CISSP認(rèn)證教材OSG第9版有增加或者改動(dòng)的知識(shí)點(diǎn)，CISSP認(rèn)證的教材新版知識(shí)點(diǎn)可能會(huì)在考試中出現(xiàn)，因此我們?yōu)榇蠹疫M(jìn)行了梳理，CISSP認(rèn)證教材OSG第9版新增(改)知識(shí)點(diǎn)如下。

D5-身份與訪問(wèn)管理

1、HOTP、TOTP(p656)

HOTP：散列消息驗(yàn)證碼 (HMAC)包括一個(gè)散列函數(shù)，由基于 HMAC 的一次性密碼(HMACbased One-Time Password，HOTP) 標(biāo)準(zhǔn)用于創(chuàng)建一次性密碼。它通常會(huì)創(chuàng)建 6 到 8 個(gè)數(shù)字 的 HOTP 值。這類似于令牌創(chuàng)建的異步動(dòng)態(tài)密碼。HOTP 值在使用前一直有效。 TOTP：基于時(shí)間的一次性密碼(Time-based One-Time Password，TOTP)標(biāo)準(zhǔn)類似于 HOTP。 但是，它使用時(shí)間戳并在特定時(shí)間范圍內(nèi)保持有效，例如 30 秒。如果用戶在時(shí)間范圍內(nèi)未 使用 TOTP 密碼，則該密碼將過(guò)期。這類似于令牌使用的同步動(dòng)態(tài)密碼。

2、無(wú)密碼身份認(rèn)證(Passwordless Authentication)(p656)

無(wú)密碼身份認(rèn)證允許用戶無(wú)需輸入密碼(或任何其他記住的秘密)即可登錄系統(tǒng)。例如，許 多智能手機(jī)和平板電腦都支持生物識(shí)別認(rèn)證。快速身份識(shí)別在線聯(lián)盟(Fast Identity Online， FIDO) 聯(lián)盟是一個(gè)開(kāi)放的行業(yè)協(xié)會(huì)，其既定使命是減少對(duì)密碼的過(guò)度依賴。

3、基于云的聯(lián)合身份管理(Cloud-Based Federation)(p661)

基于云的聯(lián)合身份管理通常使用第三方服務(wù)來(lái)共享聯(lián)合身份。一種常見(jiàn)的方法是將用戶的內(nèi) 部登錄 ID 與聯(lián)合身份進(jìn)行匹配。例如，許多企業(yè)在線培訓(xùn)網(wǎng)站使用聯(lián)合 SSO 系統(tǒng)。當(dāng)組 織與在線培訓(xùn)公司協(xié)同員工訪問(wèn)時(shí)，他們也會(huì)協(xié)同聯(lián)合身份的詳細(xì)信息。用戶使用他們的正 常登錄 ID 在組織內(nèi)登錄。當(dāng)用戶使用 Web 瀏覽器訪問(wèn)培訓(xùn)網(wǎng)站時(shí)，聯(lián)合身份管理系統(tǒng)使 用他們的登錄 ID 來(lái)檢索匹配的聯(lián)合身份。如果找到匹配項(xiàng)，則授權(quán)用戶訪問(wèn)授予聯(lián)合身份 的網(wǎng)頁(yè)。

4、本地聯(lián)合身份管理(On-Premise Federation)(p661)

聯(lián)合身份管理系統(tǒng)可以部署在本地、云端或兩種方式都用的混合模式。作為本地聯(lián)合身份管 理系統(tǒng)的例子，假設(shè)公司 A 與公司 B 合并。兩家公司都有自己的網(wǎng)絡(luò)和 SSO 系統(tǒng)。但是， 管理層希望員工無(wú)需登錄兩次即可訪問(wèn)兩個(gè)網(wǎng)絡(luò)中的資源。通過(guò)創(chuàng)建本地聯(lián)合身份管理系 統(tǒng)，兩家公司可以共享身份驗(yàn)證數(shù)據(jù)。該系統(tǒng)允許用戶繼續(xù)正常登錄，但他們也將有權(quán)訪問(wèn) 其他公司的網(wǎng)絡(luò)資源。本地解決方案為組織提供了最大的控制權(quán)。

5、混合聯(lián)合身份管理 (Hybrid Federation)(p661)

混合聯(lián)合是基于云的解決方案和本地解決方案的組合。比如 公司 A 有一個(gè)基于云的聯(lián)合身 份系統(tǒng)，為員工提供在線培訓(xùn)。與公司 B 合并后，他們實(shí)施了一個(gè)本地解決方案，用于實(shí) 現(xiàn)兩家公司共享身份。這種方法不會(huì)自動(dòng)授予公司 B 員工訪問(wèn)培訓(xùn)站點(diǎn)的權(quán)限。但是，可以 將現(xiàn)有的本地解決方案與培訓(xùn)站點(diǎn)的基于云的解決方案相集成。這為公司 B 的員工創(chuàng)建了 一個(gè)混合解決方案，并且與其他聯(lián)合解決方案一樣，為公司 B 的 員工提供了 SSO。

6、即時(shí)(Just-in-Time)(p662)

一些聯(lián)合身份解決方案支持即時(shí) (JIT)的配置功能。這些解決方案會(huì)自動(dòng)創(chuàng)建兩個(gè)實(shí)體之間 的關(guān)系，以便新用戶可以訪問(wèn)資源。JIT 解決方案無(wú)需任何管理員干預(yù)即可創(chuàng)建連接。JIT 系 統(tǒng)通常使用 SAML 來(lái)交換所需的數(shù)據(jù)。

7、Mimikatz(708)

Mimikatz 已經(jīng)成為黑客和滲透測(cè)試人員使用的流行工具。以下是 Mimikatz 的一些功能： 從內(nèi)存中讀取密碼、提取 Kerberos 票證、提取證書(shū)和私鑰、在內(nèi)存中讀取 LM 和 NTLM 密碼哈希、在本地安全授權(quán)子系統(tǒng)服務(wù)(LSASS)中讀取明文密碼、列出正在運(yùn)行的進(jìn)程。

8、Kerberos 利用攻擊(Kerberos Exploitation Attack)(710)

Microsoft 的 Active Directory 使用 Kerberos 作為主要身份驗(yàn)證協(xié)議。不幸的是，Kerberos 容易受到使用開(kāi)源工具(如 Mimikatz)的多種利用攻擊。Kerberos 漏洞利用攻擊包括：超 -哈希傳遞攻擊(Overpass the Hash)、票據(jù)傳遞攻擊(Pass the Ticket)、銀票據(jù)(Silver Ticket)、 金票據(jù)(Golden Ticket)、Kerberos 暴力破解(Kerberos Brute-Force)、ASREPRoast 攻擊、 Kerberoasting 攻擊。

關(guān)注中培偉業(yè)，了解更多CISSP相關(guān)信息。