2014教委教材样本~.docVIP

规划和配置授权和身份验证策略 本章概述 企业的安全策略中最关键且最被忽视的一部分是保护，并为它们提供相应资源的访问权限。为了保护企业中的资源免受恶意和未授权用户的访问，并增强企业数据的完整性，评估企业的基本架构以及创建和编写一份允许不同进行相应级别访问的授权和身份规划是重要的。掌握各种身份认证的过程，能熟练运用各类的组来对资源进行授权，满足企业需求信任关系、域和林的功能级别。为多域或多林环境确定必需的组结构 在 Microsoft? Windows Server? 2003 环境中创建信任 在多林组织中规划、实现和维护授权和身份验证策略 支持授权和身份验证的组件、工具和协议 在多林组织中规划和实现授权和身份验证策略 补充的授权和身份验证策略组和基本组策略创建信任用组来规划、实现和维护授权策略用户/ACL账户组/ACL账户组/资源组命名组作废的时间身份验证模型规划和实现身份验证策略本节描述了可以在中创建的组的类型。本节还描述了全局、本地域和通用组的行为以及实现组时使用的策略。在本节中将了解信任的各种组件、信任的类型、创建信任的常见场景以及如何从安全角度有效地管理信任。本节将向你提供在企业环境中有效地规划、创建和管理组的指导方针和最佳实践。LM部分是后面的基础，引导同学熟悉它的原理，同时强调LM的不安全性。 NTLM是Windows系统经常使用的身份验证方法。如何加强NTLM验证的安全性，也就意味着加强了Windows系统的安全性。 这是windows系统安全的一个重要部分。 讲授： Kerberos身份验证是Windows 2000以后的Windows系统实现的重要安全功能。相对于NTLM，它在网络环境中实现了更好的安全性。 Kerberos使用KDC存储所有的帐户和密码信息。由密码信息生成的密钥用来在客户端和服务端传递。并且通常情况下并不在网络上传递该密钥，而是传递由该密钥生成的票证缓存。 Kerberos的验证过程课本已经描述的较为清晰，为了方便讲授和方便学生理解，可以同样参考书上的图，采用一个更加详细的流程图来说明这一过程。 讲解课本：1.4.5 阅书：1.4.5 幻灯：第48页 首先讲述Kerberos协议中KDC的作用。 然后可以详细说明一下Kerberos的验证过程。 这部分内容可以在NTLM的基础上进行讲授。 讲授： 从前面的内容平滑过渡到Windows Server 2003的机密存储。即，我们已经知道了如何来进行身份验证，那么用于验证的用户信息如何进行安全的保存。 对于域环境，Windows Server系统将会把所有的身份验证信息保存在于控制器上。这是由于Active Directory本身能够控制访问权限并且能够提供统一的验证。 而对于本机的情况，则使用LSA的服务来存储和保护身份验证信息。 任何安全实体都能够使用调试程序访问机密信息。为了加强安全性，从Windows XP开始可以使用syskey.exe来加密LSA机密信息。 讲解课本：1.4.6 阅书：1.4.6 幻灯：第49页 可以打开任务管理器查看当前系统的运行的服务。 找到名为“lsass.exe”的进程，该进程就是LSA服务的进程。 可以联系共享非域计算机和域计算机资源时的不同来说明机密信息存储的不同。域计算机可以使用统一的域帐号，而非域计算机必须使用本地的帐号。 讲授： 简单介绍一下诊断身份验证的工具。 帮助学生回忆一下Active Directory环境下对时间同步的要求。为什么超出时间差异的客户端无法登录域控制器。 然后说明NTLM和Kerberos对时间同步的要求。并说明诊断工具的必要性。 讲解课本：1.4.7 阅书：1.4.7 幻灯：第50页 略为涉及，不用花太多时间。 可以建议感兴趣的同学课后使用工具程序体验。 本节小结： 身份验证协议对于评估和加强安全环境非常重要。 在本节中，将学习不同的授权方法以及每种方法对安全性的好处。还将学习一些用于诊断授权协议故障的工具。