Asp的安全管理（7）_ASP文摘

ASP 的最佳安全做法

引言

安全管理的主要目标是保证 SLA 中规定的 ASP 和客户之间的机密性、完整性和可用性的级别。最佳做法可向 ASP 展示如何确保实现安全目标。

Active Directory 的主要安全优势

使用 Active Directory 服务，ASP 可更好地为内部用户和外部客户提供适当的安全性。从根本上说，Active Directory 是 ASP 安全策略和帐户信息的中心位置。

ASP 可用 Active Directory 安全功能来自定义 ASP 的安全策略，保护系统不被非授权访问并避免可能的损失。Active Directory 可提供多方面的安全优势。其中包括：

一次性登录到域

支持标准的 Internet 安全协议

能够将域中用户和对象的管理委派给他人

一次性登录

具有多目录服务的 ASP 中，用户和客户访问不同的网络资源可能需要进行多次登录。Active Directory 通过为资源的访问提供一次性登录而改变了这种不必要的重复。一旦用户登录到域控制器，所有网络资源都会根据这次登录的结果而授权或拒绝访问。一次性登录提供了安全的身份验证，用于加密与网络之间的会话。登录过程通常使用 Kerberos 身份验证协议，我们将在文章的后面讨论该协议。由于在客户或用户登录时，数据安全就已启动，所以一次性登录减小了破坏安全的威胁，因为客户和用户不需要去写多个密码。另外，由于所有的帐户都统一在 Active Directory 中的一个地方，因此可对帐户的管理具有更多的控制。

组策略继承和本地设置

ASP 环境中的 AD 容器有一个层次结构。一些容器可认为是其它容器的“父”容器。组策略具有继承性，即它可以从父容器传递给下面的子容器。当为父容器分配一个“组策略”时，该“组策略”也适用于父容器下面的所有容器。若更改子容器的设置，则可替代父容器传递下来的设置。如果子容器和父容器的“组策略”设置不兼容，则不继承父容器的设置，并且用户只接收子容器的“组策略”设置。

在继承过程中，可以对特定容器进行更改，它会自动影响所有下级容器及其对象。为了便于管理，推荐在高级别的容器（如高级别的文件夹）上定义权限。这样，这些权限将自动传递给该文件夹内的对象。

支持 Internet 标准身份验证协议

Active Directory 服务提供对几种身份验证方法的支持，如 Internet 标准协议 Kerberos、公钥基本结构 (PKI) 以及加密套接字协议层 (SSL) 上的轻型目录访问协议 (LDAP)。对这些协议的支持意味着无论用户是内部连接还是通过 Internet 连接，网络资源都能得到保护。

安全的身份验证和网络协议

Windows 通常使用 Windows NT LAN Manager (NTLM) 协议来进行网络身份验证。ASP 可利用几种增强的身份验证方法和网络协议（如 Internet 标准协议 Kerberos、公钥基本结构、使用 Ipsec 的虚拟专用网络 (VPN)、加密套接字协议层 (SSL)）来加强安全性。Windows 2000 提供对这些协议的支持。

Kerberos 身份验证的优点：