2823A_01.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 访问控制：执行授权的模式 Victorl Li 需要权限访问资源 验证：检验用户或程序身份的过程 用户是 Victorl Li 授权： 判断用户或其他程序是否有访问资源的权限 Victorl Li 拥有权限访问资源 用户 资源 1.3.1 身份验证、授权和最小特权 优点 对小型组织能起到很好的作用 局限性 同一职能的用户可能对资源有不一致的访问权限 管理员工作量就增加了，因为他需要为每个用户设置对资源的访问权限的控制 故障诊断以及跟踪哪些用户对哪些资源拥有访问权限可能很费时 1.3.2 用户/ACL 方法 优点 除了为单个的组修改权限，作为替代方法，还可以将账户组添加到一个已被配置了相应权限的资源组中 可以将账户组放置在受信任域中的 ACL 上 只要简单地将账户组删除或放入资源组，就可以为组提供对资源的访问权限 局限性 对于小型组织，账户组/资源组授权方法不太实用 管理负担增加 故障诊断以及跟踪哪些用户对哪些资源拥有访问权限可能很费时 1.3.3 账户组/ACL 授权方法 优点 除了为单个的组修改权限，作为替代方法，还可以将账户组添加到一个已被配置了相应权限的资源组中 可以将账户组放置在受信任域中的 ACL 上 只要简单地将账户组删除或放入资源组，就可以为组提供对资源的访问权限 局限性 针对小组织不太适合 1.3.4 账户组/资源组授权方法 组成部分 示例 组类型 GG 代表全局组，UN 代表通用组，DLG 代表本地域组 组的位置 Sea 代表 Seattle（西雅图） 组的用途 Admins 代表管理员 为组使用非直观的命名规则可能潜在地导致组织中安全性的损害 不使用直观的命名规则，将大大提高添加或删除成员时选错组的可能性 命名规则的组成部分 1.3.5 组命名规则 如果某个账户组的成员身份在一段时间内丝毫未发生变化，该组可能过期了 使用“Active Directory 用户和计算机”中保存的查询功能来搜索潜在过期的组 查询格式 ((objectCategory=group)(whenChanged=YYYYMMDDHHMMSS.0-8)) 1.3.6 决定组作废的时间的方法 目的： 阅读下面的场景，然后全班为组提交一个惟一的命名规则 1.3.7 实验1-3：创建组命名策略 Windows Server 2003 中的组和基本组策略 在 Windows Server 2003 中创建信任 使用组来规划、实现和维护授权策略 身份验证模型的组件 规划和实现身份验证策略 Windows Server 2003 的身份验证功能 Windows Server 2003 中的身份验证协议 LM 身份验证 NTLM 身份验证的工作原理 Kerberos 身份验证的工作原理 Windows Server 2003 的机密存储 诊断身份验证问题的工具 1.4 身份验证模型的组件 对用户账户的集中管理 单点登录环境 计算机和服务账户 多因素支持 审核 协议 1.4.1 Windows Server 2003 的身份验证功能 NTLM Kerberos Default authentication 协议 for Windows 2000 and Windows XP Professional 最安全 协议 范例 LM 用于 OS2 和 Windows 工作组，包括 Windows 95、Windows 98 和 Windows Me NTLMv1 用于连接到运行 Windows NT Service Pack 3 或更早版本的服务器。NTLMv1 使用 56 位加密保护该协议的安全 NTLMv2 用于连接到运行 Windows 2000、Windows XP、和 Windows NT Service Pack 4 或更高版本的服务器 1.4.1 Windows Server 2003 的身份验证功能 提供对较旧的操作系统的兼容性，包括 Windows 95、Windows 98、和 Windows NT 4.0 Service Pack 3 或更早版本 是安全性最弱的协议，最容易遭受攻击 不要在 Windows Server 2003 中使用 LM 身份验证 密码限制为不超过 14 个字符 1.4.3 LM 身份验证 域控制器 客户端 用户名, 域 安全账户数据库 Nonce 2 用户密码的哈希 + Nonce 3 用户密码的哈希 = 用户密码的哈希 +