权限：通常是指授予对客体的访问权限，并明确允许对客体执行的操作。

如果具有文件的读取权限，那么你可打开并读取文件

你可以授予用户创建、读取、编辑或删除文件的权限。同样，你可以授予用户对某个文件的访问权利，因此在此场景中，访问权利和权限是同等含义

例如，如果获得应用程序文件的读取和执行权限，你就拥有运行应用程序的权 利。此外，你可以获得某个数据库的数据权利，因而可以检索或更新数据库中的信息

权利： 权利主要是指对某个客体采取行动的能力

例如，用户可以有权利修改计算机系统时间或恢复备份数据

特权：特权是权利和权限的组合

例如，计算机管理员将拥有全部特权，即授予计算机管理员对计算机的全部权利和权限

基于角色的访问控制

基于规则的访问控制

基于属性的访问控制

强制访问控制

基于风险的访问控制

基于角色（Role-Based Access Control，RBAC）：或基于任务的访问控制的系统，根据主体角色或分配任务来定义访问客体的能力。通常通过组来实现。

例如，银行可能有信贷员、柜员和经理等角色。管理员可创建一个名为“信贷员”的组，将每个信贷员的账户纳入该组，并为该组分配适当的权限，如图 14.1 所示

基于角色的访问控制可以预防特权蠕变，有助于加强最小特权原则的实施。

特权蠕变：是用户随着角色和访问需求的变化而积累特权的趋势

人员职位变动时，管理员只需要从组中删除用户的账户即可轻松撤销不必要的权限

RBAC 在人员频繁变动的动态环境中非常有用，因为管理员只需要将新用户添加到适当 的角色即可轻松授予多个权限

微软操作系统通过组实现RBAC，某些组如本地Administrators组，是系统预定义的，但管理员可以创建其它组，从而匹配组织的工作职能或角色

因为RBAC模型可以通过从角色中移除账户来轻松撤销权限，所以该模型对于实施最小特权原则非常有帮助

RBAC和DAC区别

基于任务的访问控制(task-based access control，TBAC)：TBAC 与 RBAC类似，但不是将用户分配给一个或多个角色，而是为每个用户分配一组任务

例如， Microsoft Project 使用 TBAC。每个工程拥有多项任务。项目经理将任务分配给项目团队人员。团队人员可以处理自己的任务，如添加评论、指示进度等，但不能处理其他任务

许多应用程序使用 RBAC 访问控制模型，因为角色可以降低维护应用程序的总体人工成本。举一个简单的例子：WordPress 是一款流行的基千 Web 的应用程序，应用于博客和内容管理系统

基于规则的访问控制：模型使用一组规则、限制或过滤器，决定系统允许和禁止发生的操作

基于规则的访间控制模型的常见示例是防火墙

适用于所有主体的全局规则

防火墙包含一个最终规则（即隐式拒绝规则），拒绝所有其他流量。开始规则识别出防火墙允许的流量，而隐式拒绝规则拒绝所有其他流量。

基于属性的访问控制（Attribute Based Access Control，ABAC）：模型包含适用于所有主体（如用户）的全局规则

时间、位置、IP

属性可以是用户、网络和网络上的设备的几乎任何特征。例如，用户属性可以包含组成 员身份、工作部门以及其使用的设备，如台式计算机或移动设备

许多软件定义网络(SDN)应用程序使用 ABAC 模型

例如，软件定义广域网(SD-WAN)解决方案可以实施策略来允许或阻止流量

简明语句来创建 ABAC 策略，例如“允许管理人员使用平板电脑或智能手机访问 WAN”。

强制访问控制(mandatory access control，MAC)：模型依赖分类标签的使用。一个分类标签代表一个安全域或安全领域。所有主体和客体都有标签

基于标签的访问控制

安全域：是共享相同安全策略的主体和客体的集合

美国军方使用绝密、秘密和机密标签对数据进行分类

营组织经常使用机密（或专有）、私有、敏感和公开等标签

MAC 模型通常被称作基于格子的模型。图 14.2 显示一种基于格子的 MAC 模型的示例。

例如，公开和敏感之间的区域包含了标记为敏感（上边界）的客体。拥有敏感标签的用户可以访问敏感数据。

MAC 模型还允许标签标识出更多定义的安全域。机密区域（私有和机密之间）中有 4 个单 独的安全域，分别为 Lentil、 Foil 、 Crimson 和 Matterhorn，用户不仅需要拥有机密标签，还需要附加标签才能访问这些隔离区中的数据

例如，若要访问 Lentil 区域中的数据，用户需要同时拥有机密标签和 Lentil 标签

图 14.2 中的标签是第二次世界大战军事行动的名称，但组织可以将任何名称用作标签。

在 MAC 模型中使用隔离区，有助于加强因需可知原则

MAC 模型是禁止性的，而不是允许性的，遵循隐式拒绝原则

MAC 模型的分类使用以下三类环境

安全分类和许可

基于风险的访问控制：相对较新，其实现可能相当复杂。该模型试图通过研究几个元素来评估风险，例如：

例如，考虑一个包含患者信息的信息系统，供医疗专业人员使用。医生、护士和其他人 员在医院急诊室(ER)工作，需要访问出现在急诊室中的所有患者的数据。在这种情况下

在策略授予访问权限之前，我们可以检查或要求实施另外两个措施。

可扩展标记语言(eXtensible Markup Language，XML)：并非仅通过实际描述数据来描述如何显示数据。XML 可以包含标记，从而描述所有所需数据

例如，以下标签将数据标识为参加考试的结果：

XML 存在许多特定模式，如果公司之间对 XML 模式达成共识，则公司之间可以轻松共享信息。许多云提供商使用基于 XML 的语言来共享身份认证和授权信息。

许多云提供商不是直接使用 XML, 而是使用其他基于 XML 的语言

安全断言标记语言(Security Assertion Markup Language,SAML)：是一种基于 XML 的开放标准，通常用于在联邦纠织之间交换身份认证和授权(AA)信息。 SAML 提供支持浏览器访间的 SSO 功能。

2005 年将SAML2.0 纳入 OASIS 标准，并一直保持到现在。

SAML2.0 规范使用三个实体：委托人、服务提供商和身份提供者。比如，假设 Sally 正 在访问自己在 ucanbeanlillionaire.com 上的投资账户。该站点要求 Sally 登录自己的账户，并且该站点使用 SAML

SAML2.0 规范使用三个实体

当 Sally 访问该站点时，站点提示 Sally 输入身份凭证。当 Sally 输入身份凭证时，该站点会将 Sally 的身份凭证发达至 IdP 。然后， IdP 使用 XML 消息进行响应，验证（或拒绝）Sally的身份凭证，并明确允许 Sally 访问的内容。然后该站授予 Sally 访问其账户的权限口

IdP 可以发送三种类型的 XML 消息（称为声明）：

SAML 是互联网上流行的 SSO 标准，用于交换身份认证和授权(AA)信息。

OAuth 2.0（意含开放授权）：是 RFC 6749 中描述并由互联网工程任务组(IETF)维护的授权框架

例如，假设你拥有一个 Twitter 账户并下载了 Acme 应用程序。 Acme 应用程序可以与你 的 Twitter 账户交互并提前安排推文。类似第三方使用的服务，使用QQ/微信授权登陆

许多在线站点支持 OAuth2.0, 但不支持 OAuth1.0,且OAuth2.0 不向后兼容 OAuth 1.0 。

OAuth 是一个授权框架，而不是身份认证协议。 OAuth 交换 API 消息并使用令牌来显示访问是否已获得授权。

OpenID ：也是一个开放标准，但由 OpenID Foundation 维护，它不是 RFC 标准。

OpenID提供去中心化身份认证，允许用户使用一组凭证登录多个不相关的网站，这些凭证由第三方服务维护，这类第三方被称为 OpenID 提供商。使用谷歌邮箱账号，可以登录多个平台的服务

当用户访问支持 OpenID 的网站（也称为依赖方）时，系统会提示用户提供 OpenID 标识作为 URI。随后，启用 OpenID 的网站和 OpenID 提供商交换数据并创建安全通道。

OpenID Connect (OIDC)：是使用 OAuth2.0 授权框架的身份认证层

关键点是 OIDC 同时提供身份认证和授权。

OIDC 建立在 OpenID 创建的技术之上，但使用 JavaScript 对象表示法(JSON) Web 令牌(JSON Web Tokens，JWT) ，你也可称之为ID 令牌。

一般步骤如下：

OIDC 使用 OAuth 框架来授权，并基于 OpenID 技术进行身份认证。 OIDC 使用 JSON 网络令牌。

SAML 要点概述如下：

OAuth 要点概述如下：

OpenID 要点概述如下：

OIDC 要点概述如下：

提供身份认证、授权和计费的协议被称为 AAA 协议。

AAA 协议通过远程访问系统，如虚拟专用网络(VPN)和其他类型的网络访问服务器，提供集中式访问控制。

有助于确保内部局域网身份认证系统和其他服务器免受远程攻击

Kerberos

RADIUS

TACACS+

Linux 系统存在一个 root 账户，有时被称为超级用户(superuser)账户。

SU 命令默认切换到 root 怅户，并提示用户输入 root 账户口令

另一种选择是 sudo 命令，有时也被称为超级用户执行(superuser do)

CISSP 目标提到尽量减少 sudo 命令的使用

口令是最脆弱的身份认证方式，并且存在许多口令攻击方法。

强口令有助于防止口令攻击

对口令进行哈希计算时，务必使用强哈希函数。

字典攻击是指尝试通过使用预定义数据库中的每个可能密码或公共或预期密码列表来发现密码

passwordl ：password2 、 lpassword 和 passXword简单变体

暴力破解攻击是指通过尝试所有可能的字母、数字和符号的组合来找到用户的口令

当用户使用进行了哈希计算的口令进行身份认证时，将发生以下三个步骤：

喷射攻击(spraying attack)：是一种特殊类型的暴力破解攻击。攻击者在在线密码攻击中使用喷射攻击，并试图绕过账户锁定的安全控制措施

想象一下，如果同一账户在 30 分钟内尝试输入错误口令 5 次，而喷射攻击在 15 分钟内遍历整个列表，那么锁定策略将锁定该账户。如果 30 分钟内输入错误口令两次， 30 分钟的计时器将重置，因此系统不会锁定账户。

凭证填充攻击仅检查每个站点的单个用户名及口令。撞库

Gus 在 eBay、 NetF监和 Disney＋等各类网站上拥有数百个账户。 Gus 感到难以跟踪所有网站的凭证，因此在每个网站上使用相同的凭证

如果人们在所有站点上使用不同的口令，凭证填充攻击将失败

生日攻击的重点是寻找碰撞。

生日悖论：指出，如果一个房间里有 23 个人，那么其中任何两个人拥有相同生日的可能性为 50%

SHA-3（安全哈希算法版本 3 的简称）可使用多达 512 位，并被认为可安全地抵御生日攻击和冲突

如果通过猜测、哈希计算，然后将其与有效的口令哈希值进行比对来寻找口令，这个过程需要很长时间

彩虹表通过使用大量预计算的哈希数据库来减少所需的时间

通过以下方式创建彩虹表：

许多系统通常使用加盐(salt) 口令来降低彩虹表攻击的有效性，盐是在进行哈希计算之前添加到口令中的一组随机位

Argon2 、 bcrypt 和 PBKDF2（基于口令的密钥派生函数 2)是三种常用的加盐密码算法

一个基于 MD5 的彩虹表如果包含所有 8 个字符长的口令（含 4 种字符类型），其大小约为 460 GB

Mimikatz 已经成为黑客和渗透测试人员手中的流行工具，基于C语言，Mimikatz 通过改取内存凭证来进行漏洞利用。

Mirnikatz 的一些功能

哈希传递(PtH)攻击是指攻击者将捕获的口令哈希值发送到身份认证服务

渗透测试人员和攻击者使用 Mirnikatz 和其他工具（如 DCSync)来捕获口令哈希值，然后使用口令哈希值来模拟登录过程

哈希传递攻击大致步骤

最好的保护措施是防止第一台计算机被感染。

Kerberos 容易受到利用开源工具（如 Mimikatz) 的多种漏洞利用攻击

Kerberos 漏洞利用攻击包括以下内容

超哈希传递攻击： 当网络上禁用 NTLM 时，可以使用这种方法替代哈希传递攻击。即使网络上禁用 NTLM, 系统仍会创建 NTLM 哈希值并将其存储在内存中。攻击者可以使用用户口令哈希值请求票证授予的票证(TGT)并使用 TGT 访问网络资源。这种攻击有时被称为传递密钥

票证传递：在票证传递攻击中，攻击者试图获取 lsass.exe 进程中保存的票证。在获取票 证后，攻击者注入票证以冒充用户

白银票证(silver ticket) ： 白银票证使用截获的服务账户 NTLM 哈希值来创建票证授予服务(TGS)票证。服务账户使用 TGS 票证，而不是 TGT 票证。

黄金票证：如果能获得 Kerberos 服务账户(KRBTGT)的哈希值，攻击者就可以在活动目录中随意创建票证。这给了攻击者非常大的权力，因此被称为黄金票证。理员账户的访问权限，如果获得域管理员权限攻击者就可以远程登录域控制器并运行 Mimikatz来提取哈希值

Kerberos 暴力破解：攻击者可以在 Linux 系统上运行 Python 脚本 kerbrute.py 或在 Windows 系统上运行Rubeus 。除了猜测口令，这些工具还可猜测用户名。

ASREPRoast： 此攻击识别未启用 Kerberos 预身份认证的用户。

Kerberoasting： 此攻击收集加密的票证授予服务(TGS)票证，此攻击试图找到没有 Kerberos 预身份认证的用户

嗅探是指捕获通过网络发送的数据包，其目的是分析数据包。

Wireshark 是一种流行的协议分析器，可免费下载。

数据加密

欺骗（也称为伪装）是指伪装成某种东西或某个人

电子邮件欺骗：垃圾邮件发送者通常在“发件人”字段中使用假冒的电子邮件地址，进而让电子邮件看起来像来自其他发件人

电话号码欺骗：来电显示服务允许用户识别来电者的电话号码。