Windows 2000 系统安全概述：树、森林和安全架构

树和森林-网络信息安全之Windows 2000系统安全概述 本文将详细介绍Windows 2000系统的安全架构和安全机制，包括树和森林的结构、安全子系统、访问控制、审核和安全主体等。 一、树和森林的结构 在Windows 2000活动目录中，域已经不再是逻辑上的管理边界。相反，域之上还存在“树”和“森林”的结构。“树”只是命名上的约定，没有太多安全上的含义，而“森林”则划分了Windows 2000目录服务的边界，是管理控制的根本界限。 二、Windows 2000的安全架构 Windows 2000的安全架构是基于Common Criteria（通用标准）标准的。为了获得更高的级别（B级），Windows 2000需要在它的设计中融入一些关键的元素，包括用于认证的安全登录工具、可自由设定的访问控制和审核。 三、安全子系统 Windows 2000的安全子系统是通过SRM（Security Reference Monitor）实现的。SRM处于内核模式，监视用户模式中的应用程序代码发出的资源访问请求，并进行检查。所有的安全访问控制应用于所有的安全主体（securit principle），包括用户、组和计算机。 四、安全主体 安全主体是指用户、组和计算机。用户帐户是一种参考上下文，操作系统在这个上下文描述符运行它的大部分代码。用户帐户攻击是恶意黑客的目标，他们尝试以尽可能高的权限运行代码。 五、访问控制 访问控制是Windows 2000安全架构的核心部分。它通过SRM进行安全访问控制，检查用户模式中的应用程序代码发出的资源访问请求。访问控制可以自由设定，以满足不同的安全需求。 六、审核 审核是Windows 2000安全架构的另一个重要部分。它可以记录用户的所有操作，包括登录、文件访问和系统调用等。审核可以帮助管理员追踪系统中的所有活动，检测和预防安全威胁。 Windows 2000的安全架构是一个复杂的系统，包括树和森林的结构、安全子系统、访问控制和审核等。理解这些概念对于确保Windows 2000系统的安全性至关重要。