asp 的最佳安全做法 引言 安全管理的主要目標是保證 SLA 中規(guī)定的 ASP 和客戶之間的機密性、完整性和可用性的級別。最佳做法可向 ASP 展示如何確保實現(xiàn)安全目標。
Active Directory 的主要安全優(yōu)勢 使用 Active Directory 服務,ASP 可更好地為內部用戶和外部客戶提供適當?shù)陌踩浴母旧险f,Active Directory 是 ASP 安全策略和帳戶信息的中心位置。
ASP 可用 Active Directory 安全功能來自定義 ASP 的安全策略,保護系統(tǒng)不被非授權訪問并避免可能的損失。Active Directory 可提供多方面的安全優(yōu)勢。其中包括:
一次性登錄到域 支持標準的 Internet 安全協(xié)議 能夠將域中用戶和對象的管理委派給他人 一次性登錄 具有多目錄服務的 ASP 中,用戶和客戶訪問不同的網(wǎng)絡資源可能需要進行多次登錄。Active Directory 通過為資源的訪問提供一次性登錄而改變了這種不必要的重復。一旦用戶登錄到域控制器,所有網(wǎng)絡資源都會根據(jù)這次登錄的結果而授權或拒絕訪問。一次性登錄提供了安全的身份驗證,用于加密與網(wǎng)絡之間的會話。登錄過程通常使用 Kerberos 身份驗證協(xié)議,我們將在文章的后面討論該協(xié)議。由于在客戶或用戶登錄時,數(shù)據(jù)安全就已啟動,所以一次性登錄減小了破壞安全的威脅,因為客戶和用戶不需要去寫多個密碼。另外,由于所有的帳戶都統(tǒng)一在 Active Directory 中的一個地方,因此可對帳戶的管理具有更多的控制。
組策略繼承和本地設置 ASP 環(huán)境中的 AD 容器有一個層次結構。一些容器可認為是其它容器的“父”容器。組策略具有繼承性,即它可以從父容器傳遞給下面的子容器。當為父容器分配一個“組策略”時,該“組策略”也適用于父容器下面的所有容器。若更改子容器的設置,則可替代父容器傳遞下來的設置。如果子容器和父容器的“組策略”設置不兼容,則不繼承父容器的設置,并且用戶只接收子容器的“組策略”設置。
支持 Internet 標準身份驗證協(xié)議 Active Directory 服務提供對幾種身份驗證方法的支持,如 Internet 標準協(xié)議 Kerberos、公鑰基本結構 (PKI) 以及加密套接字協(xié)議層 (SSL) 上的輕型目錄訪問協(xié)議 (LDAP)。對這些協(xié)議的支持意味著無論用戶是內部連接還是通過 Internet 連接,網(wǎng)絡資源都能得到保護。
安全的身份驗證和網(wǎng)絡協(xié)議 Windows 通常使用 Windows NT LAN Manager (NTLM) 協(xié)議來進行網(wǎng)絡身份驗證。ASP 可利用幾種增強的身份驗證方法和網(wǎng)絡協(xié)議(如 Internet 標準協(xié)議 Kerberos、公鑰基本結構、使用 ipsec 的虛擬專用網(wǎng)絡 (VPN)、加密套接字協(xié)議層 (SSL))來加強安全性。Windows 2000 提供對這些協(xié)議的支持。
Kerberos 身份驗證的優(yōu)點:
快速連接。利用 Kerberos 身份驗證,服務器不必轉向域控制器。它可通過檢查客戶提供的憑據(jù)來驗證客戶的身份。客戶可一次獲得對特定服務器的憑據(jù)并在整個 ASP 登錄會話中重復使用。 相互身份驗證。NTLM 允許服務器驗證其客戶的身份。它不允許客戶驗證服務器的身份,也不允許一臺服務器驗證另一服務器的身份。NTLM 身份驗證是為網(wǎng)絡環(huán)境設計的,假定該環(huán)境中的服務器是真實的。Kerberos 協(xié)議不做這種假設。網(wǎng)絡連接兩端的 ASP 和客戶可以知道另一端的一方聲稱是什么人。 委派的身份驗證。當代表客戶機訪問資源時,Windows 服務就模擬成客戶機。許多情況下,服務可通過訪問本地計算機上的資源為客戶機完成其工作。NTLM 和 Kerberos 都可提供服務在本地模擬其客戶機時需要的信息。但是,一些分布式的應用程序是這樣設計的:當連接到其它計算機上的后端服務時,前端服務必須模擬客戶機。Kerberos 協(xié)議有一個代理機制,允許當某個服務連接到其它服務時模擬其客戶機。 公鑰基本結構 (PKI) 公鑰基本結構 (PKI) 是新出現(xiàn)的標準,適用于利用數(shù)字證書來驗證用戶的身份。PKI 使用三種技術來提供避免安全破壞的保護:數(shù)字信封、數(shù)字簽名和數(shù)字證書。這些技術經(jīng)常用于 Extranet 和 ASP 解決方案。可使用 PKI 的例子有:
安全電子郵件
基于 PK 的安全電子郵件產(chǎn)品(包括 Microsoft Exchange),依靠 PK 技術完成:
Windows 2000 加密文件系統(tǒng) (EFS) 支持 Windows NT 文件系統(tǒng) (NTFS) 中在磁盤上存儲的文件的透明加密和解密。用戶可指定要加密的個別文件或需要對其內容保持加密格式的文件夾。應用程序可以像訪問非加密文件一樣訪問用戶的加密文件。但是,它們無法對任何其他用戶的加密文件進行解密。
PKI 和 UPN
Windows 2000 PKI 執(zhí)行一項安全服務,該服務使用證書信息來映射到存儲于 Active Directory 中的帳戶,以便確定已驗證身份的客戶的訪問權限。該目錄操作可根據(jù)證書中的用戶主要名稱 (UPN) 來執(zhí)行,或通過在目錄中搜索與客戶證書中的屬性、頒發(fā)者或頒發(fā)者和主題匹配的帳戶來執(zhí)行。如果 UPN 都不匹配,或者頒發(fā)者未被授權頒發(fā)域身份驗證的證書,則用戶可以登錄。這樣,它就增強了登錄的安全性。
通過 SSL 的安全 Web 加密套接字協(xié)議層 (SSL) 協(xié)議依賴于基于 PK 的身份驗證技術,并使用基于 PK 的密鑰協(xié)商來為每個客戶端/服務器會話生成唯一的加密密鑰。它們最常與基于 Web 的應用程序及 HTTP 協(xié)議(稱為 HTTPS)相關聯(lián)。
ASP 可通過使用加密的安全 SSL 通道,利用 SSL 協(xié)議進行保密的網(wǎng)絡通訊。服務器和客戶端針對要使用的加密算法進行協(xié)商。它們還協(xié)商用于安全通訊的保密的共享會話密鑰。如果客戶沒有有效的受信任的身份驗證證書(它可以降低拒絕服務攻擊的風險),則 ASP 可用 SSL 來防止(可能的)客戶與 ASP 解決方案進行通訊。您還可以用 SSL 協(xié)議來保護所有 Web 通訊的通道,以保護機密信息,例如個人信息和信用卡號碼。
虛擬專用網(wǎng)絡 (VPN) VPN 技術使用了隧道協(xié)議,該協(xié)議可使 ASP 在公用 Internet 上建立專用數(shù)據(jù)網(wǎng)。換句話說,通過“共享管道”進行安全的隧道客戶通信,VPN 能使 ASP 降低成本。
