ASP 的最佳安全做法
引言
安全管理的主要目標(biāo)是保證 SLA 中規(guī)定的 ASP 和客戶(hù)之間的機(jī)密性、完整性和可用性的級(jí)別。最佳做法可向 ASP 展示如何確保實(shí)現(xiàn)安全目標(biāo)。

Active Directory 的主要安全優(yōu)勢(shì)
使用 Active Directory 服務(wù)，ASP 可更好地為內(nèi)部用戶(hù)和外部客戶(hù)提供適當(dāng)?shù)陌踩�性。從根本上說(shuō)，Active Directory 是 ASP 安全策略和帳戶(hù)信息的中心位置。

ASP 可用 Active Directory 安全功能來(lái)自定義 ASP 的安全策略，保護(hù)系統(tǒng)不被非授權(quán)訪(fǎng)問(wèn)并避免可能的損失。Active Directory 可提供多方面的安全優(yōu)勢(shì)。其中包括：

一次性登錄到域
支持標(biāo)準(zhǔn)的 Internet 安全協(xié)議
能夠?qū)⒂蛑杏脩?hù)和對(duì)象的管理委派給他人
一次性登錄
具有多目錄服務(wù)的 ASP 中，用戶(hù)和客戶(hù)訪(fǎng)問(wèn)不同的網(wǎng)絡(luò)資源可能需要進(jìn)行多次登錄。Active Directory 通過(guò)為資源的訪(fǎng)問(wèn)提供一次性登錄而改變了這種不必要的重復(fù)。一旦用戶(hù)登錄到域控制器，所有網(wǎng)絡(luò)資源都會(huì)根據(jù)這次登錄的結(jié)果而授權(quán)或拒絕訪(fǎng)問(wèn)。一次性登錄提供了安全的身份驗(yàn)證，用于加密與網(wǎng)絡(luò)之間的會(huì)話(huà)。登錄過(guò)程通常使用 Kerberos 身份驗(yàn)證協(xié)議，我們將在文章的后面討論該協(xié)議。由于在客戶(hù)或用戶(hù)登錄時(shí)，數(shù)據(jù)安全就已啟動(dòng)，所以一次性登錄減小了破壞安全的威脅，因?yàn)榭蛻?hù)和用戶(hù)不需要去寫(xiě)多個(gè)密碼。另外，由于所有的帳戶(hù)都統(tǒng)一在 Active Directory 中的一個(gè)地方，因此可對(duì)帳戶(hù)的管理具有更多的控制。

組策略繼承和本地設(shè)置
ASP 環(huán)境中的 AD 容器有一個(gè)層次結(jié)構(gòu)。一些容器可認(rèn)為是其它容器的“父”容器。組策略具有繼承性，即它可以從父容器傳遞給下面的子容器。當(dāng)為父容器分配一個(gè)“組策略”時(shí)，該“組策略”也適用于父容器下面的所有容器。若更改子容器的設(shè)置，則可替代父容器傳遞下來(lái)的設(shè)置。如果子容器和父容器的“組策略”設(shè)置不兼容，則不繼承父容器的設(shè)置，并且用戶(hù)只接收子容器的“組策略”設(shè)置。

在繼承過(guò)程中，可以對(duì)特定容器進(jìn)行更改，它會(huì)自動(dòng)影響所有下級(jí)容器及其對(duì)象。為了便于管理，推薦在高級(jí)別的容器（如高級(jí)別的文件夾）上定義權(quán)限。這樣，這些權(quán)限將自動(dòng)傳遞給該文件夾內(nèi)的對(duì)象。

支持 Internet 標(biāo)準(zhǔn)身份驗(yàn)證協(xié)議
Active Directory 服務(wù)提供對(duì)幾種身份驗(yàn)證方法的支持，如 Internet 標(biāo)準(zhǔn)協(xié)議 Kerberos、公鑰基本結(jié)構(gòu) (PKI) 以及加密套接字協(xié)議層 (SSL) 上的輕型目錄訪(fǎng)問(wèn)協(xié)議 (LDAP)。對(duì)這些協(xié)議的支持意味著無(wú)論用戶(hù)是內(nèi)部連接還是通過(guò) Internet 連接，網(wǎng)絡(luò)資源都能得到保護(hù)。

安全的身份驗(yàn)證和網(wǎng)絡(luò)協(xié)議
Windows 通常使用 Windows NT LAN Manager (NTLM) 協(xié)議來(lái)進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。ASP 可利用幾種增強(qiáng)的身份驗(yàn)證方法和網(wǎng)絡(luò)協(xié)議（如 Internet 標(biāo)準(zhǔn)協(xié)議 Kerberos、公鑰基本結(jié)構(gòu)、使用 Ipsec 的虛擬專(zhuān)用網(wǎng)絡(luò) (VPN)、加密套接字協(xié)議層 (SSL)）來(lái)加強(qiáng)安全性。Windows 2000 提供對(duì)這些協(xié)議的支持。

Kerberos 身份驗(yàn)證的優(yōu)點(diǎn)：

快速連接。利用 Kerberos 身份驗(yàn)證，服務(wù)器不必轉(zhuǎn)向域控制器。它可通過(guò)檢查客戶(hù)提供的憑據(jù)來(lái)驗(yàn)證客戶(hù)的身份。客戶(hù)可一次獲得對(duì)特定服務(wù)器的憑據(jù)并在整個(gè) ASP 登錄會(huì)話(huà)中重復(fù)使用。
相互身份驗(yàn)證。NTLM 允許服務(wù)器驗(yàn)證其客戶(hù)的身份。它不允許客戶(hù)驗(yàn)證服務(wù)器的身份，也不允許一臺(tái)服務(wù)器驗(yàn)證另一服務(wù)器的身份。NTLM 身份驗(yàn)證是為網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的，假定該環(huán)境中的服務(wù)器是真實(shí)的。Kerberos 協(xié)議不做這種假設(shè)。網(wǎng)絡(luò)連接兩端的 ASP 和客戶(hù)可以知道另一端的一方聲稱(chēng)是什么人。
委派的身份驗(yàn)證。當(dāng)代表客戶(hù)機(jī)訪(fǎng)問(wèn)資源時(shí)，Windows 服務(wù)就模擬成客戶(hù)機(jī)。許多情況下，服務(wù)可通過(guò)訪(fǎng)問(wèn)本地計(jì)算機(jī)上的資源為客戶(hù)機(jī)完成其工作。NTLM 和 Kerberos 都可提供服務(wù)在本地模擬其客戶(hù)機(jī)時(shí)需要的信息。但是，一些分布式的應(yīng)用程序是這樣設(shè)計(jì)的：當(dāng)連接到其它計(jì)算機(jī)上的后端服務(wù)時(shí)，前端服務(wù)必須模擬客戶(hù)機(jī)。Kerberos 協(xié)議有一個(gè)代理機(jī)制，允許當(dāng)某個(gè)服務(wù)連接到其它服務(wù)時(shí)模擬其客戶(hù)機(jī)。
公鑰基本結(jié)構(gòu) (PKI)
公鑰基本結(jié)構(gòu) (PKI) 是新出現(xiàn)的標(biāo)準(zhǔn)，適用于利用數(shù)字證書(shū)來(lái)驗(yàn)證用戶(hù)的身份。PKI 使用三種技術(shù)來(lái)提供避免安全破壞的保護(hù)：數(shù)字信封、數(shù)字簽名和數(shù)字證書(shū)。這些技術(shù)經(jīng)常用于 Extranet 和 ASP 解決方案。可使用 PKI 的例子有：

安全電子郵件

基于 PK 的安全電子郵件產(chǎn)品（包括 Microsoft Exchange），依靠 PK 技術(shù)完成：

數(shù)字簽名，用來(lái)證明電子郵件的來(lái)源和可靠性
沒(méi)有預(yù)先共享密碼的大量加密，用以保守通信者之間的機(jī)密
操作中，這些系統(tǒng)利用用戶(hù)的私鑰為發(fā)出的電子郵件添加數(shù)字簽名。證書(shū)和電子郵件一起發(fā)送，這樣接收者可驗(yàn)證該簽名。S/MIME 為這些證書(shū)定義一個(gè)配置文件以確保互操作性，并采用一種層次模型來(lái)提供可伸縮的信任管理。若要對(duì)電子郵件加密，用戶(hù)可從以前的電子郵件或目錄服務(wù)中獲得接收方的加密證書(shū)。一旦驗(yàn)證了該證書(shū)，用戶(hù)就可用所包含的公鑰對(duì)所用的密鑰加密，從而實(shí)現(xiàn)對(duì)電子郵件的加密。

確認(rèn)/加密文件系統(tǒng)

Windows 2000 加密文件系統(tǒng) (EFS) 支持 Windows NT 文件系統(tǒng) (NTFS) 中在磁盤(pán)上存儲(chǔ)的文件的透明加密和解密。用戶(hù)可指定要加密的個(gè)別文件或需要對(duì)其內(nèi)容保持加密格式的文件夾。應(yīng)用程序可以像訪(fǎng)問(wèn)非加密文件一樣訪(fǎng)問(wèn)用戶(hù)的加密文件。但是，它們無(wú)法對(duì)任何其他用戶(hù)的加密文件進(jìn)行解密。

PKI 和 UPN

Windows 2000 PKI 執(zhí)行一項(xiàng)安全服務(wù)，該服務(wù)使用證書(shū)信息來(lái)映射到存儲(chǔ)于 Active Directory 中的帳戶(hù)，以便確定已驗(yàn)證身份的客戶(hù)的訪(fǎng)問(wèn)權(quán)限。該目錄操作可根據(jù)證書(shū)中的用戶(hù)主要名稱(chēng) (UPN) 來(lái)執(zhí)行，或通過(guò)在目錄中搜索與客戶(hù)證書(shū)中的屬性、頒發(fā)者或頒發(fā)者和主題匹配的帳戶(hù)來(lái)執(zhí)行。如果 UPN 都不匹配，或者頒發(fā)者未被授權(quán)頒發(fā)域身份驗(yàn)證的證書(shū)，則用戶(hù)可以登錄。這樣，它就增強(qiáng)了登錄的安全性。

通過(guò) SSL 的安全 Web
加密套接字協(xié)議層 (SSL) 協(xié)議依賴(lài)于基于 PK 的身份驗(yàn)證技術(shù)，并使用基于 PK 的密鑰協(xié)商來(lái)為每個(gè)客戶(hù)端/服務(wù)器會(huì)話(huà)生成唯一的加密密鑰。它們最常與基于 Web 的應(yīng)用程序及 HTTP 協(xié)議（稱(chēng)為 HTTPS）相關(guān)聯(lián)。

ASP 可通過(guò)使用加密的安全 SSL 通道，利用 SSL 協(xié)議進(jìn)行保密的網(wǎng)絡(luò)通訊。服務(wù)器和客戶(hù)端針對(duì)要使用的加密算法進(jìn)行協(xié)商。它們還協(xié)商用于安全通訊的保密的共享會(huì)話(huà)密鑰。如果客戶(hù)沒(méi)有有效的受信任的身份驗(yàn)證證書(shū)（它可以降低拒絕服務(wù)攻擊的風(fēng)險(xiǎn)），則 ASP 可用 SSL 來(lái)防止（可能的）客戶(hù)與 ASP 解決方案進(jìn)行通訊。您還可以用 SSL 協(xié)議來(lái)保護(hù)所有 Web 通訊的通道，以保護(hù)機(jī)密信息，例如個(gè)人信息和信用卡號(hào)碼。

虛擬專(zhuān)用網(wǎng)絡(luò) (VPN)
VPN 技術(shù)使用了隧道協(xié)議，該協(xié)議可使 ASP 在公用 Internet 上建立專(zhuān)用數(shù)據(jù)網(wǎng)。換句話(huà)說(shuō)，通過(guò)“共享管道”進(jìn)行安全的隧道客戶(hù)通信，VPN 能使 ASP 降低成本。