WINDOWS SERVER 2003安全性權(quán)威指南

第Ⅰ部分  安全性基礎(chǔ)
第1章  信息安全原則    3
1.1  原則1：沒有什么比安全
的計(jì)算機(jī)更重要    3
1.2  經(jīng)典的安全原則：機(jī)密性、
完整性和記賬    4
1.2.1  機(jī)密性    4
1.2.2  完整性    6
1.2.3  記賬    6
1.3  推論：由經(jīng)典原則得出的原則    6
1.3.1  深度防御    7
1.3.2  心理可接受性    9
1.3.3  最小特權(quán)    9
1.3.4  實(shí)現(xiàn)安全策略    10
1.3.5  職責(zé)分離    10
1.3.6  完全調(diào)解    10
1.3.7  保持更新    11
1.3.8  使用開放式設(shè)計(jì)    11
1.3.9  減少受攻擊面    11
1.3.10  默認(rèn)的失效保護(hù)    11
1.3.11  信任與審核    12
1.3.12  為每個(gè)人提供訓(xùn)練和認(rèn)知    12
1.3.13  機(jī)制的節(jié)約和多樣性    12
第Ⅱ部分  服務(wù)器自身的安全
第2章  身份驗(yàn)證：身份的證明    15
2.1  登錄過程    16
2.1.1  登錄類型    17
2.1.2  交互式登錄過程    17
2.1.3  域和網(wǎng)絡(luò)身份驗(yàn)證    18
2.2  網(wǎng)絡(luò)身份驗(yàn)證過程    18
2.2.1  LM    20
2.2.2  Kerberos    27
2.2.3  配置Kerberos：Kerberos
策略    35
2.2.4  證書、智能卡、令牌和
生物技術(shù)驗(yàn)證    36
2.3  Windows時(shí)間服務(wù)    38
2.4  計(jì)算機(jī)賬戶和身份驗(yàn)證控制    39
2.4.1  計(jì)算機(jī)賬戶的創(chuàng)建和口令    39
2.4.2  計(jì)算機(jī)賬戶處理操作    40
2.5  匿名訪問    41
2.6  通過Group Policy進(jìn)行
身份驗(yàn)證管理    42
2.6.1  賬戶策略    42
2.6.2  口令策略    44
2.6.3  賬戶鎖定策略    45
2.6.4  用戶賬戶約束    47
2.6.5  本地賬戶策略和口令
重置磁盤    48
2.7  森林和跨森林身份驗(yàn)證    49
2.8  保護(hù)身份驗(yàn)證的最優(yōu)方法    50
2.9  小結(jié)    51
第3章  授權(quán)：限制系統(tǒng)訪問和控制
用戶行為    52
3.1  Windows安全體系和
授權(quán)過程    53
3.2  權(quán)利、特權(quán)和權(quán)限    56
3.2.1  隱含權(quán)利    56
3.2.2  登錄權(quán)利    56
3.2.3  添加和刪除預(yù)定義的
用戶權(quán)利    63
3.2.4  有關(guān)Lockdown的建議    64
3.2.5  分配用戶權(quán)利的最優(yōu)方法    67
3.3  使用對象權(quán)限控制訪問    68
3.3.1  權(quán)限的基礎(chǔ)    68
3.3.2  權(quán)限組合    70
3.3.3  分配對象權(quán)限的最優(yōu)方法    71
3.3.4  打印機(jī)權(quán)限和所有權(quán)    72
3.4  基于規(guī)則的和基于角色的訪
問控制系統(tǒng)    74
3.5  默認(rèn)的操作系統(tǒng)用戶角色    76
3.5.1  默認(rèn)用戶賬戶    77
3.5.2  系統(tǒng)用戶賬戶    77
3.5.3  組    77
3.5.4  組范圍    80
3.5.5  管理用戶和組    81
3.6  創(chuàng)建自定義角色    84
3.7  創(chuàng)建自定義組角色    85
3.8  訪問控制進(jìn)程    86
3.9  使用Security Options和Registry
Settings進(jìn)行授權(quán)    87
3.10  計(jì)算機(jī)角色    90
3.11  匿名訪問    90
3.11.1  安全責(zé)任人、授權(quán)和匿名
訪問    90
　3.11.2  對資源的匿名訪問    91
　3.11.3  知名的SID    92
3.12  使用Syskey保護(hù)賬戶
數(shù)據(jù)庫    98
3.13  小結(jié)    99
第4章  限制對軟件的訪問及限制
軟件對資源的訪問    100
4.1  Authorization Manager
Framework    101
4.1.1  Authorization Manager
的基礎(chǔ)    103
4.1.2  審核Authorization
Manager    115
4.1.3  Authorization Manager
管理    116
4.2  軟件限制策略    117
4.2.1  軟件限制策略的局限性    117
4.2.2  軟件限制策略的基礎(chǔ)    118
4.2.3  創(chuàng)建和使用軟件限制策略    120
4.2.4  軟件限制策略的故障診斷    131
4.2.5  軟件限制策略的最優(yōu)方法    132
4.3  使用Component Services保護(hù)
COM、COM+和 DCOM應(yīng)用
程序    133
4.4  小結(jié)    143
第5章  控制數(shù)據(jù)訪問    144
5.1  使用NTFS權(quán)限控制文件和
文件夾訪問    144
5.1.1  文件和文件夾權(quán)限    145
5.1.2  默認(rèn)權(quán)限    147
5.1.3  權(quán)限解釋    149
5.1.4  NTFS磁盤結(jié)構(gòu)    149
5.1.5  權(quán)限繼承    150
5.1.6  NTFS屬性和性能與安全    157
5.2  控制共享訪問    158
5.2.1  共享權(quán)限    159
5.2.2  文件和打印機(jī)共享模式    159
5.2.3  默認(rèn)的共享    160
5.2.4  簡單的文件和打印機(jī)共享：
Windows XP的新模型    162
5.2.5  創(chuàng)建共享    162
5.2.6  遠(yuǎn)程共享管理    164
5.2.7  文件和打印機(jī)共享的
最優(yōu)方法    164
5.3  使用WebDAV控制對Web
文件夾的訪問    165
5.3.1  啟用WebDAV    168
5.3.2  創(chuàng)建文件夾以共享并設(shè)置
NTFS權(quán)限    169
5.3.3  創(chuàng)建虛擬目錄    169
5.3.4  配置虛擬目錄的安全    169
5.3.5  客戶機(jī)配置    170
5.4  控制注冊表項(xiàng)的訪問    170
5.4.1  默認(rèn)的注冊表權(quán)限    171
5.4.2  應(yīng)用注冊表權(quán)限    172
5.5  實(shí)際的部署問題    173
5.5.1  遺留應(yīng)用程序權(quán)限問題    173
5.5.2  可選數(shù)據(jù)流    174
5.5.3  使用安全模板設(shè)置權(quán)限    177
5.5.4  恢復(fù)和容錯(cuò)    177
5.5.5  群集    178
5.5.6  DFS    178
5.5.7  有效的安全選項(xiàng)和用戶
權(quán)利管理    179
5.6  小結(jié)    181
第6章  EFS基礎(chǔ)    182
6.1  什么是EFS    182
6.2  不同Windows版本之間
實(shí)現(xiàn)的區(qū)別    183
6.3  基本操作    184
6.3.1  加密和解密    185
6.3.2  歸檔/備份證書和密鑰    187
6.3.3  導(dǎo)入證書和密鑰    190
6.3.4  移除私有密鑰    191
6.3.5  恢復(fù)文件    191
6.3.6  獲得加密密鑰    192
6.3.7  添加恢復(fù)代理    193
6.4  在加密文件上進(jìn)行一般操作
的效果    193
6.5  EFS體系結(jié)構(gòu)    195
6.5.1  文件系統(tǒng)操作    195
6.5.2  加密、解密和恢復(fù)算法    197
6.5.3  加密類型和強(qiáng)度    199
6.6  避免數(shù)據(jù)丟失：恢復(fù)計(jì)劃    199
6.6.1  單機(jī)系統(tǒng)和沒有CA的域
的恢復(fù)計(jì)劃    199
6.6.2  恢復(fù)策略和禁用EFS    200
6.6.3  恢復(fù)未恢復(fù)內(nèi)容的工具    202
6.7  特殊的操作和問題    203
6.7.1  改變加密算法    204
6.7.2  在Windows Explorer菜單
上放置Encrypt/Decrypt    204
6.7.3  備份加密文件    204
6.7.4  使用脫機(jī)文件    205
6.7.5  共享加密文件    205
6.7.6  密碼復(fù)位    207
6.7.7  在Windows Explorer中為加
密的文件和文件夾名添加
顏色    208
6.7.8  使用第三方的EFS證書    208
6.7.9  EFS和系統(tǒng)恢復(fù)    209
6.7.10  找出并查看證書    209
6.8  遠(yuǎn)程存儲(chǔ)    209
6.8.1  SMB共享    210
6.8.2  WebDAV    211
6.9  合理的企業(yè)策略    211
6.10  工具    212
　6.10.1  Cipher    212
　6.10.2  Esfinfo    214
6.11  故障診斷    214
6.12  小結(jié)    215
第Ⅲ部分  保護(hù)域服務(wù)的安全
第7章  Active Directory在域安全中
的角色    219
7.1  Active Directory和安全    220
7.2  Active Directory：組織、結(jié)構(gòu)
和功能    220
7.2.1  層次結(jié)構(gòu)    221
7.2.2  復(fù)制    223
7.2.3  Group Policy    224
7.2.4  管理授權(quán)的委托    228
7.2.5  對DNS的依賴性    228
7.3  Active Directory安裝：在
dcpromo期間的變化    229
7.4  使用Active Directory管理
計(jì)算機(jī)和用戶    233
7.4.1  默認(rèn)GPO的影響    233
7.4.2  創(chuàng)建和配置Active Directory
域中的用戶、組和計(jì)算機(jī)    235
7.4.3  管理委托：使用Delegation
of Control Wizard    242
7.4.4  理解Active Directory ACL    245
7.5  Group Policy工具    250
7.5.1  Group Policy編輯器    251
7.5.2  Group Policy 管理控制臺    258
7.6  管理Windows 2000 GPO
中的區(qū)別    273
7.7  Group Policy的最優(yōu)方法    273
7.8  小結(jié)    274
第8章  信任    275
8.1  Windows Server 2003信任
的新特性    276
8.2  信任類型    276
8.2.1  域間Kerberos信任    277
8.2.2  快捷信任    277
8.2.3  Windows NT 4.0信任    279
8.2.4  Windows 2000或Windows
Server 2003域的外部信任    279
8.2.5  非Windows Kerberos領(lǐng)域
信任    280
8.2.6  森林信任    280
8.3  信任關(guān)系    281
8.3.1  森林信任的優(yōu)點(diǎn)    281
8.3.2  森林和域功能級別    284
8.3.3  組作用域    290
8.3.4  組類型    291
8.3.5  企業(yè)組    291
8.3.6  全局目錄功能    291
8.4  外部信任創(chuàng)建過程    294
8.4.1  創(chuàng)建外部信任    296
8.4.2  創(chuàng)建Windows NT 4.0域的
外部信任    298
8.5  森林信任    302
8.5.1  Incoming和Outgoing
森林信任    302
8.5.2  跨森林身份驗(yàn)證和授權(quán)    303
8.5.3  創(chuàng)建森林信任    304
8.5.4  保護(hù)跨森林信任的森林
不受特權(quán)提升的攻擊    307
8.6  森林和多森林情況下
的組策略    308
8.6.1  多域森林和多森林中
使用GPMC    308
8.6.2  使用遷移表    309
8.7  突破安全邊界：終極森林
設(shè)計(jì)問題    311
8.7.1  SID過濾：捕捉SID欺騙    312
8.7.2  選擇性身份驗(yàn)證：信任
防火墻    313
8.8  信任的最佳實(shí)踐    313
8.9  小結(jié)    314
第9章  Group Policy故障診斷    315
9.1  確定是否已經(jīng)應(yīng)用了策略    317
9.1.1  使用GPMC    317
9.1.2  使用Resultant Set of Policy    319
9.1.3  使用GPResult    321
9.2  確定是否正確實(shí)現(xiàn)了
Group Policy 設(shè)計(jì)    322
9.3  網(wǎng)絡(luò)問題故障診斷    329
9.3.1  身份驗(yàn)證的故障診斷    329
9.3.2  基本網(wǎng)絡(luò)連接的故障診斷    329
9.3.3  DNS故障診斷    330
9.3.4  使用DCDIAG和NetDiag
查找DNS問題    334
9.3.5  使用Portqry    336
9.3.6  手動(dòng)檢查DNS記錄
查找問題    336
9.3.7  使用nslookup測試DNS    336
9.3.8  檢查事件查看器記錄    337
9.4  Active Directory和FRS復(fù)制的
故障診斷    337
9.4.1  信任關(guān)系問題    337
9.4.2  Active Directory復(fù)制問題    338
9.4.3  使用DNSLint測試復(fù)制    339
9.4.4  使用replmon.exe檢查
復(fù)制    340
9.4.5  使用Repadmin.exe檢查
復(fù)制伙伴之間的復(fù)制鏈接    341
9.4.6  使用GPOTool.exe、Event
Viewer和GPMC檢查丟失或
被破壞的文件    344
9.4.7  Verbose記錄    345
9.5  Group Policy對象設(shè)計(jì)的
故障診斷    351
9.6  監(jiān)控GPO最佳狀態(tài)    352
9.7  小結(jié)    354
第10章  保護(hù)Active Directory
安全    355
10.1  物理地保護(hù)域控制器    356
10.1.1  所有域控制器的
物理安全    356
10.1.2  分支機(jī)構(gòu)和小型辦公
室的物理安全    360
10.1.3  外聯(lián)網(wǎng)和周邊網(wǎng)絡(luò)的
物理安全    363
10.2  建立安全配置    364
　10.2.1  DC安全基線配置    364
　10.2.2  安全模板/域策略配置    365
　10.2.3  本地策略    369
　10.2.4  事件日志設(shè)置    374
　10.2.5  系統(tǒng)服務(wù)    375
　10.2.6  注冊表和文件系統(tǒng)    376
　10.2.7  額外的安全配置    378
10.3  建立安全管理實(shí)踐    378
　10.3.1  人事問題    378
　10.3.2  保護(hù)管理角色    379
10.3.3  保護(hù)應(yīng)用程序和用戶
訪問域控制器的安全    382
10.4  部署安全域控制器    382
　10.4.1  準(zhǔn)備    383
　10.4.2  自動(dòng)安裝域控制器    386
　10.4.3  保護(hù)復(fù)制安全    386
10.5  小結(jié)    387
第11章  保護(hù)基礎(chǔ)結(jié)構(gòu)角色的安全    388
11.1  安全模板    389
11.2  如何使用安全模板通過
角色保護(hù)計(jì)算機(jī)    390
11.2.1  創(chuàng)建并操作模板    392
11.2.2  創(chuàng)建基線模板保護(hù)
所有服務(wù)器    394
11.2.3  根據(jù)具體環(huán)境調(diào)整
樣本模板    395
11.2.4  使用遞增模板和其他技術(shù)
為基礎(chǔ)結(jié)構(gòu)服務(wù)器提供
安全性    405
11.2.5  保護(hù)其他角色的安全    412
11.3  應(yīng)用安全模板    413
11.3.1  使用Active Directory設(shè)計(jì)
保護(hù)計(jì)算機(jī)角色    413
11.3.2  使用安全配置和
分析工具    415
11.4  小結(jié)    418
第Ⅳ部分  公鑰基礎(chǔ)結(jié)構(gòu)(PKI)
第12章  PKI基礎(chǔ)    421
12.1  PKI入門    421
　12.1.1  公鑰加密過程    421
　12.1.2  PKI組件    424
12.2  Windows Server 2003的
PKI體系結(jié)構(gòu)    429
　12.2.1  證書存儲(chǔ)區(qū)    429
　12.2.2  證書模板    431
　12.2.3  執(zhí)行策略和策略文件    435
　12.2.4  證書頒發(fā)機(jī)構(gòu)(CA)    437
　12.2.5  CA層次    437
　12.2.6  證書吊銷列表(CRL)    440
　12.2.7  delta CRL    441
　12.2.8  CA角色    441
12.3  證書服務(wù)處理    444
12.4  小結(jié)    459
第13章  實(shí)現(xiàn)安全的PKI    460
13.1  安裝離線根CA    460
　13.1.1  服務(wù)器準(zhǔn)備工作    461
　13.1.2  創(chuàng)建capolicy.inf文件    462
　13.1.3  離線根CA安裝指南    463
13.1.4  單機(jī)根CA安裝之后
的配置    465
13.2  安裝和配置從屬CA    474
　13.2.1  安裝從屬CA    475
　13.2.2  在IIS上啟用ASP    475
13.3  使用定制模板為EFS
配置密鑰存檔    486
13.4  小結(jié)    490
第Ⅴ部分  保護(hù)虛擬網(wǎng)絡(luò)安全
第14章  保護(hù)遠(yuǎn)程訪問安全    493
14.1  保護(hù)傳統(tǒng)遠(yuǎn)程訪問門戶    493
14.1.1  Windows Server 2003 RRAS
和IAS的安全安裝
準(zhǔn)備    494
　14.1.2  安裝和配置RRAS    495
　14.1.3  安裝和配置IAS    503
14.1.4  配置客戶機(jī)使用
遠(yuǎn)程訪問    506
14.1.5  配置用戶賬戶遠(yuǎn)程
訪問屬性    506
　14.1.6  遠(yuǎn)程訪問連接過程    513
14.1.7  為RRAS和IAS配置
身份驗(yàn)證和審核    514
　14.1.8  VPN協(xié)議考慮事項(xiàng)    518
14.1.9  L2TP/IPSec、NAT
和NAT-T    519
14.1.10  VPN協(xié)議的防火墻
端口    520
　14.1.11  網(wǎng)絡(luò)訪問隔離控制    521
14.2  使用ISA保護(hù)無線訪問
安全    525
14.2.1  Native 802.11
安全特性    525
　14.2.2  WiFi保護(hù)訪問(WPA)    526
　14.2.3  使用VPN    526
　14.2.4  使用802.1x    527
　14.2.5  保護(hù)無線客戶機(jī)安全    532
14.3  保護(hù)基于Web服務(wù)器訪問
內(nèi)部資源的安全    534
　14.3.1  Web服務(wù)器安全基礎(chǔ)    534
　14.3.2  遠(yuǎn)程訪問考慮事項(xiàng)    538
14.4  小結(jié)    539
第15章  保護(hù)傳輸中的數(shù)據(jù)安全    540
15.1  使用SMB簽名    540
15.2  使用NTLM的會(huì)語安全    541
15.3  使用IPSec策略    541
15.3.1  Windows Server 2003
中的IPSec實(shí)現(xiàn)    542
　15.3.2  編寫IPSec策略    547
　15.3.3  特殊IPSec策略操作    558
　15.3.4  IPSec監(jiān)控和故障診斷    560
15.4  使用安全套接字層(SSL)    564
　15.4.1  SSL的工作原理    565
　15.4.2  在IIS中實(shí)現(xiàn)SSL    566
15.5  使用LDAP服務(wù)器簽名    570
15.6  小結(jié)    571
第Ⅵ部分  維護(hù)和恢復(fù)
第16章  維護(hù)策略和管理實(shí)踐    575
16.1  變更管理的維護(hù)策略    575
　16.1.1  安全策略維護(hù)    576
　16.1.2  更新安全性    578
16.2  補(bǔ)丁管理的維護(hù)策略    580
　16.2.1  補(bǔ)丁管理過程    580
　16.2.2  打補(bǔ)丁的過程    583
16.3  管理實(shí)踐    598
　16.3.1  采用安全管理實(shí)踐    599
　16.3.2  保護(hù)管理過程    600
　16.3.3  保護(hù)管理賬戶    601
　16.3.4  強(qiáng)化遠(yuǎn)程管理工具    601
16.4  小結(jié)    614
第17章  數(shù)據(jù)備份和恢復(fù)基礎(chǔ)    615
17.1  備份策略、標(biāo)準(zhǔn)和過程    616
17.1.1  Active Directory特有的
備份基礎(chǔ)知識    617
17.1.2  備份是業(yè)務(wù)持續(xù)性計(jì)劃
的一部分    617
17.2  如何使用Ntbackup    618
　17.2.1  備份文件和文件夾    618
　17.2.2  系統(tǒng)狀態(tài)備份    622
17.2.3  備份默認(rèn)設(shè)置和配置
選項(xiàng)    624
　17.2.4  命令行備份    625
　17.2.5  恢復(fù)文件和文件夾    626
　17.2.6  恢復(fù)系統(tǒng)狀態(tài)備份    628
17.3  自動(dòng)系統(tǒng)恢復(fù)    628
17.4  卷影像復(fù)制服務(wù)    629
　17.4.1  創(chuàng)建影像復(fù)制卷    630
　17.4.2  從影像副本進(jìn)行恢復(fù)    633
　17.4.3  命令行影像復(fù)制管理    633
17.5  各種備份工具    634
17.6  從刪除對象的存儲(chǔ)區(qū)中使
用戶復(fù)活    637
17.7  Active Directory恢復(fù)    638
　17.7.1  標(biāo)準(zhǔn)恢復(fù)    639
　17.7.2  授權(quán)恢復(fù)    639
17.8  IIS備份過程    643
17.9  證書頒發(fā)機(jī)構(gòu)(CA)備份    644
17.10  小結(jié)    645
第Ⅶ部分  監(jiān)控和審核
第18章  審核    649
18.1  為森林建立Windows Server
2003審核策略    650
18.2  審核單機(jī)Windows Server
2003計(jì)算機(jī)    665
18.3  審核服務(wù)器應(yīng)用程序
和服務(wù)    666
　18.3.1  網(wǎng)絡(luò)服務(wù)審核    666
　18.3.2  IPSec審核    668
　18.3.3  證書頒發(fā)機(jī)構(gòu)(CA)審核    668
　18.3.4  VPN審核    669
　18.3.5  授權(quán)管理器審核    671
　18.3.6  Net Logon調(diào)試日志    671
18.4  審核安全控制：策略一致性、
漏洞評估和滲透測試    672
18.4.1  使用安全配置和分析
工具來審核安全配置    673
18.4.2  審核特定計(jì)算機(jī)和用戶
的安全配置    674
　18.4.3  掃描已知的漏洞    676
　18.4.4  滲透測試    679
18.5  審核物理安全性    680
18.6  審核策略、標(biāo)準(zhǔn)和過程    680
18.7  檢查安全意識    680
18.8  審核外來人員：其他人對
公司的信息安全的影響    681
18.9  小結(jié)    681
第19章  監(jiān)控和評估    682
19.1  建立基準(zhǔn)    682
19.2  監(jiān)控基本的服務(wù)    684
　19.2.1  監(jiān)控DNS和網(wǎng)絡(luò)連接    684
　19.2.2  監(jiān)控DHCP    687
　19.2.3  監(jiān)控PKI    688
　19.2.4  監(jiān)控路由和遠(yuǎn)程訪問    689
　19.2.5  監(jiān)控共享    691
　19.2.6  監(jiān)控所有活動(dòng)的服務(wù)    692
19.3  監(jiān)控活動(dòng)目錄和組策略    692
19.3.1  使用dcdiag來獲得一個(gè)
全面的狀況報(bào)告    693
19.3.2  監(jiān)控Active Directory
復(fù)制    696
　19.3.3  監(jiān)控FRS復(fù)制    701
　19.3.4  監(jiān)控Group Policy操作    705
　19.3.5  使用性能監(jiān)控    707
19.4  監(jiān)控事件日志    711
　19.4.1  使用EventCombMT    711
　19.4.2  使用Lockoutstatus    712
19.5  事件響應(yīng)介紹    713
19.6  小結(jié)    714