情境，默認規(guī)則應該被設定為“不允許”。然后，管理員可以在規(guī)則中指出一些允許運行的程序特例，只允許這些程序在計算機上運行。使用此種策略的一個較好例子便是那些只需要運行特定應用程序軟件的計算機，用戶不能在這些計算機上安裝其它軟件。例如，管理員可以創(chuàng)建一個策略，只允許用戶在計算機上運行MicrosoftWord和MicrosoftExcel。如果用戶下載了一個軟件或者想從軟盤上運行一個軟件，限制策略將禁止程序運行，因為在策略定義的可信程序列表中并沒有包括這些程序。禁止未經授權的代碼運行。在某些情況下，管理員不能完全預見到用戶需要使用哪些軟件。此時，管理員只能在發(fā)現不希望運行的程序之后，再對這些程序采取限制措施。那些對客戶端計算機管理不十分嚴格的企業(yè)可以使用這種模式。以下提供了此種模式的一些應用實例：無需太多管理的個人計算機進行適當管理的個人計算機例如，如果管理員發(fā)現很多用戶都在運行一個文件共享軟件，并且因此耗用了大量的網絡帶寬。管理員就可以創(chuàng)建一個規(guī)則，禁止該文件共享軟件的運行。如果用戶正在安裝一個程序，但是管理員知道這個程序會和現有軟件發(fā)生沖突，他也可以創(chuàng)建一個規(guī)則，阻止該程序被安裝到用戶的計算機上。請參見圖12了解軟件限制策略的設置選項。

圖12：軟件限制策略--本地安全策略軟件識別規(guī)則

管理員可以通過以下規(guī)則識別軟件：哈希規(guī)則：軟件限制策略的MMC插件允許管理員瀏覽一個文件，然后計算它的哈希值。哈希值是一個數字指紋，該指紋對于每一個文件或程序來說都是唯一的。文件可以被重命名，也可以被移動到其它文件夾或計算機上，但是它的哈希值始終保持不變。路徑規(guī)則：路徑規(guī)則利用帶有安全路徑的文件名對軟件進行識別，例如“C:\ProgramFiles\MicrosoftOffice\Office\excel.exe”；也可以通過路徑名包含的文件夾名進行識別，例如“C:\Windows\System32”。（它指向了該目錄及其子目錄包含的所有程序。）此外，路徑規(guī)則中還可以使用環(huán)境變量，例如：“%userprofile%\LocalSettings\Temp”。證書規(guī)則：證書規(guī)則通過對軟件進行數字簽署的發(fā)行機構證書來識別軟件。例如，管理員可以配置一個證書規(guī)則，只允許用戶安裝經過Microsoft或者MicrosoftIT部門簽署的軟件。區(qū)域規(guī)則：區(qū)域規(guī)則對來自Internet、企業(yè)的本地內部網、可信站點或者受限站點區(qū)域的軟件進行識別?？刂平涍^數字簽署的軟件

軟件限制策略從以下幾個方面改善了管理員對經過數字簽署的軟件的控制能力：限制MicrosoftActiveX?控件：管理員可以通過列出可信任的軟件發(fā)行商證書，為應用軟件限制策略的特定域指定能夠在InternetExplorer中運行的ActiveX控件。如果某個ActiveX控件的發(fā)行商是一個可信的發(fā)行商，軟件在下載完畢后便可以自動運行。此外，軟件限制策略還可以列出不被接收的發(fā)行商名單。軟件限制策略會禁止這些發(fā)行商簽署的ActiveX控件在IE中運行。如果使用軟件限制策略，管理員還可以就由誰來判斷某個未知發(fā)行商（即沒有明確指出是否可信的發(fā)行商）是否是一個可信發(fā)行商做出正確判斷進行控制。軟件限制策略可以規(guī)定，只有本地管理員或者域管理員能夠決定一個發(fā)行商是否是可信的，以防止用戶自己做出這些判斷和決定。使用WindowsInstaller：使用WindowsInstaller安裝的程序可以被數字簽署。通過使用一個軟件限制策略，某個管理員可以要求：只有經過某個特定軟件發(fā)行商數字簽署的軟件才能夠被安裝。然后，WindowsInstaller將對軟件進行檢查，看看將要安裝的軟件是否具有一個得到認可的數字簽名。使用MicrosoftVisualBasic?腳本：VisualBasic腳本文件可以被數字簽署。管理員能夠配置軟件限制策略，規(guī)定只有經過認可的軟件發(fā)行商數字簽署的VisualBasic腳本才能夠在系統(tǒng)中運行。Internet協(xié)議安全（IPSec）

對IP網絡安全性的需要普遍存在于針對商業(yè)用途的Internet、Intranet、分支辦公室和遠程訪問的每個角落。網絡管理員和其它信息服務專業(yè)人員所肩負的職責便是確保網絡數據：在傳輸過程中不會被篡改。不會被截取、查看或者復制。不會被未經驗證的人員修改。不會被截取和還原，以免敏感資源被他人竊??；加密口令便是這方面的一個典型例子。這些安全服務一般被稱作數據完整性、數據保密性、數據驗證和數據還原保護。為什么需要使用IPSec

IP本身不存在任何默認的安全機制，IP數據包可以被他人輕松地閱讀、修改、還原和偽造，公共網絡和私有網絡都很容易受到黑客未經授權的監(jiān)視和訪問。盡管發(fā)生內部攻擊的原因可能是因為內部網沒有部署或者只部署了很少的安全措施，但來自私有網絡外部的危險往往是由Internet或者Extranet（外部網）帶來的。僅僅依靠基于口令的用戶訪問控制并不能確保網絡數據傳輸的安全。所以，IETF（InternetEngineeringTaskForce，Internet工程任務組）設計IPSec的目的就在于為網絡級別的數據驗證、數據完整性、數據保密和還原保護提供相應支持。IPSec與Windows2000和WindowsXPProfessional的安全性緊密結合，為Internet和Intranet的安全通信提供了一個理想的平臺。它使用了行業(yè)標準的加密算法和一個完善的安全管理方法，以便為企業(yè)防火墻兩側的所有TCP/IP通信提供安全性保護。其結果便是Windows2000和WindowsXPProfessional中的端到端安全策略，該策略可以防止黑客從外部和內部兩側向系統(tǒng)發(fā)送攻擊。IP安全在傳輸層以下進行部署，從而避免了網絡管理員針對每個程序的部署對安全性進行協(xié)調。通過部署WindowsXPProfessional和Windows2000IPSec，網絡管理員為整個網絡提供了一層強有力的安全防護，而且應用程序可以從啟用了IPSec的服務器和客戶機上自動獲得保護。請參見圖13了解IPSec的相關設置選項。

圖13：IPSec-本地安全設置IPSec防范網絡攻擊的工作原理

如果沒有采取任何的安全措施，數據很容易被黑客攻擊所破壞和泄漏。某些攻擊是被動進行的，也就是說，黑客只是簡單地對信息傳輸進行監(jiān)視。而有些攻擊是主動進行的，黑客的目的在于篡改或毀壞數據，甚至是迫使整個網絡癱瘓。表1展示了當今網絡中一些常見的安全風險，以及利用IPSec防范這些風險的方法。Table1

TypesofNetworkAttacksandPreventingThembyUsingIPSec攻擊類型使用描述IPSec防范攻擊的方法竊聽（又稱嗅探和窺探）對純文本和未經加密的數據包進行監(jiān)視在開始數據傳輸之前，對數據進行加密處理，即使數據包被黑客監(jiān)視或截取，原始數據也不會泄漏。只有通信雙方知道加密所用的密鑰。數據修改對數據進行修改，然后將經過修改的數據發(fā)送給接收方每個數據包都附帶了一個通過數據散列算法得出的加密校驗和，接收數據包的計算機會檢查該校驗和的值，看看數據包是否已經被他人修改。標識符欺騙使用自己構造或者截取到的數據包偽裝一個有效的地址標識。Kerberosversion5協(xié)議、公共密鑰證書或者預先共享的密鑰能夠在安全通信開始之前對通信雙方進行身份驗證。拒絕服務阻止合法用戶對網絡的正常訪問。例如用大量數據包阻塞網絡可以關閉某些協(xié)議或端口中間人將IP數據包轉移到一個不知情的第三方處，對數據進行監(jiān)視或修改。對通信雙方進行身份驗證已知密鑰用來對數據進行解密或修改在WindowsXPProfessional中，加密密鑰會定期更新，從而降低了因黑客獲取密鑰造成敏感信息泄漏的可能。應用層攻擊大都發(fā)生在應用程序服務器上，該攻擊常常會導致網絡操作系統(tǒng)或者應用程序發(fā)生故障，或者將病毒引入到網絡中。因為IPSec是在網絡層實現的，不滿足網絡層安全過濾條件的數據包絕對不會傳遞給應用程序，從而保護了應用程序和操作系統(tǒng)的安全?；诿艽a的安全機制

IPSec通過使用基于密碼的安全機制對攻擊進行防范。通過對信息進行散列和加密，信息能夠得到安全的傳輸。只有將算法和密鑰結合在一起，信息的安全才能夠得到保障：算法是一種對信息進行處理的數學過程。密鑰是一組保密代碼或數字，用來讀取、修改或者校驗需要進行保密的數據。IPSec使用了一種基于策略的安全機制來確定通信會話所需的安全級別。策略可以通過網絡中的Windows2000域控制器進行分發(fā)，或者保存在WindowsXP計算機的注冊表中。IPSec的工作過程

在開始數據傳輸之前，具備IPSec能力的計算機會就安全性級別進行協(xié)商，以保證通信過程的安全。在協(xié)商過程中，身份驗證所采用的方式、哈希方法、隧道方法（可選）以及加密方法（也可選）都被確定下來。保密的身份驗證密鑰由每臺計算機通過使用每次交換的信息本地決定。密鑰實際上并不通過網絡傳輸。在密鑰生成之后，計算機對標識符進行驗證，然后開始安全的數據交換過程。最終的安全級別可以很高也可以很低，這要視通信雙方的IP安全策略的具體設置而定。例如，在WindowsXPProfessional計算機和不具備IPSec意識的計算機之間進行的通信會話可能不需要一個安全的傳輸隧道。反過來，在一臺包含敏感數據的Windows2000服務器和一臺內部網主機之間進行的通信可能就需要較高的安全性。智能卡支持

智能卡是一種集成電路卡（ICC，IC卡），體積與一塊信用卡大體相當。你可以使用它存儲證書和私鑰，以及執(zhí)行各種公鑰加密操作，例如身份驗證，數字簽署和密鑰交換等。智能卡可以從以下方便增強系統(tǒng)的安全性：它能夠防止私鑰或者其它形式的個兒識別信息被非法篡改。它可以將涉及身份驗證、數字簽署和密鑰交換的關鍵安全計算與不需要使用這些數據的系統(tǒng)其它部分隔離開來。它使憑據和其它私有信息得以從一臺計算機移動到另一臺計算機（例如，從一個業(yè)務部門的計算機移動到家中或者遠程計算機上）。使用PIN（個人身份識別碼）代替口令

智能卡使用個人身份識別碼（PIN）代替了口令。PIN可以保護智能卡不被智能卡以外的人所使用。為了使用智能卡，你可以將智能卡插入到智能卡閱讀器中，然后輸入你的PIN。同標準的網絡口令相比，PIN可以提供更多的保護。口令（或者其它類似的東西，例如哈希值）需要在網絡上傳輸，因此很有可能被截取。一條口令的強度取決于它的長度，口令越復雜，攻擊者猜解口令的難度也越大。與此對比，PIN不需要在網絡上傳輸。此外，智能卡對口令輸入錯誤的次數有一定限制（一般為3到5次），超過了這個限度，智能卡將被鎖定。如果智能卡被鎖定，即使輸入了正確的PIN也無濟于事。用戶必須同系統(tǒng)管理員聯(lián)系，將卡片解鎖。智能卡標準

Windows2000支持行業(yè)標準、與個人計算機/智能卡（PC/SC）規(guī)范兼容的智能卡，以及符合PC/SC工作組所開發(fā)規(guī)范的即插即用智能卡閱讀器。為了能在Windows2000Server和Wind