网络安全的实现和管理.ppt

网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 课程介绍 课程简介本课程主要介绍如何利用ISAServer2004和WindowsServer2003进行企业安全部署和企业日常管理的基本操作预备知识掌握WindowsServer2003操作系统的基本使用和配置掌握WindowsServer2003网络的基本概念了解网络基础知识 课程要求 课时 90课时分为两部分讲课部分 54课时课堂教学实践部分 36课时实验教学培养目标能够保护企业服务器与成员计算机的安全能够实现企业数据信息的安全存储能够实现企业数据的安全传输能够保护无线网络的安全能够保护网络边界的安全能够保护远程用户安全访问企业资源 课程知识点 授权和身份验证 第1章 证书服务器的管理和部署 第2 3章 智能卡相关概念和配置 第4章 客户端和服务器端安全部署 第6 7 8章 安全更新服务器的管理和部署 第9章 EFS相关概念和操作 第5章 数据传输安全的配置与部署 第10 12 13章 ISAServer2004概述和安装配置 第14 15章 ISAServer2004服务器配置和部署 第15到22章 ISAServer2004服务器的监视 第23章 序言 课程分类和学习资料 我们的课主要分为两种 理论课和实验课 理论课 我们主要在教室里学习课本内容 实验课 我们会把书上的实验到机房里去上机操作一下 学习资料如下 课本学生光盘幻灯片 和上课演示的PPT是一样的 多媒体视频和交互练习实验手册 每次实验的时候需要大家填写的 实验文件 每次实验会用到一些文件 案例文档课外阅读 课程当中产品升级信息 WindowsServer2003自动更新网站 服务包 ServicePack 热修复 Hotfix 参考资料 互联网资源微软出版社书目MicrosoftWindowsServer TM 2003PKIandCertificateSecurity Pro One Offs ISBN 0735620210Dr TomShinder sConfiguringISAServer2004ISBN 1931836191微软院校课程 第1章规划和配置授权和身份验证策略 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第1章规划和配置授权和身份验证策略第2章安装 配置和管理证书颁发机构第3章配置 部署和管理证书第4章智能卡证书的规划 实现和故障诊断第5章加密文件系统的规划 实现和故障排除第6章规划 配置和部署安全的成员服务器基线第7章为服务器角色规划 配置和部署安全基线第8章规划 配置 实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划 部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第14章MicrosoftISAServer概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004 第1章规划和配置授权和身份验证策略 WindowsServer2003中的组和基本 组 策略在WindowsServer2003中创建信任使用组来规划 实现和维护授权策略身份验证模型的组件规划和实现身份验证策略 为什么需要组 常见组类型有哪些 为什么要把组划分为不同的作用域 在实际工作中 不同作用域的组应如何使用 WindowsServer2003中的组类型组作用域内置组特殊组管理安全组的工具受限制的 组 策略创建受限制的 组 策略的方法 1 1WindowsServer2003中的组和基本组策略 WindowsServer2003中的组和基本 组 策略 通讯组 仅使用在电子邮件应用程序没有启用安全特性 安全组 用于设置访问控制 安全组的成员能继承安全组的权限 什么情况下用通讯组 什么情况下只能用安全组 1 1 1WindowsServer2003中的组类型 WindowsServer2003中的组类型 组作用域 按作用范围来分 域本地组 用来配置本域资源的访问控制权限 从资源的角度来设计的 全局组 用来组织本域中有相同访问需求的安全主体 从用户的角度来设计的 通用组 用来组织本林中各域有相同访问需求的安全主体 主要是全局组A G U DL PA G DL P 注 书P3页 案例 假设在林根域的文件服务器上有共享数据供林中各域的用户访问 每个域有些用户只需查看文件内容 另有些用户还需更改数据文件内容 请问一般应该如何来实现它 内置组 设计用来管理对共享的资源的访问 以及委派特定的域范围的管理任务内置组 PrintOperatorsRemoteDesktopUsersReplicatorServerOperatorsUsersPerformanceMonitorUsersPre Windows2000CompatibleAccess AccountOperatorsAdministratorsBackupOperatorsIncomingForestTrustBuildersNetworkConfigurationOperatorsPerformanceLogUsers 1 1 3内置组 具体参见书P4页 特殊组 设计用来提供对资源的访问 而无需管理或与用户交互 AnonymousLogonAuthenticatedUsersEveryoneCreatorOwnerInteractiveDialupBatchCreatorGroup TerminalServerUsersLocalSystemNetworkSelfServiceOtherOrganizationThisOrganization 1 1 4特殊组 具体请参见书P5页 注 组作用域不适用于特殊组 管理安全组的工具 功能 工具 用于在ActiveDirectory中管理用户和组的图形工具 ActiveDirectory用户和计算机 ACLEditor Whoami Dsadd Ifmember Getsid 用于管理资源的用户和组的工具 在命令窗口中显示当前用户的访问令牌的完整内容的工具 创建组和管理组成员身份的命令行工具 列举当前成员所属的所有组的命令行工具 比较两个用户账户的SID的命令行工具 1 1 5管理安全组的工具 相关示例见下页 示例 caclsc test t e c gdgroup r授予dgroup组对c test目录读取的权限dsaddouou newou ou sales dc guangdong dc comgetsid server1user1 server1user2 Cacls用法 T更改当前目录及其所有子目录中指定文件的ACL E编辑ACL而不替换 C在出现拒绝访问错误时继续 Guser perm赋予指定用户访问权限 Perm可以是 R读取W写入C更改 写入 F完全控制 什么是受限制的组 书P6 1 1 6 案例 如何确保SALES部门所有计算机的本地管理员组 administrators 中只包含如下成员 AdministratorDomainadminsEnterpriseadminsSalesmanager 销售部的管理员 受限制的组 使用受限制的 组 策略来限制组成员关系指定哪些成员属于受限制的 组 应用或刷新到计算机或OU的策略时 未在该策略中指定的组成员会被删除应用受限制的 组 策略定义安全模板中的策略直接在组策略对象 GPO 上定义设置 1 1 6受限制的组策略 演示 创建 受限制的组 策略 1 1 7创建受限制的组策略的方法 创建受限制的组策略的方法 第1章规划和配置授权和身份验证策略 WindowsServer2003中的组和基本组策略在WindowsServer2003中创建信任使用组来规划 实现和维护授权策略身份验证模型的组件规划和实现身份验证策略 WindowsServer2003中的信任在WindowsServer2003中信任使用的身份验证方法与服务器操作系统相关的信任类型使用SID筛选阻止SID电子欺骗创建信任的方法 1 2在WindowsServer2003中创建信任 在WindowsServer2003中创建信任 域与域间为什么需要信任 常见的信任关系有哪些 林 根 树 根信任 林信任 快捷方式信任 外部信任 Kerberos领域 领域信任 域D 林1 域B 域A 域E 域F 林 根 域P 域Q 父 子信任 林2 域C 1 2 1WindowsServer2003中的信任 WindowsServer2003中的信任 传递性可传递性信任 自动或手动建立不可传递信任 不能自动创建 必须手动设置信任方向 用符号表示 由信任者指向被信任者 单向传入 内向信任 单向传出 外向信任 双向互传 关于信任的知识点 关于信任的知识点 单向传入 内向信任 就是接受其他域的信任如在域A设置一条域A和域B之间的单向传入信任 则域A的用户能在域B中被认证 也就是域A的用户可以使用域B中的资源单向传出 外向信任 就是信任其他的域 林内自动创建的信任关系均为双向 可传递 其它的信任 外部 领域 林 快捷 均可单向或双向 关于信任的知识点 双向互传建立新的子域 子树时 就会自动建立双向可传递的父子信任 树根信任 这种信任关系不能被删除不可传递不可传递信任并不流向林中的任何其他域不可传递信任默认为单向信任关系 也可建立双向不可传递信任可单向或双向 关于信任的知识点 外部信任设置一个林中的域和另一个林中的域之间的信任关系 单向或双向均可 为不可传递的信任快捷信任快捷信任是部分可传递的信任使用户可以缩短复杂林中的信任路径快捷信任具有优化的性能进行身份验证快捷信任必须手动明确创建单向或双向均可 林间信任 只能在2003林间 是部分可传递的要手工配置可单向也可双向 关于信任的知识点 跨域资源访问所用的身份验证方式有哪些 在WindowsServer2003中信任使用的身份验证方法 1 2 2在WindowsServer2003中信任使用的身份验证方法 信任类型 操作系统 林信任 单向或双向外部信任 WindowsServer2003林之间 WindowsServer2003和Windows2000林之间 WindowsServer2003林和WindowsNT4 0林之间 运行其他操作系统的服务器之间 单向或双向外部信任 单向或双向外部信任 领域信任 1 2 3与服务器操作系统相关的信任类型 与服务器操作系统相关的信任类型 什么是SID 域中安全主体的SID是如何构成的 SID历史记录有何作用 什么是SID欺骗 1 2 4使用SID筛选阻止SID电子欺骗 使用SID筛选阻止SID电子欺骗 默认情况下 WindowsServer2003活动目录中新的外部信任和林信任强制SID筛选 创建信任的方法 演示 创建信任的方法 1 2 5创建信任的方法 SID筛选设置方法 NetdomtrustTrustingDomainName domain TrustedDomainName quarantine No yes示例 N 默认情况下 2003AD中新的外部信任和林信任都强制SID筛选 实验1 2创建信任 1 2 6实验1 2创建信任 两个条件 1 解决两林之间的DNS解析2 林功能级别均库windowsserver2003 第1章规划和配置授权和身份验证策略 WindowsServer2003中的组和基本组策略在WindowsServer2003中创建信任使用组来规划 实现和维护授权策略身份验证模型的组件规划和实现身份验证策略 安全的三要素是什么 身份验证 授权和最小特权用户 ACL方法账户组 ACL授权方法账户组 资源组授权方法组命名规则 1 3使用组来规划 实现和维护授权策略 使用组来规划 实现和维护授权策略 身份验证 授权和最小特权 用户 资源 1 3 1身份验证 授权和最小特权 用户 ACL方法 优点对小型组织能起到很好的作用局限性管理员工作量就增加了 因为他需要为每个用户设置对资源的访问权限的控制故障诊断以及跟踪哪些用户对哪些资源拥有访问权限可能很费时 1 3 2用户 ACL方法 账户组 ACL授权方法 优点对于中 小型企业来说可简化管理局限性对于中大型企业来说管理负担还是较大故障诊断以及跟踪哪些用户对哪些资源拥有访问权限可能很费时 1 3 3账户组 ACL授权方法 账户组 资源组授权方法 优点将账户组添加到一个已被配置了相应权限的资源组中 可减轻中大型企业的管理可以将账户组放置在受信任域中的ACL上 全局组 只要简单地将账户组删除或放入资源组 就可以为组提供对资源的访问权限局限性针对小组织不太适合 1 3 4账户组 资源组授权方法 组命名规则 直观的命名规则 否则将大大提高添加或删除成员时选错组的可能性命名规则的组成部分 1 3 5组命名规则 示例 P16 17 实验1 3创建组命名策略 1 3 7实验1 3创建组命名策略 第1章规划和配置授权和身份验证策略 WindowsServer2003中的组和基本组策略在WindowsServer2003中创建信任使用组来规划 实现和维护授权策略身份验证模型的组件规划和实现身份验证策略 身份验证模型的组件 WindowsServer2003的身份验证功能WindowsServer2003中的身份验证协议LM身份验证NTLM身份验证的工作原理Kerberos身份验证的工作原理WindowsServer2003的机密存储诊断身份验证问题的工具 1 4身份验证模型的组件 日常生活中进行身份验证的方式有哪些 对用户账户的集中管理 单点登录环境 支持计算机和服务账户 多因素支持 如对智能卡等的支持 审核 多协议 LM NTLM NTLMV2 Kerberos 1 4 1WindowsServer2003的身份验证功能 WindowsServer2003的身份验证功能 NTLMKerberosDefaultauthenticationprotocolforWindows2000andWindowsXPProfessional以及更高版本的系统最安全 WindowsServer2003的身份验证功能 1 4 1WindowsServer2003的身份验证功能 LM身份验证 提供与旧版操作系统的兼容性 包括Windows95 Windows98 和WindowsNT4 0ServicePack3或更早版本 是安全性最弱的协议 最容易遭受攻击 不要在WindowsServer2003中使用LM身份验证 密码限制为不超过14个字符 1 4 3LM身份验证 禁用方法 书P20页HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa nolmhash使其为 1 NTLM身份验证的工作原理 1 4 4NTLM身份验证的工作原理 当用户输入用户名和密码后 计算机将用户名发送给KDC KDC包含一个主数据库 该数据库保存了其领域内每个安全主体独有的长期密钥 KDC查找用户的主密钥 KA 主密钥基于用户的密码 然后 KDC创建两项 一个与用户共享的会话密钥 SA 和一张票证授予式票证 TGT Ticket GrantingTicket TGT包含SA 用户名和过期时间的第二个副本 KDC使用它自身的主密钥 KKDC 加密此票证 此主密钥只有KDC知道 目标服务器 KDC 用户 客户端计算机从KDC接收到信息 并通过单向哈希函数加密用户的密码 这样就将密码转换成了用户的KA 客户端计算机现在有一个会话密钥和一个TGT 这样就可以与KDC安全通信了 当Kerberos客户端需要访问同一域中成员服务器上的资源时 它会联系KDC 客户端将提供TGT和用已经与KDC共享会话密钥加密的时间戳 接着 KDC创建一对票证 一张给客户端 另一张给客户端需要访问资源所在的服务器 KDC获取服务器的票证 并使用服务器主密钥 KB 加密它 然后KDC将服务器的票证嵌套在客户端的票证内 这样客户端的票证也含有该KAB 1 4 5Kerberos身份验证的工作原理 Kerberos身份验证的工作原理 本地凭据由本地安全机构 LSA LocalSecurityAuthority 存储和维护 Lsass exeLSA存储的敏感信息称为LSA机密 包括 信任关系密码用户名密码服务账户名称服务账户密码 1 4 6WindowsServer2003的机密存储 WindowsServer2003的机密存储 诊断身份验证问题的工具 1 4 7诊断身份验证问题的工具 Kerbtray exe Klist exe在Windows资源工具包cmdkey exe示例见下页 cmdkey示例 存储的用户名和密码 要使用cmdkey为用户user1添加用户名和密码以便用密码P ssw0rd访问计算机Server1 请键入 cmdkey add server1 user user1 第1章规划和配置授权和身份验证策略 WindowsServer2003中的组和基本组策略在WindowsServer2003中创建信任使用组来规划 实现和维护授权策略身份验证模型的组件规划和实现身份验证策略 规划和实现身份验证策略 评估环境的注意事项控制计算机访问权的组策略设置创建强密码策略的指导方针账户锁定策略和登录限制的选项创建Kerberos票证策略的选项WindowsServer2003对早期操作系统的身份验证方法启用安全身份验证的方法补充身份验证策略Windows徽标程序 1 5规划和实现身份验证策略 评估环境的注意事项 评估现有的网络环境时包含以下内容 组织中域控制器的数目组织中站点之间的网络连接的类型组织中可用的证书颁发机构 CA CertificationAuthority 的数量和它们的位置 1 5 1评估环境的注意事项 1 5 2控制计算机访问权的组策略设置 控制计算机访问权的组策略设置 创建强密码策略的指导方针 使用密码复杂性功能 要考虑到用户能记住复杂的 更改频繁和过长密码的能力使用组策略来控制密码策略 密码最长使用期限强制密码历史密码最短使用期限密码长度最小值 1 5 3创建强密码策略的指导方针 1 5 4账户锁定策略和登录限制的选项 账户锁定策略和登录限制的选项 1 5 5创建Kerberos凭据策略的选项 创建Kerberos凭据策略的选项 操作系统的身份验证级别 1 5 6WindowsServer2003对早期操作系统的身份验证方法 启用安全身份验证的方法 演示 如何启用安全身份验证通过组策略设置 安全选项 网络安全 LANManager身份验证级别 1 5 7启用安全身份验证的方法 通过注册表来设置仅发送NTLMv2响应HKLM System CurrentControlSet Control LSA LMCompatibilityLevel 拒绝LMHKEY LOCAL MACHINE SYSTEM CurrentControlSet Control Lsa nolmhash使其为 1 仅发送NTLMv2响应 通过将HKLM System CurrentControlSet Control LSA LMCompatibilityLevel设为等于3或更大的值 可以将运行WindowsNTServicePack4或更高版本操作系统的计算机配置为仅发送NTLMv2响应 补充的身份验证的策略 受委派的身份验证当一个网络服务接受来自用户的请求并以该用户的身份以启动一个新的连接到第二个服务时 就需要在第一个服务器上启用受委派的身份验证受限委派 2003功能级别 允许管理员指定特定服务 受信任委派的计算机可以从这些服务请求资源 1 5 8补充的身份验证的策略 下页委派示例 委派示例 实验1 4配置安全的身份验证 1 5 10实验1 4配置安全的身份验证 练习1规划和实现资源授权策略练习2规划和实现跨林身份验证策略练习3规划和实现身份验证策略 1 6实验1 5规划和配置身份验证和授权策略 实验1 5规划和配置身份验证和授权策略 回顾 学习完本章后 将能够 为多域或多林环境确定必需的组织结构在MicrosoftWindowsServer2003环境中创建信任在多林组织中规划 实现和维护授权和身份验证策略了解支持授权和身份验证的组件 工具和协议在多林组织中规划和实现授权和身份验证策略了解补充的授权和身份验证策 随堂练习1 你是shixun的安全管理员 网络由一个叫做的单一活动目录域组成 所有服务器运行WindowsServer2003 客户机运行WindowsXPProfessional 你使用组策略来管理客户机 Shixun的一些管理员负责管理网络连接和TCP IP 这些管理员是著名的架构工程师 同时也是叫做Infra Engineers的一个全局组的成员 架构工程师必须能够配置和解决服务器和客户机上的TCP IP设置 你需要重新配置一个受限制的组策略 确保只有架构工程师可以成为网络中的成员 在所有客户机上配置操作员本地组 你想在没有对架构工程师授予不必要的权限的情况下来实现这个目标 你该怎么办 随堂练习1 续 为了回答这个问题 把合适的组拖动到工作区中对话框的正确列表中 随堂练习1 续 答案 随堂练习2 如图 随堂练习2 续 你是的安全管理员 网络由两个叫做和的活动目录林组成 S林的功能级别是WindowsServer2003 如图所示 F林由一个单一活动目录域组成 S林中的域控制器不是运行WindowServer2003就是运行Windows2000Server U域的技术支持人员负责创建域的用户帐户 S的写安全策略表明每个用户只允许有一个用户帐户 你需要配置网络 允许技术支持人员在域创建用户帐户 你该怎么做 A 在域信任域的情况下 创建一个单向外部信任关系 B 在域信任域的情况下 创建一个单向外部信任关系 C 在域信任域的情况下 创建一个单向外部信任关系 D 在域信任域的情况下 创建一个单向外部信任关系 随堂练习3 假设你是的安全管理员 网络由两个活动目录林组成的 每个林包含四个域 根域分别叫做和并且网络中的所有服务器运行WindowsServer2003 你想允许两个林的用户可以访问其他林的资源 你在林和林