返回
网络操作系统——Windows Server 2003配置与管理 陈景亮 高校精品系列-Windows12

网络操作系统——Windows Server 2003配置与管理 陈景亮 高校精品系列-Windows12

ID:43771146

大小:3.25 MB

页数:49页

时间:2019-10-14

网络操作系统——Windows Server 2003配置与管理 陈景亮 高校精品系列-Windows12_第1页
网络操作系统——Windows Server 2003配置与管理 陈景亮 高校精品系列-Windows12_第2页
网络操作系统——Windows Server 2003配置与管理 陈景亮 高校精品系列-Windows12_第3页
网络操作系统——Windows Server 2003配置与管理 陈景亮 高校精品系列-Windows12_第4页
网络操作系统——Windows Server 2003配置与管理 陈景亮 高校精品系列-Windows12_第5页
资源描述:

《网络操作系统——Windows Server 2003配置与管理 陈景亮 高校精品系列-Windows12》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络操作系统——WindowsServer2003配置与管理第12章系统安全WindowsServer2003安全身份验证机制Kerberos配置与管理安全策略安全事件审核Microsoft更新公钥基础结构(PKI)Internet协议安全(IPSec)学习要点12.1 WindowsServer2003安全安全概述身份验证交互式登录向用户的本地计算机或AD账户确认用户的身份网络身份验证向用户尝试访问的任何网络服务确认用户的身份单点登录(SSO)使用户在访问网络上的资源时不必重复提供凭据,用户访问网络资源时只需要验证一次,随后的身份验证对该用户而言是透明的基于对象的访问控制将安全描述符分配

2、给存储在ActiveDirectory中的对象(文件、打印机和服务等)不仅可以控制对特殊对象的访问,也可以控制对该对象特定属性的访问安全策略密码策略、账户锁定策略、Kerberos策略、审核策略、用户权利和其他策略审核安全事件监视对象的创建或修改,提供追踪潜在安全性问题的方法ActiveDirectory和安全性数据保护网络数据的保护公钥基础结构信任12.1 WindowsServer2003安全WindowsServer2003新增安全功能新功能授权管理器存储用户名和密码软件限制策略对现有技术的改进证书颁发机构含有大量的改进和新增的功能受限委派可指定要信任的服务用以委派服务器有效权限工具

3、将计算授予指定用户或组的权限加密文件系统(EFS)不再需要恢复代理内置Everyone组包括AuthenticatedUsers和Guests基于操作的审核提供了更多描述性的审核事件,选择要审核的操作更为方便重新应用安全默认值12.2 身份验证机制单点登录交互式登录使用域账户登录使用本地账户登录网络身份验证身份验证类型KerberosV5身份验证SSL/TLS身份验证NTLM身份验证摘要式验证Passport身份验证12.2 身份验证机制NTLM身份验证适用对象早期版本Windows操作系统非域成员计算机非交互式NTLM的验证机制3个系统:客户端、服务器和域控制器域控制器代替服务器进行身份

4、验证的计算验证步骤用户请求访问服务器发送质询(Challenge)消息客户端发送应答(Response)消息服务器将质询和应答发送到域控制器域控制器比较质询和应答以对用户进行身份验证服务器向客户端发送应答交互式NTLM网络身份验证典型地涉及到两个系统客户端(用户请求身份验证)域控制器(存放着用户密码)12.2 身份验证机制KerberosV5身份验证KerberosSSP架构SSP(安全支持提供程序)用于实现KerberosV5身份验证协议SSPI(安全支持提供程序接口)是WindowsServer2003身份验证的基础,要求身份验证的应用和底层服务都使用SSPI接口SSP层主要组件Ker

5、berosNTLMDigest(摘要)身份验证SchannelNegotiate(协商)12.2 身份验证机制KerberosV5身份验证KerberosV5工作原理Kerberos使用对称密钥、加密的对象和Kerberos服务Kerberos身份验证协议提供客户端和服务器以及服务器之间的交互身份验证密钥发行中心(KDC)作为通信双方信任的第三方,负责身份验证的任务Kerberos是一个涉及到客户端、服务器、KDC三方的身份验证过程12.2 身份验证机制KerberosV5身份验证的配置与管理Kerberos策略配置Kerberos策略作为账户策略的一部分,用于控制Kerberos配置的某

6、些方面Kerberos策略只存在于AD组策略中,不存在于本地计算机策略中,对Kerberos策略进行的任何修改都将影响域内的所有计算机12.2 身份验证机制KerberosV5身份验证的配置与管理与Kerberos相关的用户账户属性设置交互式登录必须使用智能卡此账户需要使用DES加密类型不要求Kerberos预身份验证智能卡的实施避免了Kerberos中弱密码的问题需要用户手动插入智能卡才能向域请求身份验证输入一定次数的错误PIN之后,智能卡可以被锁定12.2 身份验证机制密码增强措施设置增强的密码策略设置账户锁定策略12.2 身份验证机制密码增强措施使用系统密钥系统密钥实用程序Syske

7、y为对抗密码破解建立了另一道防线它使用强加密技术来保证存储在SAM数据库或ActiveDirectory中的账户密码信息的安全系统密钥的存储3种模式模式1(普通模式):系统密钥保存在注册表中模式2:密钥也保存在注册表中,不过在启动时需要一个密码才能解开系统密钥模式3:将系统密钥保存在软盘上12.3安全策略安全模板安全模板概述安全模板是一种可以定义安全策略的文件安全模板都以.inf格式的文本文件存在,用户可方便地复制、粘贴

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。