網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理.ppt

網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理 以WindowsServer2003和ISAServer2004為例 課程介紹 課程簡(jiǎn)介本課程主要介紹如何利用ISAServer2004和WindowsServer2003進(jìn)行企業(yè)安全部署和企業(yè)日常管理的基本操作預(yù)備知識(shí)掌握WindowsServer2003操作系統(tǒng)的基本使用和配置掌握WindowsServer2003網(wǎng)絡(luò)的基本概念了解網(wǎng)絡(luò)基礎(chǔ)知識(shí) 課程要求 課時(shí) 90課時(shí)分為兩部分講課部分 54課時(shí)課堂教學(xué)實(shí)踐部分 36課時(shí)實(shí)驗(yàn)教學(xué)培養(yǎng)目標(biāo)能夠保護(hù)企業(yè)服務(wù)器與成員計(jì)算機(jī)的安全能夠?qū)崿F(xiàn)企業(yè)數(shù)據(jù)信息的安全存儲(chǔ)能夠?qū)崿F(xiàn)企業(yè)數(shù)據(jù)的安全傳輸能夠保護(hù)無(wú)線網(wǎng)絡(luò)的安全能夠保護(hù)網(wǎng)絡(luò)邊界的安全能夠保護(hù)遠(yuǎn)程用戶安全訪問(wèn)企業(yè)資源 課程知識(shí)點(diǎn) 授權(quán)和身份驗(yàn)證 第1章 證書(shū)服務(wù)器的管理和部署 第2 3章 智能卡相關(guān)概念和配置 第4章 客戶端和服務(wù)器端安全部署 第6 7 8章 安全更新服務(wù)器的管理和部署 第9章 EFS相關(guān)概念和操作 第5章 數(shù)據(jù)傳輸安全的配置與部署 第10 12 13章 ISAServer2004概述和安裝配置 第14 15章 ISAServer2004服務(wù)器配置和部署 第15到22章 ISAServer2004服務(wù)器的監(jiān)視 第23章 序言 課程分類和學(xué)習(xí)資料 我們的課主要分為兩種 理論課和實(shí)驗(yàn)課 理論課 我們主要在教室里學(xué)習(xí)課本內(nèi)容 實(shí)驗(yàn)課 我們會(huì)把書(shū)上的實(shí)驗(yàn)到機(jī)房里去上機(jī)操作一下 學(xué)習(xí)資料如下 課本學(xué)生光盤(pán)幻燈片 和上課演示的PPT是一樣的 多媒體視頻和交互練習(xí)實(shí)驗(yàn)手冊(cè) 每次實(shí)驗(yàn)的時(shí)候需要大家填寫(xiě)的 實(shí)驗(yàn)文件 每次實(shí)驗(yàn)會(huì)用到一些文件 案例文檔課外閱讀 課程當(dāng)中產(chǎn)品升級(jí)信息 WindowsServer2003自動(dòng)更新網(wǎng)站 服務(wù)包 ServicePack 熱修復(fù) Hotfix 參考資料 互聯(lián)網(wǎng)資源微軟出版社書(shū)目MicrosoftWindowsServer TM 2003PKIandCertificateSecurity Pro One Offs ISBN 0735620210Dr TomShinder sConfiguringISAServer2004ISBN 1931836191微軟院校課程 第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略 網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理 以WindowsServer2003和ISAServer2004為例 第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略第2章安裝 配置和管理證書(shū)頒發(fā)機(jī)構(gòu)第3章配置 部署和管理證書(shū)第4章智能卡證書(shū)的規(guī)劃 實(shí)現(xiàn)和故障診斷第5章加密文件系統(tǒng)的規(guī)劃 實(shí)現(xiàn)和故障排除第6章規(guī)劃 配置和部署安全的成員服務(wù)器基線第7章為服務(wù)器角色規(guī)劃 配置和部署安全基線第8章規(guī)劃 配置 實(shí)現(xiàn)和部署安全客戶端計(jì)算機(jī)基線第9章規(guī)劃和實(shí)現(xiàn)軟件更新服務(wù)第10章數(shù)據(jù)傳輸安全性的規(guī)劃 部署和故障排除第11章部署配置和管理SSL第12章規(guī)劃和實(shí)施無(wú)線網(wǎng)絡(luò)的安全措施第13章保護(hù)遠(yuǎn)程訪問(wèn)安全 網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理 以WindowsServer2003和ISAServer2004為例 第14章MicrosoftISAServer概述第15章安裝和維護(hù)ISAServer第16章允許對(duì)Internet資源的訪問(wèn)第17章配置ISAServer作為防火墻第18章配置對(duì)內(nèi)部資源的訪問(wèn)第19章集成ISAServer2004和MicrosoftExchangeServer第20章高級(jí)應(yīng)用程序和Web篩選第21章為遠(yuǎn)程客戶端和網(wǎng)絡(luò)配置虛擬專用網(wǎng)絡(luò)訪問(wèn)第22章實(shí)現(xiàn)緩存第23章監(jiān)視ISAServer2004 第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略 WindowsServer2003中的組和基本 組 策略在WindowsServer2003中創(chuàng)建信任使用組來(lái)規(guī)劃 實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略 為什么需要組 常見(jiàn)組類型有哪些 為什么要把組劃分為不同的作用域 在實(shí)際工作中 不同作用域的組應(yīng)如何使用 WindowsServer2003中的組類型組作用域內(nèi)置組特殊組管理安全組的工具受限制的 組 策略創(chuàng)建受限制的 組 策略的方法 1 1WindowsServer2003中的組和基本組策略 WindowsServer2003中的組和基本 組 策略 通訊組 僅使用在電子郵件應(yīng)用程序沒(méi)有啟用安全特性 安全組 用于設(shè)置訪問(wèn)控制 安全組的成員能繼承安全組的權(quán)限 什么情況下用通訊組 什么情況下只能用安全組 1 1 1WindowsServer2003中的組類型 WindowsServer2003中的組類型 組作用域 按作用范圍來(lái)分 域本地組 用來(lái)配置本域資源的訪問(wèn)控制權(quán)限 從資源的角度來(lái)設(shè)計(jì)的 全局組 用來(lái)組織本域中有相同訪問(wèn)需求的安全主體 從用戶的角度來(lái)設(shè)計(jì)的 通用組 用來(lái)組織本林中各域有相同訪問(wèn)需求的安全主體 主要是全局組A G U DL PA G DL P 注 書(shū)P3頁(yè) 案例 假設(shè)在林根域的文件服務(wù)器上有共享數(shù)據(jù)供林中各域的用戶訪問(wèn) 每個(gè)域有些用戶只需查看文件內(nèi)容 另有些用戶還需更改數(shù)據(jù)文件內(nèi)容 請(qǐng)問(wèn)一般應(yīng)該如何來(lái)實(shí)現(xiàn)它 內(nèi)置組 設(shè)計(jì)用來(lái)管理對(duì)共享的資源的訪問(wèn) 以及委派特定的域范圍的管理任務(wù)內(nèi)置組 PrintOperatorsRemoteDesktopUsersReplicatorServerOperatorsUsersPerformanceMonitorUsersPre Windows2000CompatibleAccess AccountOperatorsAdministratorsBackupOperatorsIncomingForestTrustBuildersNetworkConfigurationOperatorsPerformanceLogUsers 1 1 3內(nèi)置組 具體參見(jiàn)書(shū)P4頁(yè) 特殊組 設(shè)計(jì)用來(lái)提供對(duì)資源的訪問(wèn) 而無(wú)需管理或與用戶交互 AnonymousLogonAuthenticatedUsersEveryoneCreatorOwnerInteractiveDialupBatchCreatorGroup TerminalServerUsersLocalSystemNetworkSelfServiceOtherOrganizationThisOrganization 1 1 4特殊組 具體請(qǐng)參見(jiàn)書(shū)P5頁(yè) 注 組作用域不適用于特殊組 管理安全組的工具 功能 工具 用于在ActiveDirectory中管理用戶和組的圖形工具 ActiveDirectory用戶和計(jì)算機(jī) ACLEditor Whoami Dsadd Ifmember Getsid 用于管理資源的用戶和組的工具 在命令窗口中顯示當(dāng)前用戶的訪問(wèn)令牌的完整內(nèi)容的工具 創(chuàng)建組和管理組成員身份的命令行工具 列舉當(dāng)前成員所屬的所有組的命令行工具 比較兩個(gè)用戶賬戶的SID的命令行工具 1 1 5管理安全組的工具 相關(guān)示例見(jiàn)下頁(yè) 示例 caclsc test t e c gdgroup r授予dgroup組對(duì)c test目錄讀取的權(quán)限dsaddouou newou ou sales dc guangdong dc comgetsid server1user1 server1user2 Cacls用法 T更改當(dāng)前目錄及其所有子目錄中指定文件的ACL E編輯ACL而不替換 C在出現(xiàn)拒絕訪問(wèn)錯(cuò)誤時(shí)繼續(xù) Guser perm賦予指定用戶訪問(wèn)權(quán)限 Perm可以是 R讀取W寫(xiě)入C更改 寫(xiě)入 F完全控制 什么是受限制的組 書(shū)P6 1 1 6 案例 如何確保SALES部門(mén)所有計(jì)算機(jī)的本地管理員組 administrators 中只包含如下成員 AdministratorDomainadminsEnterpriseadminsSalesmanager 銷(xiāo)售部的管理員 受限制的組 使用受限制的 組 策略來(lái)限制組成員關(guān)系指定哪些成員屬于受限制的 組 應(yīng)用或刷新到計(jì)算機(jī)或OU的策略時(shí) 未在該策略中指定的組成員會(huì)被刪除應(yīng)用受限制的 組 策略定義安全模板中的策略直接在組策略對(duì)象 GPO 上定義設(shè)置 1 1 6受限制的組策略 演示 創(chuàng)建 受限制的組 策略 1 1 7創(chuàng)建受限制的組策略的方法 創(chuàng)建受限制的組策略的方法 第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略 WindowsServer2003中的組和基本組策略在WindowsServer2003中創(chuàng)建信任使用組來(lái)規(guī)劃 實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略 WindowsServer2003中的信任在WindowsServer2003中信任使用的身份驗(yàn)證方法與服務(wù)器操作系統(tǒng)相關(guān)的信任類型使用SID篩選阻止SID電子欺騙創(chuàng)建信任的方法 1 2在WindowsServer2003中創(chuàng)建信任 在WindowsServer2003中創(chuàng)建信任 域與域間為什么需要信任 常見(jiàn)的信任關(guān)系有哪些 林 根 樹(shù) 根信任 林信任 快捷方式信任 外部信任 Kerberos領(lǐng)域 領(lǐng)域信任 域D 林1 域B 域A 域E 域F 林 根 域P 域Q 父 子信任 林2 域C 1 2 1WindowsServer2003中的信任 WindowsServer2003中的信任 傳遞性可傳遞性信任 自動(dòng)或手動(dòng)建立不可傳遞信任 不能自動(dòng)創(chuàng)建 必須手動(dòng)設(shè)置信任方向 用符號(hào)表示 由信任者指向被信任者 單向傳入 內(nèi)向信任 單向傳出 外向信任 雙向互傳 關(guān)于信任的知識(shí)點(diǎn) 關(guān)于信任的知識(shí)點(diǎn) 單向傳入 內(nèi)向信任 就是接受其他域的信任如在域A設(shè)置一條域A和域B之間的單向傳入信任 則域A的用戶能在域B中被認(rèn)證 也就是域A的用戶可以使用域B中的資源單向傳出 外向信任 就是信任其他的域 林內(nèi)自動(dòng)創(chuàng)建的信任關(guān)系均為雙向 可傳遞 其它的信任 外部 領(lǐng)域 林 快捷 均可單向或雙向 關(guān)于信任的知識(shí)點(diǎn) 雙向互傳建立新的子域 子樹(shù)時(shí) 就會(huì)自動(dòng)建立雙向可傳遞的父子信任 樹(shù)根信任 這種信任關(guān)系不能被刪除不可傳遞不可傳遞信任并不流向林中的任何其他域不可傳遞信任默認(rèn)為單向信任關(guān)系 也可建立雙向不可傳遞信任可單向或雙向 關(guān)于信任的知識(shí)點(diǎn) 外部信任設(shè)置一個(gè)林中的域和另一個(gè)林中的域之間的信任關(guān)系 單向或雙向均可 為不可傳遞的信任快捷信任快捷信任是部分可傳遞的信任使用戶可以縮短復(fù)雜林中的信任路徑快捷信任具有優(yōu)化的性能進(jìn)行身份驗(yàn)證快捷信任必須手動(dòng)明確創(chuàng)建單向或雙向均可 林間信任 只能在2003林間 是部分可傳遞的要手工配置可單向也可雙向 關(guān)于信任的知識(shí)點(diǎn) 跨域資源訪問(wèn)所用的身份驗(yàn)證方式有哪些 在WindowsServer2003中信任使用的身份驗(yàn)證方法 1 2 2在WindowsServer2003中信任使用的身份驗(yàn)證方法 信任類型 操作系統(tǒng) 林信任 單向或雙向外部信任 WindowsServer2003林之間 WindowsServer2003和Windows2000林之間 WindowsServer2003林和WindowsNT4 0林之間 運(yùn)行其他操作系統(tǒng)的服務(wù)器之間 單向或雙向外部信任 單向或雙向外部信任 領(lǐng)域信任 1 2 3與服務(wù)器操作系統(tǒng)相關(guān)的信任類型 與服務(wù)器操作系統(tǒng)相關(guān)的信任類型 什么是SID 域中安全主體的SID是如何構(gòu)成的 SID歷史記錄有何作用 什么是SID欺騙 1 2 4使用SID篩選阻止SID電子欺騙 使用SID篩選阻止SID電子欺騙 默認(rèn)情況下 WindowsServer2003活動(dòng)目錄中新的外部信任和林信任強(qiáng)制SID篩選 創(chuàng)建信任的方法 演示 創(chuàng)建信任的方法 1 2 5創(chuàng)建信任的方法 SID篩選設(shè)置方法 NetdomtrustTrustingDomainName domain TrustedDomainName quarantine No yes示例 N 默認(rèn)情況下 2003AD中新的外部信任和林信任都強(qiáng)制SID篩選 實(shí)驗(yàn)1 2創(chuàng)建信任 1 2 6實(shí)驗(yàn)1 2創(chuàng)建信任 兩個(gè)條件 1 解決兩林之間的DNS解析2 林功能級(jí)別均庫(kù)windowsserver2003 第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略 WindowsServer2003中的組和基本組策略在WindowsServer2003中創(chuàng)建信任使用組來(lái)規(guī)劃 實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略 安全的三要素是什么 身份驗(yàn)證 授權(quán)和最小特權(quán)用戶 ACL方法賬戶組 ACL授權(quán)方法賬戶組 資源組授權(quán)方法組命名規(guī)則 1 3使用組來(lái)規(guī)劃 實(shí)現(xiàn)和維護(hù)授權(quán)策略 使用組來(lái)規(guī)劃 實(shí)現(xiàn)和維護(hù)授權(quán)策略 身份驗(yàn)證 授權(quán)和最小特權(quán) 用戶 資源 1 3 1身份驗(yàn)證 授權(quán)和最小特權(quán) 用戶 ACL方法 優(yōu)點(diǎn)對(duì)小型組織能起到很好的作用局限性管理員工作量就增加了 因?yàn)樗枰獮槊總€(gè)用戶設(shè)置對(duì)資源的訪問(wèn)權(quán)限的控制故障診斷以及跟蹤哪些用戶對(duì)哪些資源擁有訪問(wèn)權(quán)限可能很費(fèi)時(shí) 1 3 2用戶 ACL方法 賬戶組 ACL授權(quán)方法 優(yōu)點(diǎn)對(duì)于中 小型企業(yè)來(lái)說(shuō)可簡(jiǎn)化管理局限性對(duì)于中大型企業(yè)來(lái)說(shuō)管理負(fù)擔(dān)還是較大故障診斷以及跟蹤哪些用戶對(duì)哪些資源擁有訪問(wèn)權(quán)限可能很費(fèi)時(shí) 1 3 3賬戶組 ACL授權(quán)方法 賬戶組 資源組授權(quán)方法 優(yōu)點(diǎn)將賬戶組添加到一個(gè)已被配置了相應(yīng)權(quán)限的資源組中 可減輕中大型企業(yè)的管理可以將賬戶組放置在受信任域中的ACL上 全局組 只要簡(jiǎn)單地將賬戶組刪除或放入資源組 就可以為組提供對(duì)資源的訪問(wèn)權(quán)限局限性針對(duì)小組織不太適合 1 3 4賬戶組 資源組授權(quán)方法 組命名規(guī)則 直觀的命名規(guī)則 否則將大大提高添加或刪除成員時(shí)選錯(cuò)組的可能性命名規(guī)則的組成部分 1 3 5組命名規(guī)則 示例 P16 17 實(shí)驗(yàn)1 3創(chuàng)建組命名策略 1 3 7實(shí)驗(yàn)1 3創(chuàng)建組命名策略 第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略 WindowsServer2003中的組和基本組策略在WindowsServer2003中創(chuàng)建信任使用組來(lái)規(guī)劃 實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略 身份驗(yàn)證模型的組件 WindowsServer2003的身份驗(yàn)證功能WindowsServer2003中的身份驗(yàn)證協(xié)議LM身份驗(yàn)證NTLM身份驗(yàn)證的工作原理Kerberos身份驗(yàn)證的工作原理WindowsServer2003的機(jī)密存儲(chǔ)診斷身份驗(yàn)證問(wèn)題的工具 1 4身份驗(yàn)證模型的組件 日常生活中進(jìn)行身份驗(yàn)證的方式有哪些 對(duì)用戶賬戶的集中管理 單點(diǎn)登錄環(huán)境 支持計(jì)算機(jī)和服務(wù)賬戶 多因素支持 如對(duì)智能卡等的支持 審核 多協(xié)議 LM NTLM NTLMV2 Kerberos 1 4 1WindowsServer2003的身份驗(yàn)證功能 WindowsServer2003的身份驗(yàn)證功能 NTLMKerberosDefaultauthenticationprotocolforWindows2000andWindowsXPProfessional以及更高版本的系統(tǒng)最安全 WindowsServer2003的身份驗(yàn)證功能 1 4 1WindowsServer2003的身份驗(yàn)證功能 LM身份驗(yàn)證 提供與舊版操作系統(tǒng)的兼容性 包括Windows95 Windows98 和WindowsNT4 0ServicePack3或更早版本 是安全性最弱的協(xié)議 最容易遭受攻擊 不要在WindowsServer2003中使用LM身份驗(yàn)證 密碼限制為不超過(guò)14個(gè)字符 1 4 3LM身份驗(yàn)證 禁用方法 書(shū)P20頁(yè)HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa nolmhash使其為 1 NTLM身份驗(yàn)證的工作原理 1 4 4NTLM身份驗(yàn)證的工作原理 當(dāng)用戶輸入用戶名和密碼后 計(jì)算機(jī)將用戶名發(fā)送給KDC KDC包含一個(gè)主數(shù)據(jù)庫(kù) 該數(shù)據(jù)庫(kù)保存了其領(lǐng)域內(nèi)每個(gè)安全主體獨(dú)有的長(zhǎng)期密鑰 KDC查找用戶的主密鑰 KA 主密鑰基于用戶的密碼 然后 KDC創(chuàng)建兩項(xiàng) 一個(gè)與用戶共享的會(huì)話密鑰 SA 和一張票證授予式票證 TGT Ticket GrantingTicket TGT包含SA 用戶名和過(guò)期時(shí)間的第二個(gè)副本 KDC使用它自身的主密鑰 KKDC 加密此票證 此主密鑰只有KDC知道 目標(biāo)服務(wù)器 KDC 用戶 客戶端計(jì)算機(jī)從KDC接收到信息 并通過(guò)單向哈希函數(shù)加密用戶的密碼 這樣就將密碼轉(zhuǎn)換成了用戶的KA 客戶端計(jì)算機(jī)現(xiàn)在有一個(gè)會(huì)話密鑰和一個(gè)TGT 這樣就可以與KDC安全通信了 當(dāng)Kerberos客戶端需要訪問(wèn)同一域中成員服務(wù)器上的資源時(shí) 它會(huì)聯(lián)系KDC 客戶端將提供TGT和用已經(jīng)與KDC共享會(huì)話密鑰加密的時(shí)間戳 接著 KDC創(chuàng)建一對(duì)票證 一張給客戶端 另一張給客戶端需要訪問(wèn)資源所在的服務(wù)器 KDC獲取服務(wù)器的票證 并使用服務(wù)器主密鑰 KB 加密它 然后KDC將服務(wù)器的票證嵌套在客戶端的票證內(nèi) 這樣客戶端的票證也含有該KAB 1 4 5Kerberos身份驗(yàn)證的工作原理 Kerberos身份驗(yàn)證的工作原理 本地憑據(jù)由本地安全機(jī)構(gòu) LSA LocalSecurityAuthority 存儲(chǔ)和維護(hù) Lsass exeLSA存儲(chǔ)的敏感信息稱為L(zhǎng)SA機(jī)密 包括 信任關(guān)系密碼用戶名密碼服務(wù)賬戶名稱服務(wù)賬戶密碼 1 4 6WindowsServer2003的機(jī)密存儲(chǔ) WindowsServer2003的機(jī)密存儲(chǔ) 診斷身份驗(yàn)證問(wèn)題的工具 1 4 7診斷身份驗(yàn)證問(wèn)題的工具 Kerbtray exe Klist exe在Windows資源工具包c(diǎn)mdkey exe示例見(jiàn)下頁(yè) cmdkey示例 存儲(chǔ)的用戶名和密碼 要使用cmdkey為用戶user1添加用戶名和密碼以便用密碼P ssw0rd訪問(wèn)計(jì)算機(jī)Server1 請(qǐng)鍵入 cmdkey add server1 user user1 第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略 WindowsServer2003中的組和基本組策略在WindowsServer2003中創(chuàng)建信任使用組來(lái)規(guī)劃 實(shí)現(xiàn)和維護(hù)授權(quán)策略身份驗(yàn)證模型的組件規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略 規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略 評(píng)估環(huán)境的注意事項(xiàng)控制計(jì)算機(jī)訪問(wèn)權(quán)的組策略設(shè)置創(chuàng)建強(qiáng)密碼策略的指導(dǎo)方針賬戶鎖定策略和登錄限制的選項(xiàng)創(chuàng)建Kerberos票證策略的選項(xiàng)WindowsServer2003對(duì)早期操作系統(tǒng)的身份驗(yàn)證方法啟用安全身份驗(yàn)證的方法補(bǔ)充身份驗(yàn)證策略Windows徽標(biāo)程序 1 5規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略 評(píng)估環(huán)境的注意事項(xiàng) 評(píng)估現(xiàn)有的網(wǎng)絡(luò)環(huán)境時(shí)包含以下內(nèi)容 組織中域控制器的數(shù)目組織中站點(diǎn)之間的網(wǎng)絡(luò)連接的類型組織中可用的證書(shū)頒發(fā)機(jī)構(gòu) CA CertificationAuthority 的數(shù)量和它們的位置 1 5 1評(píng)估環(huán)境的注意事項(xiàng) 1 5 2控制計(jì)算機(jī)訪問(wèn)權(quán)的組策略設(shè)置 控制計(jì)算機(jī)訪問(wèn)權(quán)的組策略設(shè)置 創(chuàng)建強(qiáng)密碼策略的指導(dǎo)方針 使用密碼復(fù)雜性功能 要考慮到用戶能記住復(fù)雜的 更改頻繁和過(guò)長(zhǎng)密碼的能力使用組策略來(lái)控制密碼策略 密碼最長(zhǎng)使用期限強(qiáng)制密碼歷史密碼最短使用期限密碼長(zhǎng)度最小值 1 5 3創(chuàng)建強(qiáng)密碼策略的指導(dǎo)方針 1 5 4賬戶鎖定策略和登錄限制的選項(xiàng) 賬戶鎖定策略和登錄限制的選項(xiàng) 1 5 5創(chuàng)建Kerberos憑據(jù)策略的選項(xiàng) 創(chuàng)建Kerberos憑據(jù)策略的選項(xiàng) 操作系統(tǒng)的身份驗(yàn)證級(jí)別 1 5 6WindowsServer2003對(duì)早期操作系統(tǒng)的身份驗(yàn)證方法 啟用安全身份驗(yàn)證的方法 演示 如何啟用安全身份驗(yàn)證通過(guò)組策略設(shè)置 安全選項(xiàng) 網(wǎng)絡(luò)安全 LANManager身份驗(yàn)證級(jí)別 1 5 7啟用安全身份驗(yàn)證的方法 通過(guò)注冊(cè)表來(lái)設(shè)置僅發(fā)送NTLMv2響應(yīng)HKLM System CurrentControlSet Control LSA LMCompatibilityLevel 拒絕LMHKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa nolmhash使其為 1 僅發(fā)送NTLMv2響應(yīng) 通過(guò)將HKLM System CurrentControlSet Control LSA LMCompatibilityLevel設(shè)為等于3或更大的值 可以將運(yùn)行WindowsNTServicePack4或更高版本操作系統(tǒng)的計(jì)算機(jī)配置為僅發(fā)送NTLMv2響應(yīng) 補(bǔ)充的身份驗(yàn)證的策略 受委派的身份驗(yàn)證當(dāng)一個(gè)網(wǎng)絡(luò)服務(wù)接受來(lái)自用戶的請(qǐng)求并以該用戶的身份以啟動(dòng)一個(gè)新的連接到第二個(gè)服務(wù)時(shí) 就需要在第一個(gè)服務(wù)器上啟用受委派的身份驗(yàn)證受限委派 2003功能級(jí)別 允許管理員指定特定服務(wù) 受信任委派的計(jì)算機(jī)可以從這些服務(wù)請(qǐng)求資源 1 5 8補(bǔ)充的身份驗(yàn)證的策略 下頁(yè)委派示例 委派示例 實(shí)驗(yàn)1 4配置安全的身份驗(yàn)證 1 5 10實(shí)驗(yàn)1 4配置安全的身份驗(yàn)證 練習(xí)1規(guī)劃和實(shí)現(xiàn)資源授權(quán)策略練習(xí)2規(guī)劃和實(shí)現(xiàn)跨林身份驗(yàn)證策略練習(xí)3規(guī)劃和實(shí)現(xiàn)身份驗(yàn)證策略 1 6實(shí)驗(yàn)1 5規(guī)劃和配置身份驗(yàn)證和授權(quán)策略 實(shí)驗(yàn)1 5規(guī)劃和配置身份驗(yàn)證和授權(quán)策略 回顧 學(xué)習(xí)完本章后 將能夠 為多域或多林環(huán)境確定必需的組織結(jié)構(gòu)在MicrosoftWindowsServer2003環(huán)境中創(chuàng)建信任在多林組織中規(guī)劃 實(shí)現(xiàn)和維護(hù)授權(quán)和身份驗(yàn)證策略了解支持授權(quán)和身份驗(yàn)證的組件 工具和協(xié)議在多林組織中規(guī)劃和實(shí)現(xiàn)授權(quán)和身份驗(yàn)證策略了解補(bǔ)充的授權(quán)和身份驗(yàn)證策 隨堂練習(xí)1 你是shixun的安全管理員 網(wǎng)絡(luò)由一個(gè)叫做的單一活動(dòng)目錄域組成 所有服務(wù)器運(yùn)行WindowsServer2003 客戶機(jī)運(yùn)行WindowsXPProfessional 你使用組策略來(lái)管理客戶機(jī) Shixun的一些管理員負(fù)責(zé)管理網(wǎng)絡(luò)連接和TCP IP 這些管理員是著名的架構(gòu)工程師 同時(shí)也是叫做Infra Engineers的一個(gè)全局組的成員 架構(gòu)工程師必須能夠配置和解決服務(wù)器和客戶機(jī)上的TCP IP設(shè)置 你需要重新配置一個(gè)受限制的組策略 確保只有架構(gòu)工程師可以成為網(wǎng)絡(luò)中的成員 在所有客戶機(jī)上配置操作員本地組 你想在沒(méi)有對(duì)架構(gòu)工程師授予不必要的權(quán)限的情況下來(lái)實(shí)現(xiàn)這個(gè)目標(biāo) 你該怎么辦 隨堂練習(xí)1 續(xù) 為了回答這個(gè)問(wèn)題 把合適的組拖動(dòng)到工作區(qū)中對(duì)話框的正確列表中 隨堂練習(xí)1 續(xù) 答案 隨堂練習(xí)2 如圖 隨堂練習(xí)2 續(xù) 你是的安全管理員 網(wǎng)絡(luò)由兩個(gè)叫做和的活動(dòng)目錄林組成 S林的功能級(jí)別是WindowsServer2003 如圖所示 F林由一個(gè)單一活動(dòng)目錄域組成 S林中的域控制器不是運(yùn)行WindowServer2003就是運(yùn)行Windows2000Server U域的技術(shù)支持人員負(fù)責(zé)創(chuàng)建域的用戶帳戶 S的寫(xiě)安全策略表明每個(gè)用戶只允許有一個(gè)用戶帳戶 你需要配置網(wǎng)絡(luò) 允許技術(shù)支持人員在域創(chuàng)建用戶帳戶 你該怎么做 A 在域信任域的情況下 創(chuàng)建一個(gè)單向外部信任關(guān)系 B 在域信任域的情況下 創(chuàng)建一個(gè)單向外部信任關(guān)系 C 在域信任域的情況下 創(chuàng)建一個(gè)單向外部信任關(guān)系 D 在域信任域的情況下 創(chuàng)建一個(gè)單向外部信任關(guān)系 隨堂練習(xí)3 假設(shè)你是的安全管理員 網(wǎng)絡(luò)由兩個(gè)活動(dòng)目錄林組成的 每個(gè)林包含四個(gè)域 根域分別叫做和并且網(wǎng)絡(luò)中的所有服務(wù)器運(yùn)行WindowsServer2003 你想允許兩個(gè)林的用戶可以訪問(wèn)其他林的資源 你在林和林