Windows Server mh 5 CHAPTER indows Server 2003 Î Íó ³ë³ È W ž ªë Í Ò Ñá ACLs «ë Windows éœ Windows NT Server 4.0 Ô Windows 2000 Server ó «Í ë Ì Internet Connection Firewall ë Windows Server ë Ý õ Windows Server ë Ôšëò È ² Í Îó ³ëÈ Windows Server ÃÜ!!!! é Windows Server mh Active Directory mh Microsoft CryptoAPI IPSec ISA Server!!!! Windows ù ë³ È šð Î ë ³ š Ÿ Í Œ Þ ª à Á
5-2! PART 1! mh Windows Server 2003 Š ë ª Windows ëþ«í Ï ªŠëЊ 5-1 Îží ª user mode Þ«Îží ªÔ ž ª Áã ë ªÝí³ È ëœ š ë «ª kernel mode ³ È ëâ Windows kernel Ô ë ª ë ªŠ ëœ ë Ò Ìë Ò ì Îží ª ë ªŠ ë Ò ªë ± Š ë 5-1 ± n ñ n Ð Window Server ë Ý Îží ªÔ ªë ë Å«Ñ ª Š ëì ³ È Œ ÔΞ í ž ª ž ë ì Á í þ á Ò È ë ž ªÌ Ò Ï ª ëá ë Î ó ªŠ æÿîží ž ªÎ Ò Ðšë Ý Œ ³ ë³ È ë à Á ë Windows kernel œêë Š Í ëœ Process Manager žî Ñ ½Ô I/O manager ë ªžÎ Ñ ë Ò Í Þ ë executive services
Windows Server mh! 5-3 ³ë Í á Windows ë ³ ë ž ª ² Îží ªÔ ª þ š Ò Ì Ý Ò ž ªë Ò Ñ Win32 ˆÈ LSA Local Security Authority 5-2 Í ² ž ªë Ò 5-2 Âe ± n ñ n Win32 ˆÈ Î ž ª ˆ К â ë Ò Windows Server Š Ã Í é ½ Íé «ë Ÿ³ È ë Ò Í ž ªŒ API Î ª ³ ë Ò Ñë Ò ë á ë Þ«ë Ò Ÿ³ È Î Ñ ³ È Ýâ ë ž ª íš Š ë Ξ ë Windows ë Ñ Îží Ò ëé LSA Œá³ È ÔΞí ë šìš Îží ž ª Î Òé ë ² š Í Ò ë LSA Windows ÝˆÈ Š ëœ ˆ Ðšë Œ Ð LSA LSA Ξí Ì Ò Â token œ ö LSA Windows ŠëŒ Ξí Ò œ È š ÎΞí Ò
5-4! PART 1! mh LSA Ξ Íš Œ ÝÞ Ò Îží SAM Security Accounts Manager œ Ξíë Active Directory À ÑØÎ Kerberos Ô NT LAN Manager NTLM Ÿš Ð LSA Ñ Ò Í ÑØ Ÿ Multiple Authentication Provider MAP ÞÄØ MAP ÑΞ² Î Kerberos ü ëš Ñ Ýí NTLM Î «Š ë ÑØ Kerberos ëü LSA ÌÅ«ë ³ È LSA È ë Š ³šÎž Security Reference Monitor SRM ëœ ³ ë SRM Ò Ñë é ë Ò Windows Server à {n Windows Server Í ë Њ«ÍÔ Windows XP ž «Í ë Î ICF Internet Connection Firewall «Í ˆ ýá «ë Î EFS Encrypting File System Windows Server ë Ý š ðšð ë ë г ˆ þ ³ë Windows Ì ³ ë ª Ð /Ÿ â ë þ Í Š â Windows Server à n ˆ Windows Server ë Ý ç á Windows 2000Ì Á ë Internet Connection Firewall ICF Session Initiation Protocol SIP ìÿ ë Ñ Ñ ö
Windows Server mh! 5-5 j ICF ICF Ì ž ª Ì žîó œ á ÒÁ «ë Š ëì ó «ë æ ØëÁ Ã È Îž Ì ICF ùë Î «Î ù ΞëÌ ˆ ñ 500 Ð 1000 Œ Ì ëž ¼ Internet È ³ Í Îž ICF ò ùì ICF ó È ë œž Ø ICF žî Ø Ô «ë ë Ø Ò ë Í ICMP ë Ø ÝÞ Þ«šë ë s ICF «ë «Øë ICF Ÿë Ñ Îë Å«² Š ùë œž FTP Web Ý Ping ë à ã Å«³ ëâ Ÿ ³ â ë Ñ ICF «ë ³ ª Ýš ë ÝÏí Í žî È ëá Ì Ðš ë Session Initiation Protocol SIP º SIP Î Instant Messaging IM ÔК µ ë ÞΞë ÑØ SIP ëâ Î Í ž ª Ý ë Í ž ª IM Š ë Í ŠÒó ë Š ë ç ³ë š
5-6! PART 1! mh ˆ Š ò ž ë IM Š ³Š Ñ ë Ý SIP ë ë Ñ Äw Ã𠳊 ž ìÿë È Î ãœ í ë ìÿë ³ Ÿ ÑŒ È ³ ²³Š ÎžË œ ë ² â Ý ž ë ë È ìÿ žî Internet ëá ã ë ìÿ æ ² ó Ò È ë Ñ Ï ª Þ«Ôë Þó Ø ó ³ Ò öš ž ë ë ³Šþ ð Î Ñ öžî ë ª š È ª ë ˆ Šº ë Ý Ýí Ÿ ª Í ª š œ ë Á «È ª Ÿ öš Ø Ñ ö Š ó ë ª ó È á ² Í ª ¼ Ñ Ýí Ñ óš ë Š 볞 ª ˆ ëò Š ActiveX Ñ Í É Á ªë ª Ø Ýí Øë Internet Î Ñ
Windows Server mh! 5-7 Windows ˆÃ { «Í «ë Windows éœ NT 3.5 3.51 Ô 4.0 Windows 2000 ª ³ È ë Ã Ì œë³ È Š ˆ ë Active Directory AD Active Directory õ Á «ÌÁ ö ž Ξ íô v䫳 Îžë³ È â ë ΞíÔ ë «ëîží Ô ³ÎžÐšë Ò ÑÔ æ Ð ñ Ã Í ô Ξí Å«Î ží ² «È Ì ÒÞ«È Windows Sever ëã Îží «Øë SID SID ³ È ë ë ±ÔΞí ë Ÿ ð Ý «SID žî ³ È ë ð Ξí ë Î Ò áë æ Š ΞíÎ Î š ë Š ù ë «áš ë œ È ë ž œ È š œ Ξí Ð Î Îží œ Domain local groups «œ ë «š ²Îží ÔÐ ë ž Ô œ ³ š Ξ œ š ã Ø ª Native mode ë ª š Ξí Ð ž ª ž Active Directory Š Š Windows 2000 õë Ñ ª Á ë šìš Ô õëéœ
5-8! PART 1! mh þë ù ž Universal groups Active Directory È forest Š ² «ë Active Directory È ²Îží ž ÝÐ ë ž È Í ž Ø ë Ô AD ë ž Ÿ Global Catalog ª ACLs ACL Access Control List Ò Ñá Windows Server ë ACL ð é ë Ý ØΞíÔ é Òë ù ùë Ò Ñá DACL Discretionary ACL µ Òé á é ë ACL Í ç ACL Øëé ç Ø ÝÞ Ò Š é Ò Ñ ³Á ë Ø Windows Server é ë Ò Î Ÿá é Windows ëè Š ΠΞí Ô Í Ò é «ACL È Ò Ñá SACL Ñ Òé ë vä Œ Îží µô ACL ³ Š Ξí Òé š Ξ í ³ Îží µ œ È ë ªŠ Îží µ Ÿ öþ Í Îžíë µ J Á È ë µ J È ë µ J ë µ
Windows Server mh! 5-9 Ξí Ñœ Ýí Òœ È Î ö Active Directory Š ö ž ØëÎ ží Ý Ý Ì ÎžíÝ Ø ö Ô Windows NT 4.0 ëè ö ë Ð ³ ³Áß šë ž ö Windows Server ë š žî Ñ ë ö Kerberos ë Ø ö ó ³ë ˆë Ð ö Í öë œ Windows server Š š ³ ØÈ ë à Á ë Ø œ žì ¼ªœ ëá NT NT È NTFS DOS ð FAT ë æ FAT Ξ ÍКë Windows éœô DOS Š Š FAT NTFS ACLs Œ NTFS èîž Windows ë Š é ë FAT ë È Š ë NTFS È ªë ž Î FAT ÁÍë n EFS Encrypting File System È žî NTFS ë œ EFS Î ñ Ô Î «ëîžíý í EFS Îží ¼ âë Þ«³ È ªë Š s ñœ k p
5-10! PART 1! mh Ξ EFS Ÿ žë ñ FEK Î EFS þµžîží š Windows Server ë PKI ë Þ ž FEK ë FEK ª ë Ý ë ³µžÎžíëÇ ñ FEK þµž FEK s µ Kerberos ª Windows ServerΞ Kerberos æ Kerberos ë NTLM ë ªÁ šîž¼ ñ ë æ Š ë æ þ Î Kerberos ë³ ý ë Ñ s Kerberos Û k k Ûk Ÿ VPNs Virtual Private Networks Ç žë Î Internet þ Ï ë ³ Windows Server ª VPN Point-to-Point Tunneling Protocol PPTP Layer 2 Tunneling Protocol L2TP IP Security IPSec «ë ÑØ VPNs 몜 Š 몜 Œ á ³ ë É T1 1.544 mbps SDSL Internet Ý ³ë VPN Á ë ë ¾ Š VPN Î «š 100 Mbps+ VPN Þ ë á ë