ASP 的最佳安全做法
引言
安全管理的主要目標是保證 SLA 中規定的 ASP 和客戶之間的機密性、完整性和可用性的級別。最佳做法可向 ASP 展示如何確保實現安全目標。

Active Directory 的主要安全優勢
使用 Active Directory 服務，ASP 可更好地為內部用戶和外部客戶提供適當的安全性。從根本上說，Active Directory 是 ASP 安全策略和帳戶信息的中心位置。

ASP 可用 Active Directory 安全功能來自定義 ASP 的安全策略，保護系統不被非授權訪問并避免可能的損失。Active Directory 可提供多方面的安全優勢。其中包括：

一次性登錄到域
支持標準的 Internet 安全協議
能夠將域中用戶和對象的管理委派給他人
一次性登錄
具有多目錄服務的 ASP 中，用戶和客戶訪問不同的網絡資源可能需要進行多次登錄。Active Directory 通過為資源的訪問提供一次性登錄而改變了這種不必要的重復。一旦用戶登錄到域控制器，所有網絡資源都會根據這次登錄的結果而授權或拒絕訪問。一次性登錄提供了安全的身份驗證，用于加密與網絡之間的會話。登錄過程通常使用 Kerberos 身份驗證協議，我們將在文章的后面討論該協議。由于在客戶或用戶登錄時，數據安全就已啟動，所以一次性登錄減小了破壞安全的威脅，因為客戶和用戶不需要去寫多個密碼。另外，由于所有的帳戶都統一在 Active Directory 中的一個地方，因此可對帳戶的管理具有更多的控制。

組策略繼承和本地設置
ASP 環境中的 AD 容器有一個層次結構。一些容器可認為是其它容器的“父”容器。組策略具有繼承性，即它可以從父容器傳遞給下面的子容器。當為父容器分配一個“組策略”時，該“組策略”也適用于父容器下面的所有容器。若更改子容器的設置，則可替代父容器傳遞下來的設置。如果子容器和父容器的“組策略”設置不兼容，則不繼承父容器的設置，并且用戶只接收子容器的“組策略”設置。

在繼承過程中，可以對特定容器進行更改，它會自動影響所有下級容器及其對象。為了便于管理，推薦在高級別的容器（如高級別的文件夾）上定義權限。這樣，這些權限將自動傳遞給該文件夾內的對象。

支持 Internet 標準身份驗證協議
Active Directory 服務提供對幾種身份驗證方法的支持，如 Internet 標準協議 Kerberos、公鑰基本結構 (PKI) 以及加密套接字協議層 (SSL) 上的輕型目錄訪問協議 (LDAP)。對這些協議的支持意味著無論用戶是內部連接還是通過 Internet 連接，網絡資源都能得到保護。

安全的身份驗證和網絡協議
Windows 通常使用 Windows NT LAN Manager (NTLM) 協議來進行網絡身份驗證。ASP 可利用幾種增強的身份驗證方法和網絡協議（如 Internet 標準協議 Kerberos、公鑰基本結構、使用 Ipsec 的虛擬專用網絡 (VPN)、加密套接字協議層 (SSL)）來加強安全性。Windows 2000 提供對這些協議的支持。

Kerberos 身份驗證的優點：

快速連接。利用 Kerberos 身份驗證，服務器不必轉向域控制器。它可通過檢查客戶提供的憑據來驗證客戶的身份。客戶可一次獲得對特定服務器的憑據并在整個 ASP 登錄會話中重復使用。
相互身份驗證。NTLM 允許服務器驗證其客戶的身份。它不允許客戶驗證服務器的身份，也不允許一臺服務器驗證另一服務器的身份。NTLM 身份驗證是為網絡環境設計的，假定該環境中的服務器是真實的。Kerberos 協議不做這種假設。網絡連接兩端的 ASP 和客戶可以知道另一端的一方聲稱是什么人。
委派的身份驗證。當代表客戶機訪問資源時，Windows 服務就模擬成客戶機。許多情況下，服務可通過訪問本地計算機上的資源為客戶機完成其工作。NTLM 和 Kerberos 都可提供服務在本地模擬其客戶機時需要的信息。但是，一些分布式的應用程序是這樣設計的：當連接到其它計算機上的后端服務時，前端服務必須模擬客戶機。Kerberos 協議有一個代理機制，允許當某個服務連接到其它服務時模擬其客戶機。
公鑰基本結構 (PKI)
公鑰基本結構 (PKI) 是新出現的標準，適用于利用數字證書來驗證用戶的身份。PKI 使用三種技術來提供避免安全破壞的保護：數字信封、數字簽名和數字證書。這些技術經常用于 Extranet 和 ASP 解決方案。可使用 PKI 的例子有：

安全電子郵件

基于 PK 的安全電子郵件產品（包括 Microsoft Exchange），依靠 PK 技術完成：

數字簽名，用來證明電子郵件的來源和可靠性
沒有預先共享密碼的大量加密，用以保守通信者之間的機密
操作中，這些系統利用用戶的私鑰為發出的電子郵件添加數字簽名。證書和電子郵件一起發送，這樣接收者可驗證該簽名。S/MIME 為這些證書定義一個配置文件以確保互操作性，并采用一種層次模型來提供可伸縮的信任管理。若要對電子郵件加密，用戶可從以前的電子郵件或目錄服務中獲得接收方的加密證書。一旦驗證了該證書，用戶就可用所包含的公鑰對所用的密鑰加密，從而實現對電子郵件的加密。

確認/加密文件系統

Windows 2000 加密文件系統 (EFS) 支持 Windows NT 文件系統 (NTFS) 中在磁盤上存儲的文件的透明加密和解密。用戶可指定要加密的個別文件或需要對其內容保持加密格式的文件夾。應用程序可以像訪問非加密文件一樣訪問用戶的加密文件。但是，它們無法對任何其他用戶的加密文件進行解密。

PKI 和 UPN

Windows 2000 PKI 執行一項安全服務，該服務使用證書信息來映射到存儲于 Active Directory 中的帳戶，以便確定已驗證身份的客戶的訪問權限。該目錄操作可根據證書中的用戶主要名稱 (UPN) 來執行，或通過在目錄中搜索與客戶證書中的屬性、頒發者或頒發者和主題匹配的帳戶來執行。如果 UPN 都不匹配，或者頒發者未被授權頒發域身份驗證的證書，則用戶可以登錄。這樣，它就增強了登錄的安全性。

通過 SSL 的安全 Web
加密套接字協議層 (SSL) 協議依賴于基于 PK 的身份驗證技術，并使用基于 PK 的密鑰協商來為每個客戶端/服務器會話生成唯一的加密密鑰。它們最常與基于 Web 的應用程序及 HTTP 協議（稱為 HTTPS）相關聯。

ASP 可通過使用加密的安全 SSL 通道，利用 SSL 協議進行保密的網絡通訊。服務器和客戶端針對要使用的加密算法進行協商。它們還協商用于安全通訊的保密的共享會話密鑰。如果客戶沒有有效的受信任的身份驗證證書（它可以降低拒絕服務攻擊的風險），則 ASP 可用 SSL 來防止（可能的）客戶與 ASP 解決方案進行通訊。您還可以用 SSL 協議來保護所有 Web 通訊的通道，以保護機密信息，例如個人信息和信用卡號碼。

虛擬專用網絡 (VPN)
VPN 技術使用了隧道協議，該協議可使 ASP 在公用 Internet 上建立專用數據網。換句話說，通過“共享管道”進行安全的隧道客戶通信，VPN 能使 ASP 降低成本。