教委教材样本13.docx
- 文档编号:17885420
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:27
- 大小:64.65KB
教委教材样本13.docx
《教委教材样本13.docx》由会员分享,可在线阅读,更多相关《教委教材样本13.docx(27页珍藏版)》请在冰点文库上搜索。
教委教材样本13
第1章规划和配置授权和身份验证策略
本章概述
企业的安全策略中最关键且最被忽视的一部分是保护企业用户的安全,并为它们提供相应资源的访问权限。
为了保护企业中的资源免受恶意和未授权用户的访问,并增强企业数据的完整性,评估企业的基本架构以及创建和编写一份允许不同的企业用户进行相应级别访问的授权和身份验证规划是非常重要的。
通过本章的学习,能够掌握各种身份认证的过程,能熟练运用各类的组来对资源进行授权,以满足企业需求,同时教师需要补充说明信任关系、域和林的功能级别。
教学目标
●能够为多域或多林环境确定必需的组结构
●能够在Microsoft®WindowsServer™2003环境中创建信任
●能够在多林组织中规划、实现和维护授权和身份验证策略
●掌握支持授权和身份验证的组件、工具和协议
●能够在多林组织中规划和实现授权和身份验证策略
●掌握补充的授权和身份验证策略
教学重点
●组和基本组策略:
类型、作用域、内置组、特殊组、工具、受限制的组策略
●创建信任:
概念、身份验证、类型、SID筛选
●用组来规划、实现和维护授权策略:
用户/ACL、账户组/ACL、账户组/资源组、命名、组作废的时间
●身份验证模型:
功能、协议
●规划和实现身份验证策略:
注意事项、组策略设置、强密码、选项
教学难点
●本章涉及大量概念,教师应当引导学生回顾
●不能仅仅停留在书本,应当根据指导方针进行场景练习
教学资源
课本
知识点
1.1WindowsServer2003中的组和基本组策略
1.2在WindowsServer2003中创建信任
1.3使用组来规划、实现和维护授权策略
1.4身份验证模型的组件
1.5规划和实现身份验证策略
习题
习题1-对应知识(1.1.6)
习题2-对应知识(1.2.5)
习题3-对应知识(1.4.2)
习题4-对应知识(1.4.7)
习题5-对应知识(1.5.3)
教学指导手册包
新版幻灯片
教师光盘:
/Powerpnt/2823A_01.ppt
多媒体视频
无
习题解答
教师光盘:
/tPrep/answer/Answer1.doc
先修知识
在正式开始学习本章内容以前,学生须具备下列知识基础。
知识基础
推荐补充
网络基本概念、服务器基本应用和知识
网络常见协议的概念和使用
Internet的使用和电子邮件服务
常见的网络服务
建议学时
课堂教学2课时+实验教学2课时
教学过程
序言:
教学提示:
序言部分讲解主要达到两个目的:
●介绍系统安全对于整个企业架构的重要性,以此激发学习动力。
●明确本门课程、教材的结构,以及学习方法。
教学内容
教学活动
教学提示
讲授:
对于一个公司来说,最值钱的也许不是它的货物,也不是它的房子,更不是它的硬件设备,而是它的数据。
举例来说,911事件中,有许多大的公司在世贸大厦建有机房,存有大量数据。
由于灾难的发生,这些硬件和数据都被毁坏了。
这时,建立了完整安全体系的公司,立刻启用第二个数据中心,或者立即使用新的硬件恢复原有备份的数据,从而延续了企业的业务。
而没有做好数据安全工作的公司在此事件之后一蹶不振,甚至走向了破产。
从一些例子介绍信息安全的重要性。
可以灵活的举例,最终切入到本门课程的重要性。
提问:
有没有听说过什么安全事件,能不能讲一个信息安全的故事?
●请学生举一些例子,培养学生的主动性。
●此问题活跃课堂气氛。
不宜拖得时间过长。
小结:
小结一下前面提及的各种安全问题,然后归纳一下,即:
所谓信息安全危险,就是让不应该访问数据的人访问了这些数据。
由此引入第一章的主题,如何保证让指定的人只能访问指定的数据,亦即不让未授权的人访问他不应该访问的数据。
由于访问信息在大的范围内能够分为内部人员和外部人员,因此在这本书里,我们主要从两个方面研究信息安全。
Windows信息基本架构的安全。
也就是第一章到第十三章的内容。
内外网间通讯的安全。
也就是第十四到第二十三章的内容。
学完这些内容以后,基本上就能够从整个系统架构的高度来构建和维护一个安全的企业信息环境。
●帮助学生建立全书的全局观。
●明确为什么要学这本书?
学些什么?
学完后可以做什么
●激发学习兴趣和动力
讲授:
在正式开始学习这本书以前,我们必须先掌握一些学习方法。
我们的课主要分为两种:
理论课和实验课。
●理论课:
主要在教室里讲授学习课本内容。
●实验课:
到机房里去上机实际操作一下书上的实验。
我们手上有如下的一些材料:
●课本
●学生光盘
⏹幻灯片(和上课演示的PPT是一样的)
⏹多媒体视频和交互练习
⏹实验手册(每次实验的时候需要大家填写的)
⏹实验文件(每次实验会用到一些文件)
⏹案例文档
⏹课外阅读
学习方法:
●课前可以使用幻灯片结合书,做一些预习。
可以把预习中的问题带到课堂上来解决。
这样上课听起来会更轻松。
●认真完成好每章后面的习题和每次上机。
●自己在家里或寝室中做一些相关的试验。
光靠听讲是无法学会故障排除的。
上机的时间也是不够的。
●和同学多交流信息安全的经验,查阅一些相关的文章和背景知识。
借助他人的经验帮助自己成长。
小结:
信息安全是一个动态的过程,要想做到安全必须要与时俱进,不断消化吸收新的知识。
因此掌握良好的学习方法相当重要。
●说明学生所拥有的资料
●帮助建立正确的学习方法和观念
●关于学生光盘内容各部分作用参见本课程教学大纲的相关部分
讲授:
下面我们进入本章内容的学习:
我们将讨论以下几个问题:
●组的概念和类型
●信任的概念
●使用组来实现授权策略
●身份验证的模型和协议
●身份验证策略
1.1WindowsServer2003中的组和基本组策略
教学提示:
本节主要达到两个目的:
●了解什么是组,以及组的类型和作用范围
●如何创建、更改、删除和查询组,以及受限制的组策略
内容
教学方法
提示
讲授:
1、首先使用简单的例子引入组的概念,说明组的用处。
然后根据组的用处介绍两种组的类型:
安全组和通讯组。
启发性的举例,例如通讯组的好处。
如果需要给公司某个部门几百个人发邮件,一个一个输入邮件地址和检查将是很费时间精力的事情。
而使用通讯组就很简单了。
2、回顾一下AD的基础知识:
域、树、森林的概念。
然后引入组的作用域的概念。
3、提示每一台计算机的原始状态,举例Administrators等组来说明内置组的概念。
4、举几个例子简要说明特殊组的概念。
例如AuthenticatedUsers,包括了所有经过验证的用户,也就不需要在授权的时候输入Administrators、Users等所有需要经过验证的用户组了。
5、简要说明下SID的作用,即使用SID来表明用户和组等对象的唯一标示。
然后简单介绍用来管理组的工具。
对于有兴趣的同学可以课后交流辅导。
简单介绍受限制的组策略,说明可以使用该策略来控制组的成员。
阅书:
1.1.1
幻灯:
第17页
●讲述注意流程的条理性。
●由浅入深的介绍顺序。
●根据学生的反馈来调节进度。
●除了后面的实验,还可以让同学们自己在课后,花一点点时间做一些组的设置的实验。
提问:
1、同学们有没有使用过组?
2、文件服务器上有许多的权限设置,利用组来进行设置有什么好处呢?
调动学习主动性和注意力
实验:
根据课堂环境安排实验或者安排课后实验。
强调动手实验的重要性,理论必须要结合实际。
本节小结:
本节描述了可以在WindowsServer 2003中创建的组的类型。
本节还描述了全局、本地域和通用组的行为,以及实现组时使用的策略。
1.2在WindowsServer2003中创建信任
教学提示:
本节主要达到三个目的:
●说明各种不同的信任关系(精讲)
●说明信任关系使用的验证方法(略讲)
●介绍不同版本系统之间的信任关系、使用SID过滤(略讲)
教学内容
教学方法
教学提示
讲授:
对于现代的商业环境,并购和拆分对于公司来说非常的常见,因而也对IT架构的支持提出了很多的挑战。
由于这些商业运作,一个企业里存在多个域,甚至多个森林都是有可能的。
当然我们可以通过合并迁移域来整合这些资源,但是在此之前,为了保证属于不同域、不同森林的用户能够互相共享资源,建立一定的信任关系非常重要。
另一方面,大型的公司有可能为旗下的子公司建立自己的子域,清楚子域和父域之间的信任关系也是一件非常重要的事情,这对整个企业的安全架构都是非常重要的。
因为父子域间是完全信任的,因此在规划整个企业架构的时候,就要根据安全对象来建立信任关系,决定是选择完全信任的父子域关系还是其他种类的信任关系。
因此要仔细分辨不同类型的信任关系,以确认什么时候什么环境应该使用何种信任关系,来安全的共享资源。
讲解课本:
1.2.1
阅书:
1.2.1
幻灯:
第27页
●通过结合一定的例子来引导同学们思考
●使用不同的例子说明不同类型的信任关系的使用环境
讲授:
简单说明身份验证的重要性,即:
如何得知确实是这个人要求这个资源呢?
简单介绍Windows身份验证的两种协议。
主要说明尽量使用Kerberos验证,只在必须时使用NTLM。
讲解课本:
1.2.2
阅书:
1.2.2
幻灯:
第28页
●简单介绍身份验证的概念
●说明建立信任时使用身份验证的重要性
●为后面的课程说明身份验证埋下伏笔
提问:
引导一下同学提问。
信任关系完全是逻辑上的定义,如何查看信任关系呢?
结合前面的内容,共享资源权限可以通过其属性中的“安全”页来查看。
而信任关系是通过“ActiveDirectory域和信任”管理控制台来查看。
讲授:
结合本节开始的例子,根据不同的操作系统版本来介绍不同环境下,应该使用不同的信任类型。
讲解课本:
1.2.3
阅书:
1.2.3
幻灯:
第29页
讲授:
介绍或者回顾SID的定义。
Windows系统使用SID作为安全实体的唯一标识,任何一个账户不论如何改变名称,其SID始终是不变的。
回顾一下前面的组的内容,实际上组或者用户的权限信息,都是通过ACL(访问控制列表)里面SID的列表来实现的。
简单介绍一下SIDhistory,SIDhistory可以让某个用户除了现有的SID之外,仍然包含有之前域的SID信息。
从而保证迁移或者合并域的过程中信息的延续性。
但是,由于信任关系的存在和SIDhistory的作用,使得信任的域中的管理员有可能修改一些帐号的属性,借助SIDhistory来实现非授权的访问。
由此加大了系统的风险,因而需要使用SID过滤来避免这种风险。
讲解课本:
1.2.4
阅书:
1.2.4
幻灯:
第30页
●SID的概念需要描述清楚。
●时间允许可以演示一下,通过GetSID工具来验证一个账户更名前后的SID值。
讲授或演示:
时间充裕建议演示一下如何建立信任。
讲解课本:
1.2.5
阅书:
1.2.5
幻灯:
第31页
●如果时间紧张,可以将演示带到实验环节中,先演示,后实验。
本节小结:
信任是WindowsServer2003跨域信息访问的重要手段。
在本节中,将了解信任的各种组件、信任的类型、创建信任的常见场景,以及如何从安全角度有效地管理信任。
●教师可根据实际经验多举一些相关案例。
1.3使用组来规划、实现和维护授权策略
教学提示:
本节主要达到两个目的。
●安全的三个要素。
(精讲)
●如何运用组来实现授权的策略。
(精讲+演示)
教学内容
教学方法
教学提示
讲授:
使用组可以减少ACE的数量,简化设置工作。
还可以方便的更改文件权限设置。
例如,当某个用户离开企业时,往往需要在整个文件结构中查询和删除这个用户对应的权限信息。
而使用组来进行权限设置的话,只需要将该用户从组中删除就可以了。
阅书:
1.3.1
幻灯:
第35页
要将使用组进行权限分派的好处讲清楚。
讲授:
介绍安全三要素:
身份验证、授权和最小特权。
这部分内容不多,但是相当重要。
很多的安全内容都是建立在这三要素之上的。
再次强调所谓信息安全就是保证让有权限的人能且仅能够访问他应该访问的信息。
然后从这句话展开,首先要确认有权限的人,是否是真正的这个人,而不是假冒的,这就是身份验证;
能够访问应该访问的信息,也就是将这些信息提供给该用户访问,即授权给这个用户;
而让这个用户仅能访问他应该访问的信息,也是让有权限的人访问信息的保证。
也就是说只能给用户满足其安全需求的最小权限。
讲解课本:
1.3.1
可以使用许多间谍电影里的情节举例子。
例如如何假冒一个身份去获取本不应该得到的信息。
讲授:
介绍不同的授权方法。
针对不同的信息资源组织方式和不同的环境,可以使用不同的授权方法。
阅书:
1.3.2
幻灯:
第36页
可以让同学课后进行试验和体会
讲授:
引导学生以企业的IT管理员的角度思考,如果建立了大量的组,如何去管理?
联想AD里面OU的划分,介绍组命名规则。
OU可以安照部门、功能、区域等来进行划分。
说明使用组的命名规则,可以简化管理工作,避免不必要的人为的错误。
讲解课本:
1.3.5
阅书:
1.3.3
幻灯:
第39页
略讲即可
讲授:
随着部门的细化和增加,组的数量不断增大。
如果发生了一些组织结构的变化,就需要停止一些组的使用。
同样,由于短时期临时的原因而建立的组,也需要在完成使命以后进行删除。
这时可以使用LDAP语句来查询这些组。
讲解课本:
1.3.6
阅书:
1.3.6
幻灯:
第40页
●除了教材的内容,还可以补充介绍如何进行LDAP查询,例如使用WindowsServer2003安装光盘安装SupportTools等
●还可以介绍一下WindowsServer2003的“AD用户和计算机”管理控制台,可以使用查询语句来过滤对象。
实验:
按照试验手册的内容做关于组命名策略的试验。
按照手册来试验。
时间充裕的话可以试验LDAP的查询
本节小结:
组是非常常用的授权对象,是安全权限设置的基础。
本节将向你提供在企业环境中有效地规划、创建和管理组的指导方针和最佳实践。
要清晰的说明安全三要素的重要性。
后边的内容必须以此为基础。
1.4身份验证模型的组件
教学提示:
本节主要达到两个目的:
●Windows系统如何实现身份验证
●LM/NTLM等协议实现的原理和方法
教学内容
教学方法
教学提示
讲授:
介绍Windows实现身份验证的功能和优点。
稍作详细讲解一下集中管理和单点登录。
讲解课本:
1.4.1
阅书:
1.4.1
幻灯:
第44页
略讲,让同学们首先有个大致印象。
在后边讲完协议后再回归到Windows的验证实现上。
讲授:
分两个部分介绍NTLM协议和Kerberos协议。
NTLM协议说明三种不同版本的差异,最重要的是其安全性的差异。
Kerberos协议说明其优点,即不传递密码和密码的衍生物,而采用特殊的票证来进行传递。
这样加强了网络的安全性。
此外客户端和服务端会进行相互的验证,避免了身份验证欺诈,即冒充服务器或者客户端来骗取验证信息。
简要说明一下Windows系统可以在机器间进行协商,然后决定可用的身份验证信息。
这种协商也是可以定义和强制的。
讲解课本:
1.4.2
阅书:
1.4.3
幻灯:
第46页
这部分的内容主要简单说明WindowsServer2003能够支持的身份验证协议。
关注的重点在于协议的使用范围。
协议的原理和实现方法在后边的讲授中体现。
讲授:
这一部分内容涉及到LM/NTLM的协议原理,可以适当放慢教授速度,便于学生理解。
LM作为NTLM的基础,可以结合课本讲清楚它的原理。
说明一下逆向工程的做法,即使用工具可以计算不同组合的Hash值,由于计算机的计算能力不断飞涨,此过程的时间变得很短。
可以使用3种操作来禁用LM密码。
NTLM的改进在于使用nonce来扰乱hash值,这样即使截获了信息,由于nonce的原因也很难还原hash值来做密码攻击。
不同版本的NTLM加密的位数不同,NTLMv2的加密级别更高。
可以参考教材中的图,使用一张图表来说明NTLM的过程。
讲解课本:
1.4.3、1.4.4
LM部分是后面的基础,引导同学熟悉它的原理,同时强调LM的不安全性。
NTLM是Windows系统经常使用的身份验证方法。
如何加强NTLM验证的安全性,也就意味着加强了Windows系统的安全性。
这是windows系统安全的一个重要部分。
讲授:
Kerberos身份验证是Windows2000以后的Windows系统实现的重要安全功能。
相对于NTLM,它在网络环境中实现了更好的安全性。
Kerberos使用KDC存储所有的帐户和密码信息。
由密码信息生成的密钥用来在客户端和服务端传递。
并且通常情况下并不在网络上传递该密钥,而是传递由该密钥生成的票证缓存。
Kerberos的验证过程课本已经描述的较为清晰,为了方便讲授和方便学生理解,可以同样参考书上的图,采用一个更加详细的流程图来说明这一过程。
讲解课本:
1.4.5
阅书:
1.4.5
幻灯:
第48页
首先讲述Kerberos协议中KDC的作用。
然后可以详细说明一下Kerberos的验证过程。
这部分内容可以在NTLM的基础上进行讲授。
讲授:
从前面的内容平滑过渡到WindowsServer2003的机密存储。
即,我们已经知道了如何来进行身份验证,那么用于验证的用户信息如何进行安全的保存。
对于域环境,WindowsServer系统将会把所有的身份验证信息保存在于控制器上。
这是由于ActiveDirectory本身能够控制访问权限并且能够提供统一的验证。
而对于本机的情况,则使用LSA的服务来存储和保护身份验证信息。
任何安全实体都能够使用调试程序访问机密信息。
为了加强安全性,从WindowsXP开始可以使用syskey.exe来加密LSA机密信息。
讲解课本:
1.4.6
阅书:
1.4.6
幻灯:
第49页
●可以打开任务管理器查看当前系统的运行的服务。
●找到名为“lsass.exe”的进程,该进程就是LSA服务的进程。
●可以联系共享非域计算机和域计算机资源时的不同来说明机密信息存储的不同。
域计算机可以使用统一的域帐号,而非域计算机必须使用本地的帐号。
讲授:
简单介绍一下诊断身份验证的工具。
帮助学生回忆一下ActiveDirectory环境下对时间同步的要求。
为什么超出时间差异的客户端无法登录域控制器。
然后说明NTLM和Kerberos对时间同步的要求。
并说明诊断工具的必要性。
讲解课本:
1.4.7
阅书:
1.4.7
幻灯:
第50页
略为涉及,不用花太多时间。
可以建议感兴趣的同学课后使用工具程序体验。
本节小结:
身份验证协议对于评估和加强安全环境非常重要。
在本节中,将学习不同的授权方法以及每种方法对安全性的好处。
还将学习一些用于诊断授权协议故障的工具。
1.5规划和实现身份验证策略
教学提示:
本节主要达到两个目的:
●了解什么是身份验证的策略(精讲)
●如何设置身份验证的策略(精讲)
教学内容
教学方法
教学提示
讲授:
简单介绍进行环境评估的注意事项。
可以使用界面的演示,来说明和身份验证的有关的系统安全策略设置。
需要帮助学生了解和回顾一下组策略的相关知识。
并强调一下教材上出现的,使用“禁止替代”来防止域一级的组策略被OU的组策略所覆盖。
讲解课本:
1.5.1、1.5.2
阅书:
1.5.1
幻灯:
第53页
提问:
同学们是如何选择密码的?
如何记忆密码的?
从不同的反馈引导到密码强度的要求。
说明为了保证密码安全,WindowsServer可以使用强密码策略,规定用户设置的密码必须符合一定的复杂度,从而使整个域内的密码达到一个统一的安全底限。
说明密码重试次数不限制的危险性。
如果不加以限制,攻击者就可以不停的尝试密码,直到找到正确的密码。
因此必须限制密码重试次数。
进行帐户锁定。
同时说明在企业中需要从用户角度考虑问题,需要考虑到用户输错密码的可能性。
WindowsServer可以限制用户能够登录的时间。
因此,可以对此做出限制。
某些情况下,大部分的用户都没有必要在下班以后还进行登录。
讲解课本:
1.5.3、1.5.4
阅书:
1.5.3
幻灯:
第55页
可以略微介绍密码攻击的手段,例如暴力破解(不停的尝试所有的可能)和字典猜解(根据不同组合出现的频率来优先猜解)。
这样达到吸引学生注意力的目的。
讲授:
简单介绍一下票证过期时间的长短可能造成的影响。
使用极端的例子来说明。
比如说永远不过期,那么攻击者就能够积累足够的信息进行破解。
而更新太快,就会大大加剧网络的负载。
讲解课本:
1.5.5
阅书:
1.5.5
幻灯:
第57页
简单介绍即可。
讲授:
说明WindowsServer2003对早期系统的兼容性是一个重点内容。
完全干净的系统是一种理想状态。
由于企业中购置和使用的系统的批次,企业中完全有可能存在多种不同的操作系统版本。
因此,需要在保证安全性的前提下,尽可能的向前兼容以前的系统。
这就形成了4个级别的LM兼容性。
详细说明4种级别的特点。
需要说明低级别的兼容性造成的安全隐患也大。
说明如何有限的修改策略范围以支持之前的NT系统。
讲解课本:
1.5.6
阅书:
1.5.6
幻灯:
第58页
向学生介绍兼容性和安全性的矛盾。
结合实际的应用环境,建议尽快升级系统以获得较高的安全性。
讲授:
教材使用文字描述了启用安全身份验证的过程。
为了达到好的效果,建议课堂使用演示来说明这个过程。
讲解课本:
1.5.7
阅书:
1.5.7
幻灯:
第59页
时间允许的话使用实际的操作演示。
讲授:
简要说明在一些复杂环境中应用到的受委派和受限委派的策略。
略讲。
讲授:
简单介绍一下Windows徽标认证的程序能够满足Wind
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 教委 教材 样本 13