网络安全及实现和管理2823A_01.pptVIP

* 课堂提问： 登录到 Windows 95、Windows 98 时发现密码无效，应该如何解决？ 因为密码长度可能超过 14 个字符，而这两个系统只能识别长度在 14 个字符以内的密码； 提示： 使密码长度小于或等于 14 个字符； 提醒学生安全设置中需要考虑多方面的情况，建议策略实施前需要进行测试。 * 当用户创建了密码并存储它以供LM使用时，该密码将被全部转换成大写 密码限制为不超过14个字符，作为两个7字符的哈希存储在计算机上 不满14位时，用固定值补全 禁用LM密码方法： 1)使用长度大于15字符的密码 2)在密码中使用ALT字符 3)在注册表中启用NoLMHash alt+34149=卐 alt+43144=▓ alt+43151=◤ alt+41459=◇ alt+41460=◆ alt+43113=╥ alt+43114=╦ alt+43115=╧ alt+43116=╨ alt+43117=╩ alt+43118=╪ alt+43119=╫ alt+43120=╬ alt+43121=╭ alt+43122=╮ alt+43123=╯ alt+43124=╰ 注意： 二者的比较在企业应用中可以简记如下： Kerberos：将密码或智能卡一起使用以进行交互登录的协议。它也是对服务进行网络身份验证的默认方法； NTLM：当客户端或服务器使用早期版本的 Windows 时将使用的协议； 难点： 可以同TCP/IP、IPX/SPX 对比来考虑开放标准的好处； 参考： 现在版本的 Linux 都支持 Kerberos。 * Long-term Key/Master Key ：主密钥是长期密钥的散列值 Short-term Key/Session Key：由于被Long-term Key加密的数据包不能用于网络传送，所以我们使用另一种Short-term Key来加密身份验证过程中需要进行网络传输的数据。 重点： 介绍 NTLM，相关动画解释如下： 客户端将用户名和域名称发送到域控制器； 域控制器生成一个 16 字节的随机字符串，称为 nonce； 客户端用用户密码的哈希加密该 nonce，然后将它发送回域控制器； 域控制器从安全账户数据库检索用户密码的哈希； 域控制器使用从安全账户数据库中检索到的哈希值加密该 nonce。将该值与从客户端接收到的值作比较。如果两个值匹配，那么该客户端就通过身份验证； 注意： 可以通过使用 telnet 服务来帮助学生理解NTLM 的概念， 如果使用 NTLM 身份验证，则客户使用 Windows 2000 安全上下文进行身份验证，并不会提示用户键入用户名和密码。用户名和密码是加密的； 参考： 通过将 HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel 设为等于 3 或更大的值，可以将运行 Windows NT Service Pack 4 或更高版本的计算机配置为仅发送 NTLMv2 响应。 * Kerberos起源于希腊神话，是一支守护着冥界长着3个头颅的神犬，在keberos Authentication中，Kerberos的3个头颅代表中认证过程中涉及的3方：Client、Server和KDC。 重点： 介绍 Kerberos 验证原理，为了帮助学生理解，教师可以用景点门票来帮助解释相关概念，相关动画参考幻灯片文本框中的内容； 注意： Kerberos 实现了密钥加密，与公钥加密的的不同之处在于它不使用公钥和私钥对； 客户端计算机从 KDC 接收到信息，并通过单向哈希函数加密用户的密码，这样就将密码转换成了用户的 KA。客户端计算机现在有一个会话密钥和一个 TGT，这样就可以与 KDC 安全通信了。客户端现在已经过该域的身份验证，并且准备通过使用 Kerberos 协议访问该域中的其他资源。 * 重点： 掌握 LSA 存储的敏感信息称为 LSA 机密； 注意： 很多学生都知道通过删除 SAM 数据库的方法来解决管理员密码的安全问题，但是教师这里应该学生在安装了安全补丁包的系统中已经不能通过这种方法解决； 参考： 如需了解更多有关 syskey.exe 程序的信息，请访问 /default.aspx?kbid310105。 * 重点： 介绍如何使用微软工具来查看相关安全传递信息； 课堂提问： 微软提供哪些常见操作系统软件版本？ Dos; Windows 3.x； Windows 9x； Windows 2000 ； Windows NT server 和 workstation; Windows Me； Windows XP； Windows Server 200