您現(xiàn)在的位置：首頁 > IT資訊 > 國際認證 > CISSP認證教材OSG第9版新增(改)知識點：D5-身份與訪問管理

CISSP認證教材OSG第9版新增(改)知識點：D5-身份與訪問管理

2023-04-18 18:10:11　|　來源：企業(yè)IT培訓

CISSP認證教材OSG第9版有增加或者改動的知識點，CISSP認證的教材新版知識點可能會在考試中出現(xiàn)，因此我們?yōu)榇蠹疫M行了梳理，CISSP認證教材OSG第9版新增(改)知識點如下。

D5-身份與訪問管理

1、HOTP、TOTP(p656)

HOTP：散列消息驗證碼 (HMAC)包括一個散列函數，由基于 HMAC 的一次性密碼(HMACbased One-Time Password，HOTP) 標準用于創(chuàng)建一次性密碼。它通常會創(chuàng)建 6 到 8 個數字的 HOTP 值。這類似于令牌創(chuàng)建的異步動態(tài)密碼。HOTP 值在使用前一直有效。 TOTP：基于時間的一次性密碼(Time-based One-Time Password，TOTP)標準類似于 HOTP。但是，它使用時間戳并在特定時間范圍內保持有效，例如 30 秒。如果用戶在時間范圍內未使用 TOTP 密碼，則該密碼將過期。這類似于令牌使用的同步動態(tài)密碼。

2、無密碼身份認證(Passwordless Authentication)(p656)

無密碼身份認證允許用戶無需輸入密碼(或任何其他記住的秘密)即可登錄系統(tǒng)。例如，許多智能手機和平板電腦都支持生物識別認證?？焖偕矸葑R別在線聯(lián)盟(Fast Identity Online， FIDO) 聯(lián)盟是一個開放的行業(yè)協(xié)會，其既定使命是減少對密碼的過度依賴。

3、基于云的聯(lián)合身份管理(Cloud-Based Federation)(p661)

基于云的聯(lián)合身份管理通常使用第三方服務來共享聯(lián)合身份。一種常見的方法是將用戶的內部登錄 ID 與聯(lián)合身份進行匹配。例如，許多企業(yè)在線培訓網站使用聯(lián)合 SSO 系統(tǒng)。當組織與在線培訓公司協(xié)同員工訪問時，他們也會協(xié)同聯(lián)合身份的詳細信息。用戶使用他們的正常登錄 ID 在組織內登錄。當用戶使用 Web 瀏覽器訪問培訓網站時，聯(lián)合身份管理系統(tǒng)使用他們的登錄 ID 來檢索匹配的聯(lián)合身份。如果找到匹配項，則授權用戶訪問授予聯(lián)合身份的網頁。

4、本地聯(lián)合身份管理(On-Premise Federation)(p661)

聯(lián)合身份管理系統(tǒng)可以部署在本地、云端或兩種方式都用的混合模式。作為本地聯(lián)合身份管理系統(tǒng)的例子，假設公司 A 與公司 B 合并。兩家公司都有自己的網絡和 SSO 系統(tǒng)。但是，管理層希望員工無需登錄兩次即可訪問兩個網絡中的資源。通過創(chuàng)建本地聯(lián)合身份管理系統(tǒng)，兩家公司可以共享身份驗證數據。該系統(tǒng)允許用戶繼續(xù)正常登錄，但他們也將有權訪問其他公司的網絡資源。本地解決方案為組織提供了最大的控制權。

5、混合聯(lián)合身份管理 (Hybrid Federation)(p661)

混合聯(lián)合是基于云的解決方案和本地解決方案的組合。比如公司 A 有一個基于云的聯(lián)合身份系統(tǒng)，為員工提供在線培訓。與公司 B 合并后，他們實施了一個本地解決方案，用于實現(xiàn)兩家公司共享身份。這種方法不會自動授予公司 B 員工訪問培訓站點的權限。但是，可以將現(xiàn)有的本地解決方案與培訓站點的基于云的解決方案相集成。這為公司 B 的員工創(chuàng)建了一個混合解決方案，并且與其他聯(lián)合解決方案一樣，為公司 B 的員工提供了 SSO。

6、即時(Just-in-Time)(p662)

一些聯(lián)合身份解決方案支持即時 (JIT)的配置功能。這些解決方案會自動創(chuàng)建兩個實體之間的關系，以便新用戶可以訪問資源。JIT 解決方案無需任何管理員干預即可創(chuàng)建連接。JIT 系統(tǒng)通常使用 SAML 來交換所需的數據。

7、Mimikatz(708)

Mimikatz 已經成為黑客和滲透測試人員使用的流行工具。以下是 Mimikatz 的一些功能：從內存中讀取密碼、提取 Kerberos 票證、提取證書和私鑰、在內存中讀取 LM 和 NTLM 密碼哈希、在本地安全授權子系統(tǒng)服務(LSASS)中讀取明文密碼、列出正在運行的進程。

8、Kerberos 利用攻擊(Kerberos Exploitation Attack)(710)

Microsoft 的 Active Directory 使用 Kerberos 作為主要身份驗證協(xié)議。不幸的是，Kerberos 容易受到使用開源工具(如 Mimikatz)的多種利用攻擊。Kerberos 漏洞利用攻擊包括：超 -哈希傳遞攻擊(Overpass the Hash)、票據傳遞攻擊(Pass the Ticket)、銀票據(Silver Ticket)、金票據(Golden Ticket)、Kerberos 暴力破解(Kerberos Brute-Force)、ASREPRoast 攻擊、 Kerberoasting 攻擊。

關注中培偉業(yè)，了解更多CISSP相關信息。