高校精品系列-Windows12

1、网络操作系统Windows Server 2003配置与管理第12章 系统安全vWindows Server 2003安全安全v身份验证机制身份验证机制vKerberos配置与管理配置与管理v安全策略安全策略v安全事件审核安全事件审核vMicrosoft更新更新v公钥基础结构（公钥基础结构（PKI）vInternet协议安全（协议安全（IPSec）学学 习习 要要 点点12.1Windows Server 2003安全v 安全概述安全概述n身份验证身份验证 交互式登录向用户的本地计算机或交互式登录向用户的本地计算机或AD账户确认用户的身份账户确认用户的身份 网络身份验证向用户尝试访问的任何网络

2、服务确认用户的身份网络身份验证向用户尝试访问的任何网络服务确认用户的身份 单点登录（单点登录（SSO）使用户在访问网络上的资源时不必重复提供凭据，用户访问网络资源时只需要验证一）使用户在访问网络上的资源时不必重复提供凭据，用户访问网络资源时只需要验证一次，随后的身份验证对该用户而言是透明的次，随后的身份验证对该用户而言是透明的n基于对象的访问控制基于对象的访问控制 将安全描述符分配给存储在将安全描述符分配给存储在Active Directory中的对象（文件、打印机和服务等）中的对象（文件、打印机和服务等） 不仅可以控制对特殊对象的访问，也可以控制对该对象特定属性的访问不仅可以控制对特殊对象的

3、访问，也可以控制对该对象特定属性的访问n安全策略安全策略 密码策略、账户锁定策略、密码策略、账户锁定策略、Kerberos策略、审核策略、用户权利和其他策略策略、审核策略、用户权利和其他策略n审核安全事件审核安全事件 监视对象的创建或修改，提供追踪潜在安全性问题的方法监视对象的创建或修改，提供追踪潜在安全性问题的方法nActive Directory和安全性和安全性n数据保护数据保护n网络数据的保护网络数据的保护n公钥基础结构公钥基础结构n信任信任 12.1Windows Server 2003安全vWindows Server 2003新增安全功能新增安全功能n新功能新功能 授权管理器授权管

4、理器 存储用户名和密码存储用户名和密码 软件限制策略软件限制策略n对现有技术的改进对现有技术的改进 证书颁发机构含有大量的改进和新增的功能证书颁发机构含有大量的改进和新增的功能 受限委派可指定要信任的服务用以委派服务器受限委派可指定要信任的服务用以委派服务器 有效权限工具将计算授予指定用户或组的权限有效权限工具将计算授予指定用户或组的权限 加密文件系统（加密文件系统（EFS）不再需要恢复代理）不再需要恢复代理 内置内置Everyone组包括组包括Authenticated Users和和Guests 基于操作的审核提供了更多描述性的审核事件，选择要审核的操作更为方便基于操作的审核提供了更多描述

5、性的审核事件，选择要审核的操作更为方便 重新应用安全默认值重新应用安全默认值 12.2身份验证机制v单点登录单点登录n交互式登录交互式登录 使用域账户登录使用域账户登录 使用本地账户登录使用本地账户登录n网络身份验证网络身份验证v身份验证类型身份验证类型 Kerberos V5身份验证身份验证 SSL/TLS身份验证身份验证 NTLM身份验证身份验证 摘要式验证摘要式验证 Passport身份验证身份验证 12.2身份验证机制v NTLM身份验证身份验证n适用对象适用对象 早期版本早期版本Windows操作系统操作系统 非域成员计算机非域成员计算机n非交互式非交互式NTLM的验证机制的验证机制

6、 3个系统：客户端、服务器和域控制器个系统：客户端、服务器和域控制器 域控制器代替服务器进行身份验证的计算域控制器代替服务器进行身份验证的计算 验证步骤验证步骤用户请求访问用户请求访问服务器发送质询（服务器发送质询（Challenge）消息）消息客户端发送应答（客户端发送应答（Response）消息）消息服务器将质询和应答发送到域控制器服务器将质询和应答发送到域控制器域控制器比较质询和应答以对用户进行身份验证域控制器比较质询和应答以对用户进行身份验证服务器向客户端发送应答服务器向客户端发送应答n交互式交互式NTLM网络身份验证网络身份验证 典型地涉及到两个系统典型地涉及到两个系统客户端（用户请

7、求身份验证）客户端（用户请求身份验证）域控制器（存放着用户密码）域控制器（存放着用户密码） 12.2身份验证机制vKerberos V5身份验证身份验证nKerberos SSP架构架构 SSP（安全支持提供程序）用于实现（安全支持提供程序）用于实现Kerberos V5身份验证协议身份验证协议 SSPI（安全支持提供程序接口）是（安全支持提供程序接口）是Windows Server 2003身份验证的基础，要身份验证的基础，要求身份验证的应用和底层服务都使用求身份验证的应用和底层服务都使用SSPI接口接口 SSP层主要组件层主要组件 Kerberos NTLM Digest（摘要）身份验证（

8、摘要）身份验证 Schannel Negotiate（协商）（协商） 12.2身份验证机制vKerberos V5身份验证身份验证nKerberos V5工作原理工作原理 Kerberos使用对称密钥、加密的对象和使用对称密钥、加密的对象和Kerberos服务服务 Kerberos身份验证协议提供客户端和服务器以及服务器之间的交互身份验证身份验证协议提供客户端和服务器以及服务器之间的交互身份验证 密钥发行中心（密钥发行中心（KDC）作为通信双方信任的第三方，负责身份验证的任务）作为通信双方信任的第三方，负责身份验证的任务 Kerberos是一个涉及到客户端、服务器、是一个涉及到客户端、服务器、

9、KDC三方的身份验证过程三方的身份验证过程 12.2身份验证机制vKerberos V5身份验证的配置与管理身份验证的配置与管理nKerberos策略配置策略配置 Kerberos策略作为账户策略的一部分，用于控制策略作为账户策略的一部分，用于控制Kerberos配置的某些方面配置的某些方面 Kerberos策略只存在于策略只存在于AD组策略中，不存在于本地计算机策略中，对组策略中，不存在于本地计算机策略中，对Kerberos策略进行的任何修改都将影响域内的所有计算机策略进行的任何修改都将影响域内的所有计算机 12.2身份验证机制v Kerberos V5身份验证的配置与管理身份验证的配置与管

10、理n与与Kerberos相关的用户账户属性设置相关的用户账户属性设置 交互式登录必须使用智能卡交互式登录必须使用智能卡 此账户需要使用此账户需要使用DES加密类型加密类型 不要求不要求Kerberos预身份验证预身份验证n智能卡的实施智能卡的实施 避免了避免了Kerberos中弱密码的问题中弱密码的问题 需要用户手动插入智能卡才能向域请求身份验证需要用户手动插入智能卡才能向域请求身份验证 输入一定次数的错误输入一定次数的错误PIN之后，智能卡可以被锁定之后，智能卡可以被锁定 12.2身份验证机制v 密码增强措施密码增强措施n设置增强的密码策略设置增强的密码策略n设置账户锁定策略设置账户锁定策略

11、 12.2身份验证机制v 密码增强措施密码增强措施n使用系统密钥使用系统密钥 系统密钥实用程序系统密钥实用程序Syskey为对抗密码破解建立了另一道防线为对抗密码破解建立了另一道防线 它使用强加密技术来保证存储在它使用强加密技术来保证存储在SAM数据库或数据库或Active Directory中的账户密码信息的安全中的账户密码信息的安全 系统密钥的存储系统密钥的存储3种模式种模式模式模式1（普通模式）：系统密钥保存在注册表中（普通模式）：系统密钥保存在注册表中模式模式2：密钥也保存在注册表中，不过在启动时需要一个密码才能解开系统密钥：密钥也保存在注册表中，不过在启动时需要一个密码才能解开系统密

12、钥模式模式3：将系统密钥保存在软盘上：将系统密钥保存在软盘上 12.3 安全策略v 安全模板安全模板n安全模板概述安全模板概述 安全模板是一种可以定义安全策略的文件安全模板是一种可以定义安全策略的文件 安全模板都以安全模板都以.inf格式的文本文件存在，用户可方便地复制、粘贴、导入或导出某些模板格式的文本文件存在，用户可方便地复制、粘贴、导入或导出某些模板 安全模板简化安全性管理，提供一种快速批量修改安全选项的方法安全模板简化安全性管理，提供一种快速批量修改安全选项的方法n预定义的安全模板预定义的安全模板 Setup security.inf（默认安全设置）（默认安全设置） DC securi

13、ty.inf（域控制器默认安全设置）（域控制器默认安全设置） Compatws.inf（兼容）（兼容） Secure*.inf（安全）（安全） Hisec*.inf（高级安全）（高级安全） Rootsec.inf（系统根目录安全）（系统根目录安全） Notssid.inf（无终端服务器用户（无终端服务器用户SID） 12.3 安全策略v 安全模板安全模板n“安全模板安全模板”管理单元管理单元 12.3 安全策略v安全模板安全模板n自定义预定义安全模板自定义预定义安全模板n添加新的安全模板添加新的安全模板n应用安全模板应用安全模板将安全模板导入到组策略对象将安全模板导入到组策略对象 12.3 安

14、全策略v 安全配置和分析安全配置和分析n概述概述“安全配置和分析安全配置和分析”是分析和配置本地系统安全性的一个工具是分析和配置本地系统安全性的一个工具可以根据系统提供的不同级别的安全模板，对当前系统的安全设置进行分析可以根据系统提供的不同级别的安全模板，对当前系统的安全设置进行分析可以用于直接配置本地系统的安全性可以用于直接配置本地系统的安全性n分析系统安全性分析系统安全性n配置本地计算机安全配置本地计算机安全 12.3 安全策略v 直接修改安全策略直接修改安全策略 12.4 安全事件审核v审核概述审核概述审核是管理员确定和跟踪潜在安全问题，保证用户可靠性以及审核是管理员确定和跟踪潜在安全问

15、题，保证用户可靠性以及提供安全破解证据的主要工具提供安全破解证据的主要工具实施审核策略需要决定哪些事件和对象需要审核实施审核策略需要决定哪些事件和对象需要审核事件日志审核是确定服务器是否被攻击的最有效方法之一事件日志审核是确定服务器是否被攻击的最有效方法之一有效地审核有效地审核Windows Server 2003系统的配置管理工作系统的配置管理工作 使用本地安全策略工具或域的组策略来部署审核策略使用本地安全策略工具或域的组策略来部署审核策略 设置安全日志的大小和特性设置安全日志的大小和特性 指定要监控的对象（例如文件和目录）及其访问类型指定要监控的对象（例如文件和目录）及其访问类型 定期查看

16、安全日志定期查看安全日志 12.4 安全事件审核v设置审核策略设置审核策略 在安全策略中设置审核策略确定是否将某类安全事件记录到安全日志中，是在安全策略中设置审核策略确定是否将某类安全事件记录到安全日志中，是否记录登录成功或登录失败否记录登录成功或登录失败 可根据情况通过本地安全策略或可根据情况通过本地安全策略或AD组策略来启用审核功能，指定要审核的系组策略来启用审核功能，指定要审核的系统事件类型统事件类型 12.4 安全事件审核v将审核策略应用到指定的对象将审核策略应用到指定的对象 审核对象访问是一类比较特殊的审核事件审核对象访问是一类比较特殊的审核事件 要对文件、文件夹、打印机等资源的访问

17、进行安全审核，还要将审核策略应要对文件、文件夹、打印机等资源的访问进行安全审核，还要将审核策略应用到这些对象用到这些对象 12.4 安全事件审核v通过查看安全日志查找安全漏洞通过查看安全日志查找安全漏洞n使用事件查看器查看安全日志使用事件查看器查看安全日志 12.4 安全事件审核v通过查看安全日志查找安全漏洞通过查看安全日志查找安全漏洞n管理安全日志管理安全日志 12.5 Microsoft更新v Microsoft更新概述更新概述 Service Pack（服务包）：保证软件产品是最新的，并修复产品发布后发现的问题（服务包）：保证软件产品是最新的，并修复产品发布后发现的问题 Hotfix（修

18、补程序）：针对特定问题而发布的代码修补程序，一组修补程序常常可以形（修补程序）：针对特定问题而发布的代码修补程序，一组修补程序常常可以形成一个服务包成一个服务包 Security Patch（安全补丁）：专门用来消除安全漏洞（安全补丁）：专门用来消除安全漏洞v 使用使用Microsoft更新服务更新服务n在线获取并安装更新在线获取并安装更新 当访问当访问Microsoft Update站点时，它将扫描用户的计算机并提供更新列表，以便用户决定站点时，它将扫描用户的计算机并提供更新列表，以便用户决定是否下载和安装是否下载和安装 首次使用需要下载安装相应的首次使用需要下载安装相应的ActiveX控件

19、，打开控件，打开Microsoft Update站点时，系统通过更站点时，系统通过更新控件与新控件与Microsoft Update站点通信，由该站点根据获取的系统信息来判断系统有哪些站点通信，由该站点根据获取的系统信息来判断系统有哪些Microsoft更新还没有安装更新还没有安装n自动获得安全更新自动获得安全更新 自动更新可以自动将自动更新可以自动将Microsoft更新下载到用户的计算机上更新下载到用户的计算机上 从控制面板中打开从控制面板中打开“自动更新自动更新”工具，启用自动更新即可工具，启用自动更新即可 12.5 Microsoft更新v 利用安全工具实现利用安全工具实现Micros

20、oft更新更新nMBSA的特性的特性扫描指定的计算机，并产生扫描报告扫描指定的计算机，并产生扫描报告除了检查操作系统可能导致安全问题的错误配置外，还能够检查除了检查操作系统可能导致安全问题的错误配置外，还能够检查Microsoft SQL Server、MSDE和和IIS的安全问题的安全问题检查可是否安装有最新的检查可是否安装有最新的Windows和和Office更新程序包更新程序包既可以执行本地扫描，又可执行远程扫描；既可扫描单台计算机，又可对多台计算机批量扫描既可以执行本地扫描，又可执行远程扫描；既可扫描单台计算机，又可对多台计算机批量扫描对于安全更新扫描，对于安全更新扫描，MBSA使用最

21、新的使用最新的Microsoft Update目录查询每个目标计算机来决定其安全更新的一致性目录查询每个目标计算机来决定其安全更新的一致性n使用使用MBSA扫描安全更新扫描安全更新 12.6 公钥基础结构v PKI概述概述n网络安全需求网络安全需求 信息保密信息保密信息传输的保密性，防止未授权者访问信息传输的保密性，防止未授权者访问 身份验证身份验证验证确认对方的身份验证确认对方的身份 抗否认抗否认防抵赖，确保发送方不能否认已发送的信息防抵赖，确保发送方不能否认已发送的信息 完整性控制完整性控制保证信息传输时不被修改、破坏或伪造保证信息传输时不被修改、破坏或伪造n对称加密技术对称加密技术 n非

22、对称加密（公钥加密）技术非对称加密（公钥加密）技术12.6 公钥基础结构v PKI概述概述n公钥基础结构公钥基础结构 公钥基础结构由公钥加密技术、数字证书、证书颁发机构（简称公钥基础结构由公钥加密技术、数字证书、证书颁发机构（简称CA，也称认证机构）和关于公钥的安，也称认证机构）和关于公钥的安全策略等共同组成全策略等共同组成 使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证使用公钥加密对参与电子交易的每一方的有效性进行验证和身份验证n数字证书数字证书 数字证书也称为数字数字证书也称为数字ID，是，是PKI的一种密钥管理媒介的一种密钥管理媒介 数字证书的格式一般采用数字证书的格式一般

23、采用X.509国际标准，便于纳入国际标准，便于纳入X.500目录检索服务体系目录检索服务体系 数字证书采用公钥密码机制，即利用一对互相匹配的密钥进行加密、解密数字证书采用公钥密码机制，即利用一对互相匹配的密钥进行加密、解密 数字证书由权威公正的第三方机构即认证中心签发数字证书由权威公正的第三方机构即认证中心签发 n证书颁发机构证书颁发机构n分层证书颁发体系分层证书颁发体系12.6 公钥基础结构vWindows Server 2003的的PKIn需要部署需要部署PKI的情形的情形 增强安全性。如通过智能卡获得强大的身份验证增强安全性。如通过智能卡获得强大的身份验证 简化管理。企业可以颁发证书并与

24、其他技术一起使用，这样就不需密码了简化管理。企业可以颁发证书并与其他技术一起使用，这样就不需密码了 网络应用安全网络应用安全nWindows Server 2003公钥基础结构的组件和特性公钥基础结构的组件和特性 证书证书 证书服务与证书服务与CA 证书模板证书模板 证书自动注册证书自动注册 Web注册页面注册页面 智能卡支持智能卡支持 公钥策略公钥策略 12.6 公钥基础结构v 管理证书颁发机构管理证书颁发机构n查看证书颁发机构证书查看证书颁发机构证书n配置策略模块（处理证书申请的方式）配置策略模块（处理证书申请的方式）n续订续订CA证书证书 当当CA自身的证书达到其有效期时，它颁发的所有证

25、书也将到期自身的证书达到其有效期时，它颁发的所有证书也将到期 CA没有续订并且没有续订并且CA的生存时间已到，则到期的的生存时间已到，则到期的CA发出的所有证书不再用作有效的安全凭据发出的所有证书不再用作有效的安全凭据 12.6 公钥基础结构v 管理证书颁发机构的证书管理证书颁发机构的证书n查看已颁发的证书查看已颁发的证书n审查颁发证书审查颁发证书n吊销证书吊销证书n管理证书模版管理证书模版 每一种证书模板代表一种用于特定目的的证书类型每一种证书模板代表一种用于特定目的的证书类型 证书申请者只能根据其访问权限从企业证书申请者只能根据其访问权限从企业CA提供的证书模板中进行选择提供的证书模板中进

26、行选择 12.6 公钥基础结构v注册证书注册证书n自动注册证书自动注册证书 设置用于自动注册的证书模板设置用于自动注册的证书模板 12.6 公钥基础结构v 注册证书注册证书n使用证书申请向导申请证书使用证书申请向导申请证书 可采用证书申请向导来选择证书模板，更有针对性地申请各类证书可采用证书申请向导来选择证书模板，更有针对性地申请各类证书 只有客户端计算机作为域成员才能使用这种方式只有客户端计算机作为域成员才能使用这种方式 使用使用“证书证书”管理单元，能够直接从企业管理单元，能够直接从企业CA获取证书获取证书 在使用证书管理单元之前，必须将其添加到在使用证书管理单元之前，必须将其添加到MMC

27、控制控制n使用使用Web浏览器申请证书浏览器申请证书 非域成员客户端。如非非域成员客户端。如非Windows计算机，没有加入域的计算机，没有加入域的Windows计算机计算机 需要通过需要通过NAT服务器来访问证书颁发机构的客户端计算机服务器来访问证书颁发机构的客户端计算机 为多个不同用户申请证书。自动注册或证书申请向导只能为当前登录用户注册证书为多个不同用户申请证书。自动注册或证书申请向导只能为当前登录用户注册证书 需要特殊的定制功能需要特殊的定制功能 12.6 公钥基础结构v注册证书注册证书n需要部署需要部署PKI的情形的情形 增强安全性。如通过智能卡获得强大的身份验证增强安全性。如通过智

28、能卡获得强大的身份验证 简化管理。企业可以颁发证书并与其他技术一起使用，这样就不需密码了简化管理。企业可以颁发证书并与其他技术一起使用，这样就不需密码了 网络应用安全网络应用安全nWindows Server 2003公钥基础结构的组件和特性公钥基础结构的组件和特性 证书证书 证书服务与证书服务与CA 证书模板证书模板 证书自动注册证书自动注册 Web注册页面注册页面 智能卡支持智能卡支持 公钥策略公钥策略 12.6 公钥基础结构v管理客户端的证书管理客户端的证书n检查个人证书检查个人证书 个人证书必须获得与证书上的公钥对应的私钥个人证书必须获得与证书上的公钥对应的私钥 在证书管理单元中展开在

29、证书管理单元中展开“个人个人”“证书证书”文件夹，双击要检查的证书打开相文件夹，双击要检查的证书打开相应的属性设置对话框应的属性设置对话框 对于一个有效的证书，必须确认对于一个有效的证书，必须确认“常规常规”选项卡中包含选项卡中包含“您有一个与该证书您有一个与该证书对应的私钥对应的私钥”的提示的提示 如果提示如果提示“您没有与该证书对应的私钥您没有与该证书对应的私钥”，那么表示注册失败，该证书无效，那么表示注册失败，该证书无效n检查受信任的根证书颁发机构检查受信任的根证书颁发机构 在证书管理单元中展开在证书管理单元中展开“受信任的根证书颁发机构受信任的根证书颁发机构”“证书证书”文件夹，查找文

30、件夹，查找带有颁发者证书颁发机构的名称的证书带有颁发者证书颁发机构的名称的证书 检查该证书是否有效，该证书不能过期，也不能没有生效检查该证书是否有效，该证书不能过期，也不能没有生效 12.7 Internet协议安全vIPSec概述概述nIPSec的两个目标的两个目标 保护保护IP数据包的内容数据包的内容 通过数据包筛选，并实施受信任通信来防御网络攻击通过数据包筛选，并实施受信任通信来防御网络攻击nIPSec的特性的特性 端对端安全性端对端安全性 基于网络层的透明保护基于网络层的透明保护 深度防卫深度防卫 基于策略的安全基于策略的安全 加密IP包网络加密端对端安全通信解密解密加密加密IP包IP

31、Sec系统IPSec系统应用层传输层（TCP|UDP|ICMP|RAW）IP包筛选（NAT/RRAS）IPSec（IPSec策略定义的筛选）片段/重组（Fragmentation/Reassembly）NDIS接口数据链路层物理层网络层结束处网络层起始处12.7 Internet协议安全vIPSec概述概述nIPSec的主要组件的主要组件 IPSec策略代理服务策略代理服务 IPSec安全协商安全协商 IPSec驱动程序驱动程序 12.7 Internet协议安全vIPSec概述概述nIPSec工作原理工作原理 启用启用IPSec通信的计算机发出通信请求时，双方通过通信的计算机发出通信请求时，

32、双方通过IKE协商存储在其数据库协商存储在其数据库中的安全关联中的安全关联 IPSec驱动程序应用定义的安全性方法传输数据驱动程序应用定义的安全性方法传输数据 12.7 Internet协议安全vIPSec概述概述nIPSec应用应用 计算机之间的安全通信计算机之间的安全通信 网络之间的安全通信网络之间的安全通信IPSec隧道隧道 L2TP虚拟专用网络虚拟专用网络 12.7 Internet协议安全vIPSec安全协议安全协议nIPSec传输模式传输模式 AH传输模式传输模式 原IP报头AH报头TCP/UDP报头数据AH签名原IP报头TCP/UDP报头数据原数据包IP有效荷载下一个报头长度SP

33、I保留序数身份验证数据12.7 Internet协议安全vIPSec安全协议安全协议nIPSec传输模式传输模式 ESP传输模式传输模式 原IP报头TCP/UDP报头数据原数据包原IP报头ESP报头数据ESP签名ESP报尾ESP验证TCP/UDP报头ESP加密IP有效荷载SPIESP报头序数身份验证数据下一个报头填充填充长度初始矢量ESP报尾ESP验证12.7 Internet协议安全vIPSec安全协议安全协议nIPSec隧道模式隧道模式 AH隧道模式隧道模式 ESP隧道模式隧道模式 原IP报头AH报头TCP/UDP报头数据AH签名新的隧道IP报头原IP报头ESP报头数据ESP签名ESP报尾

34、ESP验证TCP/UDP报头ESP加密新的隧道IP报头12.7 Internet协议安全vIPSec实施实施n实施实施IPSec包括包括3个方面的工作个方面的工作 配置配置IPSec策略策略 指派指派IPSec策略策略 启用启用IPSec服务服务nIPSec策略策略 配置配置IPSec策略是实施策略是实施IPSec的主要工作的主要工作 IPSec策略是一套用于策略是一套用于IPSec的安全规则的安全规则 可以通过配置可以通过配置IPSec策略来提供各种级别的通信保护策略来提供各种级别的通信保护nIPSec策略管理工具策略管理工具 可以直接在组策略编辑器或安全策略管理工具中配置管理域、计算机上的可以直接在组策略编辑器或安全策略管理工具中配置管理域、计算机上的IPSec策略策略 也可通过也可通过“IP安全策略管理安全策略管理”管理单元来专门配置管理管理单元来专门配置管理IPSec策略策略 12.7 Internet协议安全v配置配置IPSec策略策略nIPSec策略与规则策略与规则 可以定义多个可以定义多个IPSec策略，但同时只能激活一个策略策略，但同时只能激活一个策略 IPSec策略主要包括一套用于策略主要包括一套用于IPSec的安全规则的安全规则 每个策略可以包含一种或多种规则，多个规则可以同时激活，以便可以用一每个