WINDOWS SERVER 2003安全性权威指南

第Ⅰ部分  安全性基础
第1章  信息安全原则    3
1.1  原则1：没有什么比安全
的计算机更重要    3
1.2  经典的安全原则：机密性、
完整性和记账    4
1.2.1  机密性    4
1.2.2  完整性    6
1.2.3  记账    6
1.3  推论：由经典原则得出的原则    6
1.3.1  深度防御    7
1.3.2  心理可接受性    9
1.3.3  最小特权    9
1.3.4  实现安全策略    10
1.3.5  职责分离    10
1.3.6  完全调解    10
1.3.7  保持更新    11
1.3.8  使用开放式设计    11
1.3.9  减少受攻击面    11
1.3.10  默认的失效保护    11
1.3.11  信任与审核    12
1.3.12  为每个人提供训练和认知    12
1.3.13  机制的节约和多样性    12
第Ⅱ部分  服务器自身的安全
第2章  身份验证：身份的证明    15
2.1  登录过程    16
2.1.1  登录类型    17
2.1.2  交互式登录过程    17
2.1.3  域和网络身份验证    18
2.2  网络身份验证过程    18
2.2.1  LM    20
2.2.2  Kerberos    27
2.2.3  配置Kerberos：Kerberos
策略    35
2.2.4  证书、智能卡、令牌和
生物技术验证    36
2.3  Windows时间服务    38
2.4  计算机账户和身份验证控制    39
2.4.1  计算机账户的创建和口令    39
2.4.2  计算机账户处理操作    40
2.5  匿名访问    41
2.6  通过Group Policy进行
身份验证管理    42
2.6.1  账户策略    42
2.6.2  口令策略    44
2.6.3  账户锁定策略    45
2.6.4  用户账户约束    47
2.6.5  本地账户策略和口令
重置磁盘    48
2.7  森林和跨森林身份验证    49
2.8  保护身份验证的最优方法    50
2.9  小结    51
第3章  授权：限制系统访问和控制
用户行为    52
3.1  Windows安全体系和
授权过程    53
3.2  权利、特权和权限    56
3.2.1  隐含权利    56
3.2.2  登录权利    56
3.2.3  添加和删除预定义的
用户权利    63
3.2.4  有关Lockdown的建议    64
3.2.5  分配用户权利的最优方法    67
3.3  使用对象权限控制访问    68
3.3.1  权限的基础    68
3.3.2  权限组合    70
3.3.3  分配对象权限的最优方法    71
3.3.4  打印机权限和所有权    72
3.4  基于规则的和基于角色的访
问控制系统    74
3.5  默认的操作系统用户角色    76
3.5.1  默认用户账户    77
3.5.2  系统用户账户    77
3.5.3  组    77
3.5.4  组范围    80
3.5.5  管理用户和组    81
3.6  创建自定义角色    84
3.7  创建自定义组角色    85
3.8  访问控制进程    86
3.9  使用Security Options和Registry
Settings进行授权    87
3.10  计算机角色    90
3.11  匿名访问    90
3.11.1  安全责任人、授权和匿名
访问    90
　3.11.2  对资源的匿名访问    91
　3.11.3  知名的SID    92
3.12  使用Syskey保护账户
数据库    98
3.13  小结    99
第4章  限制对软件的访问及限制
软件对资源的访问    100
4.1  Authorization Manager
Framework    101
4.1.1  Authorization Manager
的基础    103
4.1.2  审核Authorization
Manager    115
4.1.3  Authorization Manager
管理    116
4.2  软件限制策略    117
4.2.1  软件限制策略的局限性    117
4.2.2  软件限制策略的基础    118
4.2.3  创建和使用软件限制策略    120
4.2.4  软件限制策略的故障诊断    131
4.2.5  软件限制策略的最优方法    132
4.3  使用Component Services保护
COM、COM+和 DCOM应用
程序    133
4.4  小结    143
第5章  控制数据访问    144
5.1  使用NTFS权限控制文件和
文件夹访问    144
5.1.1  文件和文件夹权限    145
5.1.2  默认权限    147
5.1.3  权限解释    149
5.1.4  NTFS磁盘结构    149
5.1.5  权限继承    150
5.1.6  NTFS属性和性能与安全    157
5.2  控制共享访问    158
5.2.1  共享权限    159
5.2.2  文件和打印机共享模式    159
5.2.3  默认的共享    160
5.2.4  简单的文件和打印机共享：
Windows XP的新模型    162
5.2.5  创建共享    162
5.2.6  远程共享管理    164
5.2.7  文件和打印机共享的
最优方法    164
5.3  使用WebDAV控制对Web
文件夹的访问    165
5.3.1  启用WebDAV    168
5.3.2  创建文件夹以共享并设置
NTFS权限    169
5.3.3  创建虚拟目录    169
5.3.4  配置虚拟目录的安全    169
5.3.5  客户机配置    170
5.4  控制注册表项的访问    170
5.4.1  默认的注册表权限    171
5.4.2  应用注册表权限    172
5.5  实际的部署问题    173
5.5.1  遗留应用程序权限问题    173
5.5.2  可选数据流    174
5.5.3  使用安全模板设置权限    177
5.5.4  恢复和容错    177
5.5.5  群集    178
5.5.6  DFS    178
5.5.7  有效的安全选项和用户
权利管理    179
5.6  小结    181
第6章  EFS基础    182
6.1  什么是EFS    182
6.2  不同Windows版本之间
实现的区别    183
6.3  基本操作    184
6.3.1  加密和解密    185
6.3.2  归档/备份证书和密钥    187
6.3.3  导入证书和密钥    190
6.3.4  移除私有密钥    191
6.3.5  恢复文件    191
6.3.6  获得加密密钥    192
6.3.7  添加恢复代理    193
6.4  在加密文件上进行一般操作
的效果    193
6.5  EFS体系结构    195
6.5.1  文件系统操作    195
6.5.2  加密、解密和恢复算法    197
6.5.3  加密类型和强度    199
6.6  避免数据丢失：恢复计划    199
6.6.1  单机系统和没有CA的域
的恢复计划    199
6.6.2  恢复策略和禁用EFS    200
6.6.3  恢复未恢复内容的工具    202
6.7  特殊的操作和问题    203
6.7.1  改变加密算法    204
6.7.2  在Windows Explorer菜单
上放置Encrypt/Decrypt    204
6.7.3  备份加密文件    204
6.7.4  使用脱机文件    205
6.7.5  共享加密文件    205
6.7.6  密码复位    207
6.7.7  在Windows Explorer中为加
密的文件和文件夹名添加
颜色    208
6.7.8  使用第三方的EFS证书    208
6.7.9  EFS和系统恢复    209
6.7.10  找出并查看证书    209
6.8  远程存储    209
6.8.1  SMB共享    210
6.8.2  WebDAV    211
6.9  合理的企业策略    211
6.10  工具    212
　6.10.1  Cipher    212
　6.10.2  Esfinfo    214
6.11  故障诊断    214
6.12  小结    215
第Ⅲ部分  保护域服务的安全
第7章  Active Directory在域安全中
的角色    219
7.1  Active Directory和安全    220
7.2  Active Directory：组织、结构
和功能    220
7.2.1  层次结构    221
7.2.2  复制    223
7.2.3  Group Policy    224
7.2.4  管理授权的委托    228
7.2.5  对DNS的依赖性    228
7.3  Active Directory安装：在
dcpromo期间的变化    229
7.4  使用Active Directory管理
计算机和用户    233
7.4.1  默认GPO的影响    233
7.4.2  创建和配置Active Directory
域中的用户、组和计算机    235
7.4.3  管理委托：使用Delegation
of Control Wizard    242
7.4.4  理解Active Directory ACL    245
7.5  Group Policy工具    250
7.5.1  Group Policy编辑器    251
7.5.2  Group Policy 管理控制台    258
7.6  管理Windows 2000 GPO
中的区别    273
7.7  Group Policy的最优方法    273
7.8  小结    274
第8章  信任    275
8.1  Windows Server 2003信任
的新特性    276
8.2  信任类型    276
8.2.1  域间Kerberos信任    277
8.2.2  快捷信任    277
8.2.3  Windows NT 4.0信任    279
8.2.4  Windows 2000或Windows
Server 2003域的外部信任    279
8.2.5  非Windows Kerberos领域
信任    280
8.2.6  森林信任    280
8.3  信任关系    281
8.3.1  森林信任的优点    281
8.3.2  森林和域功能级别    284
8.3.3  组作用域    290
8.3.4  组类型    291
8.3.5  企业组    291
8.3.6  全局目录功能    291
8.4  外部信任创建过程    294
8.4.1  创建外部信任    296
8.4.2  创建Windows NT 4.0域的
外部信任    298
8.5  森林信任    302
8.5.1  Incoming和Outgoing
森林信任    302
8.5.2  跨森林身份验证和授权    303
8.5.3  创建森林信任    304
8.5.4  保护跨森林信任的森林
不受特权提升的攻击    307
8.6  森林和多森林情况下
的组策略    308
8.6.1  多域森林和多森林中
使用GPMC    308
8.6.2  使用迁移表    309
8.7  突破安全边界：终极森林
设计问题    311
8.7.1  SID过滤：捕捉SID欺骗    312
8.7.2  选择性身份验证：信任
防火墙    313
8.8  信任的最佳实践    313
8.9  小结    314
第9章  Group Policy故障诊断    315
9.1  确定是否已经应用了策略    317
9.1.1  使用GPMC    317
9.1.2  使用Resultant Set of Policy    319
9.1.3  使用GPResult    321
9.2  确定是否正确实现了
Group Policy 设计    322
9.3  网络问题故障诊断    329
9.3.1  身份验证的故障诊断    329
9.3.2  基本网络连接的故障诊断    329
9.3.3  DNS故障诊断    330
9.3.4  使用DCDIAG和NetDiag
查找DNS问题    334
9.3.5  使用Portqry    336
9.3.6  手动检查DNS记录
查找问题    336
9.3.7  使用nslookup测试DNS    336
9.3.8  检查事件查看器记录    337
9.4  Active Directory和FRS复制的
故障诊断    337
9.4.1  信任关系问题    337
9.4.2  Active Directory复制问题    338
9.4.3  使用DNSLint测试复制    339
9.4.4  使用replmon.exe检查
复制    340
9.4.5  使用Repadmin.exe检查
复制伙伴之间的复制链接    341
9.4.6  使用GPOTool.exe、Event
Viewer和GPMC检查丢失或
被破坏的文件    344
9.4.7  Verbose记录    345
9.5  Group Policy对象设计的
故障诊断    351
9.6  监控GPO最佳状态    352
9.7  小结    354
第10章  保护Active Directory
安全    355
10.1  物理地保护域控制器    356
10.1.1  所有域控制器的
物理安全    356
10.1.2  分支机构和小型办公
室的物理安全    360
10.1.3  外联网和周边网络的
物理安全    363
10.2  建立安全配置    364
　10.2.1  DC安全基线配置    364
　10.2.2  安全模板/域策略配置    365
　10.2.3  本地策略    369
　10.2.4  事件日志设置    374
　10.2.5  系统服务    375
　10.2.6  注册表和文件系统    376
　10.2.7  额外的安全配置    378
10.3  建立安全管理实践    378
　10.3.1  人事问题    378
　10.3.2  保护管理角色    379
10.3.3  保护应用程序和用户
访问域控制器的安全    382
10.4  部署安全域控制器    382
　10.4.1  准备    383
　10.4.2  自动安装域控制器    386
　10.4.3  保护复制安全    386
10.5  小结    387
第11章  保护基础结构角色的安全    388
11.1  安全模板    389
11.2  如何使用安全模板通过
角色保护计算机    390
11.2.1  创建并操作模板    392
11.2.2  创建基线模板保护
所有服务器    394
11.2.3  根据具体环境调整
样本模板    395
11.2.4  使用递增模板和其他技术
为基础结构服务器提供
安全性    405
11.2.5  保护其他角色的安全    412
11.3  应用安全模板    413
11.3.1  使用Active Directory设计
保护计算机角色    413
11.3.2  使用安全配置和
分析工具    415
11.4  小结    418
第Ⅳ部分  公钥基础结构(PKI)
第12章  PKI基础    421
12.1  PKI入门    421
　12.1.1  公钥加密过程    421
　12.1.2  PKI组件    424
12.2  Windows Server 2003的
PKI体系结构    429
　12.2.1  证书存储区    429
　12.2.2  证书模板    431
　12.2.3  执行策略和策略文件    435
　12.2.4  证书颁发机构(CA)    437
　12.2.5  CA层次    437
　12.2.6  证书吊销列表(CRL)    440
　12.2.7  delta CRL    441
　12.2.8  CA角色    441
12.3  证书服务处理    444
12.4  小结    459
第13章  实现安全的PKI    460
13.1  安装离线根CA    460
　13.1.1  服务器准备工作    461
　13.1.2  创建capolicy.inf文件    462
　13.1.3  离线根CA安装指南    463
13.1.4  单机根CA安装之后
的配置    465
13.2  安装和配置从属CA    474
　13.2.1  安装从属CA    475
　13.2.2  在IIS上启用ASP    475
13.3  使用定制模板为EFS
配置密钥存档    486
13.4  小结    490
第Ⅴ部分  保护虚拟网络安全
第14章  保护远程访问安全    493
14.1  保护传统远程访问门户    493
14.1.1  Windows Server 2003 RRAS
和IAS的安全安装
准备    494
　14.1.2  安装和配置RRAS    495
　14.1.3  安装和配置IAS    503
14.1.4  配置客户机使用
远程访问    506
14.1.5  配置用户账户远程
访问属性    506
　14.1.6  远程访问连接过程    513
14.1.7  为RRAS和IAS配置
身份验证和审核    514
　14.1.8  VPN协议考虑事项    518
14.1.9  L2TP/IPSec、NAT
和NAT-T    519
14.1.10  VPN协议的防火墙
端口    520
　14.1.11  网络访问隔离控制    521
14.2  使用ISA保护无线访问
安全    525
14.2.1  Native 802.11
安全特性    525
　14.2.2  WiFi保护访问(WPA)    526
　14.2.3  使用VPN    526
　14.2.4  使用802.1x    527
　14.2.5  保护无线客户机安全    532
14.3  保护基于Web服务器访问
内部资源的安全    534
　14.3.1  Web服务器安全基础    534
　14.3.2  远程访问考虑事项    538
14.4  小结    539
第15章  保护传输中的数据安全    540
15.1  使用SMB签名    540
15.2  使用NTLM的会语安全    541
15.3  使用IPSec策略    541
15.3.1  Windows Server 2003
中的IPSec实现    542
　15.3.2  编写IPSec策略    547
　15.3.3  特殊IPSec策略操作    558
　15.3.4  IPSec监控和故障诊断    560
15.4  使用安全套接字层(SSL)    564
　15.4.1  SSL的工作原理    565
　15.4.2  在IIS中实现SSL    566
15.5  使用LDAP服务器签名    570
15.6  小结    571
第Ⅵ部分  维护和恢复
第16章  维护策略和管理实践    575
16.1  变更管理的维护策略    575
　16.1.1  安全策略维护    576
　16.1.2  更新安全性    578
16.2  补丁管理的维护策略    580
　16.2.1  补丁管理过程    580
　16.2.2  打补丁的过程    583
16.3  管理实践    598
　16.3.1  采用安全管理实践    599
　16.3.2  保护管理过程    600
　16.3.3  保护管理账户    601
　16.3.4  强化远程管理工具    601
16.4  小结    614
第17章  数据备份和恢复基础    615
17.1  备份策略、标准和过程    616
17.1.1  Active Directory特有的
备份基础知识    617
17.1.2  备份是业务持续性计划
的一部分    617
17.2  如何使用Ntbackup    618
　17.2.1  备份文件和文件夹    618
　17.2.2  系统状态备份    622
17.2.3  备份默认设置和配置
选项    624
　17.2.4  命令行备份    625
　17.2.5  恢复文件和文件夹    626
　17.2.6  恢复系统状态备份    628
17.3  自动系统恢复    628
17.4  卷影像复制服务    629
　17.4.1  创建影像复制卷    630
　17.4.2  从影像副本进行恢复    633
　17.4.3  命令行影像复制管理    633
17.5  各种备份工具    634
17.6  从删除对象的存储区中使
用户复活    637
17.7  Active Directory恢复    638
　17.7.1  标准恢复    639
　17.7.2  授权恢复    639
17.8  IIS备份过程    643
17.9  证书颁发机构(CA)备份    644
17.10  小结    645
第Ⅶ部分  监控和审核
第18章  审核    649
18.1  为森林建立Windows Server
2003审核策略    650
18.2  审核单机Windows Server
2003计算机    665
18.3  审核服务器应用程序
和服务    666
　18.3.1  网络服务审核    666
　18.3.2  IPSec审核    668
　18.3.3  证书颁发机构(CA)审核    668
　18.3.4  VPN审核    669
　18.3.5  授权管理器审核    671
　18.3.6  Net Logon调试日志    671
18.4  审核安全控制：策略一致性、
漏洞评估和渗透测试    672
18.4.1  使用安全配置和分析
工具来审核安全配置    673
18.4.2  审核特定计算机和用户
的安全配置    674
　18.4.3  扫描已知的漏洞    676
　18.4.4  渗透测试    679
18.5  审核物理安全性    680
18.6  审核策略、标准和过程    680
18.7  检查安全意识    680
18.8  审核外来人员：其他人对
公司的信息安全的影响    681
18.9  小结    681
第19章  监控和评估    682
19.1  建立基准    682
19.2  监控基本的服务    684
　19.2.1  监控DNS和网络连接    684
　19.2.2  监控DHCP    687
　19.2.3  监控PKI    688
　19.2.4  监控路由和远程访问    689
　19.2.5  监控共享    691
　19.2.6  监控所有活动的服务    692
19.3  监控活动目录和组策略    692
19.3.1  使用dcdiag来获得一个
全面的状况报告    693
19.3.2  监控Active Directory
复制    696
　19.3.3  监控FRS复制    701
　19.3.4  监控Group Policy操作    705
　19.3.5  使用性能监控    707
19.4  监控事件日志    711
　19.4.1  使用EventCombMT    711
　19.4.2  使用Lockoutstatus    712
19.5  事件响应介绍    713
19.6  小结    714