高校精品系列-Windows12.pptVIP

网络操作系统——Windows Server 2003配置与管理 第12章 系统安全 12.1　Windows Server 2003安全 安全概述 身份验证 交互式登录向用户的本地计算机或AD账户确认用户的身份 网络身份验证向用户尝试访问的任何网络服务确认用户的身份 单点登录（SSO）使用户在访问网络上的资源时不必重复提供凭据，用户访问网络资源时只需要验证一次，随后的身份验证对该用户而言是透明的 基于对象的访问控制 将安全描述符分配给存储在Active Directory中的对象（文件、打印机和服务等） 不仅可以控制对特殊对象的访问，也可以控制对该对象特定属性的访问 安全策略 密码策略、账户锁定策略、Kerberos策略、审核策略、用户权利和其他策略 审核安全事件 监视对象的创建或修改，提供追踪潜在安全性问题的方法 Active Directory和安全性 数据保护 网络数据的保护 公钥基础结构 信任 12.1　Windows Server 2003安全 Windows Server 2003新增安全功能 新功能 授权管理器 存储用户名和密码 软件限制策略 对现有技术的改进 证书颁发机构含有大量的改进和新增的功能 受限委派可指定要信任的服务用以委派服务器 有效权限工具将计算授予指定用户或组的权限 加密文件系统（EFS）不再需要恢复代理 内置Everyone组包括Authenticated Users和Guests 基于操作的审核提供了更多描述性的审核事件，选择要审核的操作更为方便 重新应用安全默认值 12.2　身份验证机制 单点登录 交互式登录 使用域账户登录 使用本地账户登录 网络身份验证 身份验证类型 Kerberos V5身份验证 SSL/TLS身份验证 NTLM身份验证 摘要式验证 Passport身份验证 12.2　身份验证机制 NTLM身份验证 适用对象 早期版本Windows操作系统 非域成员计算机 非交互式NTLM的验证机制 3个系统：客户端、服务器和域控制器 域控制器代替服务器进行身份验证的计算 验证步骤 用户请求访问 服务器发送质询（Challenge）消息 客户端发送应答（Response）消息 服务器将质询和应答发送到域控制器 域控制器比较质询和应答以对用户进行身份验证 服务器向客户端发送应答 交互式NTLM网络身份验证 典型地涉及到两个系统 客户端（用户请求身份验证） 域控制器（存放着用户密码） 12.2　身份验证机制 Kerberos V5身份验证 Kerberos SSP架构 SSP（安全支持提供程序）用于实现Kerberos V5身份验证协议 SSPI（安全支持提供程序接口）是Windows Server 2003身份验证的基础，要求身份验证的应用和底层服务都使用SSPI接口 SSP层主要组件 Kerberos NTLM Digest（摘要）身份验证 Schannel Negotiate（协商） 12.2　身份验证机制 Kerberos V5身份验证 Kerberos V5工作原理 Kerberos使用对称密钥、加密的对象和Kerberos服务 Kerberos身份验证协议提供客户端和服务器以及服务器之间的交互身份验证 密钥发行中心（KDC）作为通信双方信任的第三方，负责身份验证的任务 Kerberos是一个涉及到客户端、服务器、KDC三方的身份验证过程 12.2　身份验证机制 Kerberos V5身份验证的配置与管理 Kerberos策略配置 Kerberos策略作为账户策略的一部分，用于控制Kerberos配置的某些方面 Kerberos策略只存在于AD组策略中，不存在于本地计算机策略中，对Kerberos策略进行的任何修改都将影响域内的所有计算机 12.2　身份验证机制 Kerberos V5身份验证的配置与管理 与Kerberos相关的用户账户属性设置 交互式登录必须使用智能卡 此账户需要使用DES加密类型 不要求Kerberos预身份验证 智能卡的实施 避免了Kerberos中弱密码的问题 需要用户手动插入智能卡才能向域请求身份验证 输入一定次数的错误PIN之后，智能卡可以被锁定 12.2　身份验证机制 密码增强措施 设置增强的密码策略 设置账户锁定策略 12.2　身份验证机制 密码增强措