和驗(yàn)證、福州大學(xué)

吳海東MCSE/MCDBA,CIWSA,MOE講師《

的實(shí)現(xiàn)和管理——以Windows

Server

2003和ISA

Server

2004為例》課程系列講座之一課程介紹課程簡介本課程主要介紹如何利用ISA

Server2004

和Windows

Server

2003

進(jìn)行企業(yè)安全部署和企業(yè)日常管理的基礎(chǔ)操作預(yù)備知識掌握

Windows

Server

2003

操作系統(tǒng)的基本使用和配置掌握Windows

Server

2003

網(wǎng)絡(luò)的基本概念了解網(wǎng)絡(luò)基本知識課程要求：90分為兩部分講課部分：54實(shí)踐部分：36，課堂教學(xué)，課程實(shí)驗(yàn)培養(yǎng)目標(biāo)通過本課程的學(xué)習(xí)，掌握使用ISA

Server

2004

和利用WindowsServer

2003

進(jìn)行日常安全管理和企業(yè)

部署的知識和技能，具備部署、管理和解決日常

問題和理解如何配置安全部署。教學(xué)對象–三年制IT技術(shù)專業(yè)，二年級，、網(wǎng)絡(luò)管理等認(rèn)證：MCP

70-299或70-350課程知識點(diǎn)和

驗(yàn)證（第

1

章）服務(wù)器的相關(guān)管理和部署（第2、3章）智能卡相關(guān)概念和配置（第

4章）客戶端和服務(wù)器端安全部署（第

6、7章）EFS相關(guān)概念和操作（第5章）安全更新服務(wù)器的管理和部署（第9章）數(shù)據(jù)傳輸安全配置與部署（第

10～13章）ISA

Server

2004概述和安裝配置

（第14、15章)ISA

Server

2004服務(wù)器配置和部署上（第

16

～17，第22章）ISA

Server2004服務(wù)器配置和部署下（第

18

～21章）ISA

Server2004服務(wù)器的監(jiān)視（第

23章）今日驗(yàn)證策略與驗(yàn)證和用戶和組規(guī)劃本章考點(diǎn)Q&A1和＋

＝風(fēng)險基本流程net等）1

和、信息搜集（物理信息，網(wǎng)絡(luò)資源，社會工程）認(rèn)證

（IPC$，SQL，系統(tǒng)

（IIS，SQL）木馬

（網(wǎng)頁木馬）隱藏技術(shù)（權(quán)限提升）后門與腳?。[藏

，清除日志）1和微軟深度防御理念策略、規(guī)程ACL、加密應(yīng)用程序強(qiáng)化、防操作系統(tǒng)強(qiáng)化、修補(bǔ)程序管理、驗(yàn)證、主機(jī) 檢測網(wǎng)段、IPSec、網(wǎng)絡(luò) 檢測、、鎖、 設(shè)備風(fēng)險管理、用戶教育數(shù)據(jù)應(yīng)用程序主機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)周邊物理安全性2

驗(yàn)證和驗(yàn)證模型的組件Windows

Server

2003

的Windows

Server2003

中的驗(yàn)證功能

驗(yàn)證協(xié)議驗(yàn)證驗(yàn)證的工作原理LMNTLMKerberos驗(yàn)證的工作原理Windows

Server2003

的驗(yàn)證問題的工具對用戶賬戶的集中管理單點(diǎn)登錄環(huán)境計算機(jī)和服務(wù)賬戶多因素支持審核協(xié)議2

驗(yàn)證和Windows

Server

2003

的驗(yàn)證功能Windows

Server

2003

的–

NTLM驗(yàn)證功能KerberosDefault

authentication

協(xié)議for

Windows

2000

andWindows

XP

Professional最安全–雙向驗(yàn)證，基于票據(jù)，可傳遞信任關(guān)系驗(yàn)證，數(shù)據(jù)加密，用戶票據(jù)回播（Playback），委派驗(yàn)證協(xié)議范例LM用于OS2

和Windows

工作組，包括Windows

95、Windows98

和Windows

MeNTLMv1用于連接到運(yùn)行Windows

NT

Service

Pack

3

或更早版本的服務(wù)器。NTLMv1

使用56

位加密保護(hù)該協(xié)議的安全NTLMv2用于連接到運(yùn)行Windows

2000、Windows

XP、和WindowsNT

Service

Pack

4

或更高版本的服務(wù)器2

驗(yàn)證和NTLM和Kerberos的比較需求NTLMKerberos速度傳遞式 驗(yàn)證，慢單一票據(jù)系統(tǒng)，快智能卡不支持支持文檔微軟專利標(biāo)準(zhǔn)，少開放式標(biāo)準(zhǔn)，多數(shù)據(jù)保護(hù)在早期的NTLM中幾乎沒有任何數(shù)據(jù)保護(hù)提供基于

的強(qiáng)保護(hù)網(wǎng)絡(luò)兼容性只與微軟網(wǎng)絡(luò)兼容與任何基于Kerberos的網(wǎng)絡(luò)兼容操作系統(tǒng)兼容性兼容Windows

2000之前的操作系統(tǒng)必須在Windows

2000或之后的操作系統(tǒng)的域環(huán)境中2

驗(yàn)證和不要在Windows

Server

2003

中使用LM驗(yàn)證LM

驗(yàn)證提供對較舊的操作系統(tǒng)的兼容性，包括Windows95、Windows

98、和WindowsNT4.0ServicePack3或更早版本是安全性最弱的協(xié)議，最容易限制為不超過14

個字符HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash設(shè)置為1，關(guān)閉LM

HashNTLM驗(yàn)證的工作原理用戶名,域安全賬戶數(shù)據(jù)庫Nonce2用戶的哈希+Nonce3用戶的哈希＋Nonce用戶的哈希+Nonce514用戶的哈希4KABKABTGT+SATGT+時間戳用戶名當(dāng)Kerberos

客戶端需要同一域中的成員服務(wù)器上的資源時，它會聯(lián)系KDC?？蛻舳藢⑻峁㏕GT

和用已經(jīng)與KDC

共享的會話密鑰加密的時間戳，接著，KDC

創(chuàng)建一對票證，一張給客戶端，另一張給客戶端需要的資源所在的服務(wù)器，KDC

獲取服務(wù)器的票證，并使用服務(wù)器主密鑰（KB）加密它。然后KDC

將服務(wù)器的票證嵌套在客戶端的票證內(nèi)，這樣，客戶端的票證也含有該KABKerberos驗(yàn)證的工作原理Windows

Server

2003

的–

本地

由本地安全機(jī)構(gòu)（LSA，LocalSecurity

Authority）和。LSA

負(fù)責(zé)：管理本地安全策略對用戶進(jìn)行 驗(yàn)證創(chuàng)建

令牌控制審核策略LSA信任關(guān)系用戶名?服務(wù)賬戶服務(wù)賬戶名稱利用syskey.exe程序保護(hù)LSA2

驗(yàn)證和2

驗(yàn)證和驗(yàn)證問題的工具工具功能Kerbtray.exe此GUI

工具顯示了Kerberos

票證信息允許你查看和清除該票證緩存Klist.exe允許你查看和刪除被授予給當(dāng)前登錄會話的Kerberos

票證CmdKey.exe創(chuàng)建、列出和刪除 的用戶名和 或憑據(jù)請安裝2003

Resource

Kit

ToolsXP環(huán)境下有XP

Resource

Kit

Tools，但功效不同用戶和組的重要作用用戶/ACL

方法方法方法賬戶組/ACL賬戶組/資源組組命名規(guī)則決定組作廢的時間的方法3

用戶和組用戶和組的重要作用–

構(gòu)建 令牌的關(guān)鍵組件用戶的SID用戶所屬組的SID用戶對本機(jī)的權(quán)限，比如關(guān)機(jī)，取得所–

資源的門檻等–

最容易出現(xiàn)的 之一3.0

保護(hù)用戶和組的重要性3.1

用戶/ACL

方法優(yōu)點(diǎn)–對小型組織能起到很好的作用局限性–同一職能的用戶可能對資源有不一致的訪問權(quán)限–

管理員工作量就增加了，因?yàn)樗枰獮槊總€用戶設(shè)置對資源的 權(quán)限的控制哪些用戶對哪些資源擁–

故障

以及有權(quán)限可能很費(fèi)時3.2

賬戶組/ACL方法優(yōu)點(diǎn)除了為單個的組修改權(quán)限，作為替代方法，還可以將賬戶組添加到一個已被配置了相應(yīng)權(quán)限的資源組中可以將賬戶組放置在受信任域中的ACL

上只要簡單地將賬戶組刪除或放入資源組，就可以為組提供對資源的 權(quán)限局限性方法不太實(shí)用對于小型組織，賬戶組/資源組管理負(fù)擔(dān)增加哪些用戶對哪些資源擁有 權(quán)限可–

故障 以及能很費(fèi)時3.3

賬戶組/資源組

方法優(yōu)點(diǎn)除了為單個的組修改權(quán)限，作為替代方法，還可以將賬戶組添加到一個已被配置了相應(yīng)權(quán)限的資源組中可以將賬戶組放置在受信任域中的ACL

上只要簡單地將賬戶組刪除或放入資源組，就可以為組提供對資源的

權(quán)限局限性針對小組織不太適合3.4

組命名規(guī)則為組使用非直觀 名規(guī)則可能潛在地導(dǎo)致組織中安全性的損害不使用直觀 名規(guī)則，將大大提高添加或刪除成員時 組的可能性命名規(guī)則的組成部分組成部分示例組類型GG

代表全局組，UN

代表通用組，DLG

代表本地域組組的位置Sea

代表Seattle（西雅圖）組的用途Admins

代表管理員3.5

決定組作廢的時間的方法如果某個賬戶組的成員 在一段時間內(nèi)絲毫未發(fā)生變化，該組可能過期了使用“Active

Directory

用戶和計算機(jī)”中保存的查詢功能來搜索潛在過期的組查詢格式(&(objectCategory=group)(whenChanged<=YYYYMMDDHHMMSS.0-8))3.7

組作用域全局組通用組域本地組3.8驗(yàn)證、和最小的模式限資源驗(yàn)證：檢驗(yàn)用戶或程序的過程用戶是Victorl

Li：判斷用戶或其他程序是否有資源的權(quán)限Victorl

Li

擁

限

資源用戶控制：執(zhí)行Victorl

Li

需資源3.9

內(nèi)置組，以及委派特設(shè)計用來管理對共享的資源的定的域范圍的管理任務(wù)內(nèi)置組Performance

MonitorUsersPre-Windows

2000Compatible

AccessPrint

OperatorsRemote

Desktop

UsersReplicatorServer

OperatorsUsersAccount

OperatorsAdministratorsBackup

Operatorsing

林信任BuildersNetwork

ConfigurationOperatorsPerformance

LogUsers3.10

特殊組設(shè)計用來提供對資源的Anonymous

LogonAuthenticated

UsersBatchCreator

GroupCreator

OwnerDialupEveryoneInteractive，而無需管理或用戶交互Local

SystemNetworkSelfServiceTerminal

Server

UsersOther

OrganizationThis

Organization3.11

管理安全組的工具3.12

受限制的組策略使用“受限制的組”策略來控制成員關(guān)系指定哪些成員屬于“受限制的組”應(yīng)用或刷新到計算機(jī)或OU

時，未在該策略中指定的組成員會被刪除應(yīng)用受限制的組策略定義安全模板中的策略-或-直接在組策略對象（GPO）上定義設(shè)置3.13

在Windows

Server

2003中創(chuàng)建信任Windows

Server

2003

中的信任在Windows

Server

2003

中信任使用的方法與服務(wù)器操作系統(tǒng)相關(guān)的信任類型使用

SID

篩選

SID

電子創(chuàng)建信任的方法驗(yàn)證樹是共 個連續(xù)命名空間的域的集合?？砂粋€或多個域，而域必須存在于一棵樹中；樹中的第一個域被稱為樹的根域，其他域則稱為子域；樹中的Windows

2003域通過雙向可傳遞信任關(guān)系在一起，因此在樹中新創(chuàng)建的Windows域可以立即與樹中每個其他的Windows域建立信任關(guān)系森林包括多棵樹，隨林中的樹不形成連續(xù)的空間森林的根域是森林中創(chuàng)建的第一個域，森林的根

不能再更改活動

的幾個重要概念–森林中的所有樹的根域域森林的根域建立雙向可傳遞的信任關(guān)系。又由于樹中的域也是通過雙向可傳遞信任關(guān)系在一起，因此整個森林中的域都是互相信任；著森林的公用配置信息、–森林根域上的第一個DC公用架構(gòu)和公用全局編錄。信任關(guān)系–指一種建立在域之間的邏輯關(guān)系，可使一個域中的用戶可被另一個域的域控制器驗(yàn)證，并獲得

該域中的資源的權(quán)限每個信任關(guān)系都代表著一條信任路徑，即打破域的安全邊界，從而使得一個域有驗(yàn)證其他域上賬號的權(quán)利使用戶或計算機(jī)僅需要登錄網(wǎng)絡(luò)一次即可

多個域中資源活動

的幾個重要概念樹/根信任林信任快捷方式信任外部信任領(lǐng)域信任父/子信任Windows

Server

2003

中的信任3.14

在

Windows

Server

2003

中信任使用的 驗(yàn)證方法信任類型驗(yàn)證協(xié)議父/子Kerberos,

NTLM樹/根Kerberos,

NTLM外部NTLM領(lǐng)域Kerberos林Kerberos,

NTLM快捷方式Kerberos,

NTLM3.15

與服務(wù)器操作系統(tǒng)相關(guān)的信任類型如果來自受信任域的域管理員將一個已知的安全主體關(guān)聯(lián)到受信任域中普通用戶賬戶的SID

上，就會發(fā)生SID

電子SID

電子欺騙SID

篩選使管理員可以舍棄使用那些可能被用作電子

的SID

的憑據(jù)SID篩選停用SID

篩

SID

篩選在遷移用戶和組到其他域時必須停該功選

能3.16

使用SID

篩選電子SIDSID過濾可用于保護(hù)跨

林邊界的外部信任或目錄林信任關(guān)系，但對快捷信任是無效的。SID過濾的工作原理外部/林信任SIDHistory當(dāng)管理員將用戶和組遷移到另一個域，管理員可將舊賬號的SID加入新的遷移賬號的SIDHistory屬性中。新的賬號擁有兩個SID新賬號就可繼承舊賬號SID的資源 權(quán)限SIDHistory的優(yōu)劣優(yōu)點(diǎn)：不需要逐步檢查舊賬號的資源 權(quán)限缺點(diǎn)：若信任上不使用SID過濾，那么受信任域中具有管理員權(quán)限的該有的權(quán)限。對用戶舊可有可能提升在信任域中的不林的外部信任是一個極大安全隱患。SIDHistory信任域和受信任域的管理員都是

任和善意的–因?yàn)橹挥杏蚬芾韱T可以修改用戶的SIDHistory屬性當(dāng)全局組不是在受信任域中創(chuàng)建–

全局組擁有對任何域和

林的權(quán)限信任域中的資源受信任域中的全局組可能被賦予全局于只能包括受信任域的SID受信任域中有大量遷移用戶擁有以前域的SID都需要

信任域中的資源何時使用SID過濾在Windows

2000

SP4和Windows

2003的域控是默認(rèn)啟動Netdom.exe–

Netdom

trust

Trusting__Name_Name

/

:no/

:Trusted_/usero:/passwordo:administratorAcctadminpwd–

Netdom

trust

Trusting_:Trusted__Name_Name

/:yes//usero:/passwordo:administratorAcctadminpwd禁用/啟用SID過濾保護(hù)信任關(guān)系4

規(guī)劃驗(yàn)證策略評估環(huán)境的注意事項(xiàng)控制對計算機(jī)

的組策略設(shè)置創(chuàng)建強(qiáng) 策略的指導(dǎo)方針賬戶鎖定策略和登錄限制的選項(xiàng)創(chuàng)建Kerberos

票證策略的選項(xiàng)Windows

Server

2003

對早期操作系統(tǒng)的驗(yàn)證方法啟用安全補(bǔ)充的驗(yàn)證的方法驗(yàn)證的策略Windows

徽標(biāo)程序4.0

評估環(huán)境的注意事項(xiàng)評估現(xiàn)有的網(wǎng)絡(luò)環(huán)境時包含一下內(nèi)容：–組織中域控制器的數(shù)目–組織中站點(diǎn)之間的網(wǎng)絡(luò)連接的類型–組織中可用的 頒發(fā)機(jī)構(gòu)（CA，Certification

Authority）的數(shù)量和它們的位置組策略設(shè)置描述從網(wǎng)絡(luò)

此計算機(jī)用戶權(quán)利決定允許哪些用戶和組通過網(wǎng)絡(luò)連接到計算機(jī)允許在本地登錄此登錄權(quán)利決定哪些用戶可以對這臺計算機(jī)進(jìn)行交互式登錄本地登錄安全設(shè)置決定哪些用戶被 在該計算機(jī)上登錄作為批處理作業(yè)登錄此安全設(shè)置決定哪些賬戶被

在該計算機(jī)上作為批處理作業(yè)登錄從網(wǎng)絡(luò)

這臺計算機(jī)此安全設(shè)置決定哪些用戶被

通過網(wǎng)絡(luò)計算機(jī)從擴(kuò)展塢中取出計算機(jī)此安全設(shè)置確定用戶是否無需登錄即可將便攜式計算機(jī)從其擴(kuò)展塢刪除4.1

控制對計算機(jī)的組策略設(shè)置4.2

創(chuàng)建強(qiáng)策略的指導(dǎo)方針實(shí)施

策略需要：教育用戶在組織中使用 的必要性建議用戶不要在

中使用個人信息的能使用 復(fù)雜性功能：要考慮到用戶能記住復(fù)雜的、更改頻繁的和過長的力使用組策略來控制 策略：最長使用期限強(qiáng)制 歷史最短使用期限長度最小值組策略設(shè)置描述賬戶鎖定閾值確定在賬戶被鎖定前，可以進(jìn)行的登錄嘗試的次數(shù)賬戶鎖定時間確定鎖定的賬戶在自動 前保持鎖定狀態(tài)的分鐘數(shù)復(fù)位賬戶鎖定計數(shù)器確定在該計數(shù)器被復(fù)位為

0（即0

次失敗登錄嘗試）之前，嘗試登錄失敗之后所需的分鐘數(shù)強(qiáng)制用戶登錄限制確定KDC是否通過檢查目標(biāo)計算機(jī)上的用戶權(quán)利策略來驗(yàn)證每一個會話票證請求4.3

賬戶鎖定策略和登錄限制的選項(xiàng)缺省域組策略設(shè)置描述用戶票證最長確定用戶票證過期前可使用的時間服務(wù)票證最長確定服務(wù)票證過期前可使用的時間用戶票證續(xù)訂最長壽命確定用戶的TGT

可以續(xù)訂的天數(shù)4.4

創(chuàng)建Kerberos

票證策略的選項(xiàng)4.5 WindowsServer

2003對早期操作系統(tǒng)的 驗(yàn)證方法級別客戶端域控制器Level

0發(fā)送LM

和NTLM

響應(yīng)，從不使用NTLMv2

會話安全使用LM、NTLM

和NTLMv2Level

1使用

LM

和NTLM。如果客戶端支持，還將使用

NTLMv2使用LM、NTLM

和NTLMv2Level

2僅使用NTLM