《网络安全设计》 第七章 创建账户安全设计

网络安全设计 ●第1章安全设计简介 ●第9章创建数据安全设计 第2章创建网络安全计划·第1章创建数据传输安全设计 6第3章确定网络安全威胁第1章创建网络周边安全设计 ●第4章分析安全风险 第1章设计安全事件应对措施 第5章创建物理资源安全·附录A可接受使用策略的设计 设计 附录B网络管理策略的设计 第6章创建计算机安全设计。附录C安全管理的运营框架 ●第7章创建账户安全设计 设计 第8章创建身份验证安全·附录 D CHAP、 MS-CHAP和Ms 设计 CHAP V2中的身份验证

网络安全设计 第1章 安全设计简介 第2章 创建网络安全计划 第3章 确定网络安全威胁 第4章 分析安全风险 第5章 创建物理资源安全 设计 第6章 创建计算机安全设计 第7章 创建账户安全设计 第8章 创建身份验证安全 设计 第9章 创建数据安全设计 第10章 创建数据传输安全设计 第11章 创建网络周边安全设计 第12章 设计安全事件应对措施 附录A 可接受使用策略的设计 附录B 网络管理策略的设计 附录C 安全管理的运营框架 设计 附录D CHAP、MS-CHAP 和 MS￾CHAP v2 中的身份验证

第7章创建账户安全设计 c确定账户相关威胁并分析其风险 c设计账户安全性

确定账户相关威胁并分析其风险 设计账户安全性 第7章 创建账户安全设计

确定账户相关威胁并分析其风险 71确定账户相关威胁并分析其风险 c账户类型及其安全需求 c账户安全的重要性 c常见的账户漏洞 c课堂练习分析账户风险

确定账户相关威胁并分析其风险 账户类型及其安全需求 账户安全的重要性 常见的账户漏洞 课堂练习 分析账户风险 7.1 确定账户相关威胁并分析其风险

账户类型及其安全需求 711账户类型及其安全需求 不可信的 可信的 外部用户账户 内部用户账户 管理员账户 ●用户权利 账户基于以下方面c权限 获得权限: ●账户作用域 ●组成员关系

账户类型及其安全需求 账户基于以下方面 获得权限： 用户权利 权限 账户作用域 组成员关系 不可信的 可信的 外部用户账户 内部用户账户 管理员账户 7.1.1 账户类型及其安全需求

账户安全的重要性 712账户安全的重要性 外部攻击者 内部攻击者 密码 LSA机密信息 BackAcct 字典攻击 P@.S.s. w ) rd 攻击者威胁 举例 外部 对弱密码的字典攻击者对管理员账户发动字典攻击,发 攻击 现其为弱密码,随即使用管理员账户访 问网络 内部 通过LSA提取账攻击者提取了服务的域账户密码,此密 户信息 码存储为LSA机密信息,随即使用此账 户访问其他计算机

账户安全的重要性 攻击者 威胁 举例 外部 对弱密码的字典 攻击 攻击者对管理员账户发动字典攻击，发 现其为弱密码，随即使用管理员账户访 问网络 内部 通过 LSA 提取账 户信息 攻击者提取了服务的域账户密码，此密 码存储为 LSA 机密信息，随即使用此账 户访问其他计算机 内部攻击者 BackAcct P.@.s.s.w.).r.d LSA 机密信息 外部攻击者 字典攻击 密码 7.1.2 账户安全的重要性

常见的账户漏洞 713常见的账户漏洞 易受攻击的区域 举例 弱密码 密码 对多个账户使用相同的密码 密码存储在计算机上 ●用户共享密码,或用笔记录密码 ●拥有本地管理员权限的用户 不作为系统账户运行的服务 账户权限 拥有不必要的用户权限的账户 ●可以访问私人文件、文件夹及注册表键值的用 户或服务账户 对非管理类任务使用管理员账户 账户使用及管理 拥有账户管理权限的用户账户 不再使用的活动账户

常见的账户漏洞 易受攻击的区域 举例 密码 弱密码 对多个账户使用相同的密码 密码存储在计算机上 用户共享密码，或用笔记录密码 账户权限 拥有本地管理员权限的用户 不作为系统账户运行的服务 拥有不必要的用户权限的账户 可以访问私人文件、文件夹及注册表键值的用 户或服务账户 账户使用及管理 对非管理类任务使用管理员账户 拥有账户管理权限的用户账户 不再使用的活动账户 7.1.3 常见的账户漏洞

课堂练习分析账户风险 14课堂练习分析账户风险 分析 1阅读场景信息 2回答问题 3全班一起讨论答案

课堂练习 分析账户风险 阅读场景信息 回答问题 全班一起讨论答案 1 2 3 分析 7.1.4 课堂练习 分析账户风险

第7章创建账户安全设计 确定账户相关威胁并分析其风险 ●设计账户安全性

确定账户相关威胁并分析其风险 设计账户安全性 第7章 创建账户安全设计

设计账户安全性 72设计账户安全性 ●权限授予指导原则 ●账户使用和管理注意事项 ●使用管理和服务账户的指导原则 c账户密码的存储方式 ●设计密码策略的注意事项 课堂练习风险和应对措施 ●安全策略检査清单

设计账户安全性 权限授予指导原则 账户使用和管理注意事项 使用管理和服务账户的指导原则 账户密码的存储方式 设计密码策略的注意事项 课堂练习 风险和应对措施 安全策略检查清单 7.2 设计账户安全性

权限授予指导原则 721权限授予指导原则 域用户账户 全局组和 通用组 域本地组 权限 AG DL P组权限授予模型可用来: 使用基于角色的安全性 贴近资源分配权限 通过受限组来强制执行组成员关系 集中管理安全性

使用基于角色的安全性 贴近资源分配权限 通过受限组来强制执行组成员关系 集中管理安全性 权限授予指导原则 域本地组 全局组和 通用组 域用户账户 权限 A G DL P 组权限授予模型可用来： 7.2.1 权限授予指导原则