Asp的安全管理(7)(1)ASP 的最佳安全做法
引言
安全管理的主要目标是保证 SLA 中规定的 ASP 和客户之间的机密性、完整性和可用性的级别。最佳做法可向 ASP 展示如何确保实现安全目标。
Active Directory 的主要安全优势
使用 Active Directory 服务,ASP 可更好地为内部用户和外部客户提供适当的安全性。从根本上说,Active Directory 是 ASP 安全策略和帐户信息的中心位置。
ASP 可用 Active Directory 安全功能来自定义 ASP 的安全策略,保护系统不被非授权访问并避免可能的损失。Active Directory 可提供多方面的安全优势。其中包括:
一次性登录到域
支持标准的 Internet 安全协议
能够将域中用户和对象的管理委派给他人
一次性登录
具有多目录服务的 ASP 中,用户和客户访问不同的网络资源可能需要进行多次登录。Active Directory 通过为资源的访问提供一次性登录而改变了这种不必要的重复。一旦用户登录到域控制器,所有网络资源都会根据这次登录的结果而授权或拒绝访问。一次性登录提供了安全的身份验证,用于加密与网络之间的会话。登录过程通常使用 Kerberos 身份验证协议,我们将在文章的后面讨论该协议。由于在客户或用户登录时,数据安全就已启动,所以一次性登录减小了破坏安全的威胁,因为客户和用户不需要去写多个密码。另外,由于所有的帐户都统一在 Active Directory 中的一个地方,因此可对帐户的管理具有更多的控制。
组策略继承和本地设置
ASP 环境中的 AD 容器有一个层次结构。一些容器可认为是其它容器的“父”容器。组策略具有继承性,即它可以从父容器传递给下面的子容器。当为父容器分配一个“组策略”时,该“组策略”也适用于父容器下面的所有容器。若更改子容器的设置,则可替代父容器传递下来的设置。如果子容器和父容器的“组策略”设置不兼容,则不继承父容器的设置,并且用户只接收子容器的“组策略”设置。
支持 Internet 标准身份验证协议
Active Directory 服务提供对几种身份验证方法的支持,如 Internet 标准协议 Kerberos、公钥基本结构 (PKI) 以及加密套接字协议层 (SSL) 上的轻型目录访问协议 (LDAP)。对这些协议的支持意味着无论用户是内部连接还是通过 Internet 连接,网络资源都能得到保护。
安全的身份验证和网络协议
Windows 通常使用 Windows NT LAN Manager (NTLM) 协议来进行网络身份验证。ASP 可利用几种增强的身份验证方法和网络协议(如 Internet 标准协议 Kerberos、公钥基本结构、使用 Ipsec 的虚拟专用网络 (VPN)、加密套接字协议层 (SSL))来加强安全性。Windows 2000 提供对这些协议的支持。
Kerberos 身份验证的优点:
快速连接。利用 Kerberos 身份验证,服务器不必转向域控制器。它可通过检查客户提供的凭据来验证客户的身份。客户可一次获得对特定服务器的凭据并在整个 ASP 登录会话中重复使用。
相互身份验证。NTLM 允许服务器验证其客户的身份。它不允许客户验证服务器的身份,也不允许一台服务器验证另一服务器的身份。NTLM 身份验证是为网络环境设计的,假定该环境中的服务器是真实的。Kerberos 协议不做这种假设。网络连接两端的 ASP 和客户可以知道另一端的一方声称是什么人。
委派的身份验证。当代表客户机访问资源时,Windows 服务就模拟成客户机。许多情况下,服务可通过访问本地计算机上的资源为客户机完成其工作。NTLM 和 Kerberos 都可提供服务在本地模拟其客户机时需要的信息。但是,一些分布式的应用程序是这样设计的:当连接到其它计算机上的后端服务时,前端服务必须模拟客户机。Kerberos 协议有一个代理机制,允许当某个服务连接到其它服务时模拟其客户机。
