網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理2823a_01

1、網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理——以Windows Server 2003和ISA Server 2004為例,,課程介紹,課程簡(jiǎn)介本課程主要介紹如何利用 ISA Server 2004 和 Windows Server 2003 進(jìn)行企業(yè)安全部署和企業(yè)日常管理的基本操作預(yù)備知識(shí)掌握 Windows Server 2003 操作系統(tǒng)的基本使用和配置掌握 Windows Server 2003 網(wǎng)絡(luò)的基本概念了解網(wǎng)絡(luò)基礎(chǔ)知識(shí),課程要求

2、,課時(shí)：90課時(shí)分為兩部分講課部分：54課時(shí)課堂教學(xué) 實(shí)踐部分：36課時(shí)實(shí)驗(yàn)教學(xué) 培養(yǎng)目標(biāo) 能夠保護(hù)企業(yè)服務(wù)器與成員計(jì)算機(jī)的安全能夠?qū)崿F(xiàn)企業(yè)數(shù)據(jù)信息的安全存儲(chǔ)能夠?qū)崿F(xiàn)企業(yè)數(shù)據(jù)的安全傳輸能夠保護(hù)無(wú)線網(wǎng)絡(luò)的安全能夠保護(hù)網(wǎng)絡(luò)邊界的安全能夠保護(hù)遠(yuǎn)程用戶安全訪問企業(yè)資源,課程知識(shí)點(diǎn),授權(quán)和身份驗(yàn)證（第 1 章）證書服務(wù)器的管理和部署（第2、3 章）智能卡相關(guān)概念和配置（第 4

3、章）客戶端和服務(wù)器端安全部署（第 6、7、8章）安全更新服務(wù)器的管理和部署（第9章）EFS 相關(guān)概念和操作（第5 章）數(shù)據(jù)傳輸安全的配置與部署（第 10、12、13章）ISA Server 2004 概述和安裝配置 （第14 、15章)ISA Server 2004 服務(wù)器配置和部署（第 15 到22 章）ISA Server 2004 服務(wù)器的監(jiān)視（第 23 章）,序言—課程分類和學(xué)習(xí)資料,我們的課主要分為兩種：理論課和

4、實(shí)驗(yàn)課。理論課：我們主要在教室里學(xué)習(xí)課本內(nèi)容。實(shí)驗(yàn)課：我們會(huì)把書上的實(shí)驗(yàn)到機(jī)房里去上機(jī)操作一下。,學(xué)習(xí)資料如下：課本學(xué)生光盤幻燈片（和上課演示的PPT是一樣的）多媒體視頻和交互練習(xí)實(shí)驗(yàn)手冊(cè)（每次實(shí)驗(yàn)的時(shí)候需要大家填寫的）實(shí)驗(yàn)文件（每次實(shí)驗(yàn)會(huì)用到一些文件）案例文檔課外閱讀,課程當(dāng)中產(chǎn)品升級(jí)信息,Windows Server 2003 自動(dòng)更新網(wǎng)站http://v4.windowsupdate.microsoft.co

5、m/zhcn/default.aspWindows Server 2003 Server 熱修復(fù)http://www.microsoft.com/technet/security/current.aspxISA Server 2004 官方網(wǎng)站http://www.microsoft.com/china/isaserver/ISA Server 2004 試用版下載http://www.microsoft.com/china

6、/isaserver/evaluation/trial/ISA Server 2004 標(biāo)準(zhǔn)版 SP1 下載http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=69c5d85c-5c80-473c-9cb4-60dda75d568d,服務(wù)包 (Service Pack)：熱修復(fù) (Hotfix)：,參考資料,互聯(lián)網(wǎng)資源htt

7、p://www.microsoft.com/technet/http://www.microsoft.com/china/technet/http://msdn.microsoft.com/http://www.microsoft.com/china/windowsserver2003微軟出版社書目Microsoft Windows Server(TM) 2003 PKI and Certificate Security (

8、Pro - One-Offs)ISBN：0735620210 Dr. Tom Shinder's Configuring ISA Server 2004ISBN：1931836191微軟院校課程http://www.mktgservice.com/msc/MSDN 和 TechNetMSDN 站點(diǎn)上包含了大量可供開發(fā)人員使用的文檔、代碼和技巧：http://msdn.microsoft.com/TechNet

9、站點(diǎn)上包括了 IT 專業(yè)人員在規(guī)劃、部署、運(yùn)行維護(hù)和管理時(shí)參看和使用的文檔和指南以及技巧：http://www.microsoft.com/technet/,第 1 章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略,網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理——以Windows Server 2003和ISA Server 2004為例,第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略第2章安裝、配置和管理證書頒發(fā)機(jī)構(gòu)第3章配置、部署和管理證書第4章智能卡證書的規(guī)劃、實(shí)

10、現(xiàn)和故障診斷第5章加密文件系統(tǒng)的規(guī)劃、實(shí)現(xiàn)和故障排除第6章規(guī)劃、配置和部署安全的成員服務(wù)器基線第7章為服務(wù)器角色規(guī)劃、配置和部署安全基線第8章規(guī)劃、配置、實(shí)現(xiàn)和部署安全客戶端計(jì)算機(jī)基線第9章規(guī)劃和實(shí)現(xiàn)軟件更新服務(wù)第10章 數(shù)據(jù)傳輸安全性的規(guī)劃、部署和故障排除第11章 部署配置和管理SSL第12章 規(guī)劃和實(shí)施無(wú)線網(wǎng)絡(luò)的安全措施第13章 保護(hù)遠(yuǎn)程訪問安全,網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理——以Windows Server

11、2003和ISA Server 2004為例,第14章 Microsoft ISA Server 概述第15章 安裝和維護(hù) ISA Server第16章 允許對(duì) Internet 資源的訪問第17章 配置 ISA Server 作為防火墻第18章 配置對(duì)內(nèi)部資源的訪問第19章 集成 ISA Server 2004和Microsoft Exchange Server第20章 高級(jí)應(yīng)用程序和Web篩選第21章 為遠(yuǎn)程客戶端和網(wǎng)

12、絡(luò)配置虛擬專用網(wǎng)絡(luò)訪問第22章 實(shí)現(xiàn)緩存第23章 監(jiān)視ISA Server 2004,第 1 章 規(guī)劃和配置授權(quán)和身份驗(yàn)證策略,Windows Server 2003 中的組和基本“組”策略在 Windows Server 2003 中創(chuàng)建信任使用組來(lái)規(guī)劃、實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略,為什么需要組，常見組類型有哪些？為什么要把組劃分為不同的作用域？在實(shí)際工作中，不同作用域的組應(yīng)如何使用？,

13、Windows Server 2003 中的組類型組作用域內(nèi)置組特殊組管理安全組的工具受限制的“組”策略創(chuàng)建受限制的“組”策略的方法,1.1 Windows Server 2003 中的組和基本組策略,Windows Server 2003 中的組和基本“組”策略,通訊組,僅使用在電子郵件應(yīng)用程序 沒有啟用安全特性,安全組,用于設(shè)置訪問控制，安全組的成員能繼承安全組的權(quán)限,什么情況下用通訊組、什么情況下只能用安全組？,1

14、.1.1 Windows Server 2003 中的組類型,Windows Server 2003 中的組類型,組作用域(按作用范圍來(lái)分),域本地組：用來(lái)配置本域資源的訪問控制權(quán)限，從資源的角度來(lái)設(shè)計(jì)的。全局組：用來(lái)組織本域中有相同訪問需求的安全主體，從用戶的角度來(lái)設(shè)計(jì)的。通用組：用來(lái)組織本林中各域有相同訪問需求的安全主體，主要是全局組A->G->U->DL-PA->G->DL-P,注：書P3頁(yè),

15、案例,假設(shè)在nwtraders.com林根域的文件服務(wù)器上有共享數(shù)據(jù)供林中各域的用戶訪問，每個(gè)域有些用戶只需查看文件內(nèi)容，另有些用戶還需更改數(shù)據(jù)文件內(nèi)容，請(qǐng)問一般應(yīng)該如何來(lái)實(shí)現(xiàn)它。,內(nèi)置組,設(shè)計(jì)用來(lái)管理對(duì)共享的資源的訪問，以及委派特定的域范圍的管理任務(wù) 內(nèi)置組,Print OperatorsRemote Desktop UsersReplicatorServer OperatorsUsersPerformance Monit

16、or UsersPre-Windows 2000 Compatible Access,Account OperatorsAdministratorsBackup OperatorsIncoming Forest Trust BuildersNetwork Configuration OperatorsPerformance Log Users,1.1.3 內(nèi)置組,具體參見書P4頁(yè),特殊組,設(shè)計(jì)用來(lái)提供對(duì)資源的訪問，而無(wú)需管理

17、或與用戶交互,Anonymous Logon Authenticated UsersEveryoneCreator OwnerInteractiveDialupBatchCreator Group,Terminal Server Users Local SystemNetworkSelfServiceOther OrganizationThis Organization,1.1.4 特殊組,具體請(qǐng)參見書P5頁(yè),

18、注：組作用域不適用于特殊組,管理安全組的工具,,功能,工具,用于在 Active Directory 中管理用戶和組的圖形工具,Active Directory 用戶和計(jì)算機(jī),,,ACL Editor,Whoami,Dsadd,Ifmember,Getsid,,,,,用于管理資源的用戶和組的工具,在命令窗口中顯示當(dāng)前用戶的訪問令牌的完整內(nèi)容的工具,創(chuàng)建組和管理組成員身份的命令行工具,,列舉當(dāng)前成員所屬的所有組的命令行工具,比較兩個(gè)用戶賬

19、戶的 SID 的命令行工具,,,,,,,1.1.5 管理安全組的工具,相關(guān)示例見下頁(yè),示例,cacls c:\test /t /e /c /g dgroup:r授予dgroup組對(duì)c:\test目錄讀取的權(quán)限dsadd ou ou=newou,ou=sales,dc=guangdong,dc=comgetsid \\server1 user1 \\server1 user2,Cacls用法：/T

20、 更改當(dāng)前目錄及其所有子目錄中指定文件的 ACL。/E 編輯 ACL 而不替換。/C 在出現(xiàn)拒絕訪問錯(cuò)誤時(shí)繼續(xù)。/G user:perm 賦予指定用戶訪問權(quán)限。 Perm 可以是: R 讀取

21、 W 寫入 C 更改(寫入) F 完全控制,什么是受限制的組？書P6-1.1.6,案例,如何確保SALES部門所有計(jì)算機(jī)的本地管理員組（administrators）中只包含如下成員：AdministratorDomain

22、 adminsEnterprise adminsSalesmanager(銷售部的管理員),受限制的組,使用受限制的“組”策略來(lái)限制組成員關(guān)系指定哪些成員屬于受限制的“組”應(yīng)用或刷新到計(jì)算機(jī)或 OU的策略 時(shí)，未在該策略中指定的組成員會(huì)被刪除應(yīng)用受限制的“組”策略定義安全模板中的策略直接在組策略對(duì)象（GPO）上定義設(shè)置,1.1.6 受限制的組策略,演示：創(chuàng)建“受限制的組”策略,1.1.7 創(chuàng)建受限制的組策略的方法,創(chuàng)建受

23、限制的組策略的方法,第 1 章 規(guī)劃和配置授權(quán)和身份驗(yàn)證策略,Windows Server 2003 中的組和基本組策略在 Windows Server 2003 中創(chuàng)建信任使用組來(lái)規(guī)劃、實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略,Windows Server 2003 中的信任在 Windows Server 2003 中信任使用的身份驗(yàn)證方法與服務(wù)器操作系統(tǒng)相關(guān)的信任類型使用 SI

24、D 篩選阻止 SID 電子欺騙創(chuàng)建信任的方法,1.2 在 Windows Server 2003 中創(chuàng)建信任,在 Windows Server 2003 中創(chuàng)建信任,域與域間為什么需要信任？常見的信任關(guān)系有哪些？,,,,,,,,,,林(根),,樹/根 信任,林 信任,,快捷方式 信任,外部 信任,,Kerberos 領(lǐng)域,,領(lǐng)域 信任,域 D,林 1,域 B,域 A,域 E,域 F,林(根),域 P,域 Q,,父/子

25、信任,林 2,域 C,,,1.2.1 Windows Server 2003 中的信任,Windows Server 2003 中的信任,傳遞性可傳遞性信任：自動(dòng)或手動(dòng)建立不可傳遞信任：不能自動(dòng)創(chuàng)建，必須手動(dòng)設(shè)置信任方向（用符號(hào)表示，由信任者指向被信任者）單向傳入（內(nèi)向信任）單向傳出 (外向信任)雙向互傳,關(guān)于信任的知識(shí)點(diǎn),關(guān)于信任的知識(shí)點(diǎn),單向傳入（內(nèi)向信任）就是接受其他域的信任如在域A設(shè)置一條域

26、A和域B之間的單向傳入信任，則域A的用戶能在域B中被認(rèn)證，也就是域A的用戶可以使用域B中的資源單向傳出(外向信任)就是信任其他的域,林內(nèi)自動(dòng)創(chuàng)建的信任關(guān)系均為雙向、可傳遞，其它的信任（外部、領(lǐng)域、林、快捷）均可單向或雙向,關(guān)于信任的知識(shí)點(diǎn),雙向互傳建立新的子域、子樹時(shí)，就會(huì)自動(dòng)建立雙向可傳遞的父子信任、樹根信任，這種信任關(guān)系不能被刪除不可傳遞不可傳遞信任并不流向林中的任何其他域不可傳遞信任默認(rèn)為單向信任關(guān)系，也可建立雙向不可

27、傳遞信任可單向或雙向,關(guān)于信任的知識(shí)點(diǎn),外部信任設(shè)置一個(gè)林中的域和另一個(gè)林中的域之間的信任關(guān)系（單向或雙向均可）為不可傳遞的信任快捷信任快捷信任是部分可傳遞的信任使用戶可以縮短復(fù)雜林中的信任路徑快捷信任具有優(yōu)化的性能進(jìn)行身份驗(yàn)證快捷信任必須手動(dòng)明確創(chuàng)建單向或雙向均可,林間信任（只能在2003林間） 是部分可傳遞的要手工配置可單向也可雙向,關(guān)于信任的知識(shí)點(diǎn),跨域資源訪問所用的身份驗(yàn)證方式有哪些？,在 Windows

28、 Server 2003 中信任使用的身份驗(yàn)證方法,1.2.2 在 Windows Server 2003 中信任使用的身份驗(yàn)證方法,信任類型,操作系統(tǒng),林信任、單向或雙向外部信任,Windows Server 2003 林之間,,,,Windows Server 2003 和 Windows 2000 林之間,Windows Server 2003 林和 Windows NT 4.0 林之間,運(yùn)行其他操作

29、系統(tǒng)的服務(wù)器之間,,單向或雙向外部信任,,,單向或雙向外部信任,,,,領(lǐng)域信任,1.2.3 與服務(wù)器操作系統(tǒng)相關(guān)的信任類型,與服務(wù)器操作系統(tǒng)相關(guān)的信任類型,什么是SID？域中安全主體的SID是如何構(gòu)成的？SID歷史記錄有何作用？什么是SID欺騙？,1.2.4 使用 SID 篩選阻止 SID 電子欺騙,使用 SID 篩選阻止 SID 電子欺騙,默認(rèn)情況下，Windows Server 2003活動(dòng)目錄中新的外部信任和林信任強(qiáng)制SID

30、篩選,創(chuàng)建信任的方法,,演示： 創(chuàng)建信任的方法,1.2.5 創(chuàng)建信任的方法,SID 篩選設(shè)置方法：Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No|yes示例：Netdom trust contoso.com /domain:shixun.com /quarantine:yes啟用或禁用SID歷史記錄表Netdom trust

31、trusting_domain_name /Domain:trusted_domain_name /EnableSIDHistory:yes | no示例：Netdom trust guangdong.com /domain:beijing.com /EnableSIDHistory:yes,默認(rèn)情況下，2003AD中新的外部信任和林信任都強(qiáng)制SID篩選,實(shí)驗(yàn)1-2 創(chuàng)建信任,1.2.6 實(shí)驗(yàn)1-2創(chuàng)建信任,兩個(gè)條件：1、解決

32、兩林之間的DNS解析2、林功能級(jí)別均庫(kù)windows server 2003,第 1 章 規(guī)劃和配置授權(quán)和身份驗(yàn)證策略,Windows Server 2003 中的組和基本組策略在 Windows Server 2003 中創(chuàng)建信任使用組來(lái)規(guī)劃、實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略,安全的三要素是什么？,身份驗(yàn)證、授權(quán)和最小特權(quán)用戶/ACL 方法賬戶組/ACL 授權(quán)方法賬戶組/資源組授權(quán)方法組命

33、名規(guī)則,1.3 使用組來(lái)規(guī)劃、實(shí)現(xiàn)和維護(hù)授權(quán)策略,使用組來(lái)規(guī)劃、實(shí)現(xiàn)和維護(hù)授權(quán)策略,,身份驗(yàn)證、授權(quán)和最小特權(quán),,,,用戶,資源,,,,,,1.3.1 身份驗(yàn)證、授權(quán)和最小特權(quán),用戶/ACL 方法,優(yōu)點(diǎn)對(duì)小型組織能起到很好的作用局限性管理員工作量就增加了，因?yàn)樗枰獮槊總€(gè)用戶設(shè)置對(duì)資源的訪問權(quán)限的控制故障診斷以及跟蹤哪些用戶對(duì)哪些資源擁有訪問權(quán)限可能很費(fèi)時(shí),1.3.2 用戶/ACL 方法,賬戶組/ACL 授權(quán)方法,優(yōu)點(diǎn)對(duì)于中

34、、小型企業(yè)來(lái)說(shuō)可簡(jiǎn)化管理局限性對(duì)于中大型企業(yè)來(lái)說(shuō)管理負(fù)擔(dān)還是較大故障診斷以及跟蹤哪些用戶對(duì)哪些資源擁有訪問權(quán)限可能很費(fèi)時(shí),1.3.3 賬戶組/ACL 授權(quán)方法,賬戶組/資源組授權(quán)方法,優(yōu)點(diǎn)將賬戶組添加到一個(gè)已被配置了相應(yīng)權(quán)限的資源組中，可減輕中大型企業(yè)的管理可以將賬戶組放置在受信任域中的 ACL 上（全局組）只要簡(jiǎn)單地將賬戶組刪除或放入資源組，就可以為組提供對(duì)資源的訪問權(quán)限局限性針對(duì)小組織不太適合,1.3.4 賬戶組/資

35、源組授權(quán)方法,組命名規(guī)則,直觀的命名規(guī)則，否則將大大提高添加或刪除成員時(shí)選錯(cuò)組的可能性命名規(guī)則的組成部分,1.3.5 組命名規(guī)則,示例：P16-17,實(shí)驗(yàn)1-3 創(chuàng)建組命名策略,1.3.7 實(shí)驗(yàn)1-3 創(chuàng)建組命名策略,第 1 章 規(guī)劃和配置授權(quán)和身份驗(yàn)證策略,Windows Server 2003 中的組和基本組策略在 Windows Server 2003 中創(chuàng)建信任使用組來(lái)規(guī)劃、實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)

36、劃和實(shí)現(xiàn)身份驗(yàn)證策略,身份驗(yàn)證模型的組件,Windows Server 2003 的身份驗(yàn)證功能 Windows Server 2003 中的身份驗(yàn)證協(xié)議LM 身份驗(yàn)證NTLM 身份驗(yàn)證的工作原理Kerberos 身份驗(yàn)證的工作原理 Windows Server 2003 的機(jī)密存儲(chǔ)診斷身份驗(yàn)證問題的工具,1.4 身份驗(yàn)證模型的組件,日常生活中進(jìn)行身份驗(yàn)證的方式有哪些？,對(duì)用戶賬戶的集中管理,單點(diǎn)登錄環(huán)境,支持計(jì)算機(jī)和服務(wù)賬

37、戶,多因素支持 (如對(duì)智能卡等的支持),審核,多協(xié)議(LM、NTLM、NTLMV2、Kerberos),1.4.1 Windows Server 2003 的身份驗(yàn)證功能,Windows Server 2003 的身份驗(yàn)證功能,NTLMKerberosDefault authentication protocol for Windows 2000 and Windows XP Professional以及更高版本的系統(tǒng)

38、最安全,Windows Server 2003 的身份驗(yàn)證功能,1.4.1 Windows Server 2003 的身份驗(yàn)證功能,LM 身份驗(yàn)證,提供與舊版操作系統(tǒng)的兼容性，包括 Windows 95、Windows 98、和 Windows NT 4.0 Service Pack 3 或更早版本,是安全性最弱的協(xié)議，最容易遭受攻擊,不要在 Windows Server 2003 中使用 LM 身份驗(yàn)證,密碼限制為不超過(guò) 14 個(gè)字

39、符,1.4.3 LM 身份驗(yàn)證,禁用方法：書P20頁(yè)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nolmhash使其為”1”,,NTLM 身份驗(yàn)證的工作原理,1.4.4 NTLM 身份驗(yàn)證的工作原理,當(dāng)用戶輸入用戶名和密碼后，計(jì)算機(jī)將用戶名發(fā)送給 KDC。KDC 包含一個(gè)主數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)保存了其領(lǐng)域內(nèi)每個(gè)安全主體獨(dú)有的長(zhǎng)期密鑰,KDC 查找用戶的主密鑰（KA）

40、，主密鑰基于用戶的密碼。然后，KDC 創(chuàng)建兩項(xiàng)：一個(gè)與用戶共享的會(huì)話密鑰（SA）和一張票證授予式票證（TGT，Ticket-Granting Ticket）。TGT 包含 SA、用戶名和過(guò)期時(shí)間的第二個(gè)副本。KDC 使用它自身的主密鑰（KKDC）加密此票證，此主密鑰只有 KDC 知道,目標(biāo)服務(wù)器,,KDC,用戶,客戶端計(jì)算機(jī)從 KDC 接收到信息，并通過(guò)單向哈希函數(shù)加密用戶的密碼，這樣就將密碼轉(zhuǎn)換成了用戶的 KA?？蛻舳擞?jì)算機(jī)現(xiàn)在有一個(gè)

41、會(huì)話密鑰和一個(gè) TGT，這樣就可以與 KDC 安全通信了,當(dāng) Kerberos 客戶端需要訪問同一域中成員服務(wù)器上的資源時(shí)，它會(huì)聯(lián)系 KDC?？蛻舳藢⑻峁?TGT 和用已經(jīng)與 KDC 共享會(huì)話密鑰加密的時(shí)間戳，接著，KDC 創(chuàng)建一對(duì)票證，一張給客戶端，另一張給客戶端需要訪問資源所在的服務(wù)器，KDC 獲取服務(wù)器的票證，并使用服務(wù)器主密鑰（KB）加密它。然后 KDC 將服務(wù)器的票證嵌套在客戶端的票證內(nèi)，這樣客戶端的票證也含有該 KAB,1.

42、4.5 Kerberos 身份驗(yàn)證的工作原理,Kerberos 身份驗(yàn)證的工作原理,本地憑據(jù)由本地安全機(jī)構(gòu)（LSA，Local Security Authority）存儲(chǔ)和維護(hù)。Lsass.exeLSA 存儲(chǔ)的敏感信息稱為L(zhǎng)SA機(jī)密，包括：信任關(guān)系密碼用戶名密碼服務(wù)賬戶名稱服務(wù)賬戶密碼,1.4.6 Windows Server 2003 的機(jī)密存儲(chǔ),Windows Server 2003 的機(jī)密存儲(chǔ),診斷身份驗(yàn)證問題的工具

43、,1.4.7 診斷身份驗(yàn)證問題的工具,Kerbtray.exe、 Klist.exe在Windows 資源工具包c(diǎn)mdkey.exe示例見下頁(yè),cmdkey示例(存儲(chǔ)的用戶名和密碼),要使用 cmdkey 為用戶user1 添加用戶名和密碼以便用密碼 P@ssw0rd 訪問計(jì)算機(jī) Server1，請(qǐng)鍵入： cmdkey /add:server1 /user:user1@guangdong.com /pass:P@ssw0rd要

44、使用 cmdkey 為用戶user1添加用戶名和密碼以便訪問計(jì)算機(jī) Server1 并在 Server1 被訪問時(shí)提示用戶輸入密碼，請(qǐng)鍵入： cmdkey /add:server1 /user:user1@guangdong.com,第 1 章 規(guī)劃和配置授權(quán)和身份驗(yàn)證策略,Windows Server 2003 中的組和基本組策略在 Windows Server 2003 中創(chuàng)建信任使用組來(lái)規(guī)劃、實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證

45、模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略,規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略,評(píng)估環(huán)境的注意事項(xiàng) 控制計(jì)算機(jī)訪問權(quán)的組策略設(shè)置創(chuàng)建強(qiáng)密碼策略的指導(dǎo)方針 賬戶鎖定策略和登錄限制的選項(xiàng) 創(chuàng)建 Kerberos 票證策略的選項(xiàng) Windows Server 2003 對(duì)早期操作系統(tǒng)的身份驗(yàn)證方法啟用安全身份驗(yàn)證的方法補(bǔ)充身份驗(yàn)證策略Windows 徽標(biāo)程序,1.5 規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略,評(píng)估環(huán)境的注意事項(xiàng),評(píng)估現(xiàn)有的網(wǎng)絡(luò)環(huán)境時(shí)包含以下內(nèi)容：

46、組織中域控制器的數(shù)目組織中站點(diǎn)之間的網(wǎng)絡(luò)連接的類型組織中可用的證書頒發(fā)機(jī)構(gòu)（CA，Certification Authority）的數(shù)量和它們的位置,1.5.1 評(píng)估環(huán)境的注意事項(xiàng),1.5.2 控制計(jì)算機(jī)訪問權(quán)的組策略設(shè)置,控制計(jì)算機(jī)訪問權(quán)的組策略設(shè)置,創(chuàng)建強(qiáng)密碼策略的指導(dǎo)方針,使用密碼復(fù)雜性功能 ：,要考慮到用戶能記住復(fù)雜的、更改頻繁和過(guò)長(zhǎng)密碼的能力 使用組策略來(lái)控制密碼策略：密碼最長(zhǎng)使用期限強(qiáng)制密碼歷史密碼最短使用期限

47、密碼長(zhǎng)度最小值,1.5.3 創(chuàng)建強(qiáng)密碼策略的指導(dǎo)方針,1.5.4 賬戶鎖定策略和登錄限制的選項(xiàng),賬戶鎖定策略和登錄限制的選項(xiàng),1.5.5 創(chuàng)建 Kerberos憑據(jù)策略的選項(xiàng),創(chuàng)建 Kerberos憑據(jù)策略的選項(xiàng),操作系統(tǒng)的身份驗(yàn)證級(jí)別,1.5.6 Windows Server 2003 對(duì)早期操作系統(tǒng)的身份驗(yàn)證方法,啟用安全身份驗(yàn)證的方法,演示：如何啟用安全身份驗(yàn)證通過(guò)組策略設(shè)置：安全選項(xiàng)->網(wǎng)絡(luò)安全：LAN Mana

48、ger身份驗(yàn)證級(jí)別,1.5.7 啟用安全身份驗(yàn)證的方法,通過(guò)注冊(cè)表來(lái)設(shè)置僅發(fā)送 NTLMv2 響應(yīng)HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel,拒絕 LMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nolmhash使其為”1”,僅發(fā)送 NTLMv2 響應(yīng),通過(guò)將 HKLM\Syst

49、em\CurrentControlSet\Control\LSA\LMCompatibilityLevel 設(shè)為等于 3 或更大的值，可以將運(yùn)行 Windows NT Service Pack 4 或更高版本操作系統(tǒng)的計(jì)算機(jī)配置為僅發(fā)送 NTLMv2 響應(yīng)。,補(bǔ)充的身份驗(yàn)證的策略,受委派的身份驗(yàn)證當(dāng)一個(gè)網(wǎng)絡(luò)服務(wù)接受來(lái)自用戶的請(qǐng)求并以該用戶的身份以啟動(dòng)一個(gè)新的連接到第二個(gè)服務(wù)時(shí)，就需要在第一個(gè)服務(wù)器上啟用受委派的身份驗(yàn)證 受限委派（

50、2003功能級(jí)別）允許管理員指定特定服務(wù)，受信任委派的計(jì)算機(jī)可以從這些服務(wù)請(qǐng)求資源,1.5.8 補(bǔ)充的身份驗(yàn)證的策略,下頁(yè)委派示例,委派示例,實(shí)驗(yàn)1-4 配置安全的身份驗(yàn)證,1.5.10 實(shí)驗(yàn)1-4 配置安全的身份驗(yàn)證,練習(xí) 1 規(guī)劃和實(shí)現(xiàn)資源授權(quán)策略練習(xí) 2 規(guī)劃和實(shí)現(xiàn)跨林身份驗(yàn)證策略練習(xí) 3 規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略,1.6 實(shí)驗(yàn) 1-5 規(guī)劃和配置身份驗(yàn)證和授權(quán)策略,實(shí)驗(yàn) 1-5 規(guī)劃和配置身份驗(yàn)證和授權(quán)策略

51、,回顧,學(xué)習(xí)完本章后，將能夠：為多域或多林環(huán)境確定必需的組織結(jié)構(gòu)在 Microsoft Windows Server 2003 環(huán)境中創(chuàng)建信任在多林組織中規(guī)劃、實(shí)現(xiàn)和維護(hù)授權(quán)和身份驗(yàn)證策略了解支持授權(quán)和身份驗(yàn)證的組件、工具和協(xié)議在多林組織中規(guī)劃和實(shí)現(xiàn)授權(quán)和身份驗(yàn)證策略了解補(bǔ)充的授權(quán)和身份驗(yàn)證策,,隨堂練習(xí) 1,你是 shixun 的安全管理員。網(wǎng)絡(luò)由一個(gè)叫做 shixun.com 的單一活動(dòng)目錄域組成。所有服務(wù)器運(yùn)行 Win

52、dows Server 2003 ?？蛻魴C(jī)運(yùn)行 Windows XP Professional 。你使用組策略來(lái)管理客戶機(jī)。Shixun 的一些管理員負(fù)責(zé)管理網(wǎng)絡(luò)連接和 TCP/IP 。這些管理員是著名的架構(gòu)工程師，同時(shí)也是叫做 Infra_Engineers 的一個(gè)全局組的成員。架構(gòu)工程師必須能夠配置和解決服務(wù)器和客戶機(jī)上的 TCP/IP 設(shè)置。你需要重新配置一個(gè)受限制的組策略，確保只有架構(gòu)工程師可以成為網(wǎng)絡(luò)中的成員。在所有客戶機(jī)

53、上配置操作員本地組。你想在沒有對(duì)架構(gòu)工程師授予不必要的權(quán)限的情況下來(lái)實(shí)現(xiàn)這個(gè)目標(biāo) 。你該怎么辦？,,隨堂練習(xí) 1（續(xù)）,為了回答這個(gè)問題，把合適的組拖動(dòng)到工作區(qū)中對(duì)話框的正確列表中。,,隨堂練習(xí) 1（續(xù)）,答案:,,隨堂練習(xí) 2,如圖：,,隨堂練習(xí) 2（續(xù)）,你是 shixun.com 的安全管理員。網(wǎng)絡(luò)由兩個(gè)叫做 shixun.com 和 foo.com 的活動(dòng)目錄林組成。Shixun.com 林的功能級(jí)別是Windows Serv

54、er 2003 ，如圖所示。Foo.com 林由一個(gè)單一活動(dòng)目錄域組成。Shixun.com 林中的域控制器不是運(yùn)行Window Server 2003 就是運(yùn)行 Windows 2000 Server 。Uk.shixun.com 域的技術(shù)支持人員負(fù)責(zé)創(chuàng)建 foo.com域的用戶帳戶。Shixun.com的寫安全策略表明每個(gè)用戶只允許有一個(gè)用戶帳戶。你需要配置網(wǎng)絡(luò)，允許技術(shù)支持人員在foo.com域創(chuàng)建用戶帳戶。你該怎么做？A

55、．在 foo.com 域信任 shixun.com 域的情況下，創(chuàng)建一個(gè)單向外部信任關(guān)系。B．在 shixun.com 域信任 foo.com 域的情況下，創(chuàng)建一個(gè)單向外部信任關(guān)系。C．在 uk.shixun.com 域信任 foo.com 域的情況下，創(chuàng)建一個(gè)單向外部信任關(guān)系。D．在 foo.com 域信任 uk.shixun.com 域的情況下，創(chuàng)建一個(gè)單向外部信任關(guān)系。,,隨堂練習(xí) 3,假設(shè)你是shixun.com的安全管理

56、員。網(wǎng)絡(luò)由兩個(gè)活動(dòng)目錄林組成的，每個(gè)林包含四個(gè)域。根域分別叫做shixun.com和foo.com并且網(wǎng)絡(luò)中的所有服務(wù)器運(yùn)行Windows Server 2003。你想允許兩個(gè)林的用戶可以訪問其他林的資源。你在shixun.com林和foo.com林之間創(chuàng)建了一個(gè)雙向林信任關(guān)系。然而，用戶報(bào)告說(shuō)他們不能訪問其他林中服務(wù)器上的資源。你檢測(cè)到兩個(gè)林之間的網(wǎng)絡(luò)連接和 DNS 域名解決運(yùn)行正確。用戶正在試圖連接擁有驗(yàn)證過(guò)的用戶組允許-讀權(quán)限

57、的資源。當(dāng)用戶試圖連接另一個(gè)林中的資源時(shí)，你發(fā)現(xiàn)所有用戶是其他成員組的成員。你需要確認(rèn)一個(gè)林中的用戶可以訪問其他林中服務(wù)器的資源。你該怎么做？A．對(duì)每一個(gè)林根域和其他林根域中的 Windows 身份驗(yàn)證訪問組安全組增加域計(jì)算機(jī)安全組。B．把林信任關(guān)系的身份驗(yàn)證區(qū)域配置為禁止選擇性身份驗(yàn)證。C．把每個(gè)林中的被信任的域?qū)ο螅═DO）配置為禁止更改名稱后綴。D．在每個(gè)根域中，把域控制器配置為全局目錄服務(wù)器。,,隨堂練習(xí) 4

58、,假設(shè)你是shixun的安全管理員。網(wǎng)絡(luò)由一個(gè)叫做shixun.com的單一活動(dòng)目錄域組成，所有的域控制器運(yùn)行Windows Server 2003，所有客戶機(jī)運(yùn)行Windows XP Professional。用戶在叫做shixun1的服務(wù)器上存儲(chǔ)文件。這些文件是機(jī)密文件，因此當(dāng)存儲(chǔ)在shixun1上的時(shí)候，必須一直是被加密的。你配置了一個(gè)新的證書頒發(fā)機(jī)構(gòu)(CA),并且發(fā)布這個(gè)對(duì)所有用戶都支持的加密文件系統(tǒng)（EFS）。用戶報(bào)告說(shuō)他們

59、不能對(duì)存儲(chǔ)在shixun1上的文件加密。他們報(bào)告說(shuō)他們只能對(duì)存儲(chǔ)在本機(jī)客戶機(jī)上的文件進(jìn)行加密。你該怎么做？把 shixun1注冊(cè)為一個(gè)支持文件加密的計(jì)算機(jī)證書。配置一個(gè)新的EFS恢復(fù)代理。使用活動(dòng)目錄配置EFS恢復(fù)代理。把shixun1計(jì)算機(jī)賬戶配置為委派信任。把每個(gè)客戶機(jī)注冊(cè)為一個(gè)支持文件加密的計(jì)算機(jī)證書。,,隨堂練習(xí) 5,假設(shè)你是shixun.com的安全管理員。網(wǎng)絡(luò)由兩個(gè)分別叫做shixun.com和de.shixun.

60、com的活動(dòng)目錄域組成。這些域在相同的活動(dòng)目錄林中。兩個(gè)域操作級(jí)別是Windows 2000混合模式。一個(gè)叫做 shixun7的 Windows Server 2003 計(jì)算機(jī)為shixun公司的用戶和計(jì)算機(jī)發(fā)布了證書。Shixun7是shixun.com活動(dòng)目錄域的一個(gè)成員。你計(jì)劃使用shixun7 對(duì)de.shixun.com 活動(dòng)目錄域中的身份驗(yàn)證過(guò)的計(jì)算機(jī)配置證書?，F(xiàn)在你需要?jiǎng)?chuàng)建一個(gè)對(duì)授權(quán)過(guò)的計(jì)算機(jī)限制證書注冊(cè)的訪問控制解決

61、方案來(lái)。你想通過(guò)最小的管理精力來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)。你該怎么做？把授權(quán)過(guò)的計(jì)算機(jī)賬戶添加到 de.shixun.com 域中的一個(gè)全局組中。然后在計(jì)算機(jī)板中拒絕該組的注冊(cè)權(quán)限把授權(quán)過(guò)的計(jì)算機(jī)賬戶添加到 de.shixun.com 域中的一個(gè)通用組中。然后在計(jì)算機(jī)板中拒絕該組的注冊(cè)權(quán)限把授權(quán)過(guò)的計(jì)算機(jī)賬戶添加到 shixun.com 域中的一個(gè)全局組中。然后在計(jì)算機(jī)板中拒絕該組的注冊(cè)權(quán)限把授權(quán)過(guò)的計(jì)算機(jī)賬戶添加到 shixun.com