如何建構安全的網路環境培训讲学.pptVIP

Insights and Answers for IT Professionals 如何運用Windows 2000 的安全機制 各種網路環境下應有的安全考量 身份認證機制(Kerberos) 檔案存取限制與保護 授權憑證 Certificated Authority (CA) 如何加入CA服務 如何發送憑證 CA的規劃與運用 講座大綱 (一) ISA Server 2000安全機制 ISA Server功能剖析 如何設定ISA Server防火牆 如何設定ISA Server網路快取 如何利用Windows 2000與ISA 2000規劃安全的網路環境 Windows 2000 與 ISA Server 2000 的結合 安全原則的制定與管理 講座大綱 (二) 如何運用Windows 2000 的安全機制 各種網路環境下應有的安全考量 單一辦公室位置 分公司網路環境 跨國集團的網路環境 身份認證機制(Kerberos) Smart Card 檔案存取限制與保護 授權 (ACL) 檔案加密 (EFS) 檔案傳輸 (VPN, IPSec) Security Office 傳統鎖 警衛 監視器 各種網路環境下應有的安全考量環境一: 單一辦公位置 各種網路環境下應有的安全考量環境二: 分公司的網路環境 LAN/WAN 各種網路環境下應有的安全考量環境三: 跨國集團的網路環境 Intranet/Extranet/EC The Infrastructure Pieces 使用者帳戶的管理 認證服務 Public Key Infrastructure 原則管理 信任管理 授權服務 稽核服務 Cryptographic Services 資料保護服務 整合服務 網路安全的元件 身份認證服務 非戰區的設置 ( DMZ ) 資料保密 (Data Privacy) 安全監測 經由原則管理 綜 合 解 決 方 案 如何運用Windows 2000 的安全機制 各種網路環境下應有的安全考量 身份認證機制(Kerberos) 檔案存取限制與保護 身份認證服務 利用 username@C 來登入 利用 Kerberos 來做網域的身份認證 Smart card 登入 Smart Card 佈署 實作 Smart Card Logon Configure Certificates 註冊代理程式 (Enrollment Agent) 憑證, 智慧卡使用者 (Smartcard User) 設定憑證範本 安裝 Smart Card Reader 利用 Web-based 為使用者申請 測試 1 挿入卡片後會觸發Winlogon 程式並顯示 GINA 2 使用者輸入 PIN 5 Kerberos PKINIT 延伸套件送出憑證給 KDC 要求登入 7 KDC 送回一個利用雙層加密的 TGT (encrypted with a session key which is in turn encrypted using user’s public key) 8 Smart card 利用private key 解密 TGT 然後 LSA 允許 使用者登入 6 KDC 核對憑證並且查詢 AD 內之原則 Reader 3 GINA 把 PIN code 傳給 LSA 4 LSA 存取 smart card 並 取出憑證 LSA Kerberos Smart Card Logon原理 Smart Card Logon (Enrollment) 多種身份認證機制 彈性的身份認證架構支援網路上多種 “核對身份” 的機制 如何運用Windows 2000 的安全機制 各種網路環境下應有的安全考量 身份認證機制(Kerberos) 檔案存取限制與保護 授權 (ACL) 檔案加密 (EFS) 檔案傳輸 (VPN, IPSec) 物件存取的授權 所有的物件存取都透過安全系統來檢查 任何系統內物件皆可被保護 檔案, 目錄, 登入值 (registry keys) 核心物件 (Kernel objects) 同步物件 公用物件 (e.g., printers, etc.) 程式管線 (Pipes), 記憶體, 通訊, etc. Active Directory 物件 (e.g., domains, users) 一致性的授權模式 由一致性的授權模式與 Kerberos 標準整合來決定資源的存取 資料保護 保護硬碟內的資料 加密檔案系統 加密郵件 保護正在傳輸中的資料 IP Security SSPI based encryption Session keys in NTLM, Kerberos, TLS/SSL 加密