网络安全设计第 1章 安全设计简介第 2章 创建网络安全计划第 3章 确定网络安全威胁第 4章 分析安全风险第 5章 创建物理资源安全设计第 6章 创建计算机安全设计第 7章 创建账户安全设计第 8章 创建身份验证安全设计第 9章 创建数据安全设计第 10章 创建数据传输安全设计第 11章 创建网络周边安全设计第 12章 设计安全事件应对措施附录 A 可接受使用策略的设计附录 B 网络管理策略的设计附录 C 安全管理的运营框架设计附录 D CHAP,MS-CHAP 和 MS-
CHAP v2 中的身份验证确定账户相关威胁并分析其风险设计账户安全性第 7章 创建账户安全设计确定账户相关威胁并分析其风险账户类型及其安全需求账户安全的重要性常见的账户漏洞课堂练习 分析账户风险
7.1 确定账户相关威胁并分析其风险账户类型及其安全需求账户基于以下方面获得权限:
用户权利权限账户作用域组成员关系不可信的 可信的外部用户账户 内部用户账户 管理员账户
7.1.1 账户类型及其安全需求账户安全的重要性攻击者 威胁 举例外部 对弱密码的字典攻击攻击者对管理员账户发动字典攻击,发现其为弱密码,随即使用管理员账户访问网络内部 通过 LSA 提取账户信息攻击者提取了服务的域账户密码,此密码存储为 LSA 机密信息,随即使用此账户访问其他计算机内部攻击者
BackAcct
P.@.s.s.w.).r.d
LSA 机密信息外部攻击者字典攻击密码
7.1.2 账户安全的重要性常见的账户漏洞易受攻击的区域 举例密码弱密码对多个账户使用相同的密码密码存储在计算机上用户共享密码,或用笔记录密码账户权限拥有本地管理员权限的用户不作为系统账户运行的服务拥有不必要的用户权限的账户可以访问私人文件、文件夹及注册表键值的用户或服务账户账户使用及管理对非管理类任务使用管理员账户拥有账户管理权限的用户账户不再使用的活动账户
7.1.3 常见的账户漏洞课堂练习 分析账户风险阅读场景信息回答问题全班一起讨论答案
1
2
3
分析
7.1.4 课堂练习 分析账户风险确定账户相关威胁并分析其风险设计账户安全性第 7章 创建账户安全设计设计账户安全性权限授予指导原则账户使用和管理注意事项使用管理和服务账户的指导原则账户密码的存储方式设计密码策略的注意事项课堂练习 风险和应对措施安全策略检查清单
7.2 设计账户安全性使用基于角色的安全性贴近资源分配权限通过受限组来强制执行组成员关系集中管理安全性权限授予指导原则域本地组全局组和 通用组域用户账户 权限
A G DL P 组权限授予模型可用来:
7.2.1 权限授予指导原则谁负责管理账户和密码谁能获取账户信息账户使用和管理注意事项当设计账户使用和管理的安全性时,应定义:
建立及删除账户授予用户权利和权限强制执行并监视权限使用管理员账户此外,还要定义以下操作流程:
7.2.2 账户使用和管理注意事项用户角色使用管理和服务账户的指导原则为管理账户设计安全性时,应该:
授予管理权限要慎重只有必要时才使用本地或域管理员账户对拥有管理员权限的账户进行审核为服务账户设计安全性时,应该:
将服务账户设置为以系统账户或本地用户账户运行为每个服务账户创建惟一的密码审核服务账户的使用情况
7.2.3 使用管理和服务账户的指导原则账户密码的存储方式密码位置 详细内容
Kerberos 和
NTLM Active Directory 将整个密码存储为一个散列值
LAN Manager
创建散列前,将原密码分为各有 7个字符的两半,其中字母统一为大写形式服务账户 密码以明文形式存储为 LSA 机密信息凭证缓存 不永久保存密码或密码的其他形式
Success92! SUCCESS 92!
7.2.4 账户密码的存储方式设计密码策略的注意事项密码策略的每个方面 指定以下规则技术方面最长密码期限强制密码历史最短密码期限最短密码长度复杂度要求账户锁定阀值管理方面初始密码的创建及分发用户密码培训
7.2.5 设计密码策略的注意事项课堂练习 风险和应对措施场景阅读各场景信息选择最佳风险管理策略确定适当的安全应对措施全班一起讨论答案
1
2
3
4
7.2.6 课堂练习 风险和应对措施
管理账户
分配权利和权限
创建和删除账户
实施服务账户
授予管理员权利和责任
使用强密码安全策略检查清单创建策略和过程来:
7.2.7 安全策略检查清单实验 A 账户安全设计 实验 A 账户安全设计回顾学习完本章后,将能够:
确定账户相关威胁并分析其风险设计账户安全性
CHAP v2 中的身份验证确定账户相关威胁并分析其风险设计账户安全性第 7章 创建账户安全设计确定账户相关威胁并分析其风险账户类型及其安全需求账户安全的重要性常见的账户漏洞课堂练习 分析账户风险
7.1 确定账户相关威胁并分析其风险账户类型及其安全需求账户基于以下方面获得权限:
用户权利权限账户作用域组成员关系不可信的 可信的外部用户账户 内部用户账户 管理员账户
7.1.1 账户类型及其安全需求账户安全的重要性攻击者 威胁 举例外部 对弱密码的字典攻击攻击者对管理员账户发动字典攻击,发现其为弱密码,随即使用管理员账户访问网络内部 通过 LSA 提取账户信息攻击者提取了服务的域账户密码,此密码存储为 LSA 机密信息,随即使用此账户访问其他计算机内部攻击者
BackAcct
P.@.s.s.w.).r.d
LSA 机密信息外部攻击者字典攻击密码
7.1.2 账户安全的重要性常见的账户漏洞易受攻击的区域 举例密码弱密码对多个账户使用相同的密码密码存储在计算机上用户共享密码,或用笔记录密码账户权限拥有本地管理员权限的用户不作为系统账户运行的服务拥有不必要的用户权限的账户可以访问私人文件、文件夹及注册表键值的用户或服务账户账户使用及管理对非管理类任务使用管理员账户拥有账户管理权限的用户账户不再使用的活动账户
7.1.3 常见的账户漏洞课堂练习 分析账户风险阅读场景信息回答问题全班一起讨论答案
1
2
3
分析
7.1.4 课堂练习 分析账户风险确定账户相关威胁并分析其风险设计账户安全性第 7章 创建账户安全设计设计账户安全性权限授予指导原则账户使用和管理注意事项使用管理和服务账户的指导原则账户密码的存储方式设计密码策略的注意事项课堂练习 风险和应对措施安全策略检查清单
7.2 设计账户安全性使用基于角色的安全性贴近资源分配权限通过受限组来强制执行组成员关系集中管理安全性权限授予指导原则域本地组全局组和 通用组域用户账户 权限
A G DL P 组权限授予模型可用来:
7.2.1 权限授予指导原则谁负责管理账户和密码谁能获取账户信息账户使用和管理注意事项当设计账户使用和管理的安全性时,应定义:
建立及删除账户授予用户权利和权限强制执行并监视权限使用管理员账户此外,还要定义以下操作流程:
7.2.2 账户使用和管理注意事项用户角色使用管理和服务账户的指导原则为管理账户设计安全性时,应该:
授予管理权限要慎重只有必要时才使用本地或域管理员账户对拥有管理员权限的账户进行审核为服务账户设计安全性时,应该:
将服务账户设置为以系统账户或本地用户账户运行为每个服务账户创建惟一的密码审核服务账户的使用情况
7.2.3 使用管理和服务账户的指导原则账户密码的存储方式密码位置 详细内容
Kerberos 和
NTLM Active Directory 将整个密码存储为一个散列值
LAN Manager
创建散列前,将原密码分为各有 7个字符的两半,其中字母统一为大写形式服务账户 密码以明文形式存储为 LSA 机密信息凭证缓存 不永久保存密码或密码的其他形式
Success92! SUCCESS 92!
7.2.4 账户密码的存储方式设计密码策略的注意事项密码策略的每个方面 指定以下规则技术方面最长密码期限强制密码历史最短密码期限最短密码长度复杂度要求账户锁定阀值管理方面初始密码的创建及分发用户密码培训
7.2.5 设计密码策略的注意事项课堂练习 风险和应对措施场景阅读各场景信息选择最佳风险管理策略确定适当的安全应对措施全班一起讨论答案
1
2
3
4
7.2.6 课堂练习 风险和应对措施
管理账户
分配权利和权限
创建和删除账户
实施服务账户
授予管理员权利和责任
使用强密码安全策略检查清单创建策略和过程来:
7.2.7 安全策略检查清单实验 A 账户安全设计 实验 A 账户安全设计回顾学习完本章后,将能够:
确定账户相关威胁并分析其风险设计账户安全性
