Microsoft专用安全网络访问虚拟专用网络和内联网安全性.doc

1、 操作系统 Microsoft 专用安全网络访问: 虚拟专用网络和内联网安全性 白皮书白皮书 摘要摘要 Microsoft Windows操作系统包括了保护专用和公共网络间通讯的技术。 Microsoft 目前的产品提供了许多工具，这些工具在链路层和传输层提供安全性 的服务，它们同样为电子邮件提供应用层的安全性。链路层安全性对远程访问通 讯的传输和对分支网络连接的传输都进行数据加密。传输层安全性则允许保护基 于 TCP 的协议，包括 World Wide Web 通讯。另外，Windows 2000 将通过 Internet Protocol (网间协议，简称 IP) 安全，或者叫 IPSec

2、，提供端到端的网络 层安全性服务。IPSec 允许受保护的服务在内部网络中使用。 此白皮书主要集中于链路层和端到端连接方案的安全性。它解释了微软公司为何 致力于支持 Point-to-Point Tunneling Protocol (点到点隧道协议，简称 PPTP)， Layer 2 Tunneling Protocol (第二层隧道协议，简称 L2TP)，和 IPSec 协议以便 满足不同消费者的需求。此白皮书还详细介绍了微软公司在 Windows 操作系统 上实现这些协议的计划。 1999 Microsoft Corporation. 保留所有权利 这份文档中的内容反应了目前微软公司关于

3、所讨论 问题的观点。由于Microsoft将会根据市场的变化 做出反应，此份文档不能够被认为是Microsoft做 出的承诺，并且对以下提到的信息在发布以后的准 确性不负任何责任。 白皮书仅用于交换信息。Microsoft在此份文档中在此份文档中 没有作出任何直接表述的或暗示的保证。没有作出任何直接表述的或暗示的保证。 Microsoft, Active Directory, MSN, Windows, 和 Windows NT都是Microsft公司在美国和/或者其他 国家的注册商标或者商标。文中提到其他产品或公 司名称都属于各自的公司所有的商标。 Microsoft Corporation

4、 One Microsoft Way Redmond, WA 98052-6399 USA 0599 简介.1 用于保护网络通讯的协议.3 IPSec 的设计目标和总览3 L2TP 设计目标和总览3 PPTP 设计目标和总览4 微软公司对 IPSEC、L2TP/IPSEC 和 PPTP 协议的立场.6 IPSec6 L2TP/IPSec6 PPTP6 微软公司对 IPSEC、L2TP 和 PPTP 的支持.8 IPSec8 L2TP9 PPTP9 远程访问策略管理9 客户机管理9 对于安全网络通讯的平台支持.11 进一步的信息.12 目录 对于规模各异的各种企业来说, 网络安全的重要性在日益增

5、加。不论是否需要保护在 远程访问进程、分支网络、或者因特网中传输的信息，解决这种形式的安全问题都是 必需的。一般来说，安全性并不是一个单一的产品或者技术，它是多种技术和 管理 策略的一个集成，管理策略提供了一个保护措施，这种措施在可应用的范围和可接受 的风险之间进行了均衡。微软公司非常严肃认真地对待安全性的问题，并积极主动开 展多项工作，以便为消费者提供轻松制定并管理安全策略的技术和工具。 安全服务包括机密性、完整性保护、认证、授权和回放保护。在这些工具中，是网络 加密服务帮助减小了在公共或者专用网络中传输敏感信息的风险。微软公司同样非常 关心用户的总成本，并致力于提供标准的解决方案以便在 W

6、indows 平台上能提供最 大的通讯互操作性和灵活性。 保护网络安全有三种主要的模型，微软公司支持其中的每一种： 今天，许多应用程序驻留在计算机上，以便用于通过公共或者专门网络进行的访 问，它们通过 HTTPS、SOCKS、或者 SSL 等传输层安全性传输层安全性技术提供保护。由 SSL/TLS 提供的传输层安全性是指为了使用这些安全服务而专门改写的基于 TCP 的应用程序，微软公司通过它的产品广泛地支持 SSL/TLS。然而 SSL/TLS 的应用并不很适合集中管理的模式，因为这些服务常常以逐页使用的方式工作。 SOCKS 是一个已认证了的防火墙穿越协议，它提供可扩展的认证，以及对连入 和

7、连出的会话的颗粒化认证。尽管微软公司不支持 SOCKS V，但是 SOCKS V 仍然可以在支持 TCP 和 UDP 的协议中使用， 而且可以应用于集中的管理。由 此，SSL/TLS 和 SOCKS 技术相互补充，可以一起来使用，在虚拟专用网络内 和外部网上提供传输层安全性。 许多公司使用专用或可靠的网络基本设施，包括内部和外部有线设备和广域网， 这样通过虚拟或物理的安全性提供一定的专用性。然而，这些网络并不能防备疏 忽大意产生的危险，也不能在信息通过网络时防止外面的人浏览。由于绝大多数 入侵突破都发生在一个公司的网络内部，因此我们需要特别的技术来防止信息被 盗窃或者攻击。 端到端网络安全性端

8、到端网络安全性 由安全技术和协议组成，这些技术和协议对通讯进行透明的 保护。要获得此安全性，细致的网络规划和配置是必需的。这些工具一般通过管 理策略来管理，以便在不涉及应用程序和终端用户的情况下，在通过网络进行传 输时能够对通讯进行很好的保护。 根据虚拟专用网络（VPN）主要的分类，所有三种模型都在工业标准中被讨论了。尽 管每个模型都在一定程度上提供了专用网络的功能，这个泛泛的定义还是很让人迷惑。 因此，微软公司采用了对于该名称的一个更严格的定义，并使用“VPN”指通过公共 或不可靠的网络基础结构来提供安全性。 它包括： 保护从客户机到网关的远程访问，这些访问或者通过因特网，或者在专用网络内

9、部，或者通过外联的（Outsourced）网络。 保护网关到网关的连接，这些连接或者通过因特网，或者通过专用或外联的网络。 另外，依靠第一个实现在专用网络中保护端到端通讯的操作系统集成的解决方案，微 软公司成为了该行业的领先者。Windows 2000 利用 Active Directory（活动目录） 目录服务和 IPSec（网间协议安全性）的集成来传递基于安全管理的中央控制策略。 简介简介 此文讨论了微软公司对于 VPN 和端到端模型网络安全性的看法和方向。它描述了主 要网络协议之间的重要的不同之处，讨论了微软公司和这些协议间的关系，并解释微 软公司在其操作系统中如何支持这些协议。 在过去

10、的几年中，出现了许多协议，它们可以被分类到 VPN 协议和通讯加密协议两 种。这些协议包括： Internet Protocol Security (IPSec) 一个体系结构、协议和相关的网间密 钥交换（IKE）协议，由 IETF RFCs 2401-2409 描述。 Layer 2 Forwarding (第二层转接，简称 L2F) 由 Cisco 系统提出。 Layer 2 Tunneling Protocol (第二层隧道协议，简称 L2TP) PPTP 和 L2F 的一个结合，它由 IETF 的标准过程进化而来。 Point-to-Point Tunneling Protocol (

11、点到点隧道协议，简称 PPTP) 由 PPTP 行业论坛创建（包括 USRobotics（现在是 3Com）、3Com/Primary Access、Ascend、 Microsoft、和 ECI Telematics）。 尽管许多人认为 IPSec、L2TP、和 PPTP 是极具竞争力的技术，但是这些协议只能 提供适用于不同用途的不同功能。要很好地理解这个问题，考虑一下这些协议的设计 目标和技术差别是很有用的。 IPSec 的设计目标和总览 IPSec 为网间协议通讯提供完整性保护、认证和（可选的 ）专用性和回放保护服务： IPSec 数据包有两种类型： IP 协议 50 叫做 Encaps

12、ulating Security Payload (负载的安全性封装，简称 ESP)格式，它提供专用性、认证和完整性。 IP 协议 51 叫做 Authentication Header (认证头，简称 AH)格式，它只描述数据 包的完整性和认证，但是没有专用性。 IPSec 可以在两种模式中使用：传输模式，它确保一个现有的 IP 数据包从数据源到 目的地正确地传输；隧道模式，它将一个现有的 IP 数据包放入一个新的 IP 数据包中， 这个新的 IP 数据包以 IPSec 格式被送到一个隧道的端点。传输模式和隧道模式都可 以被封装在 ESP 或者 AH 头中。 IPSec 传输模式被设计用来为

13、两个通讯系统间端到端的 IP 通讯提供安全性保障，例 如保护一个 TCP 连接或者一个 UDP 数据报文。IPSec 隧道协议主要为网络中继点、 路由器或者网关而设计，它主要保护在一个 IPSec 隧道内的其他 IP 通讯，这个隧道 通过一个公共的，或者不可靠的 IP 网络（例如互联网）将一个专用网络和另一个专 用网络相连接。在两种情况下，通过 Internet Key Exchange(网络密钥交换，简称 IEK)就在两台计算机之间形成了一个复杂的安全协定，一般使用 PKI 来认证双方的真 实可靠性。 IETF RFC IPSec 隧道协议的技术规范不包括适用于远程访问 VPN 客户机的机制

14、， 省却的功能包括用户认证选项或者客户机 IP 地址配置。要将 IPSec 隧道模式应用于 远程访问，一些供应商选择用专用的方法来扩展协议以解决这些问题。尽管这些扩展 中的一部分写成了互联网草案的文档，它们仍然缺乏标准的形式，并且通常不能相互 操作。由此导致消费者必须仔细考虑这些技术的实现是否支持多供应商的互操作性。 L2TP 设计目标和总览 L2TP 是一项成熟的被广泛使用的 IETF 标准协议。L2TP 封装了 Point-to-Point Protocol (PPP)帧，以便通过 IP、X.25 帧中继，或者异步传输模式（ATM）网络传 用于保护网络通讯的协议用于保护网络通讯的协议 输。

15、当配置为使用 IP 进行传输时，L2TP 可以作为一个在互联网上的 VPN 隧道协议 使用。IP 上传输的 L2TP 使用 UDP 的 1701 端口，并且包括了一系列维护隧道的 L2TP 控制消息。L2TP 同样使用 UDP 来发送 L2TP 封装的 PPP 帧作为隧道数据。 被封装的 PPP 帧可以被加密或者被压缩。当 L2TP 隧道作为 IP 数据包出现时，它们 使用 IPSec 传输模式完成高度集成、回放、认证和专用保护等功能，从而充分利用了 标准 IPSec 的安全性。L2TP 是专门为客户机连接到网络访问服务器而设计的，它也 同样适用于网关到网关的连接。通过使用 PPP，L2TP

16、协议获得了 IPX 和 Appletalk 等多种协议的支持。PPP 还提供了一个可扩展的用户认证选择，包括 CHAP、MS- CHAP、MS-CHAPv2 和 Extensible Authentication Protocol(可扩展认证协议，简称 EAP)，EAP 支持令牌卡和智能卡认证机制。利用 IPSec 良好的而且满足互操作的安 全性，L2TP/IPSec 提供了精确定义并且可以互操作的隧道操作。这是保护远程访问 和网关到网关访问的一个非常好的解决方案。 PPTP 设计目标和总览 设计 PPTP 是用于客户机到网关或者两个网关之间的认证和加密通讯，它不需要一个 公用密钥的基础结构，

17、只使用一个用户帐号和密码。它最早在 1996 年发布，比 IPSec 和 L2TP 要早两年。它的设计目标是简单化、多协议支持和能够跨越大范围的 IP 网络。Point-to-Point Tunneling Protocol (点到点隧道协议，简称 PPTP)使用一个 TCP 连接来维护隧道，使用 Generic Routing Encapsulation (通用路由封装，简称 GRE) 封装的 PPP 帧来通过隧道传输数据。封装的 PPP 帧的有效负载可以被加密和/ 或压缩。PPP 的使用提供了处理认证、加密和 IP 地址分配服务的能力。 表一概述了这三种安全协议之间的一些关键的技术差别。

18、表一、网络安全协议的差别 功能功能描述描述PPTP/ PPP L2TP/ PPP L2TP/ IPSec IPSec Xport IPSec Tunnel 用户认证可以认证正在创建通讯连接的用户。是是是WIP1WIP 计算机认证认证通讯中涉及到的计算机。是 2 是是是是 支持 NAT 可以通过网络地址翻译器来隐藏通讯的一个或 两个端点。 是是不是不是不是 多协议支持定义了一个传输 IP 和非 IP 数据的标准方法。是是是不是WIP 动态隧道 IP 地址分配定义了一个标准的方法来为通过隧道的通讯部 分处理 IP 地址，这是很重要的一点，因为这 样就可以使返回的数据包通过同样的路径返回， 而不是通

19、过非隧道或者不可靠的路径，它还省 掉了静态、人工的终端系统配置。 是是是N/AWIP 加密可以加密它传输的数据。是是是是是 使用 PKI可以使用 PKI 来完成加密和/或认证。是是是是是 数据包认证提供一个认证方法以保证数据包的内容在传输 过程中没有被改变过。 不是不是是是是 多址广播支持不但支持 IP 的单点传输，而且支持 IP 的多址 广播。 是是是不是是 1.现在还不能提供支持，但由 IETF IPSec 工作组负责的开发正在进行（work in progress，WIP）。 2当作为客户机 VPN 连接使用时，它认证用户，而不是计算机。当作为网关到网 关连接使用时，计算机被分配一个用户

20、帐号并被认证。 IPSec 通过精心设计，IPSec 传输模式对于在公司网络内部实现端到端认证和加密非常理想。 微软公司在 IETF 内部与其它公司通力合作，并同重要的网络供应商紧密协作，以保 证支持这种方案的 IPSec 技术细节标准能够满足互操作性。 在大多数客户机到网关的 VPN 方案中， 用户认证和内部地址配置对于安全和管理是 至关重要的方面。支持多址广播和定义传输多协议数据流的方法也是必需的，尤其是 在网关到网关方案的情况。为了解决这个问题，许多供应商已经对 IPSec 实施特定的 和/或者逐步的扩展，但这限制了多供应商的互操作性。IETF IPSec 工作组最近致力 于开发解决此问

21、题的方法，尽管他们同时也在想减少数据包头开销并且均衡 IETF IP 的框架结构。然而，由于 IPSec 隧道模式仍然没有为可扩展的基于用户的认证和完成 这些方面的地址分配定义的标准方案，微软公司认为，IPSec 隧道协议不适合于大多 数客户机到网关的 VPN 连接情况。对于网关到网关的 VPN 连接情况，IPSec 隧道模 式非常适合 尽管由于支持多种 IKE 选项，可能对某些特定的网络设置会出现互 操作性的问题，这和目前产品提供的互操作性测试的结果在一个水平上。 L2TP/IPSec L2TP 是一个设计良好的，支持互操作性的协议，它解决了唯一使用 IPSec 的客户机 到网关和网关到网关

22、方案目前的缺点（用户认证，隧道 IP 地址分配，和多协议支持） 。L2TP 扩宽了对供应商的支持，尤其对于那些规模庞大的网络接入设备供应商， L2TP 还验证了对各种操作系统的互操作性支持。将 L2TP 作为有效负载放入一个 IPSec 数据包内，通讯将从基于标准的 IPSec 加密和认证获得益处，同时也得到有很 好互操作性的方法来用 PPP 完成用户认证，隧道地址分配，多协议支持和多址广播 支持。这样的结合目前就是指 L2TP/IPSec。由于缺乏一个较好的纯 IPSec 的解决方 案，微软公司相信 L2TP/IPSec 为多供应商和客户操作的客户机到网关的 VPN 方案 提供了最好的基于标

23、准的解决方案。微软公司目前同关键的网络供应商，包括 Cisco、3Com、Lucent 和 IBM 紧密合作，以支持这些事关重大的结合。 应该注意到由于在 IKE 协议和网络地址变换之间的不兼容性，在利用自动密钥交换的 同时通过一个网络地址转换器（Network Address Translator）来使用 L2TP/IPSec 或者 IPSec 隧道模式是不可能的。 最近为 L2TP/IPSec 提出了一个头压缩的方法。因为这项工作令人吃惊地减少了协议 的头部负荷，并且还保留了 L2TP 剩下的所有优点，所以它显得非常重要。微软公司 相信这项数据头压缩的工作代表了 L2TP 的一个重要方向，

24、并支持此协议向标准方向 进一步发展。微软公司同样持续不断地为 IPSec 隧道模式在客户机 网关中的应 用开发基于标准的、可以互操作的和精心集成的解决方案。微软公司尤其认为这样的 解决方案坚决不能为了和 IKE 协议的完整性妥协而引入过多的复杂性。另外，IPSec Remote Access（IPSec 远程访问，简称 IPSRA）解决方案必须同现有的网络基础结 构例如 DHCP，和现有的支持可扩展认证的 IETF 标准，例如 EAP 和 GSS_API 很好 地集成。 PPTP PPTP 在今天广泛地用于客户机到网关和网关到网关的方案中，利用相互的客户机/服 务器认证，这种认证是根据用户密码

25、和认证过程中生成的加密密钥，PPTP 的设立变 微软公司对 IPSEC、L2TP/IPSEC 和 PPTP 协议的立场 得容易而且价格低廉，并且管理起来非常简单。由于它设计上的优点，PPTP 同样可 以通过网络地址转换器（NAT）。这种 NAT 的功能使得我们在使用互联网时不需要 为每一个 PPTP 的端点都配置一个注册了的 IP 地址。 尽管在客户机到网关和网关到网关的方案中，对于多供应商的互操作性来说 L2TP/IPSec 是一个优秀的解决方案，它使用的 IPSec 仍然需要一个可以升级的 PKI。同样，由于在 IKE 和 NAT 之间的不兼容性，不但 L2TP/IPSec，而且纯粹的 I

26、PSec 隧道模式和 IPSec 传输模式都不能穿过典型的 NAT。微软公司认为对于那些 不需要复杂的基于 IPSec 通讯的用户，不想配置 PKI 的用户和需要可兼容 NAT 的 VPN 协议的用户，PPTP 将为他们保留一个重要的协议选择。正由于此，微软公司承 诺继续对 PPTP 的发展提供支持。 IPSec Microsoft Windows 2000 操作系统利用 Windows IP Security，一个功能强大的 IPSec 工具，简化了网络安全的配置和管理。IPSec 协议是 TCP/IP 协议集合的一个 集成的部分。Microsoft 和 Cisco Systems 公司在

27、Windows 2000 中联合开发 IPSec 及其相关的服务。同时对 Cisco 和许多其他供应商在下列情况中测试了互操作性。 使用 IPSec，您可以在下列情况中为网络通讯提供专用性、完整性和认证。 使用 IPSec 传输模式从客户机到服务器、服务器到服务器和客户机到客户机的用 于 IP 单点传输的端到端安全性。 使用由 IPSec 传输模式保护的 L2TP 而进行的远程访问 VPN 客户机和网关的功 能。 站点到站点的 VPN 方案，使用 L2TP/IPSec 或者 IPSec 隧道模式通过外部专用 WAN 或者基于互联网的连接。 Windows IP Security 通过和 Win

28、dows 2000 域以及 Active Directory（活动目录）服 务的集成从而构建于 IETF IPSec 的基础结构之上。活动目录提供基于策略的、可利 用目录的网络。IPSec 策略通过 Windows 2000 组策略（Group Policy）来分配和发 布给 Winodows 2000 域成员。由于提供了本地策略配置，所以就不需要一个域中的 成员资格。 在使用 IETF 定义的 Internet Key Exchange（网间密钥交换，简称 IKE）协议 RFC2409 之后又提供了一个自动的安全性协商和密钥管理服务。执行 IKE 提供了三 种认证方法来在计算机间建立信任关系

29、。 Kerberos v5.0认证认证 由 Windows 2000 域提供，这个域被当作是一个 Kerberos 5.0 版的 Key Distribution Center (密钥分发中心，简称 KDC)。这样，对于同一 个域的成员或者跨越信任域的 Windows 2000 计算机，在它们之间能轻松建立受 保护的通讯。IKE 只是使用在 draft-ietf-ipsec-isakmp-gss-auth-02.txt 文件中规定 的 Kerberos 的认证属性。用于 IPSec 安全性关联的密钥是使用 IKE RFC2409 的方法产生的。 使用证书的公共使用证书的公共/私有密钥签名私有密

30、钥签名 同好几个认证系统兼容，包括 Microsoft、 Entrust、 Verisign 和 Netscape。这是 RFC2409 的一部分。 密码、密码、叫做预共享认证密钥，它严格地被用于计算机之间建立信任关系， 这也 是 RFC2409 的一部分。 一旦配置了一个 IPSec 策略，同等级的计算机就可以协商使用 IKE 来为两台计算机 之间的所有通讯建立一个主要的安全性关联。这包括使用上述方法之一的认证和生成 一个共享的主密钥。系统然后利用 IKE 同另一个安全性关联协商他们希望同时保护的 通讯应用。这包括生成共享的 通讯密钥。必须要两台计算机都知道两边的密钥设置。 使用安全性关联对

31、数据进行交换能够非常好地保护数据不被网络上可能的攻击者篡改 或者破解。密钥可以通过 IPSec 策略设置自动的刷新，以便使用管理员定义的策略提 供持续不断的保护。 对于熟悉 IPSec 技术细节的用户，Winodws 2000 支持 DES（56 位密钥长度）和 3DES（168 位密钥长度）加密算法，还支持 SHA-1 和 MD5 完整性算法。这些算法 在所有的 ESP 格式的结合体中都得到支持。因为 AH 格式只提供完整性和认证， 所 以只有 MD5 和 SHA-1 被使用。 微软公司对 IPSEC、L2TP 和 PPTP 的支持 L2TP Windows 2000 在和 IPSec 一起

32、应用于客户机到网关和网关到网关的配置时，包括了 对 L2TP 的支持。在这些配置中，从客户机到网关和两个网关之间所有的数据通讯都 进行了加密。此功能已经和其他许多供应商的 L2TP/IPSec 功能一起进行了测试。 PPTP Windows 2000 在应用于客户机到网关和网关到网关的配置时，包括了对 PPTP 的支 持。这项功能与 Microsoft Windows NT Server、Windows NT Workstation、Windows 98 和 Windows 95 操作系统中的 PPTP 服务是保持一致的。 使用 PPTP，用户可以利用他们现有的基于 Windows 操作系统平

33、台的投资。基于 Windows 2000 的系统可以同基于 Windows NT 的 PPTP 服务器进行相互操作，而且 现在基于 Windows 的系统也可以和基于 Windows 2000 的 PPTP 服务器进行相互操 作。除了基于密码的认证，基于 Windows 2000 的 PPTP 可以通过 Extensible Authentication Protocol (可扩展的认证协议，简称 EAP)支持公共密钥认证。 远程访问策略管理远程访问策略管理 除了加密策略外，安全管理策略的另一个方面是访问策略。在客户机到网关和网关到 网关的连接情况下，Windows 2000 提供了一套丰富的

34、管理策略，它们可以用来通过 直接拨号，PPTP 和 L2TP/IPSec 连接来控制用户的访问。 这些访问策略允许管理员 根据用户帐号、时间日期、协议端口、加密级别等方面的情况，综合地考虑准予或者 拒绝用户的访问。尽管这些访问策略可以在 Windows 2000 活动目录环境下从内部得 到，它们也可以通过 RADIUS 被强加到一个非 Windows 2000 的操作系统中。例如， 一个现有的基于 Windows NT 的 PPTP 服务器可以被配置为使用 Windows 2000 服 务器通过 RADIUS 来认证用户。在这种使用方式下，Windows 2000 服务器可以被配 置为强迫访问

35、策略，并将它们应用到基于 Windows NT 的 PPTP 服务器上。这个例 子说明了系统在向 Windows 2000 的转变升级中如何简化集中管理并加强其功能，并 显示了在各种环境中使用 Windows 2000 作为认证手段的众多优点之一。 客户机管理客户机管理 正如在上面提及的 IPSec，我们使用 Active Directory（活动目录）来定义和控制 IPSec 策略。PPTP、L2TP 和 IPSec 协议的安装被内置于 Windows 2000 的安装之 中。为了完成客户机到网关的通讯而设定的客户机协议配置可以通过下述两种方法来 完成： 在通讯端点的系统上，一个新连结向导提

36、示用户通过一组简单的屏幕窗口来设定连接 的配置。 对于较大规模的安装，可以同时使用 Connection Manager Administration Kit（连结向导管理工具）和 Connection Point Services（连结节点服务）来完成 一个用户定制的远程访问直接拨号和 VPN 客户机到公司系统的连接。 利用这些工具，管理员可以给客户机提供一个专门配置的用户配置文件： 将拨号者和公司的远程访问程序标志为一致。 集成用户定制的帮助文件和公司远程访问的使用许可证。 集成应用程序和在连结过程不同阶段中自动加载的其他工具。 管理一个记录远程访问号码的集中的电话簿。 同 Internet Service Providers (网络服务提供商)协定管理 point-of-presence (接 入点，POP)的电话号码。 配置客户机使其可以自动升级，并根据 ISP 和公司的电话簿服务器来校正电话簿。 从上面的方法得到的系统简档可以通过 Microsoft System Managemen