國際it著名-p和驗證、授權(quán)_第1頁
國際it著名-p和驗證、授權(quán)_第2頁
國際it著名-p和驗證、授權(quán)_第3頁
國際it著名-p和驗證、授權(quán)_第4頁
國際it著名-p和驗證、授權(quán)_第5頁
已閱讀5頁,還剩51頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

和驗證、福州大學

吳海東MCSE/MCDBA,CIWSA,MOE講師《

的實現(xiàn)和管理——以Windows

Server

2003和ISA

Server

2004為例》課程系列講座之一課程介紹課程簡介本課程主要介紹如何利用ISA

Server2004

和Windows

Server

2003

進行企業(yè)安全部署和企業(yè)日常管理的基礎(chǔ)操作預(yù)備知識掌握

Windows

Server

2003

操作系統(tǒng)的基本使用和配置掌握Windows

Server

2003

網(wǎng)絡(luò)的基本概念了解網(wǎng)絡(luò)基本知識課程要求:90分為兩部分講課部分:54實踐部分:36,課堂教學,課程實驗培養(yǎng)目標通過本課程的學習,掌握使用ISA

Server

2004

和利用WindowsServer

2003

進行日常安全管理和企業(yè)

部署的知識和技能,具備部署、管理和解決日常

問題和理解如何配置安全部署。教學對象–三年制IT技術(shù)專業(yè),二年級,、網(wǎng)絡(luò)管理等認證:MCP

70-299或70-350課程知識點和

驗證(第

1

章)服務(wù)器的相關(guān)管理和部署(第2、3章)智能卡相關(guān)概念和配置(第

4章)客戶端和服務(wù)器端安全部署(第

6、7章)EFS相關(guān)概念和操作(第5章)安全更新服務(wù)器的管理和部署(第9章)數(shù)據(jù)傳輸安全配置與部署(第

10~13章)ISA

Server

2004概述和安裝配置

(第14、15章)ISA

Server

2004服務(wù)器配置和部署上(第

16

~17,第22章)ISA

Server2004服務(wù)器配置和部署下(第

18

~21章)ISA

Server2004服務(wù)器的監(jiān)視(第

23章)今日驗證策略與驗證和用戶和組規(guī)劃本章考點Q&A1和+

=風險基本流程net等)1

和、信息搜集(物理信息,網(wǎng)絡(luò)資源,社會工程)認證

(IPC$,SQL,系統(tǒng)

(IIS,SQL)木馬

(網(wǎng)頁木馬)隱藏技術(shù)(權(quán)限提升)后門與腳?。[藏

,清除日志)1和微軟深度防御理念策略、規(guī)程ACL、加密應(yīng)用程序強化、防操作系統(tǒng)強化、修補程序管理、驗證、主機 檢測網(wǎng)段、IPSec、網(wǎng)絡(luò) 檢測、、鎖、 設(shè)備風險管理、用戶教育數(shù)據(jù)應(yīng)用程序主機網(wǎng)絡(luò)網(wǎng)絡(luò)周邊物理安全性2

驗證和驗證模型的組件Windows

Server

2003

的Windows

Server2003

中的驗證功能

驗證協(xié)議驗證驗證的工作原理LMNTLMKerberos驗證的工作原理Windows

Server2003

的驗證問題的工具對用戶賬戶的集中管理單點登錄環(huán)境計算機和服務(wù)賬戶多因素支持審核協(xié)議2

驗證和Windows

Server

2003

的驗證功能Windows

Server

2003

的–

NTLM驗證功能KerberosDefault

authentication

協(xié)議for

Windows

2000

andWindows

XP

Professional最安全–雙向驗證,基于票據(jù),可傳遞信任關(guān)系驗證,數(shù)據(jù)加密,用戶票據(jù)回播(Playback),委派驗證協(xié)議范例LM用于OS2

和Windows

工作組,包括Windows

95、Windows98

和Windows

MeNTLMv1用于連接到運行Windows

NT

Service

Pack

3

或更早版本的服務(wù)器。NTLMv1

使用56

位加密保護該協(xié)議的安全NTLMv2用于連接到運行Windows

2000、Windows

XP、和WindowsNT

Service

Pack

4

或更高版本的服務(wù)器2

驗證和NTLM和Kerberos的比較需求NTLMKerberos速度傳遞式 驗證,慢單一票據(jù)系統(tǒng),快智能卡不支持支持文檔微軟專利標準,少開放式標準,多數(shù)據(jù)保護在早期的NTLM中幾乎沒有任何數(shù)據(jù)保護提供基于

的強保護網(wǎng)絡(luò)兼容性只與微軟網(wǎng)絡(luò)兼容與任何基于Kerberos的網(wǎng)絡(luò)兼容操作系統(tǒng)兼容性兼容Windows

2000之前的操作系統(tǒng)必須在Windows

2000或之后的操作系統(tǒng)的域環(huán)境中2

驗證和不要在Windows

Server

2003

中使用LM驗證LM

驗證提供對較舊的操作系統(tǒng)的兼容性,包括Windows95、Windows

98、和WindowsNT4.0ServicePack3或更早版本是安全性最弱的協(xié)議,最容易限制為不超過14

個字符HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash設(shè)置為1,關(guān)閉LM

HashNTLM驗證的工作原理用戶名,域安全賬戶數(shù)據(jù)庫Nonce2用戶的哈希+Nonce3用戶的哈希+Nonce用戶的哈希+Nonce514用戶的哈希4KABKABTGT+SATGT+時間戳用戶名當Kerberos

客戶端需要同一域中的成員服務(wù)器上的資源時,它會聯(lián)系KDC??蛻舳藢⑻峁㏕GT

和用已經(jīng)與KDC

共享的會話密鑰加密的時間戳,接著,KDC

創(chuàng)建一對票證,一張給客戶端,另一張給客戶端需要的資源所在的服務(wù)器,KDC

獲取服務(wù)器的票證,并使用服務(wù)器主密鑰(KB)加密它。然后KDC

將服務(wù)器的票證嵌套在客戶端的票證內(nèi),這樣,客戶端的票證也含有該KABKerberos驗證的工作原理Windows

Server

2003

的–

本地

由本地安全機構(gòu)(LSA,LocalSecurity

Authority)和。LSA

負責:管理本地安全策略對用戶進行 驗證創(chuàng)建

令牌控制審核策略LSA信任關(guān)系用戶名?服務(wù)賬戶服務(wù)賬戶名稱利用syskey.exe程序保護LSA2

驗證和2

驗證和驗證問題的工具工具功能Kerbtray.exe此GUI

工具顯示了Kerberos

票證信息允許你查看和清除該票證緩存Klist.exe允許你查看和刪除被授予給當前登錄會話的Kerberos

票證CmdKey.exe創(chuàng)建、列出和刪除 的用戶名和 或憑據(jù)請安裝2003

Resource

Kit

ToolsXP環(huán)境下有XP

Resource

Kit

Tools,但功效不同用戶和組的重要作用用戶/ACL

方法方法方法賬戶組/ACL賬戶組/資源組組命名規(guī)則決定組作廢的時間的方法3

用戶和組用戶和組的重要作用–

構(gòu)建 令牌的關(guān)鍵組件用戶的SID用戶所屬組的SID用戶對本機的權(quán)限,比如關(guān)機,取得所–

資源的門檻等–

最容易出現(xiàn)的 之一3.0

保護用戶和組的重要性3.1

用戶/ACL

方法優(yōu)點–對小型組織能起到很好的作用局限性–同一職能的用戶可能對資源有不一致的訪問權(quán)限–

管理員工作量就增加了,因為他需要為每個用戶設(shè)置對資源的 權(quán)限的控制哪些用戶對哪些資源擁–

故障

以及有權(quán)限可能很費時3.2

賬戶組/ACL方法優(yōu)點除了為單個的組修改權(quán)限,作為替代方法,還可以將賬戶組添加到一個已被配置了相應(yīng)權(quán)限的資源組中可以將賬戶組放置在受信任域中的ACL

上只要簡單地將賬戶組刪除或放入資源組,就可以為組提供對資源的 權(quán)限局限性方法不太實用對于小型組織,賬戶組/資源組管理負擔增加哪些用戶對哪些資源擁有 權(quán)限可–

故障 以及能很費時3.3

賬戶組/資源組

方法優(yōu)點除了為單個的組修改權(quán)限,作為替代方法,還可以將賬戶組添加到一個已被配置了相應(yīng)權(quán)限的資源組中可以將賬戶組放置在受信任域中的ACL

上只要簡單地將賬戶組刪除或放入資源組,就可以為組提供對資源的

權(quán)限局限性針對小組織不太適合3.4

組命名規(guī)則為組使用非直觀 名規(guī)則可能潛在地導(dǎo)致組織中安全性的損害不使用直觀 名規(guī)則,將大大提高添加或刪除成員時 組的可能性命名規(guī)則的組成部分組成部分示例組類型GG

代表全局組,UN

代表通用組,DLG

代表本地域組組的位置Sea

代表Seattle(西雅圖)組的用途Admins

代表管理員3.5

決定組作廢的時間的方法如果某個賬戶組的成員 在一段時間內(nèi)絲毫未發(fā)生變化,該組可能過期了使用“Active

Directory

用戶和計算機”中保存的查詢功能來搜索潛在過期的組查詢格式(&(objectCategory=group)(whenChanged<=YYYYMMDDHHMMSS.0-8))3.7

組作用域全局組通用組域本地組3.8驗證、和最小的模式限資源驗證:檢驗用戶或程序的過程用戶是Victorl

Li:判斷用戶或其他程序是否有資源的權(quán)限Victorl

Li

資源用戶控制:執(zhí)行Victorl

Li

需資源3.9

內(nèi)置組,以及委派特設(shè)計用來管理對共享的資源的定的域范圍的管理任務(wù)內(nèi)置組Performance

MonitorUsersPre-Windows

2000Compatible

AccessPrint

OperatorsRemote

Desktop

UsersReplicatorServer

OperatorsUsersAccount

OperatorsAdministratorsBackup

Operatorsing

林信任BuildersNetwork

ConfigurationOperatorsPerformance

LogUsers3.10

特殊組設(shè)計用來提供對資源的Anonymous

LogonAuthenticated

UsersBatchCreator

GroupCreator

OwnerDialupEveryoneInteractive,而無需管理或用戶交互Local

SystemNetworkSelfServiceTerminal

Server

UsersOther

OrganizationThis

Organization3.11

管理安全組的工具3.12

受限制的組策略使用“受限制的組”策略來控制成員關(guān)系指定哪些成員屬于“受限制的組”應(yīng)用或刷新到計算機或OU

時,未在該策略中指定的組成員會被刪除應(yīng)用受限制的組策略定義安全模板中的策略-或-直接在組策略對象(GPO)上定義設(shè)置3.13

在Windows

Server

2003中創(chuàng)建信任Windows

Server

2003

中的信任在Windows

Server

2003

中信任使用的方法與服務(wù)器操作系統(tǒng)相關(guān)的信任類型使用

SID

篩選

SID

電子創(chuàng)建信任的方法驗證樹是共 個連續(xù)命名空間的域的集合??砂粋€或多個域,而域必須存在于一棵樹中;樹中的第一個域被稱為樹的根域,其他域則稱為子域;樹中的Windows

2003域通過雙向可傳遞信任關(guān)系在一起,因此在樹中新創(chuàng)建的Windows域可以立即與樹中每個其他的Windows域建立信任關(guān)系森林包括多棵樹,隨林中的樹不形成連續(xù)的空間森林的根域是森林中創(chuàng)建的第一個域,森林的根

不能再更改活動

的幾個重要概念–森林中的所有樹的根域域森林的根域建立雙向可傳遞的信任關(guān)系。又由于樹中的域也是通過雙向可傳遞信任關(guān)系在一起,因此整個森林中的域都是互相信任;著森林的公用配置信息、–森林根域上的第一個DC公用架構(gòu)和公用全局編錄。信任關(guān)系–指一種建立在域之間的邏輯關(guān)系,可使一個域中的用戶可被另一個域的域控制器驗證,并獲得

該域中的資源的權(quán)限每個信任關(guān)系都代表著一條信任路徑,即打破域的安全邊界,從而使得一個域有驗證其他域上賬號的權(quán)利使用戶或計算機僅需要登錄網(wǎng)絡(luò)一次即可

多個域中資源活動

的幾個重要概念樹/根信任林信任快捷方式信任外部信任領(lǐng)域信任父/子信任Windows

Server

2003

中的信任3.14

Windows

Server

2003

中信任使用的 驗證方法信任類型驗證協(xié)議父/子Kerberos,

NTLM樹/根Kerberos,

NTLM外部NTLM領(lǐng)域Kerberos林Kerberos,

NTLM快捷方式Kerberos,

NTLM3.15

與服務(wù)器操作系統(tǒng)相關(guān)的信任類型如果來自受信任域的域管理員將一個已知的安全主體關(guān)聯(lián)到受信任域中普通用戶賬戶的SID

上,就會發(fā)生SID

電子SID

電子欺騙SID

篩選使管理員可以舍棄使用那些可能被用作電子

的SID

的憑據(jù)SID篩選停用SID

SID

篩選在遷移用戶和組到其他域時必須停該功選

能3.16

使用SID

篩選電子SIDSID過濾可用于保護跨

林邊界的外部信任或目錄林信任關(guān)系,但對快捷信任是無效的。SID過濾的工作原理外部/林信任SIDHistory當管理員將用戶和組遷移到另一個域,管理員可將舊賬號的SID加入新的遷移賬號的SIDHistory屬性中。新的賬號擁有兩個SID新賬號就可繼承舊賬號SID的資源 權(quán)限SIDHistory的優(yōu)劣優(yōu)點:不需要逐步檢查舊賬號的資源 權(quán)限缺點:若信任上不使用SID過濾,那么受信任域中具有管理員權(quán)限的該有的權(quán)限。對用戶舊可有可能提升在信任域中的不林的外部信任是一個極大安全隱患。SIDHistory信任域和受信任域的管理員都是

任和善意的–因為只有域管理員可以修改用戶的SIDHistory屬性當全局組不是在受信任域中創(chuàng)建–

全局組擁有對任何域和

林的權(quán)限信任域中的資源受信任域中的全局組可能被賦予全局于只能包括受信任域的SID受信任域中有大量遷移用戶擁有以前域的SID都需要

信任域中的資源何時使用SID過濾在Windows

2000

SP4和Windows

2003的域控是默認啟動Netdom.exe–

Netdom

trust

Trusting__Name_Name

/

:no/

:Trusted_/usero:/passwordo:administratorAcctadminpwd–

Netdom

trust

Trusting_:Trusted__Name_Name

/:yes//usero:/passwordo:administratorAcctadminpwd禁用/啟用SID過濾保護信任關(guān)系4

規(guī)劃驗證策略評估環(huán)境的注意事項控制對計算機

的組策略設(shè)置創(chuàng)建強 策略的指導(dǎo)方針賬戶鎖定策略和登錄限制的選項創(chuàng)建Kerberos

票證策略的選項Windows

Server

2003

對早期操作系統(tǒng)的驗證方法啟用安全補充的驗證的方法驗證的策略Windows

徽標程序4.0

評估環(huán)境的注意事項評估現(xiàn)有的網(wǎng)絡(luò)環(huán)境時包含一下內(nèi)容:–組織中域控制器的數(shù)目–組織中站點之間的網(wǎng)絡(luò)連接的類型–組織中可用的 頒發(fā)機構(gòu)(CA,Certification

Authority)的數(shù)量和它們的位置組策略設(shè)置描述從網(wǎng)絡(luò)

此計算機用戶權(quán)利決定允許哪些用戶和組通過網(wǎng)絡(luò)連接到計算機允許在本地登錄此登錄權(quán)利決定哪些用戶可以對這臺計算機進行交互式登錄本地登錄安全設(shè)置決定哪些用戶被 在該計算機上登錄作為批處理作業(yè)登錄此安全設(shè)置決定哪些賬戶被

在該計算機上作為批處理作業(yè)登錄從網(wǎng)絡(luò)

這臺計算機此安全設(shè)置決定哪些用戶被

通過網(wǎng)絡(luò)計算機從擴展塢中取出計算機此安全設(shè)置確定用戶是否無需登錄即可將便攜式計算機從其擴展塢刪除4.1

控制對計算機的組策略設(shè)置4.2

創(chuàng)建強策略的指導(dǎo)方針實施

策略需要:教育用戶在組織中使用 的必要性建議用戶不要在

中使用個人信息的能使用 復(fù)雜性功能:要考慮到用戶能記住復(fù)雜的、更改頻繁的和過長的力使用組策略來控制 策略:最長使用期限強制 歷史最短使用期限長度最小值組策略設(shè)置描述賬戶鎖定閾值確定在賬戶被鎖定前,可以進行的登錄嘗試的次數(shù)賬戶鎖定時間確定鎖定的賬戶在自動 前保持鎖定狀態(tài)的分鐘數(shù)復(fù)位賬戶鎖定計數(shù)器確定在該計數(shù)器被復(fù)位為

0(即0

次失敗登錄嘗試)之前,嘗試登錄失敗之后所需的分鐘數(shù)強制用戶登錄限制確定KDC是否通過檢查目標計算機上的用戶權(quán)利策略來驗證每一個會話票證請求4.3

賬戶鎖定策略和登錄限制的選項缺省域組策略設(shè)置描述用戶票證最長確定用戶票證過期前可使用的時間服務(wù)票證最長確定服務(wù)票證過期前可使用的時間用戶票證續(xù)訂最長壽命確定用戶的TGT

可以續(xù)訂的天數(shù)4.4

創(chuàng)建Kerberos

票證策略的選項4.5 WindowsServer

2003對早期操作系統(tǒng)的 驗證方法級別客戶端域控制器Level

0發(fā)送LM

和NTLM

響應(yīng),從不使用NTLMv2

會話安全使用LM、NTLM

和NTLMv2Level

1使用

LM

和NTLM。如果客戶端支持,還將使用

NTLMv2使用LM、NTLM

和NTLMv2Level

2僅使用NTLM

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論