第4章规划、实现和故障诊断智能卡证书第1章规划和配置授权和身份验证策略第2章安装、配置和管理证书颁发机构第3章配置、部署和管理证书第4章规划、实现和故障诊断智能卡证书第5章加密文件系统的规划、实现和故障排除第6章规划、配置和部署安全的成员服务器基线第7章为服务器角色规划、配置和部署安全基线第8章规划、配置、实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划、部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全网络安全的实现和管理--以WindowsServer2003和ISAServer2004为例网络安全的实现和管理--以WindowsServer2003和ISAServer2004为例第14章MICROSOFTISASERVER概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004第4章:规划、实现和故障诊断智能卡证书多因素身份验证简介规划和实现智能卡基本架构管理和故障诊断智能卡基本架构多因素身份验证简介多因素身份验证多因素身份验证的场景多因素身份验证设备使用智能卡进行多因素身份验证的好处使用智能卡的应用程序智能卡基本架构组件4.1多因素身份验证简介多因素身份验证客户端客户端域控制器口令智能卡和PIN或生物特征或口令单因素身份验证多因素身份验证4.1.1多因素身份验证多因素身份验证场景何时使用管理帐户执行管理活动或针对所有登录验证用户身份有效性发送安全邮件连接到终端服务使用远程桌面连接虚拟专有网络移动用户连接到网络4.1.1多因素身份验证多因素身份验证的场景生物特征识别设备评估人的生理或行为特征以验证人的身份提供了安全性较高的身份验证成本较高而且不是很精确令牌设备智能卡记忆卡4.1.2多因素身份验证的场景多因素身份验证设备保护智能卡为私钥和其他数据提供了防篡改的存储隔离加密操作是在智能卡自身上执行,而不是在客户机或网络服务器上可移植性存储在智能卡上的凭据和其他私密信息很容易在工作场所、家中或任何其他远程位置上的计算机之间进行传输单独使用智能卡一次只能由一个用户使用4.1.3多因素身份验证设备远程访问E-mail客户端应用程序签名表单签名Web浏览器智能卡4.1.4使用智能卡进行多因素身份验证的好处使用智能卡进行多因素身份验证的好处使用智能卡的应用程序证书ActiveDirectory公钥架构智能卡用户培训计划智能卡读卡器智能卡软件4.1.5使用智能卡的应用程序智能卡基本架构组件域控制器目标服务器客户端CAKerberos验证服务请求4.1.6智能卡基本架构组件第4章:规划、实现和故障诊断智能卡证书多因素身份验证简介规划和实现智能卡基本架构管理和故障诊断智能卡基本架构确定组织中应该使用智能卡的场景选择智能卡和阅读器的指导方针证书颁发机构要求智能卡证书模板启用智能卡证书模板证书注册方法配置注册代理注册用户的智能卡证书4.2规划和实现智能卡基本架构规划和实现智能卡基本架构智能卡:交互式用户登录远程访问登录终端服务和共享客户端管理登录向外部方部署智能卡实现对电子邮件和电子合同之类的电子通信进行数字签名和加密4.2.1确定组织中应该使用智能卡的场景确定组织中应该使用智能卡的场景考察智能卡硬件类型需要足够的存储器来存储用户的证书确定在更换或升级智能卡之前智能卡的使用寿命确定对于用户角色需要颁发多少张智能卡确定智能卡阅读器类型要评估可用的智能卡工具以确定它们是否足以满足需求4.2.2选择智能卡和阅读器的指导方针选择智能卡和阅读器的指导方针证书颁发机构要求部署企业CA部署颁发CA创建信任层次结构4.2.3证书颁发机构要求独立CA:独立于ActiveDirectory可以签发证书供外部网和内部网使用主要用于不提供ActiveDirectory服务的情况下(例如:公共网站(PucblicWeb)、电子邮件服务)不适合颁发用户登录到域的证书企业CA:企业安全架构的一部分保存在ActiveDirectory的CA对象中依赖于ActiveDirectory支持独立CA所支持的所有功能和生成智能卡登录时所用的证书证书颁发机构要求4.2.3证书颁发机构要求智能卡证书模板使用以下模板用途注册代理允许授权用户作为代表其他用户的证书请求代理智能卡登录使用户能够使用智能卡登录智能卡用户使用户能够登录和签署电子邮件4.2.4智能卡证书模板启用智能卡证书模板演示:启用智能卡证书模板4.2.5启用智能卡证书模板证书注册方法注册代理由一个高度受信任的人员处理所有的证书和智能卡申请提供非常安全的注册规程自行注册不可能进行物理分发的情况下通常用于证书续订4.2.6证书注册方法配置注册代理演示:配置注册代理4.2.7配置注册代理注册用户的智能卡证书演示:使用注册代理注册其他用户的智能卡证书4.2.8注册用户的智能卡证书实验4-1:规划智能卡部署目的:通过场景掌握智能卡部署方式4.2.9实验4-1:规划智能卡部署第4章:规划、实现和故障诊断智能卡证书多因素身份验证简介规划和实现智能卡基本架构管理和故障诊断智能卡基本架构用户培训计划应包含的内容管理智能卡基本架构的组策略设置配置智能卡组策略诊断常见智能卡错误的指导方针4.3管理和故障诊断智能卡基本架构管理和故障诊断智能卡基本架构最终用户培训应该包含:1.明确了解了部署智能卡的原因2.安装和使用智能卡和阅读器的方法3.如何获得智能卡和智能卡阅读器支持用户培训应该提供以下信息:1.如何处理和保护智能卡相关硬件2.如何对智能卡和智能卡阅读器所出现的最常见问题进行诊断4.3.1用户培训计划应包含的内容用户培训计划应包含的内容要求智能卡登录智能卡移除操作不允许智能卡设备重定向使用ActiveDirectory中的组策略设置来管理组织中的智能卡4.3.2管理智能卡基本架构的组策略设置管理智能卡基本架构的组策略设置配置智能卡组策略演示:配置智能卡组策略4.3.3配置智能卡组策略客户端无法自行注册检查对智能卡证书模板的权限用户无法使用智能卡登录确定用户使用了正确的PINPIN用户无法使用CAWeb站点注册智能卡检查域名系统(DNS)信息以确保DNS区域文件中列出了该CA的正确资源记录阅读器无法读取智能卡确保智能卡未损坏,并且插入正确4.3.4诊断常见智能卡错误的指导方针诊断常见智能卡错误的指导方针实验4-2:实施智能卡练习1为智能卡注册和智能卡登录配置证书模板练习2配置智能卡注册工作站练习3模拟:注册用户的智能卡练习4模拟:配置智能卡的用户账户4.4实验4-2:实施智能卡回顾学习完本章后,将能够:掌握了解多因素身份验证的概念和应用规划和实现智能卡基本架构管理和故障诊断智能卡基本架构