Windows NT 4.0 Windows 2000安全管理指南

第1部分 系统安全概述
第1章 安全概念介绍
1.1 简介
1.2 采用分层方法实现网络安全
1.3 物理上的安全策略
1.3.1 安全的位置
1.3.2 使用可移动的介质
1.3.3 去掉不必要的硬件
1.4 拒绝服务
1.5 IT安全控制目标
1.5.1 机密性
1.5.2 完整性
1.5.3 可用性
1.6 登录时的法律声明
1.7 一个安全系统的各种指标
1.7.1 有选择的访问控制
1.7.2 审计能力
1.7.3 强制身份标识和鉴别
1.7.4 内存管理与对象重用
1.7.5 加密的数据传送
1.7.6 加密的文件系统
1.8 本章小结
第2章 NT 4.0安全结构概述
2.1 简介
2.2 Windows NT 4.0安全性的设计目标
2.3 NT 4.0安全结构的组成模块
2.3.1 图形标识和身份认证（GINA）DLL
2.3.2 受信任系统
2.3.3 对象
2.3.4 访问控制列表（ACL）
2.3.5 访问控制项（ACE）
2.3.6 系统标识符（SID）
2.3.7 本地安全授权（LSA）
2.3.8 访问令牌
2.3.9 安全性引用监视器（SRM）
2.3.10 安全性账号管理器（SAM）
2.3.11 文件和目录许可
2.3.12 强制登录处理
2.3.13 单一登录
2.3.14 安全支持提供者接口（SSPI）
2.4 域内和域间通信
2.4.1 身份认证的RPC和DCOM
2.4.2 NTLM身份认证
2.4.3 扮演
2.5 安全性实现概述
2.5.1 安装安全性时应关心的内容
2.5.2 登录和身份认证过程
2.5.3 Administrator账号
2.5.4 文件和目录安全性
2.5.5 Registry安全性
2.5.6 用户配置文件
2.5.7 系统策略
2.5.8 审计功能
2.6 新的安全管理工具
2.6.1 Microsoft Management Console
2.6.2 Security Configuration Manager for NT
2.7 Microsoft Proxy Server
第2部分 Windows NT 4.0安全性组件
第3章 文件和目录安全性
3.1 简介
3.2 磁盘分区
3.2.1 FAT
3.2.2 CDFS
3.2.3 共享许可
3.2.4 NTFS
3.3 文件和目录许可
3.3.1 文件许可
3.3.2 目录许可
3.3.3 查看文件和目录许可
3.3.4 设置文件和目录许可
3.3.5 “No Access”许可
3.4 实现文件和目录安全性
3.4.1 安全保护新的文件卷
3.4.2 目录结构
3.4.3 授予已有文件卷安全性
3.4.4 冲突的许可
3.4.5 NTFS权限和Administrator
3.4.6 默认的系统许可
3.4.7 获得文件和目录的拥有权
3.5 共享许可
3.5.1 同时使用NTFS和共享许可
3.5.2 默认的共享内容
3.5.3 应用共享许可
3.6 是NTFS安全性还是共享安全性
第4章 用户配置文件
4.1 简介
4.2 用户配置文件概述
4.2.1 什么是用户配置文件
4.2.2 用户配置文件的类型
4.2.3 用户配置文件的位置
4.2.4 创建一个适用于NT 4.0的用户配置文件
4.2.5 定义位置
4.2.6 创建一个网络共享
4.2.7 创建一个模板用户账号
4.2.8 创建一个基础配置文件
4.2.9 分发基础配置文件
4.2.10 用户设置
4.2.11 修正漫游型配置文件
4.2.12 形成强制性配置文件
4.3 配置文件许可
4.4 使用Regedt32修订配置文件
4.4.1 ntuser.xxx注册表许可的修改
4.5 默认的用户配置文件
4.6 Windows NT 3.5x配置文件升级
4.7 创建一个Windows 95的漫游型配置文件
4.7.1 客户端工作站设置
4.7.2 域用户设置
4.7.3 创建配置文件
4.7.4 形成Windows 95强制性配置文件
第5章 系统策略
5.1 简介
5.2 Policy Editor的安装
5.2.1 Windows NT Server
5.2.2 Windows NT Workstation
5.2.3 Windows 95
5.3 System Policy Editor的工作模式
5.3.1 Registry模式
5.3.2 File模式
5.3.3 Registry模式与File模式的比较
5.4 可用的设置值组
5.4.1 计算机设置值
5.4.2 用户设置值
5.5 Windows NT 4.0 Policy Editor的界面
5.5.1 类别
5.5.2 策略设置值
5.5.3 模板文件
5.5.4 策略文件
5.6 默认的计算机策略
5.6.1 Network
5.6.2 System
5.6.3 Windows NT Network
5.6.4 Windows NT Printers
5.6.5 Windows NT Remote Access
5.6.6 Windows NT Shell
5.6.7 Windows NT System
5.6.8 Windows NT User Profiles
5.7 单台计算机策略
5.8 默认的用户策略
5.8.1 Control Panel
5.8.2 Desktop
5.8.3 Shell
5.8.4 System Restrictions
5.8.5 Windows NT Shell
5.8.6 Windows NT System
5.9 单个用户和组策略
5.9.1 单个用户
5.9.2 组
5.9.3 组优先权
5.10 保留策略
5.10.1 自动更新模式
5.10.2 手工更新模式
5.11 策略实现原则
5.12 策略冲突解析
5.12.1 计算机策略冲突
5.12.2 用户策略冲突
5.12.3 冲突的危险性
5.13 策略模板文件
5.13.1 模板文件结构
5.13.2 构造自定义模板文件的提示
5.13.3 小结
第6章 密码学
6.1 什么是密码学
6.2 加密和解密
6.2.1 不对称（公共密钥）密码学
6.2.2 对称（共享密钥）密码学
6.2.3 共享密钥与公共密钥的比较
6.2.4 加密算法
6.2.5 单向函数
6.2.6 RC4
6.2.7 数据加密标准（DES）
6.2.8 RSA
6.3 身份认证
6.3.1 NT LAN Manager（NTLM）
6.3.2 分布式密码身份认证（DPA）
6.3.3 Kerberos v5
6.3.4 X.509标准
6.3.5 灵智卡（Smart Cards）
6.4 Windows 2000中的Kerberos
6.4.1 Kerberos与NTLM的比较
6.5 验证
6.5.1 散列函数
6.5.2 数字签名
6.5.3 数字信封
6.5.4 数字（公共密钥）证书
6.6 安全信道眼务（SCS）
6.6.1 安全套接字层（SSL）
6.6.2 私有通信技术（PCT）
第7章 Proxy Server
7.1 简介
7.2 服务概述
7.3 Proxy Server的优点
7.3.1 单个外部接触点
7.3.2 隐藏内部IP地址
7.3.3 包过滤
7.3.4 保护发布的数据
7.4 管理Proxy Server
7.5 许可
7.5.1 Web Proxy
7.5.2 Winsock Proxy
7.5.3 Socks Proxy
7.6 包过滤
7.6.1 启用包过滤器
7.6.2 添加一个预定义的例外规则
7.6.3 创建一个自定义的例外规则
7.6.4 编辑已有的例外规则
7.6.5 删除意外规则
7.6.6 重置默认值
7.7 域过滤器
7.7.1 准许访问：Web服务和Winsock服务
7.7.2 禁止访问：Web服务和Winsock服务
7.7.3 带Socks Proxy的域过滤器
7.8 警告
7.8.1 拒绝包
7.8.2 协议违反
7.8.3 磁盘满
7.8.4 关闭警告
7.8.5 配置电子邮件
7.9 服务日志
7.9.1 Windows NT事件日志
7.9.2 文本文件日志
7.9.3 数据库日志
7.10 包过滤器日志
7.10.1 文本文件日志
7.10.2 数据库日志
7.11 Proxy Server通用原则
第8章 注册表
8.1 简介
8.2 注册表结构
8.2.1 文件
8.2.2 句柄键
8.2.3 子键
8.2.4 值
8.3 注册表树许可
8.4 注册表编辑工具
8.4.1 regedit.exe
8.4.2 regdt32.exe
8.5 直接设置和查看注册表许可
8.6 审计一个注册表键的活动
8.7 获得一个注册表键的拥有权
8.8 与安全性有关的注册表设置值
8.8.1 登录时的合法提示
8.8.2 未授权用户的事件日志访问
8.8.3 禁用注册表编辑器
8.8.4 远程注册表编辑
8.8.5 防止安装打印驱动程序
8.8.6 密码限制
8.8.7 删除POSIX和OS／2子系统
8.8.8 限制对软盘和CD-ROM的访问
8.8.9 最近登录的用户名提示
8.9 NTuser.dat注册表文件
第9章 NT审计
9.1 简介
9.2 Windows NT审计基础知识
9.2.1 系统审计
9.2.2 应用程序审计
9.2.3 安全性审计
9.2.4 Windows NT安全性审计功能
9.3 审计策略设计
9.3.1 审计什么
9.3.2 审计谁
9.3.3 何时审计
9.3.4 何时清除审计日志
9.3.5 样本审计方案
9.4 事件查看器
9.4.1 限制Guest访问
9.4.2 检查注册表安全性
9.5 审计策略设置
9.5.1 事件日志设置值
9.5.2 事件日志分发
9.5.3 启用审计策略
9.6 查看事件数据
9.7 本章小结
第10章 Microsoft Management Console
10.1 简介
10.2 MMC窗格
10.3 控制台
10.4 创建你自己的控制台
10.4.1 Windows NT 4.0 SP4
10.4.2 Windows 2000
10.5 控制台布局设计
10.6 保存你的控制台
10.7 访问保存的控制台
10.8 控制台安全性设置
10.9 本章小结
第11章 用于NT 4.0的安全性配置管理器
11.1 简介
11.2 SCM的危险之处
11.3 安装和配置
11.4 SCM－NT功能概述
11.4.1 模板文件定义
11.4.2 安全性配置
11.4.3 安全性分析
11.4.4 安全性配置区域
11.5 SECEDIT命令行实用工具
11.6 未配置系统分析
11.7 比较分析结果
11.8 应用一个标准的安全性配置文件
11.9 保存新的配置
11.10 模板文件
11.10.1 自定义模板文件设置
11.10.2 创建一个空白模板
11.10.3 创建自定义模板
11.10.4 模板描述
11.11 已配置系统分析
11.12 安全性区域
11.12.1 静态定义
11.12.2 账号策略
11.12.3 本地策略
11.12.4 事件日志
11.12.5 动态定义
11.12.6 Restricted Groups
11.12.7 系统服务
11.12.8 注册表
11.12.9 文件系统
11.13 ACL Editor
11.13.1 子对象的保护
11.13.2 可继承的许可
11.13.3 高级属性
11.14 更新基线模板
11.15 本章小结
第3部分 Windows 2000安全特性介绍
第12章 Windows 2000概述
12.1 Windows 2000内部结构介绍
12.1.1 客户／眼务器技术的实情
12.1.2 客户／服务器进展
12.1.3 特性
12.2 Active Directory介绍
12.2.1 层次化的名字空间
12.2.2 对象组织
12.2.3 复制Active Directory
12.2.4 可扩展性
12.2.5 一种完整的目录解决方案
12.3 管理员账号使用过滥
第13章 Active Directory
13.1 什么是目录服务
13.1.1 目录术语
13.2 Windows 2000 Active Directory概述
13.2.1 集中管理
13.2.2 单个统一目录
13.3 域结构
13.3.1 组织单元（OU）
13.4 Active Directory结构
13.4.1 命名支持
13.4.2 分区
13.4.3 多主机复制
13.5 Active Directory安全性
13.5.1 管理
13.5.2 二级登录
13.5.3 信任的管理应用程序
13.5.4 管理权限和过程的授权
13.6 Windows 2000身份认证过程
13.6.1 本地身份认证
13.6.2 应用服务器身份认证
13.7 域和信任关系
13.7.1 继承
13.7.2 指定信任
13.8 目录系统的优点
13.8.1 对象组织
13.8.2 可扩展性
13.8.3 复制
13.8.4 组
13.8.5 访问控制的粒度
13.8.6 管理界面
13.9 本章小结
第14章 安全性配置工具集
14.1 简介
14.2 构造安全性管理控制台
14.2.1 保存控制台的优点
14.2.2 新控制台的创建
14.2.3 Security Configuration Server服务
14.2.4 Security Configuration Editor（SCE）
14.2.5 Security Configuration Manager（SCM）
14.2.6 组策略编辑器
14.3 安全性策略介绍
14.3.1 Security Configuration Editor（SCE）
14.3.2 预安装的安全性策略模板
14.3.3 Security Configuration Manager（SCM）
14.4 安全性实现样本：本地机器
14.4.1 构造一个新的模板
14.4.2 实现新模板
14.4.3 安全策略违反和分析
14.4.4 Group Policy Editor（GPE）
14.5 Security Configuration Manager：命令行
第15章 组策略
15.1 简介
15.1.1 组策略
15.1.2 组策略的优点
15.1.3 组策略的分类
15.2 使用组策略
15.2.1 用户和计算机设置值
15.2.2 安全性组
15.2.3 软件策略
15.2.4 软件管理
15.2.5 脚本描述
15.2.6 用户文件和文件夹
15.3 组策略与本地策略
15.3.1 组策略存储
15.4 向后兼容性
15.5 组策略管理需求
15.6 组策略迁移方式
15.7 组策略实现
15.8 本章小结
第16章 文件系统
16.1 分布式文件系统
16.2 在DFS中保证你的数据安全
16.2.1 装入平衡
16.2.2 分离文件系统
16.2.3 ACL
16.3 加密文件系统（EFS）结构
16.3.1 NTFS集成
16.3.2 低的管理开销
16.4 文件加密、解密和恢复机制
16.4.1 文件加密
16.4.2 访问加密的文件
16.4.3 文件解密
16.4.4 文件恢复
16.4.5 文件共享
16.5 加密和解密过程
16.5.1 实现文件和文件夹加密
16.5.2 实现文件和文件夹解密
16.5.3 复制加密的文件和文件夹
16.5.4 备份加密的文件和文件夹
16.5.5 还原加密的文件和文件夹
16.6 加密文件恢复过程
16.6.1 定义恢复代理
16.6.2 添加恢复代理
16.7 EFS的前景
附录A 系统策略文件清单
A.1 Common.adm
A.2 Winnt.adm
附录B Proxy Server日志信息
B.1 服务日志信息
B.1.1 面向服务器的字段
B.1.2 面向客户的字段
B.1.3 面向连接的字段
B.1.4 面向对象的字段
B.2 包过滤器日志信息
B.2.1 服务信息字段
B.2.2 远程信息字段
B.2.3 本地信息字段
B.2.4 过滤器信息字段
B.2.5 包信息字段
附录C 安全核对清单