网络安全的实现和管理2823A_01

Slide Title,Body Text,Second level,Third level,Fourth level,Fifth level,网络安全的实现和管理,以,Windows Server 2003,和,ISA Server 2004,为例,课程介绍,课程简介,本课程主要介绍,如何利用,ISA Server 2004,和,Windows Server 2003,进行企业安全部署和企业日常管理的基本操作,预备知识,掌握,Windows Server 2003,操作系统的基本使用和配置,掌握,Windows Server 2003,网络的基本概念,了解网络基础知识,课程要求,课时：,90,课时,分为两部分,讲课部分：,54,课时课堂教学,实践部分：,36,课时实验教学,培养目标,能够保护企业服务器与成员计算机的安全,能够实现企业数据信息的安全存储,能够实现企业数据的安全传输,能够保护无线网络的安全,能够保护网络边界的安全,能够保护远程用户安全访问企业资源,课程知识点,授权和身份验证,（第,1,章）,证书服务器的管理和部署（第,2,、,3,章）,智能卡相关概念和配置（第,4,章）,客户端和服务器端安全部署（第,6,、,7,、,8,章）,安全更新服务器的管理和部署（第,9,章）,EFS,相关概念和操作（第,5,章）,数据传输安全的配置与部署（第,10,、,12,、,13,章）,ISA Server 2004,概述和安装配置 （第,14,、,15,章,),ISA Server 2004,服务器配置和部署（第,15,到,22,章）,ISA Server 2004,服务器的监视（第,23,章）,序言,课程分类和学习资料,我们的课主要分为两种：理论课和实验课。,理论课：我们主要在教室里学习课本内容。,实验课：我们会把书上的实验到机房里去上机操作一下。,学习资料如下：,课本,学生光盘,幻灯片（和上课演示的,PPT,是一样的）,多媒体视频和交互练习,实验手册（每次实验的时候需要大家填写的）,实验文件（每次实验会用到一些文件）,案例文档,课外阅读,课程当中产品升级信息,Windows Server 2003,自动更新网站, Server 2003 Server,热修复, Server 2004,官方网站, Server 2004,试用版下载, Server 2004,标准版,SP1,下载, Pack),：,热修复,(Hotfix),：,参考资料,互联网资源, Windows Server(TM) 2003 PKI and Certificate Security (Pro - One-Offs),ISBN,：,0735620210,Dr. Tom Shinders Configuring ISA Server 2004,ISBN,：,1931836191,微软院校课程,规划和配置授权和身份验证策略,网络安全的实现和管理,以,Windows Server 2003,和,ISA Server 2004,为例,第,1,章规划和配置授权和身份验证策略,第,2,章安装、配置和管理证书颁发机构,第,3,章配置、部署和管理证书,第,4,章智能卡证书的规划、实现和故障诊断,第,5,章加密文件系统的规划、实现和故障排除,第,6,章规划、配置和部署安全的成员服务器基线,第,7,章为服务器角色规划、配置和部署安全基线,第,8,章规划、配置、实现和部署安全客户端计算机基线,第,9,章规划和实现软件更新服务,第,10,章 数据传输安全性的规划、部署和故障排除,第,11,章 部署配置和管理,SSL,第,12,章 规划和实施无线网络的安全措施,第,13,章 保护远程访问安全,网络安全的实现和管理,以,Windows Server 2003,和,ISA Server 2004,为例,第,14,章,Microsoft ISA Server,概述,第,15,章 安装和维护,ISA Server,第,16,章 允许对,Internet,资源的访问,第,17,章 配置,ISA Server,作为防火墙,第,18,章 配置对内部资源的访问,第,19,章 集成,ISA Server 2004,和,Microsoft Exchange Server,第,20,章 高级应用程序和,Web,筛选,第,21,章 为远程客户端和网络配置虚拟专用网络访问,第,22,章 实现缓存,第,23,章 监视,ISA Server 2004,第,1,章 规划和配置授权和身份验证策略,Windows Server 2003,中的组和基本“组”策略,在,Windows Server 2003,中创建信任,使用组来规划、实现和维护授权策略,身份验证模型的组件,规划和实现身份验证策略,为什么需要组，常见组类型有哪些？,为什么要把组划分为不同的作用域？,在实际工作中，不同作用域的组应如何使用？,Windows Server 2003,中的组类型,组作用域,内置组,特殊组,管理安全组的工具,受限制的“组”策略,创建受限制的“组”策略的方法,1.1,Windows Server 2003,中的组和基本组策略,Windows Server 2003,中的组和基本“组”策略,通讯组,仅使用在电子邮件应用程序,没有启用安全特性,安全组,用于设置访问控制，安全组的成员能继承安全组的权限,什么情况下用通讯组、什么情况下只能用安全组？,1.1.1,Windows Server 2003,中的组类型,Windows Server 2003,中的组类型,组作用域,(,按作用范围来分,),域本地组：,用来配置本域资源的访问控制权限，从资源的角度来设计的。,全局组：,用来组织本域中有相同访问需求的安全主体，从用户的角度来设计的。,通用组：,用来组织,本林中,各域有相同访问需求的安全主体，主要是全局组,A-G-U-DL-P,A-G-DL-P,注：书,P3,页,案例,假设在,林根域的文件服务器上有共享数据供林中各域的用户访问，每个域有些用户只需查看文件内容，另有些用户还需更改数据文件内容，请问一般应该如何来实现它。,内置组,设计用来管理对共享的资源的访问，以及委派特定的域范围的管理任务,内置组,Print Operators,Remote Desktop Users,Replicator,Server Operators,Users,Performance Monitor Users,Pre-Windows 2000 Compatible Access,Account Operators,Administrators,Backup Operators,Incoming Forest Trust,Builders,Network Configuration Operators,Performance Log Users,1.1.3,内置组,具体参见书,P4,页,特殊组,设计用来提供对资源的访问，而无需管理或与用户交互,Anonymous Logon,Authenticated Users,Everyone,Creator Owner,Interactive,Dialup,Batch,Creator Group,Terminal Server Users,Local System,Network,Self,Service,Other Organization,This Organization,1.1.4,特殊组,具体请参见书,P5,页,注：组作用域不适用于特殊组,管理安全组的工具,功能,工具,用于在,Active Directory,中管理用户和组的图形工具,Active Directory,用户和计算机,ACL Editor,Whoami,Dsadd,Ifmember,Getsid,用于管理资源的用户和组的工具,在命令窗口中显示当前用户的访问令牌的完整内容的工具,创建组和管理组成员身份的命令行工具,列举当前成员所属的所有组的命令行工具,比较两个用户账户的,SID,的命令行工具,1.1.5,管理安全组的工具,相关示例见下页,示例,cacls c:test /t /e /c /g dgroup:r,授予,dgroup,组对,c:test,目录读取的权限,dsadd ou ou=newou,ou=sales,dc=guangdong,dc=com,getsid server1 user1 server1 user2,Cacls,用法：,/T,更改当前目录及其所有子目录中指定文件的,ACL,。,/E,编辑,ACL,而不替换。,/C,在出现拒绝访问错误时继续。,/G user:perm,赋予指定用户访问权限。,Perm,可以是,: R,读取,W,写入,C,更改,(,写入,),F,完全控制,什么是受限制的组？,书,P6-1.1.6,案例,如何确保,SALES,部门所有计算机的本地管理员组（,administrators,）中只包含如下成员：,Administrator,Domain admins,Enterprise admins,Salesmanager(,销售部的管理员,),受限制的组,使用受限制的“组”策略来限制组成员关系,指定哪些成员属于受限制的“组”,应用或刷新到计算机或,OU,的策略 时，未在该策略中指定的组成员会被删除,应用受限制的“组”策略,定义安全模板中的策略,直接在组策略对象（,GPO,）上定义设置,1.1.6,受限制的组策略,演示：,创建“受限制的组”策略,1.1.7,创建受限制的组策略的方法,创建受限制的组策略的方法,第,1,章 规划和配置授权和身份验证策略,Windows Server 2003,中的组和基本组策略,在,Windows Server 2003,中创建信任,使用组来规划、实现和维护授权策略,身份验证模型的组件,规划和实现身份验证策略,Windows Server2003,中的信任,在,Windows Server2003,中信任使用的身份验证方法,与服务器操作系统相关的信任类型,使用,SID,筛选阻止,SID,电子欺骗,创建信任的方法,1.2,在,Windows Server 2003,中创建信任,在,Windows Server 2003,中创建信任,域与域间为什么需要信任？,常见的信任关系有哪些？,林,(,根,),树,/,根,信任,林,信任,快捷方式 信任,外部,信任,Kerberos,领域,领域,信任,域,D,林,1,域,B,域,A,域,E,域,F,林,(,根,),域,P,域,Q,父,/,子,信任,林,2,域,C,1.2.1,Windows Server2003 中的信任,Windows Server2003,中的信任,传递性,可传递性信任：自动或手动建立,不可传递信任：不能自动创建，必须手动设置,信任方向,（用符号表示，由信任者指向被信任者）,单向传入（内向信任）,单向传出,(,外向信任,),双向互传,关于信任的知识点,关于信任的知识点,单向传入（内向信任）,就是接受其他域的信任,如在域,A,设置一条域,A,和域,B,之间的单向传入信任，则域,A,的用户能在域,B,中被认证，也就是域,A,的用户可以使用域,B,中的资源,单向传出,(,外向信任,),就是信任其他的域,林内自动创建的信任关系均为双向、可传递，其它的信任（外部、领域、林、快捷）均可单向或双向,关于信任的知识点,双向互传,建立新的子域、子树时，就会自动建立双向可传递的父子信任、树根信任，这种信任关系不能被删除,不可传递,不可传递信任并不流向林中的任何其他域,不可传递信任默认为单向信任关系，也可建立双向不可传递信任,可单向或双向,关于信任的知识点,外部信任,设置一个林中的域和另一个林中的域之间的信任关系（,单向或双向均可,）,为不可传递的信任,快捷信任,快捷信任是,部分,可传递的信任,使用户可以缩短复杂林中的信任路径,快捷信任具有,优化的,性能,进行身份验证,快捷信任必须手动明确创建,单向或双向均可,林间信任（只能在,2003,林间）,是部分可传递,的,要手工配置,可单向也可双向,关于信任的知识点,跨域资源访问所用的身份验证方式有哪些？,在,Windows Server2003,中信任使用的身份验证方法,信任类型,验证协议,父,/,子,Kerberos, NTLM,树,/,根,Kerberos, NTLM,外部,NTLM,领域,Kerberos,林,Kerberos, NTLM,快捷方式,Kerberos, NTLM,1.2.2,在 Windows Server2003 中信任使用的身份验证方法,信任类型,操作系统,林信任、单向或双向外部信任,Windows Server2003,林之间,Windows Server 2003,和,Windows 2000,林之间,Windows Server 2003,林和,Windows NT 4.0,林之间,运行其他操作系统的服务器之间,单向或双向外部信任,单向或双向外部信任,领域,信任,1.2.3,与服务器操作系统相关的信任类型,与服务器操作系统相关的信任类型,什么是SID？,域中安全主体的,SID,是如何构成的？,SID历史记录有何作用？,什么是,SID,欺骗？,如果来自受信任域的域管理员将信任域中的一个已知的安全主体关联到受信任域中普通用户账户的,SID,上，就会发生,SID,电子欺骗,SID,电子欺骗,S,ID 筛选使管理员可以舍弃使用那些可能被用作电子欺骗的 SID 的凭据,SID,筛选,SID,筛选在迁移用户和组到其他域时必须停用该功能,停用,SID,筛选,1.2.4,使用 SID 筛选阻止 SID 电子欺骗,使用,SID,筛选阻止,SID,电子欺骗,默认情况下，,Windows Server 2003,活动目录中新的外部信任和林信任强制,SID,筛选,创建信任的方法,演示：,创建信任的方法,1.2.5,创建信任的方法,SID,筛选设置方法：,Netdom trust TrustingDomainName /domain:TrustedDomainName /quarantine:No,|yes,示例：,Netdom trust /domain: /quarantine:yes,启用或禁用,SID,历史记录表,Netdom trust trusting_domain_name /Domain:trusted_domain_name /EnableSIDHistory:yes | no,示例：,Netdom trust, /domain: /EnableSIDHistory:yes,默认情况下，,2003AD,中新的外部信任和林信任都强制,SID,筛选,实验,1-2,创建信任,目的：,创建一个跨林信任,1.2.6,实验,1-2,创建信任,两个条件：,1,、解决两林之间的,DNS,解析,2,、林功能级别均库,windows server 2003,第,1,章 规划和配置授权和身份验证策略,Windows Server 2003,中的组和基本组策略,在,Windows Server 2003,中创建信任,使用组来规划、实现和维护授权策略,身份验证模型的组件,规划和实现身份验证策略,安全的三要素是什么？,身份验证、授权和最小特权,用户,/ACL,方法,账户组,/ACL,授权方法,账户组,/,资源组授权方法,组命名规则,1.3,使用组来规划、实现和维护授权策略,使用组来规划、实现和维护授权策略,身份验证、授权和最小特权,访问控制：,执行授权的模式,Victorl Li,需要访问资源权限,验证：,检验用户或程序身份的过程,用户是,Victorl Li,授权：,判断用户或其他程序是否有访问资源的权限,Victorl Li,拥有权限访问资源,用户,资源,1.3.1,身份验证、授权和最小特权,用户,/ACL,方法,优点,对小型组织能起到很好的作用,局限性,管理员工作量就增加了，因为他需要为每个用户设置对资源的访问权限的控制,故障诊断以及跟踪哪些用户对哪些资源拥有访问权限可能很费时,1.3.2,用户,/ACL,方法,账户组,/ACL,授权方法,优点,对于中、小型企业来说可简化管理,局限性,对于中大型企业来说管理负担还是较大,故障诊断以及跟踪哪些用户对哪些资源拥有访问权限可能很费时,1.3.3,账户组/ACL 授权方法,账户组,/,资源组授权方法,优点,将账户组添加到一个已被配置了相应权限的资源组中，可减轻中大型企业的管理,可以将账户组放置在受信任域中的,ACL,上（全局组）,只要简单地将账户组删除或放入资源组，就可以为组提供对资源的访问权限,局限性,针对小组织不太适合,1.3.4,账户组/资源组授权方法,组命名规则,直观的命名规则，否则将大大提高添加或删除成员时选错组的可能性,命名规则的组成部分,组成部分,示例,组类型,GG,代表全局组，,UN,代表通用组，,DL,代表本地域组,组的位置,Sea,代表,Seattle,（西雅图）,或部门,组的用途,如：可用,Admins,代表管理员,1.3.5,组命名规则,示例：,P16-17,实验,1-3,创建组命名策略,目的：,阅读下面的场景介绍，然后全班为组提交一个惟一的命名规则,1.3.7,实验,1-3,创建组命名策略,第,1,章 规划和配置授权和身份验证策略,Windows Server 2003,中的组和基本组策略,在,Windows Server 2003,中创建信任,使用组来规划、实现和维护授权策略,身份验证模型的组件,规划和实现身份验证策略,身份验证模型的组件,Windows Server 2003,的身份验证功能,Windows Server 2003,中的身份验证协议,LM,身份验证,NTLM,身份验证的工作原理,Kerberos,身份验证的工作原理,Windows Server 2003,的机密存储,诊断身份验证问题的工具,1.4,身份验证模型的组件,日常生活中进行身份验证的方式有哪些？,对用户账户的集中管理,单点登录环境,支持计算机和服务账户,多因素支持,(,如对智能卡等的支持,),审核,多协议,(LM,、,NTLM,、,NTLMV2,、,Kerberos),1.4,.1 Windows Server 2003,的身份验证功能,Windows Server 2003,的身份验证功能,NTLM,Kerberos,Default authentication protocol for Windows 2000 and Windows XP Professional,以及更高版本的系统,最安全,协议,范例,LM,用于,OS2,和,Windows,工作组,，包括,Windows 95,、,Windows 98,和,Windows Me,NTLMv1,用于连接到运行,Windows NT Service Pack 3,或更早版本的服务器。,NTLMv1,使用,56,位加密,保护该协议的安全,NTLMv2,用于连接到运行,Windows 2000,、,Windows XP,、和,Windows NT Service Pack 4,或更高版本的服务器,使用,128,位加密,保护该协议的安全,Windows Server 2003,的身份验证功能,1.4,.1 Windows Server 2003,的身份验证功能,LM,身份验证,提供与旧版操作系统的兼容性，包括,Windows 95,、,Windows 98,、和,Windows NT 4.0 Service Pack 3,或更早版本,是安全性最弱的协议，最容易遭受攻击,不要在,Windows Server 2003,中使用,LM,身份验证,密码限制为不超过,14,个字符,1.4,.3 LM,身份验证,禁用方法：书,P20,页,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsanolmhash,使其为,”1”,NTLM,身份验证的工作原理,域控制器,客户端,用户名,域,安全账户数据库,Nonce,2,用户密码的哈希加密,Nonce,3,用户密码的哈希,=,用户密码的哈希加密,Nonce,5,1,4,用户密码的哈希,4,1.4,.4 NTLM,身份验证的工作原理,当用户输入用户名和密码后，计算机将用户名发送给,KDC,。,KDC,包含一个主数据库，该数据库保存了其领域内每个安全主体独有的长期密钥,KDC,查找用户的主密钥（,KA,），主密钥基于用户的密码。然后，,KDC,创建两项：一个与用户共享的会话密钥（,SA,）和一张票证授予式票证（,TGT,，,Ticket-Granting Ticket,）。,TGT,包含,SA,、用户名和过期时间的第二个副本。,KDC,使用它自身的主密钥（,KKDC,）加密此票证，此主密钥只有,KDC,知道,目标服务器,KDC,用户,KAB,KAB,TGT+SA,TGT+,时间戳,用户名,客户端计算机从,KDC,接收到信息，并通过单向哈希函数加密用户的密码，这样就将密码转换成了用户的,KA,。客户端计算机现在有一个会话密钥和一个,TGT,，这样就可以与,KDC,安全通信了,当 Kerberos 客户端需要访问同一域中成员服务器上的资源时，它会联系 KDC。客户端将提供 TGT 和用已经与 KDC 共享会话密钥加密的时间戳,，,接着，KDC 创建一对票证，一张给客户端，另一张给客户端需要访问资源所在的服务器,，,KDC 获取服务器的票证，并使用服务器主密钥（KB）加密它。然后 KDC 将服务器的票证嵌套在客户端的票证内，这样客户端的票证也含有该 KAB,1.4,.5 Kerberos,身份验证的工作原理,Kerberos,身份验证的工作原理,本地凭据由,本地安全机构,（,LSA,，,Local Security Authority,）存储和维护。,Lsass.exe,LSA,存储的敏感信息称为,LSA,机密，包括：,信任关系密码,用户名,密码,服务账户名称,服务账户密码,1.4,.6 Windows Server 2003,的机密存储,Windows Server 2003,的机密存储,诊断身份验证问题的工具,工具,功能,Kerbtray.exe,此,GUI,工具显示了,Kerberos,票证信息,Klist.exe,允许查看和删除被授予给当前登录会话的,Kerberos,票证,CmdKey.exe,创建、列出和删除存储的用户名和密码或凭据,1.4,.7,诊断身份验证问题的工具,Kerbtray.exe,、,Klist.exe,在,Windows,资源工具包,cmdkey.exe,示例见下页,cmdkey,示例,(,存储的用户名和密码,),要使用,cmdkey,为用户,user1,添加用户名和密码以便用密码,Pssw0rd,访问计算机,Server1,，请键入：,cmdkey /add:server1 /user:user1 /pass:Pssw0rd,要使用,cmdkey,为用户,user1,添加用户名和密码以便访问计算机,Server1,并在,Server1,被访问时提示用户输入密码，请键入：,cmdkey /add:server1 /user:user1,第,1,章 规划和配置授权和身份验证策略,Windows Server 2003,中的组和基本组策略,在,Windows Server 2003,中创建信任,使用组来规划、实现和维护授权策略,身份验证模型的组件,规划和实现身份验证策略,规划和实现身份验证策略,评估环境的注意事项,控制计算机访问权的组策略设置,创建强密码策略的指导方针,账户锁定策略和登录限制的选项,创建,Kerberos,票证策略的选项,Windows Server 2003,对早期操作系统的身份验证方法,启用安全身份验证的方法,补充身份验证策略,Windows,徽标程序,1.5,规划和实现身份验证策略,评估环境的注意事项,评估现有的网络环境时包含以下内容：,组织中域控制器的数目,组织中站点之间的网络连接的类型,组织中可用的证书颁发机构（,CA,，,Certification Authority,）的数量和它们的位置,1.5.1,评估环境的注意事项,组策略设置,描述,从网络访问此计算机,用户权限决定允许哪些用户和组通过网络连接到计算机,允许在本地登录,此登录权利决定哪些用户可以对这台计算机进行交互式登录,拒绝本地登录,安全设置决定哪些用户被拒绝在该计算机上登录,拒绝从网络访问这台计算机,此安全设置决定哪些用户被阻止通过网络访问计算机,从扩展坞中取出计算机,此安全设置确定用户是否无需登录即可将便携式计算机从其扩展坞删除,1.5.2,控制计算机,访问,权的组策略设置,控制计算机访问权的组策略设置,创建强密码策略的指导方针,实施密码策略需要：,教育用户在组织中使用密码的必要性,建议用户不要在密码中使用个人信息,使用密码复杂性功能 ：,要考虑到用户能记住复杂的、更改频繁和过长密码的能力,使用组策略来控制密码策略：,密码最长使用期限,强制密码历史,密码最短使用期限,密码长度最小值,1.5.3,创建强密码策略的指导方针,组策略设置,描述,账户锁定阈值,确定在账户被锁定前，可以进行登录尝试的次数,可用的设置范围是,0,（账户永远不被锁定）到,999,（次）,账户锁定时间,确定锁定的账户在自动解锁前保持锁定状态的分钟数，,如为,0,则必需手动解锁,复位账户锁定计数器,确定在该计数器被复位为,0,（即,0,次失败登录尝试）之前，,尝试登录失败之后所需的分钟数,强制用户登录限制,此项用于,用户登录时,，强制,KDC,检查请求会话票证的用户是否具有本地登录或网络登录的权限。如果用户没有相应的权限，会话票证就不会被发布。否则在登录时不检查用户是否具有本地登录或网络登录的权限,1.5.4,账户锁定策略和登录限制的选项,账户锁定策略和登录限制的选项,缺省域组策略设置,描述,用户,凭据,最长寿命,TGT,确定用户凭据过期前可使用的时间,(,默认值是,10,小时,),服务,凭据,最长寿命,Ticket,确定服务凭据过期前可使用的时间,必须大于,10,分钟并小于“用户票证最长寿命”，默认值是,600,分钟,(10,小时,),用户,凭据,续订最长寿命,确定用户的,TGT,可以续订的天数,默认值是,7,天,1.5.5,创建,Kerberos,凭据,策略的选项,创建,Kerberos,凭据策略的选项,操作系统的身份验证级别,级别,客户端,域控制器,0,发送,LM,和,NTLM,响应，从不使用,NTLMv2,会话安全,使用,LM,、,NTLM,和,NTLMv2,1,使用,LM,和,NTLM,。如果客户端支持，还将使用,NTLMv2,使用,LM,、,NTLM,和,NTLMv2,2,仅使用,NTLM,身份验证 。,如果客户端支持，还将使用,NTLMv2,使用,LM,、,NTLM,和,NTLMv2,3,仅使用,NTLMv2,使用,LM,、,NTLM,和,NTLMv2,4,使用,NTLM,和,NTLMv2,仅接受,NTLM,和,NTLMv2,5,仅使用,NTLMv2,仅接受,NTLMv2,1.5.6,Windows Server 2003,对早期操作系统的身份验证方法,启用安全身份验证的方法,演示：,如何启用安全身份验证,通过组策略设置,：安全选项,-,网络安全：,LAN Manager,身份验证级别,1.5.7,启用安全身份验证的方法,通过注册表来设置,仅发送,NTLMv2,响应,HKLMSystemCurrentControlSetControlLSALMCompatibilityLevel,拒绝,LM,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsanolmhash,使其为,”1”,仅发送,NTLMv2,响应,通过将,HKLMSystemCurrentControlSetControlLSALMCompatibilityLevel,设为等于 3 或更大的值，可以将运行,Windows NT Service Pack 4,或更高版本操作系统的计算机配置为仅发送,NTLMv2,响应。,补充的身份验证的策略,受委派的身份验证,当一个网络服务接受来自用户的请求并以该用户的身份以启动一个新的连接到第二个服务时，就需要在第一个服务器上启用受委派的身份验证,受限委派（,2003,功能级别）,允许管理员指定特定服务，受信任委派的计算机可以从这些服务请求资源,1.5.8,补充的身份验证的策略,下页委派示例,委派示例,实验,1-4,配置安全的身份验证,目的：,使用组策略保护,Windows 2003 Server,上的身份验证,1.5.10,实验,1-4,配置安全的身份验证,练习,1,规划和实现资源授权策略,练习,2,规划和实现跨林身份验证策略,练习,3,规划和实现身份验证策略,1.6,实验,1-5,规划和配置身份验证和授权策略,实验,1-5,规划和配置身份验证和授权策略,回顾,学习完本章后，将能够：,为多域或多林环境确定必需的组织结构,在,Microsoft Windows Server 2003,环境中创建信任,在多林组织中规划、实现和维护授权和身份验证策略,了解支持授权和身份验证的组件、工具和协议,在多林组织中规划和实现授权和身份验证策略,了解补充的授权和身份验证策,随堂练习,1,你是,shixun,的安全管理员。网络由一个叫做,的单一活动目录域组成。所有服务器运行,Windows Server 2003,。客户机运行,Windows XP Professional,。你使用组策略来管理客户机。,Shixun,的一些管理员负责管理网络连接和,TCP/IP,。这些管理员是著名的架构工程师，同时也是叫做,Infra_Engineers,的一个全局组的成员。架构工程师必须能够配置和解决服务器和客户机上的,TCP/IP,设置。,你需要重新配置一个受限制的组策略，确保只有架构工程师可以成为网络中的成员。在所有客户机上配置操作员本地组。你想在没有对架构工程师授予不必要的权限的情况下来实现这个目标 。,你该怎么办？,随堂练习,1,（续）,为了回答这个问题，把合适的组拖动到工作区中对话框的正确列表中。,随堂练习,1,（续）,答案,:,随堂练习,2,如图：,随堂练习,2,（续）,你是,的安全管理员。网络由两个叫做,和,的活动目录林组成。,S,林的功能级别是,Windows Server 2003,，如图所示。,F,林由一个单一活动目录域组成。,S,林中的域控制器不是运行,Window Server 2003,就是运行,Windows 2000 Server,。,U,域的技术支持人员负责创建,域的用户帐户。,S,的写安全策略表明每个用户只允许有一个用户帐户。,你需要配置网络，允许技术支持人员在,域创建用户帐户。你该怎么做？,A,在,域信任,域的情况下，创建一个单向外部信任关系。,B,在,域信任,域的情况下，创建一个单向外部信任关系。,C,在,域信任,域的情况下，创建一个单向外部信任关系。,D,在,域信任,域的情况下，创建一个单向外部信任关系。,随堂练习,3,假设你是,的安全管理员。网络由两个活动目录林组成的，每个林包含四个域。根域分别叫做,和,并且网络中的所有服务器运行,Windows Server 2003,。,你想允许两个林的用户可以访问其他林的资源。你在,林和,林之间创建了一个双向林信任关系。然而，用户报告说他们不能访问其他林中服务器上的资源。,你检测到两个林之间的网络连接和,DNS,域名解决运行正确。用户正在试图连接拥有验证过的用户组允许,-,读权限的资源。,当用户试图连接另一个林中的资源时，你发现所有用户是其他成员组的成员。,你需要确认一个林中的用户可以访问其他林中服务器的资源。你该怎么做？,A,对每一个林根域和其他林根域中的,Windows,身份验证访问组安全组增加域计算机安全组。,B,把林信任关系的身份验证区域配置为禁止选择性身份验证。,C,把每个林中的被信任的域对象（,TDO,）配置为禁止更改名称后缀。,D,在每个根域中，把域控制器配置为全局目录服务器。,随堂练习,4,假设你是,shixun,的安全管理员。网络由一个叫做,的单一活动目录域组成，所有的域控制器运行,Windows Server 2003,，所有客户机运行,Windows XP Professional,。用户在叫做,shixun1,的服务器上存储文件。这些文件是机密文件，因此当存储在,shixun1,上的时候，必须一直是被加密的。,你配置了一个新的证书颁发机构,(CA),并且发布这个对所有用户都支持的加密文件系统（,EFS,）。用户报告说他们不能对存储在,shixun1,上的文件加密。他们报告说他们只能对存储在本机客户机上的文件进行加密。,你该怎么做？,把,shixun1,注册为一个支持文件加密的计算机证书。,配置一个新的,EFS,恢复代理。使用活动目录配置,EFS,恢复代理。,把,shixun1,计算机账户配置为委派信任。,把每个客户机注册为一个支持文件加密的计算机证书。,随堂练习,5,假设你是,的安全管理员。网络由两个分别叫做,和,的活动目录域组成。这些域在相同的活动目录林中。两个域操作级别是,Windows 2000,混合模式。,一个叫做,shixun7,的,Windows Server 2003,计算机为,shixun,公司的用户和计算机发布了证书。,Shixun7,是,活动目录域的一个成员。你计划使用,shixun7,对,活动目录域中的身份验证过的计算机配置证书。,现在你需要创建一个对授权过的计算机限制证书注册的访问控制解决方案来。你想通过最小的管理精力来实现这个目标。,你该怎么做？,把授权过的计算机账户添加到,域中的一个全局组中。然后在计算机板中拒绝该组的注册权限,把授权过的计算机账户添加到,域中的一个通用组中。,然后在计算机板中拒绝该组的注册权限,把授权过的计算机账户添加到,域中的一个全局组中。,然后在计算机板中拒绝该组的注册权限,把授权过的计算机账户添加到,域中的一个通用组中。,然后在计算机板中拒绝该组的注册权限,