【网络安全设计课件】创建账户安全设计.pptVIP

网络安全设计 第1章 安全设计简介 第2章 创建网络安全计划 第3章 确定网络安全威胁 第4章 分析安全风险 第5章 创建物理资源安全 设计 第6章 创建计算机安全设计 第7章 创建账户安全设计 第8章 创建身份验证安全 设计 第7章 创建账户安全设计 确定账户相关威胁并分析其风险 设计账户安全性 确定账户相关威胁并分析其风险 账户类型及其安全需求 账户安全的重要性 常见的账户漏洞 课堂练习 分析账户风险 账户类型及其安全需求 账户安全的重要性 常见的账户漏洞 课堂练习 分析账户风险 第7章 创建账户安全设计 确定账户相关威胁并分析其风险 设计账户安全性 设计账户安全性 权限授予指导原则 账户使用和管理注意事项 使用管理和服务账户的指导原则 账户密码的存储方式 设计密码策略的注意事项 课堂练习 风险和应对措施 安全策略检查清单 实验 A 账户安全设计 回顾 学习完本章后，将能够： 确定账户相关威胁并分析其风险 设计账户安全性 第9章 创建数据安全设计 第10章 创建数据传输安全设计 第11章 创建网络周边安全设计 第12章 设计安全事件应对措施 附录A 可接受使用策略的设计 附录B 网络管理策略的设计 附录C 安全管理的运营框架 设计 附录D CHAP、MS-CHAP 和 MS- CHAP v2 中的身份验证 7.1 确定账户相关威胁并分析其风险 账户基于以下方面 获得权限： 用户权利 权限 账户作用域 组成员关系 不可信的 可信的 外部用户账户 内部用户账户 管理员账户 7.1.1 账户类型及其安全需求 举例 威胁 攻击者 通过 LSA 提取账户信息 对弱密码的字典攻击 攻击者提取了服务的域账户密码，此密码存储为 LSA 机密信息，随即使用此账户访问其他计算机 内部 攻击者对管理员账户发动字典攻击，发现其为弱密码，随即使用管理员账户访问网络 外部 内部攻击者 BackAcct P.@.s.s.w.).r.d LSA 机密信息 外部攻击者 字典攻击 密码 7.1.2 账户安全的重要性 对非管理类任务使用管理员账户 拥有账户管理权限的用户账户 不再使用的活动账户 账户使用及管理 拥有本地管理员权限的用户 不作为系统账户运行的服务 拥有不必要的用户权限的账户 可以访问私人文件、文件夹及注册表键值的用 户或服务账户 账户权限 弱密码 对多个账户使用相同的密码 密码存储在计算机上 用户共享密码，或用笔记录密码 密码 举例 易受攻击的区域 7.1.3 常见的账户漏洞 阅读场景信息 回答问题 全班一起讨论答案 1 2 3 分析 7.1.4 课堂练习 分析账户风险 权限授予指导原则 账户使用和管理注意事项 使用管理和服务账户的指导原则 账户密码的存储方式 设计密码策略的注意事项 课堂练习 风险和应对措施 安全策略检查清单 7.2 设计账户安全性 使用基于角色的安全性 贴近资源分配权限 通过受限组来强制执行组成员关系 集中管理安全性 域本地组 全局组和 通用组 域用户账户 权限 A G DL P 组权限授予模型可用来： 7.2.1 权限授予指导原则 谁负责管理账户和密码 谁能获取账户信息 当设计账户使用和管理的安全性时，应定义： 建立及删除账户 授予用户权利和权限 强制执行并监视权限 使用管理员账户 此外，还要定义以下操作流程： 7.2.2 账户使用和管理注意事项 用户 角色 为管理账户设计安全性时，应该： 授予管理权限要慎重 只有必要时才使用本地或域管理员账户 对拥有管理员权限的账户进行审核 为服务账户设计安全性时，应该： 将服务账户设置为以系统账户或本地用户账户运行 为每个服务账户创建惟一的密码 审核服务账户的使用情况 7.2.3 使用管理和服务账户的指导原则 密码以明文形式存储为 LSA 机密信息 服务账户 创建散列前，将原密码分为各有7个字符的两半，其中字母统一为大写形式 LAN Manager 不永久保存密码或密码的其他形式 凭证缓存 Active Directory 将整个密码存储为一个散列值 Kerberos 和 NTLM 详细内容 密码位置 Success92! SUCCESS 92! 7.2.4 账户密码的存储方式 初始密码的创建及分发 用户密码培训 管理方面 最长密码期限 强制密码历史 最短密码期限 最短密码长度 复杂度要求 账户锁定阀值 技术方面 指定以下规则 密码策略的每个方面 7.2.5 设计密码策略的注意事项 场景 阅读各场景信息 选择最佳风险管理策