Windows 2000安全技術(shù)

第1部分 概念與定義
第1章 安全的基本概念
1.1 安全的三個(gè)“A”
1.1.1 認(rèn)證
1.1.2 授權(quán)
1.1.3 審核
1.2 安全策略
1.3 計(jì)算機(jī)安全的目標(biāo)
1.3.1 完整性
1.3.2 控制
1.3.3 可用性
1.4 其他安全術(shù)語
1.5 更多的信息
1.6 小結(jié)
第2章 密碼學(xué)介紹
2.1 歷史背景
2.2 現(xiàn)代的加密算法
2.2.1 對稱密鑰密碼系統(tǒng)
2.2.2 非對稱密鑰密碼系統(tǒng)
2.2.3 公鑰體系
2.2.4 數(shù)字簽名
2.2.5 數(shù)字編碼
2.3 常用加密算法
2.3.1 DES
2.3.2 已被提議用來替代DES的算法
2.3.3 Ron Rivest算法
2.3.4 CAST-128
2.3.5 Diffie-Hellman
2.3.6 RSA
2.3.7 散列函數(shù)
2.3.8 將來的希望：橢圓曲線密碼系統(tǒng)
2.4 攻擊方法
2.5 更多的信息
2.6 小結(jié)
第3章 新的協(xié)議、產(chǎn)品及API
3.1 與Web相關(guān)的協(xié)議
3.1.1 安全套接字層和HTTPS
3.1.2 傳輸層安全協(xié)議（RFC 2246）
3.2 遠(yuǎn)程訪問協(xié)議
3.2.1 串行線路Internet協(xié)議（RFC 1055）
3.2.2 點(diǎn)到點(diǎn)協(xié)議（RFC 1661）
3.2.3 口令認(rèn)證協(xié)議
3.2.4 質(zhì)詢－握手認(rèn)證協(xié)議（RFC 1994）
3.2.5 Microsoft-CHAP版本1（RFC 2433）和版本2（RFC 2759）
3.2.6 點(diǎn)到點(diǎn)隧道協(xié)議（RFC 2637）
3.2.7 Microsoft點(diǎn)到點(diǎn)加密機(jī)制（MPPE）
3.2.8 第二層隧道協(xié)議（RFC 2661）
3.3 IPSec
3.3.1 密鑰管理
3.3.2 安全策略數(shù)據(jù)庫
3.3.3 IP棧實(shí)現(xiàn)
3.3.4 通信安全協(xié)議：AH與ESP
3.3.5 SA束 
3.3.6 性能問題
3.4 DHCP與動(dòng)態(tài)DNS之間的安全通信（RFC 2535，2136，2137）
3.4.1 公鑰／私鑰的實(shí)現(xiàn)（RFC 2535）
3.4.2 通過Kerberos 5的DHCP認(rèn)證和使用DHCP的DNS安全更新
3.5 Microsoft獨(dú)有的API和安全協(xié)議
3.5.1 服務(wù)器控制的加密系統(tǒng)
3.5.2 CryptoAPI
3.5.3 認(rèn)證碼
3.5.4 安全支持提供者接口（SSPI）
3.5.5 LM、NTLM、NTLMv2
3.6 更多的信息
3.7 小結(jié)
第4章 公鑰體系（PKI）
4.1 證書頒發(fā)機(jī)構(gòu)
4.2 注冊頒發(fā)機(jī)構(gòu)
4.3 證書與密鑰
4.3.1 X.509證書
4.3.2 簡單公鑰體系
4.3.3 PGP
4.3.4 證書驗(yàn)證
4.4 證書倉庫
4.5 證書吊銷列表
4.5.1 吊銷列表的選項(xiàng)
4.6 證書信任模型
4.6.1 層次型信任模型
4.6.2 分布式信任
4.6.3 Web信任
4.6.4 用戶信任
4.6.5 交叉證明
4.7 客戶與客戶軟件
4.8 PKI過程
4.8.1 時(shí)間問題
4.8.2 密鑰／證書生存周期
4.8.3 產(chǎn)生
4.9 更多的怕息
4.10 小結(jié)
第5章 Kerberos基礎(chǔ)
5.1 Kerberos基礎(chǔ)
5.1.1 登錄認(rèn)證：認(rèn)證服務(wù)交換
5.1.2 獲得一個(gè)票證：票證授予服務(wù)交換
5.1.3 訪問資源：客戶／服務(wù)器認(rèn)證交換
5.2 Kerberos組成和算法
5.2.1 組件
5.2.2 Kerberos算法
5.3 Kerberos信任路徑
5.4 加密和校驗(yàn)和
5.5 更多的信息
5.6 小結(jié)
第2部分 保護(hù)操作系統(tǒng)的安全
第6章 從頭開始考慮安全
6.1 用戶和組
6.1.1 獨(dú)立系統(tǒng)上的用戶和組
6.1.2 隱式的用戶權(quán)限
6.2 活動(dòng)目錄介紹
6.2.1 活動(dòng)目錄結(jié)構(gòu)
6.2.2 域模式
6.2.3 組作用域
6.2.4 域中默認(rèn)的組
6.2.5 隱式組或系統(tǒng)組
6.3 權(quán)限和特權(quán)
6.3.1 用戶和組管理工具
6.4 Windows 2000 NTFS
6.4.1 文件權(quán)限
6.4.2 默認(rèn)安全設(shè)置
6.4.3 資源訪問
6.4.4 特殊權(quán)限
6.4.5 與以前NTFS版本的區(qū)別
6.4.6 共享文件夾的發(fā)布：模糊中會(huì)有安全性嗎？
6.5 默認(rèn)注冊表權(quán)限
6.6 軟保護(hù)和Windows文件保護(hù)
6.6.1 軟保護(hù)
6.6.2 Windows文件保護(hù)
6.7 Windows 2000加密文件系統(tǒng)
6.7.1 EFS基礎(chǔ)
6.7.2 加密文件系統(tǒng)如何工作
6.7.3 提供證書頒發(fā)機(jī)構(gòu)的好處
6.7.4 Cipher命令
6.7.5 恢復(fù)策略和EFS管理
6.8 最佳操作
6.9 更多的信息
6.10 小結(jié)
第7章 用戶認(rèn)證
7.1 LM與NTLM認(rèn)證
7.2 Windows 2000中的Kerberos
7.2.1 Kerberos對Windows 2000的益處
7.2.2 活動(dòng)目錄的作用
7.2.3 認(rèn)證的第1步：獲取登錄會(huì)話密鑰
7.2.4 認(rèn)證的第2步：TGS交換——獲取特定服務(wù)器的票證
7.2.5 認(rèn)證的第3步：使用會(huì)話票證來獲準(zhǔn)進(jìn)入——CS交換
7.2.6 票證
7.2.7 DNS名字解析
7.2.8 域間的活動(dòng)
7.2.9 Kerberos與WinLogon服務(wù)的集成
7.2.10 使用Kerberos票證來得到訪問控制信息
7.2.11 Kerberos與服務(wù)賬號(hào)的集成
7.2.12 公鑰的Kerberos擴(kuò)展
7.3 網(wǎng)絡(luò)登錄的過程
7.4 在Windows 2000中使用智能卡
7.4.1 Microsoft的方法
7.4.2 基本組件
7.4.3 安裝與使用智能卡
7.4.4 使用智能卡進(jìn)行Windows 2000登錄
7.4.5 智能卡與遠(yuǎn)程訪問
7.5 更多的信息
7.6 小結(jié)
第8章 生存周期選擇
8.1 為了改進(jìn)安全性而在安裝時(shí)的注意事項(xiàng)
8.1.1 升級(jí)與全新安裝之間的區(qū)別
8.1.2 保護(hù)升級(jí)安裝的安全
8.1.3 已升級(jí)的Windows NT主域控制器（PDC）上的活動(dòng)目錄
8.2 維護(hù)
8.2.1 選擇安全的應(yīng)用程序：Windows 2000應(yīng)用程序標(biāo)志的標(biāo)準(zhǔn)
8.2.2 使用和維護(hù)安全策略
8.2.3 備份
8.3 系統(tǒng)恢復(fù)：修復(fù)概述
8.3.1 在安全模式中啟動(dòng)
8.3.2 緊急修復(fù)過程
8.3.3 使用最后一次正確配置
8.3.4 使用Windows 2000修復(fù)控制臺(tái)
8.3.5 系統(tǒng)文件檢查器
8.4 死亡與分解
8.5 最佳操作
8.6 更多的信息
8.7 小結(jié)
第9章 安全工具
9.1 使用安全配置和分析工具集
9.1.1 安全模板
9.1.2 安全配置和分析
9.1.3 使用secedit工具
9.1.4 使用安全配置工具集進(jìn)行審核
9.2 組策略
9.2.1 組策略工具
9.2.2 GPO組件
9.2.3 與組策略編輯器一起使用安全配置和分析
9.3 支持工具
9.4 Resource Kit工具
9.4.1 與審核相關(guān)的工具
9.4.2 組策略工具
9.4.3 用戶管理工具
9.4.4 管理工具
9.4.5 注冊表工具
9.4.6 DACL
9.5 選擇要使用的工具
9.6 最佳操作
9.7 更多的信息
9.8 小結(jié)
第10章 保護(hù)Windows 2000 Professional的安全
10.1 建立和保護(hù)用戶和組數(shù)據(jù)庫
10.1.1 安全模型
10.1.2 管理本地賬號(hào)數(shù)據(jù)庫中的賬號(hào)和組
10.1.3 保護(hù)賬號(hào)數(shù)據(jù)庫
10.2 Windows NT 4.0域中的Windows 2000 Professional
10.2.1 Windows NT 4.0域中的認(rèn)證
10.2.2 Windows NT域中的授權(quán)
10.3 使用組策略管理本地安全設(shè)置
10.3.1 賬號(hào)策略
10.3.2 本地策略
10.3.3 策略設(shè)置
10.4 使安全設(shè)置與用戶能力匹配
10.5 策略的實(shí)現(xiàn)和實(shí)施
10.5.1 密碼策略
10.5.2 賬號(hào)鎖定
10.5.3 審核策略
10.5.4 用戶權(quán)限
10.5.5 安全選項(xiàng)
10.5.6 事件日志設(shè)置
10.6 保護(hù)無線連接的安全
10.6.1 無線連接：計(jì)算機(jī)與計(jì)算機(jī)
10.6.2 無線連接：紅外網(wǎng)絡(luò)連接
10.7 安全數(shù)據(jù)和應(yīng)用程序訪問的協(xié)議與進(jìn)程
10.8 使用Windows 2000 Professional管理Windows 2000域
10.8.1 可用的工具
10.9 最佳操作
10.10 更多的信息
10.11 小結(jié)
第11章 保護(hù)Windows 2000 Server的安全
11.1 Server的角色
11.1.1 Server的關(guān)系
11.1.2 Server的作用
11.2 安裝默認(rèn)的安全項(xiàng)
11.2.1 用戶和組
11.2.2 本地安全策略
11.3 策略設(shè)置
11.4 Server安全模板
11.5 使用和保護(hù)終端服務(wù)
11.5.1 登錄權(quán)限
11.5.2 應(yīng)用程序問題
11.5.3 終端服務(wù)配置工具
11.5.4 數(shù)據(jù)加密
11.6 保護(hù)互操作服務(wù)
11.6.1 Macintosh服務(wù)
11.6.2 Unix服務(wù)
11.7 最佳操作
11.8 更多的信息
11.9 小結(jié)
第3部分 保護(hù)Microsoft本地局域網(wǎng)的安全
第12章 域級(jí)安全
12.1 活動(dòng)目錄概念介紹
12.1.1 活動(dòng)目錄層次
12.1.2 全局編錄
12.1.3 信任關(guān)系
12.1.4 數(shù)據(jù)存儲(chǔ)和復(fù)制
12.1.5 混合模式，本機(jī)模式
12.1.6 LDAP
12.2 動(dòng)態(tài)DNS
12.2.1 動(dòng)態(tài)DNS是怎樣工作的
12.2.2 保護(hù)動(dòng)態(tài)DNS
12.3 分布式安全服務(wù)介紹
12.3.1 IPSec策略
12.3.2 Kerberos策略
12.4 網(wǎng)絡(luò)認(rèn)證服務(wù)的比較：Kerberos和NTLM
12.5 最佳操作
12.6 更多的信息
12.7 小結(jié)
第13章 保護(hù)傳統(tǒng)Windows客戶的安全
13.1 改善認(rèn)證措施
13.1.1 下級(jí)客戶的登錄
13.1.2 實(shí)現(xiàn)NTLMv2：第一步——下級(jí)客戶
13.1.3 實(shí)現(xiàn)NTLMv2：第二步——在Windows 2000域控制器上要求使用NTLMv2
13.2 保護(hù)網(wǎng)絡(luò)通信
13.2.1 SMB簽名
13.2.2 使用經(jīng)協(xié)商的NTLMv2會(huì)話安全
13.3 改善基本的系統(tǒng)安全
13.3.1 系統(tǒng)策略編輯器
13.3.2 安全配置管理器
13.4 最佳操作
13.5 更多的信息
13.6 小結(jié)
第14章 保護(hù)分布式文件系統(tǒng)的安全
14.1 理解DFS
14.1.1 定義、組件和概念
14.1.2 DFS的工作方式
14.1.3 DFS的使用
14.1.4 DFS客戶端
14.2 理解文件復(fù)制服務(wù)
14.2.1 定義FRS功能
14.2.2 在DFS中使用FRS
14.2.3 管理DFS復(fù)制計(jì)劃
14.3 保護(hù)DFS的安全
14.3.1 保護(hù)DFS拓?fù)浣Y(jié)構(gòu)
14.3.2 保護(hù)文件和文件夾
14.3.3 保護(hù)文件復(fù)制策略
14.3.4 規(guī)劃安全的DFS架構(gòu)
14.3.5 實(shí)現(xiàn)和維護(hù)
14.3.6 審核DFS的安全性
14.4 最佳操作
14.5 小結(jié)
第4部分 保護(hù)現(xiàn)實(shí)世界網(wǎng)絡(luò)的安全
第15章 安全遠(yuǎn)程訪問選項(xiàng)
15.1 路由和遠(yuǎn)程訪問服務(wù)
15.1.1 網(wǎng)絡(luò)地址轉(zhuǎn)換和Internet連接共享
15.1.2 遠(yuǎn)程訪問服務(wù)（RAS）
15.1.3 虛擬專用網(wǎng)絡(luò)
15.2 Internet認(rèn)證服務(wù)
15.2.1 Internet認(rèn)證服務(wù)的配置和放置
15.2.2 IAS策略
15.2.3 和IAS一起使用VPN
15.2.4 什么時(shí)候使用IAS，什么時(shí)候使用RRAS
15.3 終端服務(wù)
15.3.1 向用戶提供遠(yuǎn)程訪問
15.3.2 為管理員提供遠(yuǎn)程訪問
15.4 保護(hù)遠(yuǎn)程管理訪問的安全
15.4.1 使用策略控制訪問
15.4.2 使用telnet
15.5 最佳操作
15.6 更多的信息
15.7 小結(jié)
第16章 使用分布式安全服務(wù)保護(hù)網(wǎng)絡(luò)的安全
16.1 活動(dòng)目錄操作
16.1.1 活動(dòng)目錄復(fù)制
16.1.2 保護(hù)活動(dòng)目錄
16.1.3 恢復(fù)活動(dòng)目錄
16.2 使用組策略對象控制計(jì)算機(jī)和用戶
16.2.1 組策略處理
16.2.2 組策略繼承
16.2.3 組策略管理的其他項(xiàng)目
16.2.4 組策略對象的復(fù)制和管理
16.2.5 策略應(yīng)用
16.2.6 混合的Windows操作系統(tǒng)網(wǎng)絡(luò)中的策略
16.2.7 組策略對象的權(quán)限委派
16.3 更多的信息
16.4 小結(jié)
第17章 企業(yè)公鑰體系
17.1 Windows 2000證書服務(wù)結(jié)構(gòu)
17.1.1 證書頒發(fā)機(jī)構(gòu)
17.1.2 證書層次
17.1.3 證書和證書模板
17.1.4 證書吊銷列表
17.1.5 鑰策略
17.1.6 證書存儲(chǔ)
17.1.7 加密服務(wù)提供者
17.1.8 證書信任列表
17.2 證書生存期
17.2.1 當(dāng)安裝根CA時(shí)，頒發(fā)一份根CA證書
17.2.2 如果受到請求，根CA可以為從屬CA頒發(fā)證書
17.2.3 從屬CA可以為別的從屬CA頒發(fā)證書
17.2.4 周期性的發(fā)布證書吊銷列表
17.2.5 根CA證書必須在過期之前或者整個(gè)證書服務(wù)結(jié)構(gòu)失效之前重新頒發(fā)
17.2.6 從屬CA證書在過期之前或者它頒發(fā)的任何證書失效之前重新頒發(fā)
17.2.7 證書請求放置在隊(duì)列中等待管理員同意／拒絕
17.2.8 基于公鑰體系的應(yīng)用程序使用的證書
17.2.9 證書可以被吊銷
17.2.10 證書可以被更新
17.2.11 證書可以失效
17.3 公鑰體系的組策略
17.3.1 企業(yè)信任（用戶和計(jì)算機(jī)配置）
17.3.2 加密數(shù)據(jù)恢復(fù)代理
17.3.3 自動(dòng)的證書請求設(shè)置
17.3.4 受信任的根CA
17.4 證書服務(wù)的其他安全實(shí)踐
17.4.1 創(chuàng)建安全的CA層次
17.4.2 CA自由訪問控制列表
17.4.3 第三方信任
17.4.4 備份和恢復(fù)過程和建議
17.4.5 允許Netscape兼容的基于Web的吊銷檢查
17.4.6 修改默認(rèn)的證書模板自由訪問控制列表
17.5 基于證書／公鑰體系的應(yīng)用程序
17.6 最佳操作
17.7 更多的信息
17.8 小結(jié)
第18章 協(xié)同工作
18.1 與UNIX協(xié)同工作
18.1.1 原有功能
18.1.2 Services for Unix 2.0
18.1.3 Kerberos互操作性
18.2 PKI互操作性
18.2.1 共存
18.2.2 商業(yè)合作伙伴訪問
18.2.3 只使用第三方PKI
18.2.4 基于第三方PKI的應(yīng)用程序
18.3 Macintosh
18.3.1 文件共享
18.3.2 控制打印機(jī)訪問
18.3.3 Microsoft提供的用戶認(rèn)證模塊（MS－UAM）
18.4 Novell
18.4.1 Windows 2000和NetWare網(wǎng)絡(luò)間協(xié)同工作
18.4.2 在NetWare網(wǎng)絡(luò)中集成Windows 2000 Professional系統(tǒng)
18.5 IBM Mainframe和AS400
18.6 單一登錄
18.6.1 擴(kuò)展環(huán)境
18.6.2 詳細(xì)情況
18.6.3 不使用SSO的情況
18.7 目錄集成：元目錄
18.8 最佳操作
18.9 更多的信息
18.10 小結(jié)
第19章 Web安全
19.1 保護(hù)Windows 2000 Server
19.1.1 配置硬件
19.1.2 升級(jí)操作系統(tǒng)
19.1.3 刪除或禁用不必要的組件
19.1.4 檢查和設(shè)置組策略
19.1.5 理解并限制登錄和用戶權(quán)限
19.1.6 增強(qiáng)文件系統(tǒng)的安全性
19.2 保證Web站點(diǎn)的安全
19.2.1 基本屬性和站點(diǎn)配置
19.2.2 匿名用戶賬號(hào)
19.2.3 認(rèn)證
19.2.4 虛擬目錄安全
19.2.5 文件訪問
19.2.6 安全憑據(jù)委派
19.2.7 使用SSL
19.3 工具
19.3.1 隨產(chǎn)品一起發(fā)布的安全工具和服務(wù)
19.3.2 Internet服務(wù)器安全配置工具
19.3.3 Web安全模板
19.4 監(jiān)視，測量和維護(hù)
19.4.1 安全開銷
19.4.2 什么是可疑的活動(dòng)
19.5 最佳操作
19.6 更多的信息
19.7 小結(jié)
第20章 案例研究：分布式合作伙伴
20.1 商業(yè)模型
20.1.1 根本原因
20.1.2 服務(wù)
20.2 網(wǎng)絡(luò)基本設(shè)施的安全
20.2.1 邏輯綜述
20.2.2 物理網(wǎng)絡(luò)
20.3 活動(dòng)目錄架構(gòu)主干
20.4 認(rèn)證和授權(quán)
20.4.1 公鑰體系（PKI）
20.4.2 商業(yè)功能網(wǎng)絡(luò)的認(rèn)證
20.4.3 授權(quán)
20.5 公共和私有接口處理
20.6 小結(jié)
附錄 資源
參考書 
Microsoft站點(diǎn)信息
其他Web站點(diǎn)
白皮書