網(wǎng)絡(luò)安全的實現(xiàn)和管理2823a_01

1、網(wǎng)絡(luò)安全的實現(xiàn)和管理——以Windows Server 2003和ISA Server 2004為例,,課程介紹,課程簡介本課程主要介紹如何利用 ISA Server 2004 和 Windows Server 2003 進行企業(yè)安全部署和企業(yè)日常管理的基本操作預備知識掌握 Windows Server 2003 操作系統(tǒng)的基本使用和配置掌握 Windows Server 2003 網(wǎng)絡(luò)的基本概念了解網(wǎng)絡(luò)基礎(chǔ)知識,課程要求

2、,課時：90課時分為兩部分講課部分：54課時課堂教學 實踐部分：36課時實驗教學 培養(yǎng)目標 能夠保護企業(yè)服務(wù)器與成員計算機的安全能夠?qū)崿F(xiàn)企業(yè)數(shù)據(jù)信息的安全存儲能夠?qū)崿F(xiàn)企業(yè)數(shù)據(jù)的安全傳輸能夠保護無線網(wǎng)絡(luò)的安全能夠保護網(wǎng)絡(luò)邊界的安全能夠保護遠程用戶安全訪問企業(yè)資源,課程知識點,授權(quán)和身份驗證（第 1 章）證書服務(wù)器的管理和部署（第2、3 章）智能卡相關(guān)概念和配置（第 4

3、章）客戶端和服務(wù)器端安全部署（第 6、7、8章）安全更新服務(wù)器的管理和部署（第9章）EFS 相關(guān)概念和操作（第5 章）數(shù)據(jù)傳輸安全的配置與部署（第 10、12、13章）ISA Server 2004 概述和安裝配置 （第14 、15章)ISA Server 2004 服務(wù)器配置和部署（第 15 到22 章）ISA Server 2004 服務(wù)器的監(jiān)視（第 23 章）,序言—課程分類和學習資料,我們的課主要分為兩種：理論課和

4、實驗課。理論課：我們主要在教室里學習課本內(nèi)容。實驗課：我們會把書上的實驗到機房里去上機操作一下。,學習資料如下：課本學生光盤幻燈片（和上課演示的PPT是一樣的）多媒體視頻和交互練習實驗手冊（每次實驗的時候需要大家填寫的）實驗文件（每次實驗會用到一些文件）案例文檔課外閱讀,課程當中產(chǎn)品升級信息,Windows Server 2003 自動更新網(wǎng)站http://v4.windowsupdate.microsoft.co

5、m/zhcn/default.aspWindows Server 2003 Server 熱修復http://www.microsoft.com/technet/security/current.aspxISA Server 2004 官方網(wǎng)站http://www.microsoft.com/china/isaserver/ISA Server 2004 試用版下載http://www.microsoft.com/china

6、/isaserver/evaluation/trial/ISA Server 2004 標準版 SP1 下載http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=69c5d85c-5c80-473c-9cb4-60dda75d568d,服務(wù)包 (Service Pack)：熱修復 (Hotfix)：,參考資料,互聯(lián)網(wǎng)資源htt

7、p://www.microsoft.com/technet/http://www.microsoft.com/china/technet/http://msdn.microsoft.com/http://www.microsoft.com/china/windowsserver2003微軟出版社書目Microsoft Windows Server(TM) 2003 PKI and Certificate Security (

8、Pro - One-Offs)ISBN：0735620210 Dr. Tom Shinder's Configuring ISA Server 2004ISBN：1931836191微軟院校課程http://www.mktgservice.com/msc/MSDN 和 TechNetMSDN 站點上包含了大量可供開發(fā)人員使用的文檔、代碼和技巧：http://msdn.microsoft.com/TechNet

9、站點上包括了 IT 專業(yè)人員在規(guī)劃、部署、運行維護和管理時參看和使用的文檔和指南以及技巧：http://www.microsoft.com/technet/,第 1 章規(guī)劃和配置授權(quán)和身份驗證策略,網(wǎng)絡(luò)安全的實現(xiàn)和管理——以Windows Server 2003和ISA Server 2004為例,第1章規(guī)劃和配置授權(quán)和身份驗證策略第2章安裝、配置和管理證書頒發(fā)機構(gòu)第3章配置、部署和管理證書第4章智能卡證書的規(guī)劃、實

10、現(xiàn)和故障診斷第5章加密文件系統(tǒng)的規(guī)劃、實現(xiàn)和故障排除第6章規(guī)劃、配置和部署安全的成員服務(wù)器基線第7章為服務(wù)器角色規(guī)劃、配置和部署安全基線第8章規(guī)劃、配置、實現(xiàn)和部署安全客戶端計算機基線第9章規(guī)劃和實現(xiàn)軟件更新服務(wù)第10章 數(shù)據(jù)傳輸安全性的規(guī)劃、部署和故障排除第11章 部署配置和管理SSL第12章 規(guī)劃和實施無線網(wǎng)絡(luò)的安全措施第13章 保護遠程訪問安全,網(wǎng)絡(luò)安全的實現(xiàn)和管理——以Windows Server

11、2003和ISA Server 2004為例,第14章 Microsoft ISA Server 概述第15章 安裝和維護 ISA Server第16章 允許對 Internet 資源的訪問第17章 配置 ISA Server 作為防火墻第18章 配置對內(nèi)部資源的訪問第19章 集成 ISA Server 2004和Microsoft Exchange Server第20章 高級應用程序和Web篩選第21章 為遠程客戶端和網(wǎng)

12、絡(luò)配置虛擬專用網(wǎng)絡(luò)訪問第22章 實現(xiàn)緩存第23章 監(jiān)視ISA Server 2004,第 1 章 規(guī)劃和配置授權(quán)和身份驗證策略,Windows Server 2003 中的組和基本“組”策略在 Windows Server 2003 中創(chuàng)建信任使用組來規(guī)劃、實現(xiàn)和維護授權(quán)策略身份驗證模型的組件規(guī)劃和實現(xiàn)身份驗證策略,為什么需要組，常見組類型有哪些？為什么要把組劃分為不同的作用域？在實際工作中，不同作用域的組應如何使用？,

13、Windows Server 2003 中的組類型組作用域內(nèi)置組特殊組管理安全組的工具受限制的“組”策略創(chuàng)建受限制的“組”策略的方法,1.1 Windows Server 2003 中的組和基本組策略,Windows Server 2003 中的組和基本“組”策略,通訊組,僅使用在電子郵件應用程序 沒有啟用安全特性,安全組,用于設(shè)置訪問控制，安全組的成員能繼承安全組的權(quán)限,什么情況下用通訊組、什么情況下只能用安全組？,1

14、.1.1 Windows Server 2003 中的組類型,Windows Server 2003 中的組類型,組作用域(按作用范圍來分),域本地組：用來配置本域資源的訪問控制權(quán)限，從資源的角度來設(shè)計的。全局組：用來組織本域中有相同訪問需求的安全主體，從用戶的角度來設(shè)計的。通用組：用來組織本林中各域有相同訪問需求的安全主體，主要是全局組A->G->U->DL-PA->G->DL-P,注：書P3頁,

15、案例,假設(shè)在nwtraders.com林根域的文件服務(wù)器上有共享數(shù)據(jù)供林中各域的用戶訪問，每個域有些用戶只需查看文件內(nèi)容，另有些用戶還需更改數(shù)據(jù)文件內(nèi)容，請問一般應該如何來實現(xiàn)它。,內(nèi)置組,設(shè)計用來管理對共享的資源的訪問，以及委派特定的域范圍的管理任務(wù) 內(nèi)置組,Print OperatorsRemote Desktop UsersReplicatorServer OperatorsUsersPerformance Monit

16、or UsersPre-Windows 2000 Compatible Access,Account OperatorsAdministratorsBackup OperatorsIncoming Forest Trust BuildersNetwork Configuration OperatorsPerformance Log Users,1.1.3 內(nèi)置組,具體參見書P4頁,特殊組,設(shè)計用來提供對資源的訪問，而無需管理

17、或與用戶交互,Anonymous Logon Authenticated UsersEveryoneCreator OwnerInteractiveDialupBatchCreator Group,Terminal Server Users Local SystemNetworkSelfServiceOther OrganizationThis Organization,1.1.4 特殊組,具體請參見書P5頁,

18、注：組作用域不適用于特殊組,管理安全組的工具,,功能,工具,用于在 Active Directory 中管理用戶和組的圖形工具,Active Directory 用戶和計算機,,,ACL Editor,Whoami,Dsadd,Ifmember,Getsid,,,,,用于管理資源的用戶和組的工具,在命令窗口中顯示當前用戶的訪問令牌的完整內(nèi)容的工具,創(chuàng)建組和管理組成員身份的命令行工具,,列舉當前成員所屬的所有組的命令行工具,比較兩個用戶賬

19、戶的 SID 的命令行工具,,,,,,,1.1.5 管理安全組的工具,相關(guān)示例見下頁,示例,cacls c:\test /t /e /c /g dgroup:r授予dgroup組對c:\test目錄讀取的權(quán)限dsadd ou ou=newou,ou=sales,dc=guangdong,dc=comgetsid \\server1 user1 \\server1 user2,Cacls用法：/T

20、 更改當前目錄及其所有子目錄中指定文件的 ACL。/E 編輯 ACL 而不替換。/C 在出現(xiàn)拒絕訪問錯誤時繼續(xù)。/G user:perm 賦予指定用戶訪問權(quán)限。 Perm 可以是: R 讀取

21、 W 寫入 C 更改(寫入) F 完全控制,什么是受限制的組？書P6-1.1.6,案例,如何確保SALES部門所有計算機的本地管理員組（administrators）中只包含如下成員：AdministratorDomain

22、 adminsEnterprise adminsSalesmanager(銷售部的管理員),受限制的組,使用受限制的“組”策略來限制組成員關(guān)系指定哪些成員屬于受限制的“組”應用或刷新到計算機或 OU的策略 時，未在該策略中指定的組成員會被刪除應用受限制的“組”策略定義安全模板中的策略直接在組策略對象（GPO）上定義設(shè)置,1.1.6 受限制的組策略,演示：創(chuàng)建“受限制的組”策略,1.1.7 創(chuàng)建受限制的組策略的方法,創(chuàng)建受

23、限制的組策略的方法,第 1 章 規(guī)劃和配置授權(quán)和身份驗證策略,Windows Server 2003 中的組和基本組策略在 Windows Server 2003 中創(chuàng)建信任使用組來規(guī)劃、實現(xiàn)和維護授權(quán)策略身份驗證模型的組件規(guī)劃和實現(xiàn)身份驗證策略,Windows Server 2003 中的信任在 Windows Server 2003 中信任使用的身份驗證方法與服務(wù)器操作系統(tǒng)相關(guān)的信任類型使用 SI

24、D 篩選阻止 SID 電子欺騙創(chuàng)建信任的方法,1.2 在 Windows Server 2003 中創(chuàng)建信任,在 Windows Server 2003 中創(chuàng)建信任,域與域間為什么需要信任？常見的信任關(guān)系有哪些？,,,,,,,,,,林(根),,樹/根 信任,林 信任,,快捷方式 信任,外部 信任,,Kerberos 領(lǐng)域,,領(lǐng)域 信任,域 D,林 1,域 B,域 A,域 E,域 F,林(根),域 P,域 Q,,父/子

25、信任,林 2,域 C,,,1.2.1 Windows Server 2003 中的信任,Windows Server 2003 中的信任,傳遞性可傳遞性信任：自動或手動建立不可傳遞信任：不能自動創(chuàng)建，必須手動設(shè)置信任方向（用符號表示，由信任者指向被信任者）單向傳入（內(nèi)向信任）單向傳出 (外向信任)雙向互傳,關(guān)于信任的知識點,關(guān)于信任的知識點,單向傳入（內(nèi)向信任）就是接受其他域的信任如在域A設(shè)置一條域

26、A和域B之間的單向傳入信任，則域A的用戶能在域B中被認證，也就是域A的用戶可以使用域B中的資源單向傳出(外向信任)就是信任其他的域,林內(nèi)自動創(chuàng)建的信任關(guān)系均為雙向、可傳遞，其它的信任（外部、領(lǐng)域、林、快捷）均可單向或雙向,關(guān)于信任的知識點,雙向互傳建立新的子域、子樹時，就會自動建立雙向可傳遞的父子信任、樹根信任，這種信任關(guān)系不能被刪除不可傳遞不可傳遞信任并不流向林中的任何其他域不可傳遞信任默認為單向信任關(guān)系，也可建立雙向不可

27、傳遞信任可單向或雙向,關(guān)于信任的知識點,外部信任設(shè)置一個林中的域和另一個林中的域之間的信任關(guān)系（單向或雙向均可）為不可傳遞的信任快捷信任快捷信任是部分可傳遞的信任使用戶可以縮短復雜林中的信任路徑快捷信任具有優(yōu)化的性能進行身份驗證快捷信任必須手動明確創(chuàng)建單向或雙向均可,林間信任（只能在2003林間） 是部分可傳遞的要手工配置可單向也可雙向,關(guān)于信任的知識點,跨域資源訪問所用的身份驗證方式有哪些？,在 Windows

28、 Server 2003 中信任使用的身份驗證方法,1.2.2 在 Windows Server 2003 中信任使用的身份驗證方法,信任類型,操作系統(tǒng),林信任、單向或雙向外部信任,Windows Server 2003 林之間,,,,Windows Server 2003 和 Windows 2000 林之間,Windows Server 2003 林和 Windows NT 4.0 林之間,運行其他操作

29、系統(tǒng)的服務(wù)器之間,,單向或雙向外部信任,,,單向或雙向外部信任,,,,領(lǐng)域信任,1.2.3 與服務(wù)器操作系統(tǒng)相關(guān)的信任類型,與服務(wù)器操作系統(tǒng)相關(guān)的信任類型,什么是SID？域中安全主體的SID是如何構(gòu)成的？SID歷史記錄有何作用？什么是SID欺騙？,1.2.4 使用 SID 篩選阻止 SID 電子欺騙,使用 SID 篩選阻止 SID 電子欺騙,默認情況下，Windows Server 2003活動目錄中新的外部信任和林信任強制SID

30、篩選,創(chuàng)建信任的方法,,演示： 創(chuàng)建信任的方法,1.2.5 創(chuàng)建信任的方法,SID 篩選設(shè)置方法：Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No|yes示例：Netdom trust contoso.com /domain:shixun.com /quarantine:yes啟用或禁用SID歷史記錄表Netdom trust

31、trusting_domain_name /Domain:trusted_domain_name /EnableSIDHistory:yes | no示例：Netdom trust guangdong.com /domain:beijing.com /EnableSIDHistory:yes,默認情況下，2003AD中新的外部信任和林信任都強制SID篩選,實驗1-2 創(chuàng)建信任,1.2.6 實驗1-2創(chuàng)建信任,兩個條件：1、解決

32、兩林之間的DNS解析2、林功能級別均庫windows server 2003,第 1 章 規(guī)劃和配置授權(quán)和身份驗證策略,Windows Server 2003 中的組和基本組策略在 Windows Server 2003 中創(chuàng)建信任使用組來規(guī)劃、實現(xiàn)和維護授權(quán)策略身份驗證模型的組件規(guī)劃和實現(xiàn)身份驗證策略,安全的三要素是什么？,身份驗證、授權(quán)和最小特權(quán)用戶/ACL 方法賬戶組/ACL 授權(quán)方法賬戶組/資源組授權(quán)方法組命

33、名規(guī)則,1.3 使用組來規(guī)劃、實現(xiàn)和維護授權(quán)策略,使用組來規(guī)劃、實現(xiàn)和維護授權(quán)策略,,身份驗證、授權(quán)和最小特權(quán),,,,用戶,資源,,,,,,1.3.1 身份驗證、授權(quán)和最小特權(quán),用戶/ACL 方法,優(yōu)點對小型組織能起到很好的作用局限性管理員工作量就增加了，因為他需要為每個用戶設(shè)置對資源的訪問權(quán)限的控制故障診斷以及跟蹤哪些用戶對哪些資源擁有訪問權(quán)限可能很費時,1.3.2 用戶/ACL 方法,賬戶組/ACL 授權(quán)方法,優(yōu)點對于中

34、、小型企業(yè)來說可簡化管理局限性對于中大型企業(yè)來說管理負擔還是較大故障診斷以及跟蹤哪些用戶對哪些資源擁有訪問權(quán)限可能很費時,1.3.3 賬戶組/ACL 授權(quán)方法,賬戶組/資源組授權(quán)方法,優(yōu)點將賬戶組添加到一個已被配置了相應權(quán)限的資源組中，可減輕中大型企業(yè)的管理可以將賬戶組放置在受信任域中的 ACL 上（全局組）只要簡單地將賬戶組刪除或放入資源組，就可以為組提供對資源的訪問權(quán)限局限性針對小組織不太適合,1.3.4 賬戶組/資

35、源組授權(quán)方法,組命名規(guī)則,直觀的命名規(guī)則，否則將大大提高添加或刪除成員時選錯組的可能性命名規(guī)則的組成部分,1.3.5 組命名規(guī)則,示例：P16-17,實驗1-3 創(chuàng)建組命名策略,1.3.7 實驗1-3 創(chuàng)建組命名策略,第 1 章 規(guī)劃和配置授權(quán)和身份驗證策略,Windows Server 2003 中的組和基本組策略在 Windows Server 2003 中創(chuàng)建信任使用組來規(guī)劃、實現(xiàn)和維護授權(quán)策略身份驗證模型的組件規(guī)

36、劃和實現(xiàn)身份驗證策略,身份驗證模型的組件,Windows Server 2003 的身份驗證功能 Windows Server 2003 中的身份驗證協(xié)議LM 身份驗證NTLM 身份驗證的工作原理Kerberos 身份驗證的工作原理 Windows Server 2003 的機密存儲診斷身份驗證問題的工具,1.4 身份驗證模型的組件,日常生活中進行身份驗證的方式有哪些？,對用戶賬戶的集中管理,單點登錄環(huán)境,支持計算機和服務(wù)賬

37、戶,多因素支持 (如對智能卡等的支持),審核,多協(xié)議(LM、NTLM、NTLMV2、Kerberos),1.4.1 Windows Server 2003 的身份驗證功能,Windows Server 2003 的身份驗證功能,NTLMKerberosDefault authentication protocol for Windows 2000 and Windows XP Professional以及更高版本的系統(tǒng)

38、最安全,Windows Server 2003 的身份驗證功能,1.4.1 Windows Server 2003 的身份驗證功能,LM 身份驗證,提供與舊版操作系統(tǒng)的兼容性，包括 Windows 95、Windows 98、和 Windows NT 4.0 Service Pack 3 或更早版本,是安全性最弱的協(xié)議，最容易遭受攻擊,不要在 Windows Server 2003 中使用 LM 身份驗證,密碼限制為不超過 14 個字

39、符,1.4.3 LM 身份驗證,禁用方法：書P20頁HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nolmhash使其為”1”,,NTLM 身份驗證的工作原理,1.4.4 NTLM 身份驗證的工作原理,當用戶輸入用戶名和密碼后，計算機將用戶名發(fā)送給 KDC。KDC 包含一個主數(shù)據(jù)庫，該數(shù)據(jù)庫保存了其領(lǐng)域內(nèi)每個安全主體獨有的長期密鑰,KDC 查找用戶的主密鑰（KA）

40、，主密鑰基于用戶的密碼。然后，KDC 創(chuàng)建兩項：一個與用戶共享的會話密鑰（SA）和一張票證授予式票證（TGT，Ticket-Granting Ticket）。TGT 包含 SA、用戶名和過期時間的第二個副本。KDC 使用它自身的主密鑰（KKDC）加密此票證，此主密鑰只有 KDC 知道,目標服務(wù)器,,KDC,用戶,客戶端計算機從 KDC 接收到信息，并通過單向哈希函數(shù)加密用戶的密碼，這樣就將密碼轉(zhuǎn)換成了用戶的 KA?？蛻舳擞嬎銠C現(xiàn)在有一個

41、會話密鑰和一個 TGT，這樣就可以與 KDC 安全通信了,當 Kerberos 客戶端需要訪問同一域中成員服務(wù)器上的資源時，它會聯(lián)系 KDC。客戶端將提供 TGT 和用已經(jīng)與 KDC 共享會話密鑰加密的時間戳，接著，KDC 創(chuàng)建一對票證，一張給客戶端，另一張給客戶端需要訪問資源所在的服務(wù)器，KDC 獲取服務(wù)器的票證，并使用服務(wù)器主密鑰（KB）加密它。然后 KDC 將服務(wù)器的票證嵌套在客戶端的票證內(nèi)，這樣客戶端的票證也含有該 KAB,1.

42、4.5 Kerberos 身份驗證的工作原理,Kerberos 身份驗證的工作原理,本地憑據(jù)由本地安全機構(gòu)（LSA，Local Security Authority）存儲和維護。Lsass.exeLSA 存儲的敏感信息稱為LSA機密，包括：信任關(guān)系密碼用戶名密碼服務(wù)賬戶名稱服務(wù)賬戶密碼,1.4.6 Windows Server 2003 的機密存儲,Windows Server 2003 的機密存儲,診斷身份驗證問題的工具

43、,1.4.7 診斷身份驗證問題的工具,Kerbtray.exe、 Klist.exe在Windows 資源工具包cmdkey.exe示例見下頁,cmdkey示例(存儲的用戶名和密碼),要使用 cmdkey 為用戶user1 添加用戶名和密碼以便用密碼 P@ssw0rd 訪問計算機 Server1，請鍵入： cmdkey /add:server1 /user:user1@guangdong.com /pass:P@ssw0rd要

44、使用 cmdkey 為用戶user1添加用戶名和密碼以便訪問計算機 Server1 并在 Server1 被訪問時提示用戶輸入密碼，請鍵入： cmdkey /add:server1 /user:user1@guangdong.com,第 1 章 規(guī)劃和配置授權(quán)和身份驗證策略,Windows Server 2003 中的組和基本組策略在 Windows Server 2003 中創(chuàng)建信任使用組來規(guī)劃、實現(xiàn)和維護授權(quán)策略身份驗證

45、模型的組件規(guī)劃和實現(xiàn)身份驗證策略,規(guī)劃和實現(xiàn)身份驗證策略,評估環(huán)境的注意事項 控制計算機訪問權(quán)的組策略設(shè)置創(chuàng)建強密碼策略的指導方針 賬戶鎖定策略和登錄限制的選項 創(chuàng)建 Kerberos 票證策略的選項 Windows Server 2003 對早期操作系統(tǒng)的身份驗證方法啟用安全身份驗證的方法補充身份驗證策略Windows 徽標程序,1.5 規(guī)劃和實現(xiàn)身份驗證策略,評估環(huán)境的注意事項,評估現(xiàn)有的網(wǎng)絡(luò)環(huán)境時包含以下內(nèi)容：

46、組織中域控制器的數(shù)目組織中站點之間的網(wǎng)絡(luò)連接的類型組織中可用的證書頒發(fā)機構(gòu)（CA，Certification Authority）的數(shù)量和它們的位置,1.5.1 評估環(huán)境的注意事項,1.5.2 控制計算機訪問權(quán)的組策略設(shè)置,控制計算機訪問權(quán)的組策略設(shè)置,創(chuàng)建強密碼策略的指導方針,使用密碼復雜性功能 ：,要考慮到用戶能記住復雜的、更改頻繁和過長密碼的能力 使用組策略來控制密碼策略：密碼最長使用期限強制密碼歷史密碼最短使用期限

47、密碼長度最小值,1.5.3 創(chuàng)建強密碼策略的指導方針,1.5.4 賬戶鎖定策略和登錄限制的選項,賬戶鎖定策略和登錄限制的選項,1.5.5 創(chuàng)建 Kerberos憑據(jù)策略的選項,創(chuàng)建 Kerberos憑據(jù)策略的選項,操作系統(tǒng)的身份驗證級別,1.5.6 Windows Server 2003 對早期操作系統(tǒng)的身份驗證方法,啟用安全身份驗證的方法,演示：如何啟用安全身份驗證通過組策略設(shè)置：安全選項->網(wǎng)絡(luò)安全：LAN Mana

48、ger身份驗證級別,1.5.7 啟用安全身份驗證的方法,通過注冊表來設(shè)置僅發(fā)送 NTLMv2 響應HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel,拒絕 LMHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\nolmhash使其為”1”,僅發(fā)送 NTLMv2 響應,通過將 HKLM\Syst

49、em\CurrentControlSet\Control\LSA\LMCompatibilityLevel 設(shè)為等于 3 或更大的值，可以將運行 Windows NT Service Pack 4 或更高版本操作系統(tǒng)的計算機配置為僅發(fā)送 NTLMv2 響應。,補充的身份驗證的策略,受委派的身份驗證當一個網(wǎng)絡(luò)服務(wù)接受來自用戶的請求并以該用戶的身份以啟動一個新的連接到第二個服務(wù)時，就需要在第一個服務(wù)器上啟用受委派的身份驗證 受限委派（

50、2003功能級別）允許管理員指定特定服務(wù)，受信任委派的計算機可以從這些服務(wù)請求資源,1.5.8 補充的身份驗證的策略,下頁委派示例,委派示例,實驗1-4 配置安全的身份驗證,1.5.10 實驗1-4 配置安全的身份驗證,練習 1 規(guī)劃和實現(xiàn)資源授權(quán)策略練習 2 規(guī)劃和實現(xiàn)跨林身份驗證策略練習 3 規(guī)劃和實現(xiàn)身份驗證策略,1.6 實驗 1-5 規(guī)劃和配置身份驗證和授權(quán)策略,實驗 1-5 規(guī)劃和配置身份驗證和授權(quán)策略

51、,回顧,學習完本章后，將能夠：為多域或多林環(huán)境確定必需的組織結(jié)構(gòu)在 Microsoft Windows Server 2003 環(huán)境中創(chuàng)建信任在多林組織中規(guī)劃、實現(xiàn)和維護授權(quán)和身份驗證策略了解支持授權(quán)和身份驗證的組件、工具和協(xié)議在多林組織中規(guī)劃和實現(xiàn)授權(quán)和身份驗證策略了解補充的授權(quán)和身份驗證策,,隨堂練習 1,你是 shixun 的安全管理員。網(wǎng)絡(luò)由一個叫做 shixun.com 的單一活動目錄域組成。所有服務(wù)器運行 Win

52、dows Server 2003 ?？蛻魴C運行 Windows XP Professional 。你使用組策略來管理客戶機。Shixun 的一些管理員負責管理網(wǎng)絡(luò)連接和 TCP/IP 。這些管理員是著名的架構(gòu)工程師，同時也是叫做 Infra_Engineers 的一個全局組的成員。架構(gòu)工程師必須能夠配置和解決服務(wù)器和客戶機上的 TCP/IP 設(shè)置。你需要重新配置一個受限制的組策略，確保只有架構(gòu)工程師可以成為網(wǎng)絡(luò)中的成員。在所有客戶機

53、上配置操作員本地組。你想在沒有對架構(gòu)工程師授予不必要的權(quán)限的情況下來實現(xiàn)這個目標 。你該怎么辦？,,隨堂練習 1（續(xù)）,為了回答這個問題，把合適的組拖動到工作區(qū)中對話框的正確列表中。,,隨堂練習 1（續(xù)）,答案:,,隨堂練習 2,如圖：,,隨堂練習 2（續(xù)）,你是 shixun.com 的安全管理員。網(wǎng)絡(luò)由兩個叫做 shixun.com 和 foo.com 的活動目錄林組成。Shixun.com 林的功能級別是Windows Serv

54、er 2003 ，如圖所示。Foo.com 林由一個單一活動目錄域組成。Shixun.com 林中的域控制器不是運行Window Server 2003 就是運行 Windows 2000 Server 。Uk.shixun.com 域的技術(shù)支持人員負責創(chuàng)建 foo.com域的用戶帳戶。Shixun.com的寫安全策略表明每個用戶只允許有一個用戶帳戶。你需要配置網(wǎng)絡(luò)，允許技術(shù)支持人員在foo.com域創(chuàng)建用戶帳戶。你該怎么做？A

55、．在 foo.com 域信任 shixun.com 域的情況下，創(chuàng)建一個單向外部信任關(guān)系。B．在 shixun.com 域信任 foo.com 域的情況下，創(chuàng)建一個單向外部信任關(guān)系。C．在 uk.shixun.com 域信任 foo.com 域的情況下，創(chuàng)建一個單向外部信任關(guān)系。D．在 foo.com 域信任 uk.shixun.com 域的情況下，創(chuàng)建一個單向外部信任關(guān)系。,,隨堂練習 3,假設(shè)你是shixun.com的安全管理

56、員。網(wǎng)絡(luò)由兩個活動目錄林組成的，每個林包含四個域。根域分別叫做shixun.com和foo.com并且網(wǎng)絡(luò)中的所有服務(wù)器運行Windows Server 2003。你想允許兩個林的用戶可以訪問其他林的資源。你在shixun.com林和foo.com林之間創(chuàng)建了一個雙向林信任關(guān)系。然而，用戶報告說他們不能訪問其他林中服務(wù)器上的資源。你檢測到兩個林之間的網(wǎng)絡(luò)連接和 DNS 域名解決運行正確。用戶正在試圖連接擁有驗證過的用戶組允許-讀權(quán)限

57、的資源。當用戶試圖連接另一個林中的資源時，你發(fā)現(xiàn)所有用戶是其他成員組的成員。你需要確認一個林中的用戶可以訪問其他林中服務(wù)器的資源。你該怎么做？A．對每一個林根域和其他林根域中的 Windows 身份驗證訪問組安全組增加域計算機安全組。B．把林信任關(guān)系的身份驗證區(qū)域配置為禁止選擇性身份驗證。C．把每個林中的被信任的域?qū)ο螅═DO）配置為禁止更改名稱后綴。D．在每個根域中，把域控制器配置為全局目錄服務(wù)器。,,隨堂練習 4

58、,假設(shè)你是shixun的安全管理員。網(wǎng)絡(luò)由一個叫做shixun.com的單一活動目錄域組成，所有的域控制器運行Windows Server 2003，所有客戶機運行Windows XP Professional。用戶在叫做shixun1的服務(wù)器上存儲文件。這些文件是機密文件，因此當存儲在shixun1上的時候，必須一直是被加密的。你配置了一個新的證書頒發(fā)機構(gòu)(CA),并且發(fā)布這個對所有用戶都支持的加密文件系統(tǒng)（EFS）。用戶報告說他們

59、不能對存儲在shixun1上的文件加密。他們報告說他們只能對存儲在本機客戶機上的文件進行加密。你該怎么做？把 shixun1注冊為一個支持文件加密的計算機證書。配置一個新的EFS恢復代理。使用活動目錄配置EFS恢復代理。把shixun1計算機賬戶配置為委派信任。把每個客戶機注冊為一個支持文件加密的計算機證書。,,隨堂練習 5,假設(shè)你是shixun.com的安全管理員。網(wǎng)絡(luò)由兩個分別叫做shixun.com和de.shixun.

60、com的活動目錄域組成。這些域在相同的活動目錄林中。兩個域操作級別是Windows 2000混合模式。一個叫做 shixun7的 Windows Server 2003 計算機為shixun公司的用戶和計算機發(fā)布了證書。Shixun7是shixun.com活動目錄域的一個成員。你計劃使用shixun7 對de.shixun.com 活動目錄域中的身份驗證過的計算機配置證書?，F(xiàn)在你需要創(chuàng)建一個對授權(quán)過的計算機限制證書注冊的訪問控制解決

61、方案來。你想通過最小的管理精力來實現(xiàn)這個目標。你該怎么做？把授權(quán)過的計算機賬戶添加到 de.shixun.com 域中的一個全局組中。然后在計算機板中拒絕該組的注冊權(quán)限把授權(quán)過的計算機賬戶添加到 de.shixun.com 域中的一個通用組中。然后在計算機板中拒絕該組的注冊權(quán)限把授權(quán)過的計算機賬戶添加到 shixun.com 域中的一個全局組中。然后在計算機板中拒絕該組的注冊權(quán)限把授權(quán)過的計算機賬戶添加到 shixun.com