同口令認(rèn)證方式不同 ， 采用智能卡進(jìn)行認(rèn)證時 ， 用戶把卡插入連接到計算機(jī)的讀寫器中 ， 并輸入卡的PIN ， Windows就可以使用卡中存儲的私鑰和證書來向Windows2000域控制器的KDC認(rèn)證用戶 。認(rèn)證完用戶以后 ， KDC將返回一個許可票據(jù) 。
5 加密文件系統(tǒng)EFS
前面討論的技術(shù) ， 包括活動目錄、Kerberos認(rèn)證和PKI等 ， 都是用于保護(hù)存儲在中心網(wǎng)絡(luò)中的資源 。如何保護(hù)本地系統(tǒng) ， 如硬盤中的數(shù)據(jù)的安全性 ， 也是人們很關(guān)心的問題 。
Windows2000加密文件系統(tǒng)EFS則滿足了上述需求 ， 讓用戶可以對指定的本地計算機(jī)中的文件或文件夾進(jìn)行加密 ， 非授權(quán)用戶不能對這些文件進(jìn)行讀寫操作 。當(dāng)用戶的計算機(jī)物理丟失時 ， 使用EFS系統(tǒng)可以防止敏感信息的丟失和泄漏 ， 因為這些文檔都是經(jīng)過加密處理的 。
當(dāng)使用EFS對NTFS文件系統(tǒng)的文件或文件夾進(jìn)行安全處理時 ， 操作系統(tǒng)將使用CryptoAPI所提供的公鑰和對稱密鑰加密算法對文件或文件夾進(jìn)行加密 。EFS作為操作系統(tǒng)級的安全服務(wù) ， 內(nèi)部實現(xiàn)機(jī)制非常復(fù)雜 ， 但管理員和用戶使用起來卻非常簡單 。選中某一文件或文件夾以后 ， 右擊 ， 在彈出式按鈕中選擇“屬性”菜單項 ， 在彈出的對話框中選擇“常規(guī)標(biāo)簽頁” ， 單擊“高級”按鈕 ， 并選擇“加密內(nèi)容以便保護(hù)數(shù)據(jù)”檢查框 ， 如圖3所示 。單擊“確定”按鈕即可完成文件或文件夾的加密處理 。
當(dāng)文件保存時EFS將自動對文件進(jìn)行加密 ， 當(dāng)用戶重新打開文件時將對文件進(jìn)行自動解密 。除加密文件的用戶和具有EFS文件恢復(fù)證書的管理員之外 ， 沒有人可以讀寫經(jīng)過加密處理的文件或文件夾 。因為加密機(jī)制建立到了文件系統(tǒng)內(nèi)部 ， 它對用戶的操作是透明的 ， 而對攻擊者來說卻是加密的 。
EFS加密文件的時候 ， 使用對該文件唯一的對稱加密密鑰 ， 并使用文件擁有者EFS證書中的公鑰對這些對稱加密密鑰進(jìn)行加密 。因為只有文件的擁有者才能使用密鑰對中的私鑰 ， 所以也只有他才能解密密鑰和文件 。
在某些情況下 ， 即使有些人使用底層的磁盤工具 ， 也不能越過EFS機(jī)制來讀取文件信息 ， 這點(diǎn)在Windows NT中是無法做到的 。如果不是合法的用戶登錄到網(wǎng)絡(luò)中 ， 即使文件通過網(wǎng)絡(luò)或物理方法被竊取到 ， 因為沒有密鑰 ， 同樣不能讀寫 ， 也不能進(jìn)行任何不被發(fā)覺的修改 。
在某些情況下會發(fā)生諸如用戶私鑰丟失或雇員離開公司等突發(fā)事件 ， EFS提供了一種恢復(fù)機(jī)制 ， 可以恢復(fù)經(jīng)EFS加密的文件信息 。當(dāng)使用EFS時 ， 系統(tǒng)將自動創(chuàng)建一個獨(dú)立的恢復(fù)密鑰對 ， 并存儲在管理員EFS文件恢復(fù)證書中 ?；謴?fù)密鑰對的公鑰用于加密原始的加密密鑰 ， 并在緊急情況下使用私鑰來恢復(fù)加密文件的密鑰 ， 從而恢復(fù)經(jīng)過加密的文件 。
6 安全設(shè)置模板 為了方便一個組織網(wǎng)絡(luò)安全設(shè)置的建立和管理 ， Windows 2000提供了安全模板（Security Templates）工具 。管理員使用微軟管理控制臺MMC可以很容易定義標(biāo)準(zhǔn)模板 ， 并統(tǒng)一地應(yīng)用到多個計算機(jī)或用戶中 。
一個安全模板是一個安全配置的物理表示 ， 換句話說 ， 它是存儲一組安全設(shè)置的文件 。Windows2000中包括一系列的標(biāo)準(zhǔn)安全模板 ， 并應(yīng)用于不同的場合和計算機(jī)的不同角色 。這些標(biāo)準(zhǔn)模板包括的范圍比較廣 ， 從低安全的域客戶端設(shè)置到高安全的域控制器設(shè)置都有 。這些模板可直接應(yīng)用、修改或作為創(chuàng)建用戶自定義安全模板的基礎(chǔ) 。
預(yù)定義的安全模板包括如下幾種：
?默認(rèn)工作站 (basicwk.inf)
?默認(rèn)服務(wù)器 (basicsv.inf)
?默認(rèn)域控制器 (basicdc.inf)
?兼容工作站或服務(wù)器 (compatws.inf)

推薦閱讀

• 

  江南春杜牧詮釋的意思
• 

  airpodspro是無線充電盒嗎
• 

  臥式鉆床加工什么
• 

  良才的寓意
• 

  x是一次單項式嗎
• 

  創(chuàng)業(yè)板上市公司有多少家,最新創(chuàng)業(yè)板上市公司一覽表
• 

  八字古風(fēng)意境很美的短句
• 

  紅葉甜菜怎么吃
• 

  電腦總是自動重啟的原因是什么 電腦老是自動重啟是怎么回事
• 

  西門子C62有些缺點(diǎn)
• 

  比熊最便宜多少錢,一個月大概需要花多少錢
• 

  小花仙怎么邀請,《小花仙》手游首測在即
• 

  長沙飛甲米多少小時，從長沙直飛07國清邁要多長時間
• 

  光遇8月10日每日任務(wù)怎么完成。
• 

  中國上下五千年歷史表百度百科,中國上下五千年歷史表一覽
• 

  90年代肯德基都有哪些菜品？

• Win2000優(yōu)化技巧篇之:其他優(yōu)化技巧
• Win2000優(yōu)化技巧篇之:硬件及環(huán)境的優(yōu)化
• Win2000優(yōu)化技巧篇之:顯示方面的優(yōu)化技巧
• Win2000優(yōu)化技巧篇之:為Win2000減肥
• 夢中的婚禮踏板怎么踩
• 讓W(xué)indows 98/2000也擁有圖片屏保
• 有始有終 替換法解決Win2000“關(guān)門”故障
• Windows 2000終端存在的問題及解決方案
• Win2000終端存在的問題及解決方案
• 去除掉Wind 2000系統(tǒng)的登錄界面