身份認證專題問答

引言：隨著網(wǎng)絡的普及，網(wǎng)絡安全問題越來越嚴重，身份認證對于網(wǎng)絡安全來說至關重要，本文介紹了一些關于身份認證方面的問題，希望對大家有所幫助。

兩臺同時裝有Windows 10系統(tǒng)的計算機，通過局域網(wǎng)的網(wǎng)上鄰居功能可以相互發(fā)現(xiàn)，但用鼠標雙擊打開對方計算機時，需要輸入用戶賬號和密碼，不能直接打開，請問這該怎么解決呢？

答：Windows 10系統(tǒng)默認需要對共享訪問進行身份認證，要想直接雙擊就能互相共享訪問，一定要在兩臺Windows 10系統(tǒng)中進行安全策略配置：使用“Win+X”快捷鍵，調(diào)用系統(tǒng)快捷訪問菜單，點擊其中的“運行”命令，彈出系統(tǒng)運行對話框，輸入“secpol.msc”命令并回車，進入系統(tǒng)本地安全策略控制臺。將鼠標定位在“安全設置”、“本地策略”、“安全選項”節(jié)點上，找到該節(jié)點下的“網(wǎng)絡訪問：本地賬戶的共享和安全模型”選項，用鼠標雙擊該選項，在其后界面中選中“經(jīng)典——對本地用戶進行”選項，確認后保存設置操作。之后，再打開“賬戶——使用空密碼的本地賬戶只允許進行控制臺登錄”選項設置框，選中“已禁用”選項，單擊“確定”按鈕退出設置對話框。

在IT安全領域，定期通過身份驗證執(zhí)行漏洞掃描，以便從合法用戶角度尋找安全漏洞，是相當有必要的。請問采取什么樣的辦法，才能更加有效地通過身份驗證執(zhí)行漏洞掃描？

答：只要遵循下面幾種方法進行準備即可：

首先要明確通過身份驗證進行掃描的系統(tǒng)，這或許包括所有Windows版本的系統(tǒng)和基于Linux的操作系統(tǒng)，或者是少數(shù)終端主機和特定網(wǎng)絡設備。而且，請一定要考慮掃描數(shù)據(jù)庫、Web應用，以及那些要求或允許使用SNMP、SSH、FTP、Telnet等通信協(xié)議，進行身份認證的所有系統(tǒng)平臺和網(wǎng)絡設備。類似LanGuard這樣的專業(yè)掃描工具提供了很多方法，來允許用戶靈活進行掃描。要是單位外網(wǎng)非法用戶或者內(nèi)網(wǎng)惡意用戶都已經(jīng)進行身份驗證式漏洞掃描操作，那么我們自己也必須進行這種掃描操作。

其次,弄清楚想要掃描哪種類型的用戶角色水平，正常應該使用管理員或根級登錄憑證進行掃描，當發(fā)現(xiàn)最后的掃描結(jié)果不再依照權限發(fā)生變化時，不同用戶角色的測試操作自然就適可而止了。

第三要保證漏洞掃描操作不會帶來安全麻煩。在對重要系統(tǒng)平臺或網(wǎng)絡設備執(zhí)行身份驗證漏洞掃描操作之前，應先嘗試在一個或兩個普通系統(tǒng)平臺或設備上運行身份驗證掃描，檢查其有沒有什么可能的副作用出現(xiàn)，如果沒有遇到副作用，再擴展到掃描重要系統(tǒng)平臺或其他多個系統(tǒng)和設備。

第四按需生成漏洞掃描報告。漏洞掃描操作結(jié)束后，可能會發(fā)現(xiàn)若干個安全漏洞，要將它們利用到后續(xù)的安全防護實踐中，必須要根據(jù)實際情況，選取一種最合理方式，生成漏洞掃描報告。

請問在H3C Quidway交換機后臺系統(tǒng)中，如何針對特定交換端口，配置其在802.1x協(xié)議下的身份認證控制模式？

答：只要先進入交換機后臺系統(tǒng)，使用“systemview”命令，進入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下輸 入“dot1x port-control TYPE”字符串命令，這里的“TYPE”為具體的模式類型，該參數(shù)可以為“Authorized-Force” 模 式，可 以 為“Unauthorized-Force” 模式，也可以為“Auto”模式，這樣所有交換端口都按指定模式進行認證控制。

如果只想設置某個交換端口的認證控制模式時，只要執(zhí)行字符串命令“dot1x port-control TYPE interface xx”即可，其中“xx”指定交換端口號碼；當然，進行這種配置操作時，也可以先使用“interface xx”命令切換到指定端口視圖模式狀態(tài)，再執(zhí)行“dot1x port-control TYPE”命令。

請問怎樣將H3C系列交換機的所有交換端口身份認證方式配置為同一種類型？

答：只要在交換機后臺系 統(tǒng)，使 用“system-view”命令，切換進入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下輸 入“dot1x port-method METH”字符串命令即可，這里的“METH”為具體身份認證接入方式，該數(shù)值可以為“portbased”方式，也可以為“macbased”方式。

要想配置某個特定交換端口的認證接入方式時，只要輸入字符串命令“dot1x port-method METH interface xx”即可，這里的“xx”為特定交換端口號碼。

當然，進行這種配置操作時，也可以先使用“interface xx”命令切換到指定端口視圖模式狀態(tài)，再執(zhí)行“dot1x port-method METH”命令。

有用戶在Windows 8系統(tǒng)中安裝某個設備驅(qū)動程序時，系統(tǒng)出現(xiàn)了“第三方INF不包含數(shù)字簽名信息”的認證提示信息，請問為什么會出現(xiàn)這種提示內(nèi)容呢？

答：這主要是Windows 8系統(tǒng)在默認狀態(tài)下，強制要求對驅(qū)動程序進行簽名造成的，一旦正在安裝的驅(qū)動程序沒有通過數(shù)字簽名認證時，那自然會出現(xiàn)上述提示信息。

要想避免這種提示出現(xiàn)，可以取消Windows 8系統(tǒng)的驅(qū)動程序強制簽名功能：在Win8系統(tǒng)Metro界面狀態(tài)下，單擊Charm菜單中的“設置”按鈕，切換到電腦設置頁面，點選“常規(guī)”選項卡，選中對應選項設置頁面中的最后一項重啟Windows系統(tǒng)。之后，從系統(tǒng)啟動菜單中選擇“疑難解答”選項，點擊高級選項設置頁面中的“啟動設置”按鈕，切換到啟動設置列表區(qū)域，將“禁用驅(qū)動程序強制簽名”選中，重啟系統(tǒng)后，就不會再看到“第三方INF不包含數(shù)字簽名信息”之類的提示了。

對于特定版本的Windows 8系統(tǒng)來說，也能通過編輯系統(tǒng)組策略配置，來取消對設備驅(qū)動程序強制簽名。只要逐一單擊“開始”、“運行”命令，在彈出的系統(tǒng)運行框中執(zhí)行“gpedit.msc”命令，打開系統(tǒng)組策略編輯窗口。依次展開該窗口中的“本地計算機策略”、“用戶配置”、“管理模板”、“系統(tǒng)”、“驅(qū)動程序安裝”、“設備驅(qū)動程序的代碼簽名”分支，用鼠標雙擊目標分支選項，選中其后界面中的“已啟用”選項，單擊“確定”按鈕后保存設置操作即可。

作為一種基于端口的網(wǎng)絡接入認證協(xié)議，IEEE 802.1x協(xié)議屬于二層協(xié)議，不需要到達三層，對交換機的整體運行性能要求不高，能夠有效降低建網(wǎng)成本。請問該協(xié)議作為局域網(wǎng)用戶接入認證的標準協(xié)議，在安全認證方面主要有哪些功能？

答：它具有完備的用戶認證、管理功能，除了定義了基于端口的安全控制協(xié)議外，還定義了接入設備和接入端口間點到點這一種連接方式。該協(xié)議規(guī)定的端口，除了是物理端口，也能是邏輯端口，其中的物理端口基本都是交換機下連接每一個用戶客戶機的物理端口，邏輯端口可以是IEEE 802.11協(xié)議規(guī)定的無線LAN接入端口。

該協(xié)議系統(tǒng)是典型的客戶端/服務端體系結(jié)構，一般包括認證服務器系統(tǒng)、認證系統(tǒng)、接入系統(tǒng)這三個實體，局域網(wǎng)接入控制設備需要支持認證系統(tǒng)，用戶設備需要支持接入系統(tǒng)；整個系統(tǒng)通過可控端口和不可控端口的邏輯功能，實現(xiàn)業(yè)務與認證的分離，由Radius服務器和以太網(wǎng)交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務報文直接承載在正常的二層報文上通過可控端口進行交換。

在H3C交換機中，802.1x協(xié)議既支持規(guī)定端口接入認證方式，又能對認證功能進行優(yōu)化、擴展，它允許接入控制方式除了基于交換端口，還能基于MAC地址，它還允許一個物理端口下可以下掛若干個用戶的應用環(huán)境，合理使用802.1x協(xié)議認證機制，能夠有效地改善網(wǎng)絡接入安全性和可管理性。

請問802.1x協(xié)議在H3C交換端口上支持哪些安全認證控制模式？

答：支持三種安全認證模式，它們分別為：一是Authorized-Force模 式，也叫常開模式，在該模式下交換端口始終保持認證狀態(tài)，即客戶端系統(tǒng)從這個交換端口接入局域網(wǎng)，肯定能正常連接上網(wǎng)，無論客戶端系統(tǒng)有沒有通過認證。

二 是Unauthorized-Force模式，也叫常關模式，在該模式下交換端口始終保持非認證狀態(tài)，即客戶端系統(tǒng)嘗試從這個交換端口接入局域網(wǎng)時，無論它有沒有通過認證，都是上不了網(wǎng)的。

三是Auto模式，也叫協(xié)議控制模式，在該模式下交換端口是開還是關完全取決于認證是否通過，要是客戶端系統(tǒng)能順利通過認證，那么它就能接入上網(wǎng)，不然的話將無法上網(wǎng)。

請問SSH協(xié)議是怎樣進行身份認證的？

答：從客戶端系統(tǒng)來說，SSH協(xié)議支持兩種安全認證方式，一種是基于口令的安全認證方式，另外一種是基于密匙的安全認證方式。

其中，前面一種認證方式只要知道賬號和密碼，就能登錄到遠程服務器中，但是這種認證方式仍然會受到“中間人”的攻擊，因為用戶無法知道自己遠程訪問的服務器，就是自己想要連接的服務器，或許會有別人在冒充真正的服務器。后面一種認證方式可以避免“中間人”攻擊，因為這種認證方式需要用戶事先創(chuàng)建一對密匙，同時將公用密匙放在需要遠程連接的服務器上，當用戶自己要訪問SSH服務器時，客戶端程序就會向服務器發(fā)出請求，請求用自己的密匙來安全認證，接收到請求信息后，服務器會從本地系統(tǒng)自動搜索公用密匙，之后將它和接收到的公用密匙進行比較，要是兩個密匙內(nèi)容相同，那么服務器就用公用密匙加密“質(zhì)詢”，同時將它發(fā)送給客戶端程序，客戶端程序收到“質(zhì) 詢”后，就能用私人密匙解密再將它傳輸給服務器。

不知道SSH協(xié)議身份認證連接是怎樣建立的？

答：首先客戶端程序向服務端程序發(fā)起SSH協(xié)議連接請求；其次服務端向客戶端發(fā)起版本協(xié)商；第三服務端發(fā)送公鑰、隨機數(shù)等信息；第四客戶端返回確認信息，同時附帶用公鑰加密過的一個隨機數(shù)，用于雙方計算Session Key；第五進行反復認證階段，直到認證成功或者認證次數(shù)達到上限，服務端切換SSH連接為止；第六客戶端將要執(zhí)行的命令加密后傳給服務端，服務端接收到報文，解密后執(zhí)行該命令，同時將執(zhí)行的結(jié)果加密發(fā)還給客戶端，客戶端顯示接收結(jié)果。

大家知道，H3C交換機的super命令設置的口令，主要用于低級別用戶向高級別用戶切換時進行身份驗證。請問這種命令主要支持哪些形式的口令配置？

答：主要支持明文和暗文方式的兩種配置，其中通過“super password cipher****”命令，設置暗文登錄口令內(nèi)容，使用“super password simple ****”命令，設置明文登錄口令內(nèi)容。

請問如何在H3C系列交換機后臺系統(tǒng)中，為特定用戶配置合適的身份認證方法？

答：在H3C系列交換機后臺系統(tǒng)的全局系統(tǒng)視圖模式下，系統(tǒng)默認會將用戶認證方法配置為CHAP認證，網(wǎng)管員可以根據(jù)實際情況，按需配置選用合適的用戶認證方法。比方說，在相對安全的網(wǎng)絡工作環(huán)境，網(wǎng)管員可以將用戶認證方法配置為PAP認證，以提高認證接入效率；在進行這種配置操作時，不妨先切換到交換機全局系統(tǒng)視圖模式狀態(tài)，在該狀態(tài)下輸入“dotx1 authenticationmethod pap”字符串命令即可。以后，想將交換機的用戶認證方法恢復為缺省配置時，只要輸入“undo dotx1 authentication-method pap”字符串命令即可。

要查看H3C系列交換機在當前狀態(tài)下，使用了什么類型的用戶認證方法時，只要在系統(tǒng)視圖模式狀態(tài)下，輸入“display dot1x”字符串命令，從返回的結(jié)果信息中，就能看到具體的認證方法了。

從安全角度來看，應用程序進程可以分成不安全、一般安全、非常安全、未知安全這些等級，系統(tǒng)進程屬于非常安全級別，通過身份認證的程序?qū)儆谝话惆踩燃墸《灸抉R屬于不安全等級，沒有通過微軟數(shù)字簽名認證或有BUG的程序?qū)儆谖粗踩燃墶３硕猓谟龅讲皇煜さ某绦蜻M程時，我們該怎樣檢測它們的安全等級呢？

答： 借 助Security Process Explorer這款工具幫忙，通過標識進程的顏色色塊，就能準確檢測出陌生進程究竟安全與否了。缺省狀 態(tài) 下，Security Process Explorer使用空白色塊表示未知安全，用綠中帶紅色塊表示一般安全，用純綠色色塊表示安全類型，用純紅色色塊表示不安全。啟動Security Process Explorer工具后，所有程序進程都能被自動顯示出來。不同安全等級的程序 進 程，Security Process Explorer會使用不同顏色色塊進行標識，我們只要識別顏色色塊，就能快速地檢測出陌生進程是否安全了。比方說，一旦看到計算機中某個陌生進程被目標工具標識為紅色色塊時，那就代表該進程或許是病毒木馬。

如果想更進一步了解不安全進程信息時，不妨右擊紅色色塊進程，執(zhí)行“詳細信息”命令，打開不安全進程詳細信息查看窗口。

在這里，可以查看到陌生進程的許多狀態(tài)信息，包括進程詳細名稱、進程運行優(yōu)先級、進程標識ID以及進程設計公司等。選擇“用到的模塊”標簽，在該標簽設置頁面中，可以了解到陌生進程究竟訪問了計算機的哪些動態(tài)鏈接庫文件，根據(jù)這些內(nèi)容，就能準確檢測出陌生進程的安全威脅有多大了。當某個陌生進程被檢測為不安全級別時，可以用鼠標選中它，按下“屏蔽進程”按鈕，將對應陌生進程運行狀態(tài)立即禁止掉，同時將其添加到進程運行屏蔽列表中，保證它們?nèi)蘸蟛荒茏詣娱_啟運行。

如果希望通過802.1x協(xié)議的認證功能，控制H3C交換端口的接入安全，一定先要在交換機后臺系統(tǒng)中啟用802.1x身份認證功能。請問如何在H3C系列交換機后臺系統(tǒng)中，針對特定交換端口啟用這項功能呢？

答：這項功能可以先在系統(tǒng)全局模式狀態(tài)下開啟，因為如果全局模式下的802.1x認證功能沒有啟用，那么指定交換端口即使啟用了這項功能，該功能也不會在指定端口上發(fā)揮作用，H3C交換機后臺系統(tǒng)默認沒有開啟全局或端口的802.1x認證功能。

在開啟該功能時，先以系統(tǒng)管理員權限登錄交換機后臺系統(tǒng)，輸入“system-view”命令，進入系統(tǒng)全局系統(tǒng)模式狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“dot1x”，那么全局的802.1x認證功能就被成功開啟了。如果希望在指定交換端口上開啟這項功能時，可以在全局系統(tǒng)模式狀態(tài)下使用“interface”命令，切換到指定交換端口視圖，在對應端口視圖模式下執(zhí)行“dot1x”字符串命令即可。比方說，要開啟e0/1端口的802.1x認證功能時，可以在交換機后臺系統(tǒng)依次輸入“system-view”、“interface e0/1”、“dot1x”命令，就能實現(xiàn)啟用目的，當然，也可以直接在系統(tǒng)全局模式狀態(tài)下，直接執(zhí)行“dot1x interface e0/1”命 令，開啟e0/1端口的認證功能。如果想取消全局或指定端口的802.1x認證功能時，可以在系統(tǒng)全局模式狀態(tài)下執(zhí)行“undo dot1x”命 令或執(zhí)行“undo dot1x interface xx”命令，其中“xx”為指定交換端口號碼。

兩臺安裝了Vista系統(tǒng)的主機，都創(chuàng)建了administrator賬號，對應賬號都沒有設置密碼，它們以\IP形式互相訪問時，系統(tǒng)不彈出身份驗證框，就直接提示拒絕登錄，請問如何才能使兩臺主機互相訪問？

答：系統(tǒng)不彈出身份驗證框，就意味著已經(jīng)通過了身份認證環(huán)節(jié)；由于它們相互訪問時，是以administrator賬號進行認證的，而該賬號沒有設置密碼，依照缺省的安全策略，空白密碼賬戶是不能進行系統(tǒng)登錄，而只能進行控制臺登錄。

要解決這種現(xiàn)象，我們只要同時啟用兩臺主機的簡單文件共享模式，并分別將它們的來賓賬號啟用起來，那樣一來在使用空白密碼的情況下，也能進行互相登錄訪問了。

筆者安裝的是Windows8系統(tǒng)，為了保證無線網(wǎng)絡和有線以太網(wǎng)網(wǎng)絡的安全性，現(xiàn)在想開通該系統(tǒng)的802.1X身份認證功能，請問如何在該系統(tǒng)環(huán)境下啟用802.1x身份認證功能？

答：首先登錄Windows 8系統(tǒng)的Metro界面，點擊其中的“桌面”磁貼，切換到系統(tǒng)桌面，用鼠標右鍵單擊“計算機”圖標，執(zhí)行快捷菜單中的“管理”命令，進入計算機管理對話框，從左側(cè)區(qū)域依次展開“計算機管理（本地）”、“服務和應用程序”、“服務”選項，從服務選項列表中找到“Wired Autocnfig”、“WLAN Autoconfig”等服務，檢查它們是否處于啟用狀態(tài)，一旦看到它們還沒有被運行時，應該及時將它們重新啟動起來。

接著關閉計算機管理窗口，返回系統(tǒng)桌面，用鼠標右鍵單擊系統(tǒng)任務欄右側(cè)托盤的網(wǎng)絡適配器圖標，選擇右鍵菜單中的“打開網(wǎng)絡共享中心”命令，進入網(wǎng)絡共享中心管理界面，按下其中的“更改適配器設置”按鈕，展開本地系統(tǒng)網(wǎng)絡連接列表界面。

在有線以太網(wǎng)連接圖標上單擊鼠標右鍵，選擇快捷菜單中的“屬性”命令，打開對應網(wǎng)絡連接屬性對話框，選擇“身份驗證”標簽，檢查對應標簽設置頁面中的“啟用IEEE 802.1x”選項是否處于選中狀態(tài)，如果看到其還沒有被選中時，應該重新選中它，并單擊“確定”按鈕保存設置操作即可。

在組網(wǎng)結(jié)構十分復雜的網(wǎng)絡環(huán)境中，同時網(wǎng)絡中所設備時鐘十分重要，為了達到這個目的，可以配置交換機的NTP協(xié)議，來實現(xiàn)整個網(wǎng)絡內(nèi)的時間同步。但為了預防偽造的NTP廣播消息包，在配置NTP協(xié)議時，一定要強化對NTP身份認證。請問如何在H3C系列交換機中開啟NTP身份認證功能？

答：只要在交換機后臺系統(tǒng)全局視圖下，輸入“ntpservice authentication enable”字符串命令即可。在啟用了這項功能后，還需要設置可信任的驗證密鑰，才能確保安全認證功能正常發(fā)揮作用。

在系統(tǒng)視圖模式下， 輸 入“ntp-service authentication-keyid XXX authentication-mode md5 YYY”字符串命令，這里的“XXX”為可信任的密鑰編號，它的取值范圍為“1-4294967295”，“YYY”為具體的密鑰內(nèi)容，該內(nèi)容為1-32個ASCII碼字符，按回車鍵后，MD5身份驗證密鑰就配置好了。

之 后，再 執(zhí) 行“ntpservice reliable authentication-keyid XXX”命令，來指定剛才配置的密鑰編號是可信任的密鑰，這樣，日后客戶端系統(tǒng)就能同步到提供可信任密鑰的服務器上了。