身份認證專題問答

引言：隨著網絡的普及，網絡安全問題越來越嚴重，身份認證對于網絡安全來說至關重要，本文介紹了一些關于身份認證方面的問題，希望對大家有所幫助。

兩臺同時裝有Windows 10系統的計算機，通過局域網的網上鄰居功能可以相互發現，但用鼠標雙擊打開對方計算機時，需要輸入用戶賬號和密碼，不能直接打開，請問這該怎么解決呢？

答：Windows 10系統默認需要對共享訪問進行身份認證，要想直接雙擊就能互相共享訪問，一定要在兩臺Windows 10系統中進行安全策略配置：使用“Win+X”快捷鍵，調用系統快捷訪問菜單，點擊其中的“運行”命令，彈出系統運行對話框，輸入“secpol.msc”命令并回車，進入系統本地安全策略控制臺。將鼠標定位在“安全設置”、“本地策略”、“安全選項”節點上，找到該節點下的“網絡訪問：本地賬戶的共享和安全模型”選項，用鼠標雙擊該選項，在其后界面中選中“經典——對本地用戶進行”選項，確認后保存設置操作。之后，再打開“賬戶——使用空密碼的本地賬戶只允許進行控制臺登錄”選項設置框，選中“已禁用”選項，單擊“確定”按鈕退出設置對話框。

在IT安全領域，定期通過身份驗證執行漏洞掃描，以便從合法用戶角度尋找安全漏洞，是相當有必要的。請問采取什么樣的辦法，才能更加有效地通過身份驗證執行漏洞掃描？

答：只要遵循下面幾種方法進行準備即可：

首先要明確通過身份驗證進行掃描的系統，這或許包括所有Windows版本的系統和基于Linux的操作系統，或者是少數終端主機和特定網絡設備。而且，請一定要考慮掃描數據庫、Web應用，以及那些要求或允許使用SNMP、SSH、FTP、Telnet等通信協議，進行身份認證的所有系統平臺和網絡設備。類似LanGuard這樣的專業掃描工具提供了很多方法，來允許用戶靈活進行掃描。要是單位外網非法用戶或者內網惡意用戶都已經進行身份驗證式漏洞掃描操作，那么我們自己也必須進行這種掃描操作。

其次,弄清楚想要掃描哪種類型的用戶角色水平，正常應該使用管理員或根級登錄憑證進行掃描，當發現最后的掃描結果不再依照權限發生變化時，不同用戶角色的測試操作自然就適可而止了。

第三要保證漏洞掃描操作不會帶來安全麻煩。在對重要系統平臺或網絡設備執行身份驗證漏洞掃描操作之前，應先嘗試在一個或兩個普通系統平臺或設備上運行身份驗證掃描，檢查其有沒有什么可能的副作用出現，如果沒有遇到副作用，再擴展到掃描重要系統平臺或其他多個系統和設備。

第四按需生成漏洞掃描報告。漏洞掃描操作結束后，可能會發現若干個安全漏洞，要將它們利用到后續的安全防護實踐中，必須要根據實際情況，選取一種最合理方式，生成漏洞掃描報告。

請問在H3C Quidway交換機后臺系統中，如何針對特定交換端口，配置其在802.1x協議下的身份認證控制模式？

答：只要先進入交換機后臺系統，使用“systemview”命令，進入系統全局視圖模式狀態，在該狀態下輸 入“dot1x port-control TYPE”字符串命令，這里的“TYPE”為具體的模式類型，該參數可以為“Authorized-Force” 模 式，可 以 為“Unauthorized-Force” 模式，也可以為“Auto”模式，這樣所有交換端口都按指定模式進行認證控制。

如果只想設置某個交換端口的認證控制模式時，只要執行字符串命令“dot1x port-control TYPE interface xx”即可，其中“xx”指定交換端口號碼；當然，進行這種配置操作時，也可以先使用“interface xx”命令切換到指定端口視圖模式狀態，再執行“dot1x port-control TYPE”命令。

請問怎樣將H3C系列交換機的所有交換端口身份認證方式配置為同一種類型？

答：只要在交換機后臺系 統，使 用“system-view”命令，切換進入系統全局視圖模式狀態，在該狀態下輸 入“dot1x port-method METH”字符串命令即可，這里的“METH”為具體身份認證接入方式，該數值可以為“portbased”方式，也可以為“macbased”方式。

要想配置某個特定交換端口的認證接入方式時，只要輸入字符串命令“dot1x port-method METH interface xx”即可，這里的“xx”為特定交換端口號碼。

當然，進行這種配置操作時，也可以先使用“interface xx”命令切換到指定端口視圖模式狀態，再執行“dot1x port-method METH”命令。

有用戶在Windows 8系統中安裝某個設備驅動程序時，系統出現了“第三方INF不包含數字簽名信息”的認證提示信息，請問為什么會出現這種提示內容呢？

答：這主要是Windows 8系統在默認狀態下，強制要求對驅動程序進行簽名造成的，一旦正在安裝的驅動程序沒有通過數字簽名認證時，那自然會出現上述提示信息。

要想避免這種提示出現，可以取消Windows 8系統的驅動程序強制簽名功能：在Win8系統Metro界面狀態下，單擊Charm菜單中的“設置”按鈕，切換到電腦設置頁面，點選“常規”選項卡，選中對應選項設置頁面中的最后一項重啟Windows系統。之后，從系統啟動菜單中選擇“疑難解答”選項，點擊高級選項設置頁面中的“啟動設置”按鈕，切換到啟動設置列表區域，將“禁用驅動程序強制簽名”選中，重啟系統后，就不會再看到“第三方INF不包含數字簽名信息”之類的提示了。

對于特定版本的Windows 8系統來說，也能通過編輯系統組策略配置，來取消對設備驅動程序強制簽名。只要逐一單擊“開始”、“運行”命令，在彈出的系統運行框中執行“gpedit.msc”命令，打開系統組策略編輯窗口。依次展開該窗口中的“本地計算機策略”、“用戶配置”、“管理模板”、“系統”、“驅動程序安裝”、“設備驅動程序的代碼簽名”分支，用鼠標雙擊目標分支選項，選中其后界面中的“已啟用”選項，單擊“確定”按鈕后保存設置操作即可。

作為一種基于端口的網絡接入認證協議，IEEE 802.1x協議屬于二層協議，不需要到達三層，對交換機的整體運行性能要求不高，能夠有效降低建網成本。請問該協議作為局域網用戶接入認證的標準協議，在安全認證方面主要有哪些功能？

答：它具有完備的用戶認證、管理功能，除了定義了基于端口的安全控制協議外，還定義了接入設備和接入端口間點到點這一種連接方式。該協議規定的端口，除了是物理端口，也能是邏輯端口，其中的物理端口基本都是交換機下連接每一個用戶客戶機的物理端口，邏輯端口可以是IEEE 802.11協議規定的無線LAN接入端口。

該協議系統是典型的客戶端/服務端體系結構，一般包括認證服務器系統、認證系統、接入系統這三個實體，局域網接入控制設備需要支持認證系統，用戶設備需要支持接入系統；整個系統通過可控端口和不可控端口的邏輯功能，實現業務與認證的分離，由Radius服務器和以太網交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控端口進行交換。

在H3C交換機中，802.1x協議既支持規定端口接入認證方式，又能對認證功能進行優化、擴展，它允許接入控制方式除了基于交換端口，還能基于MAC地址，它還允許一個物理端口下可以下掛若干個用戶的應用環境，合理使用802.1x協議認證機制，能夠有效地改善網絡接入安全性和可管理性。

請問802.1x協議在H3C交換端口上支持哪些安全認證控制模式？

答：支持三種安全認證模式，它們分別為：一是Authorized-Force模 式，也叫常開模式，在該模式下交換端口始終保持認證狀態，即客戶端系統從這個交換端口接入局域網，肯定能正常連接上網，無論客戶端系統有沒有通過認證。

二 是Unauthorized-Force模式，也叫常關模式，在該模式下交換端口始終保持非認證狀態，即客戶端系統嘗試從這個交換端口接入局域網時，無論它有沒有通過認證，都是上不了網的。

三是Auto模式，也叫協議控制模式，在該模式下交換端口是開還是關完全取決于認證是否通過，要是客戶端系統能順利通過認證，那么它就能接入上網，不然的話將無法上網。

請問SSH協議是怎樣進行身份認證的？

答：從客戶端系統來說，SSH協議支持兩種安全認證方式，一種是基于口令的安全認證方式，另外一種是基于密匙的安全認證方式。

其中，前面一種認證方式只要知道賬號和密碼，就能登錄到遠程服務器中，但是這種認證方式仍然會受到“中間人”的攻擊，因為用戶無法知道自己遠程訪問的服務器，就是自己想要連接的服務器，或許會有別人在冒充真正的服務器。后面一種認證方式可以避免“中間人”攻擊，因為這種認證方式需要用戶事先創建一對密匙，同時將公用密匙放在需要遠程連接的服務器上，當用戶自己要訪問SSH服務器時，客戶端程序就會向服務器發出請求，請求用自己的密匙來安全認證，接收到請求信息后，服務器會從本地系統自動搜索公用密匙，之后將它和接收到的公用密匙進行比較，要是兩個密匙內容相同，那么服務器就用公用密匙加密“質詢”，同時將它發送給客戶端程序，客戶端程序收到“質 詢”后，就能用私人密匙解密再將它傳輸給服務器。

不知道SSH協議身份認證連接是怎樣建立的？

答：首先客戶端程序向服務端程序發起SSH協議連接請求；其次服務端向客戶端發起版本協商；第三服務端發送公鑰、隨機數等信息；第四客戶端返回確認信息，同時附帶用公鑰加密過的一個隨機數，用于雙方計算Session Key；第五進行反復認證階段，直到認證成功或者認證次數達到上限，服務端切換SSH連接為止；第六客戶端將要執行的命令加密后傳給服務端，服務端接收到報文，解密后執行該命令，同時將執行的結果加密發還給客戶端，客戶端顯示接收結果。

大家知道，H3C交換機的super命令設置的口令，主要用于低級別用戶向高級別用戶切換時進行身份驗證。請問這種命令主要支持哪些形式的口令配置？

答：主要支持明文和暗文方式的兩種配置，其中通過“super password cipher****”命令，設置暗文登錄口令內容，使用“super password simple ****”命令，設置明文登錄口令內容。

請問如何在H3C系列交換機后臺系統中，為特定用戶配置合適的身份認證方法？

答：在H3C系列交換機后臺系統的全局系統視圖模式下，系統默認會將用戶認證方法配置為CHAP認證，網管員可以根據實際情況，按需配置選用合適的用戶認證方法。比方說，在相對安全的網絡工作環境，網管員可以將用戶認證方法配置為PAP認證，以提高認證接入效率；在進行這種配置操作時，不妨先切換到交換機全局系統視圖模式狀態，在該狀態下輸入“dotx1 authenticationmethod pap”字符串命令即可。以后，想將交換機的用戶認證方法恢復為缺省配置時，只要輸入“undo dotx1 authentication-method pap”字符串命令即可。

要查看H3C系列交換機在當前狀態下，使用了什么類型的用戶認證方法時，只要在系統視圖模式狀態下，輸入“display dot1x”字符串命令，從返回的結果信息中，就能看到具體的認證方法了。

從安全角度來看，應用程序進程可以分成不安全、一般安全、非常安全、未知安全這些等級，系統進程屬于非常安全級別，通過身份認證的程序屬于一般安全等級，病毒木馬屬于不安全等級，沒有通過微軟數字簽名認證或有BUG的程序屬于未知安全等級。除此而外，在遇到不熟悉的程序進程時，我們該怎樣檢測它們的安全等級呢？

答： 借 助Security Process Explorer這款工具幫忙，通過標識進程的顏色色塊，就能準確檢測出陌生進程究竟安全與否了。缺省狀 態 下，Security Process Explorer使用空白色塊表示未知安全，用綠中帶紅色塊表示一般安全，用純綠色色塊表示安全類型，用純紅色色塊表示不安全。啟動Security Process Explorer工具后，所有程序進程都能被自動顯示出來。不同安全等級的程序 進 程，Security Process Explorer會使用不同顏色色塊進行標識，我們只要識別顏色色塊，就能快速地檢測出陌生進程是否安全了。比方說，一旦看到計算機中某個陌生進程被目標工具標識為紅色色塊時，那就代表該進程或許是病毒木馬。

如果想更進一步了解不安全進程信息時，不妨右擊紅色色塊進程，執行“詳細信息”命令，打開不安全進程詳細信息查看窗口。

在這里，可以查看到陌生進程的許多狀態信息，包括進程詳細名稱、進程運行優先級、進程標識ID以及進程設計公司等。選擇“用到的模塊”標簽，在該標簽設置頁面中，可以了解到陌生進程究竟訪問了計算機的哪些動態鏈接庫文件，根據這些內容，就能準確檢測出陌生進程的安全威脅有多大了。當某個陌生進程被檢測為不安全級別時，可以用鼠標選中它，按下“屏蔽進程”按鈕，將對應陌生進程運行狀態立即禁止掉，同時將其添加到進程運行屏蔽列表中，保證它們日后不能自動開啟運行。

如果希望通過802.1x協議的認證功能，控制H3C交換端口的接入安全，一定先要在交換機后臺系統中啟用802.1x身份認證功能。請問如何在H3C系列交換機后臺系統中，針對特定交換端口啟用這項功能呢？

答：這項功能可以先在系統全局模式狀態下開啟，因為如果全局模式下的802.1x認證功能沒有啟用，那么指定交換端口即使啟用了這項功能，該功能也不會在指定端口上發揮作用，H3C交換機后臺系統默認沒有開啟全局或端口的802.1x認證功能。

在開啟該功能時，先以系統管理員權限登錄交換機后臺系統，輸入“system-view”命令，進入系統全局系統模式狀態，在該狀態下執行字符串命令“dot1x”，那么全局的802.1x認證功能就被成功開啟了。如果希望在指定交換端口上開啟這項功能時，可以在全局系統模式狀態下使用“interface”命令，切換到指定交換端口視圖，在對應端口視圖模式下執行“dot1x”字符串命令即可。比方說，要開啟e0/1端口的802.1x認證功能時，可以在交換機后臺系統依次輸入“system-view”、“interface e0/1”、“dot1x”命令，就能實現啟用目的，當然，也可以直接在系統全局模式狀態下，直接執行“dot1x interface e0/1”命 令，開啟e0/1端口的認證功能。如果想取消全局或指定端口的802.1x認證功能時，可以在系統全局模式狀態下執行“undo dot1x”命 令或執行“undo dot1x interface xx”命令，其中“xx”為指定交換端口號碼。

兩臺安裝了Vista系統的主機，都創建了administrator賬號，對應賬號都沒有設置密碼，它們以\IP形式互相訪問時，系統不彈出身份驗證框，就直接提示拒絕登錄，請問如何才能使兩臺主機互相訪問？

答：系統不彈出身份驗證框，就意味著已經通過了身份認證環節；由于它們相互訪問時，是以administrator賬號進行認證的，而該賬號沒有設置密碼，依照缺省的安全策略，空白密碼賬戶是不能進行系統登錄，而只能進行控制臺登錄。

要解決這種現象，我們只要同時啟用兩臺主機的簡單文件共享模式，并分別將它們的來賓賬號啟用起來，那樣一來在使用空白密碼的情況下，也能進行互相登錄訪問了。

筆者安裝的是Windows8系統，為了保證無線網絡和有線以太網網絡的安全性，現在想開通該系統的802.1X身份認證功能，請問如何在該系統環境下啟用802.1x身份認證功能？

答：首先登錄Windows 8系統的Metro界面，點擊其中的“桌面”磁貼，切換到系統桌面，用鼠標右鍵單擊“計算機”圖標，執行快捷菜單中的“管理”命令，進入計算機管理對話框，從左側區域依次展開“計算機管理（本地）”、“服務和應用程序”、“服務”選項，從服務選項列表中找到“Wired Autocnfig”、“WLAN Autoconfig”等服務，檢查它們是否處于啟用狀態，一旦看到它們還沒有被運行時，應該及時將它們重新啟動起來。

接著關閉計算機管理窗口，返回系統桌面，用鼠標右鍵單擊系統任務欄右側托盤的網絡適配器圖標，選擇右鍵菜單中的“打開網絡共享中心”命令，進入網絡共享中心管理界面，按下其中的“更改適配器設置”按鈕，展開本地系統網絡連接列表界面。

在有線以太網連接圖標上單擊鼠標右鍵，選擇快捷菜單中的“屬性”命令，打開對應網絡連接屬性對話框，選擇“身份驗證”標簽，檢查對應標簽設置頁面中的“啟用IEEE 802.1x”選項是否處于選中狀態，如果看到其還沒有被選中時，應該重新選中它，并單擊“確定”按鈕保存設置操作即可。

在組網結構十分復雜的網絡環境中，同時網絡中所設備時鐘十分重要，為了達到這個目的，可以配置交換機的NTP協議，來實現整個網絡內的時間同步。但為了預防偽造的NTP廣播消息包，在配置NTP協議時，一定要強化對NTP身份認證。請問如何在H3C系列交換機中開啟NTP身份認證功能？

答：只要在交換機后臺系統全局視圖下，輸入“ntpservice authentication enable”字符串命令即可。在啟用了這項功能后，還需要設置可信任的驗證密鑰，才能確保安全認證功能正常發揮作用。

在系統視圖模式下， 輸 入“ntp-service authentication-keyid XXX authentication-mode md5 YYY”字符串命令，這里的“XXX”為可信任的密鑰編號，它的取值范圍為“1-4294967295”，“YYY”為具體的密鑰內容，該內容為1-32個ASCII碼字符，按回車鍵后，MD5身份驗證密鑰就配置好了。

之 后，再 執 行“ntpservice reliable authentication-keyid XXX”命令，來指定剛才配置的密鑰編號是可信任的密鑰，這樣，日后客戶端系統就能同步到提供可信任密鑰的服務器上了。