WINDOWS SERVER 2003安全性权威指南

第Ⅰ部分 安全性基础

第1章 信息安全原则 3

1.1 原则1：没有什么比安全

的计算机更重要 3

1.2 经典的安全原则：机密性、

完整性和记账 4

1.2.1 机密性 4

1.2.2 完整性 6

1.2.3 记账 6

1.3 推论：由经典原则得出的原则 6

1.3.1 深度防御 7

1.3.2 心理可接受性 9

1.3.3 最小特权 9

1.3.4 实现安全策略 10

1.3.5 职责分离 10

1.3.6 完全调解 10

1.3.7 保持更新 11

1.3.8 使用开放式设计 11

1.3.9 减少受攻击面 11

1.3.10 默认的失效保护 11

1.3.11 信任与审核 12

1.3.12 为每个人提供训练和认知 12

1.3.13 机制的节约和多样性 12

第Ⅱ部分 服务器自身的安全

第2章 身份验证：身份的证明 15

2.1 登录过程 16

2.1.1 登录类型 17

2.1.2 交互式登录过程 17

2.1.3 域和网络身份验证 18

2.2 网络身份验证过程 18

2.2.1 LM 20

2.2.2 Kerberos 27

2.2.3 配置Kerberos：Kerberos

策略 35

2.2.4 证书、智能卡、令牌和

生物技术验证 36

2.3 Windows时间服务 38

2.4 计算机账户和身份验证控制 39

2.4.1 计算机账户的创建和口令 39

2.4.2 计算机账户处理操作 40

2.5 匿名访问 41

2.6 通过Group Policy进行

身份验证管理 42

2.6.1 账户策略 42

2.6.2 口令策略 44

2.6.3 账户锁定策略 45

2.6.4 用户账户约束 47

2.6.5 本地账户策略和口令

重置磁盘 48

2.7 森林和跨森林身份验证 49

2.8 保护身份验证的最优方法 50

2.9 小结 51

第3章 授权：限制系统访问和控制

用户行为 52

3.1 Windows安全体系和

授权过程 53

3.2 权利、特权和权限 56

3.2.1 隐含权利 56

3.2.2 登录权利 56

3.2.3 添加和删除预定义的

用户权利 63

3.2.4 有关Lockdown的建议 64

3.2.5 分配用户权利的最优方法 67

3.3 使用对象权限控制访问 68

3.3.1 权限的基础 68

3.3.2 权限组合 70

3.3.3 分配对象权限的最优方法 71

3.3.4 打印机权限和所有权 72

3.4 基于规则的和基于角色的访

问控制系统 74

3.5 默认的操作系统用户角色 76

3.5.1 默认用户账户 77

3.5.2 系统用户账户 77

3.5.3 组 77

3.5.4 组范围 80

3.5.5 管理用户和组 81

3.6 创建自定义角色 84

3.7 创建自定义组角色 85

3.8 访问控制进程 86

3.9 使用Security Options和Registry

Settings进行授权 87

3.10 计算机角色 90

3.11 匿名访问 90

3.11.1 安全责任人、授权和匿名

访问 90

　3.11.2 对资源的匿名访问 91

　3.11.3 知名的SID 92

3.12 使用Syskey保护账户

数据库 98

3.13 小结 99

第4章 限制对软件的访问及限制

软件对资源的访问 100

4.1 Authorization Manager

Framework 101

4.1.1 Authorization Manager

的基础 103

4.1.2 审核Authorization

Manager 115

4.1.3 Authorization Manager

管理 116

4.2 软件限制策略 117

4.2.1 软件限制策略的局限性 117

4.2.2 软件限制策略的基础 118

4.2.3 创建和使用软件限制策略 120

4.2.4 软件限制策略的故障诊断 131

4.2.5 软件限制策略的最优方法 132

4.3 使用Component Services保护

COM、COM+和 DCOM应用

程序 133

4.4 小结 143

第5章 控制数据访问 144

5.1 使用NTFS权限控制文件和

文件夹访问 144

5.1.1 文件和文件夹权限 145

5.1.2 默认权限 147

5.1.3 权限解释 149

5.1.4 NTFS磁盘结构 149

5.1.5 权限继承 150

5.1.6 NTFS属性和性能与安全 157

5.2 控制共享访问 158

5.2.1 共享权限 159

5.2.2 文件和打印机共享模式 159

5.2.3 默认的共享 160

5.2.4 简单的文件和打印机共享：

Windows XP的新模型 162

5.2.5 创建共享 162

5.2.6 远程共享管理 164

5.2.7 文件和打印机共享的

最优方法 164

5.3 使用WebDAV控制对Web

文件夹的访问 165

5.3.1 启用WebDAV 168

5.3.2 创建文件夹以共享并设置

NTFS权限 169

5.3.3 创建虚拟目录 169

5.3.4 配置虚拟目录的安全 169

5.3.5 客户机配置 170

5.4 控制注册表项的访问 170

5.4.1 默认的注册表权限 171

5.4.2 应用注册表权限 172

5.5 实际的部署问题 173

5.5.1 遗留应用程序权限问题 173

5.5.2 可选数据流 174

5.5.3 使用安全模板设置权限 177

5.5.4 恢复和容错 177

5.5.5 群集 178

5.5.6 DFS 178

5.5.7 有效的安全选项和用户

权利管理 179

5.6 小结 181

第6章 EFS基础 182

6.1 什么是EFS 182

6.2 不同Windows版本之间

实现的区别 183

6.3 基本操作 184

6.3.1 加密和解密 185

6.3.2 归档/备份证书和密钥 187

6.3.3 导入证书和密钥 190

6.3.4 移除私有密钥 191

6.3.5 恢复文件 191

6.3.6 获得加密密钥 192

6.3.7 添加恢复代理 193

6.4 在加密文件上进行一般操作

的效果 193

6.5 EFS体系结构 195

6.5.1 文件系统操作 195

6.5.2 加密、解密和恢复算法 197

6.5.3 加密类型和强度 199

6.6 避免数据丢失：恢复计划 199

6.6.1 单机系统和没有CA的域

的恢复计划 199

6.6.2 恢复策略和禁用EFS 200

6.6.3 恢复未恢复内容的工具 202

6.7 特殊的操作和问题 203

6.7.1 改变加密算法 204

6.7.2 在Windows Explorer菜单

上放置Encrypt/Decrypt 204

6.7.3 备份加密文件 204

6.7.4 使用脱机文件 205

6.7.5 共享加密文件 205

6.7.6 密码复位 207

6.7.7 在Windows Explorer中为加

密的文件和文件夹名添加

颜色 208

6.7.8 使用第三方的EFS证书 208

6.7.9 EFS和系统恢复 209

6.7.10 找出并查看证书 209

6.8 远程存储 209

6.8.1 SMB共享 210

6.8.2 WebDAV 211

6.9 合理的企业策略 211

6.10 工具 212

　6.10.1 Cipher 212

　6.10.2 Esfinfo 214

6.11 故障诊断 214

6.12 小结 215

第Ⅲ部分 保护域服务的安全

第7章 Active Directory在域安全中

的角色 219

7.1 Active Directory和安全 220

7.2 Active Directory：组织、结构

和功能 220

7.2.1 层次结构 221

7.2.2 复制 223

7.2.3 Group Policy 224

7.2.4 管理授权的委托 228

7.2.5 对DNS的依赖性 228

7.3 Active Directory安装：在

dcpromo期间的变化 229

7.4 使用Active Directory管理

计算机和用户 233

7.4.1 默认GPO的影响 233

7.4.2 创建和配置Active Directory

域中的用户、组和计算机 235

7.4.3 管理委托：使用Delegation

of Control Wizard 242

7.4.4 理解Active Directory ACL 245

7.5 Group Policy工具 250

7.5.1 Group Policy编辑器 251

7.5.2 Group Policy 管理控制台 258

7.6 管理Windows 2000 GPO

中的区别 273

7.7 Group Policy的最优方法 273

7.8 小结 274

第8章 信任 275

8.1 Windows Server 2003信任

的新特性 276

8.2 信任类型 276

8.2.1 域间Kerberos信任 277

8.2.2 快捷信任 277

8.2.3 Windows NT 4.0信任 279

8.2.4 Windows 2000或Windows

Server 2003域的外部信任 279

8.2.5 非Windows Kerberos领域

信任 280

8.2.6 森林信任 280

8.3 信任关系 281

8.3.1 森林信任的优点 281

8.3.2 森林和域功能级别 284

8.3.3 组作用域 290

8.3.4 组类型 291

8.3.5 企业组 291

8.3.6 全局目录功能 291

8.4 外部信任创建过程 294

8.4.1 创建外部信任 296

8.4.2 创建Windows NT 4.0域的

外部信任 298

8.5 森林信任 302

8.5.1 Incoming和Outgoing

森林信任 302

8.5.2 跨森林身份验证和授权 303

8.5.3 创建森林信任 304

8.5.4 保护跨森林信任的森林

不受特权提升的攻击 307

8.6 森林和多森林情况下

的组策略 308

8.6.1 多域森林和多森林中

使用GPMC 308

8.6.2 使用迁移表 309

8.7 突破安全边界：终极森林

设计问题 311

8.7.1 SID过滤：捕捉SID欺骗 312

8.7.2 选择性身份验证：信任

防火墙 313

8.8 信任的最佳实践 313

8.9 小结 314

第9章 Group Policy故障诊断 315

9.1 确定是否已经应用了策略 317

9.1.1 使用GPMC 317

9.1.2 使用Resultant Set of Policy 319

9.1.3 使用GPResult 321

9.2 确定是否正确实现了

Group Policy 设计 322

9.3 网络问题故障诊断 329

9.3.1 身份验证的故障诊断 329

9.3.2 基本网络连接的故障诊断 329

9.3.3 DNS故障诊断 330

9.3.4 使用DCDIAG和NetDiag

查找DNS问题 334

9.3.5 使用Portqry 336

9.3.6 手动检查DNS记录

查找问题 336

9.3.7 使用nslookup测试DNS 336

9.3.8 检查事件查看器记录 337

9.4 Active Directory和FRS复制的

故障诊断 337

9.4.1 信任关系问题 337

9.4.2 Active Directory复制问题 338

9.4.3 使用DNSLint测试复制 339

9.4.4 使用replmon.exe检查

复制 340

9.4.5 使用Repadmin.exe检查

复制伙伴之间的复制链接 341

9.4.6 使用GPOTool.exe、Event

Viewer和GPMC检查丢失或

被破坏的文件 344

9.4.7 Verbose记录 345

9.5 Group Policy对象设计的

故障诊断 351

9.6 监控GPO最佳状态 352

9.7 小结 354

第10章 保护Active Directory

安全 355

10.1 物理地保护域控制器 356

10.1.1 所有域控制器的

物理安全 356

10.1.2 分支机构和小型办公

室的物理安全 360

10.1.3 外联网和周边网络的

物理安全 363

10.2 建立安全配置 364

　10.2.1 DC安全基线配置 364

　10.2.2 安全模板/域策略配置 365

　10.2.3 本地策略 369

　10.2.4 事件日志设置 374

　10.2.5 系统服务 375

　10.2.6 注册表和文件系统 376

　10.2.7 额外的安全配置 378

10.3 建立安全管理实践 378

　10.3.1 人事问题 378

　10.3.2 保护管理角色 379

10.3.3 保护应用程序和用户

访问域控制器的安全 382

10.4 部署安全域控制器 382

　10.4.1 准备 383

　10.4.2 自动安装域控制器 386

　10.4.3 保护复制安全 386

10.5 小结 387

第11章 保护基础结构角色的安全 388

11.1 安全模板 389

11.2 如何使用安全模板通过

角色保护计算机 390

11.2.1 创建并操作模板 392

11.2.2 创建基线模板保护

所有服务器 394

11.2.3 根据具体环境调整

样本模板 395

11.2.4 使用递增模板和其他技术

为基础结构服务器提供

安全性 405

11.2.5 保护其他角色的安全 412

11.3 应用安全模板 413

11.3.1 使用Active Directory设计

保护计算机角色 413

11.3.2 使用安全配置和

分析工具 415

11.4 小结 418

第Ⅳ部分 公钥基础结构(PKI)

第12章 PKI基础 421

12.1 PKI入门 421

　12.1.1 公钥加密过程 421

　12.1.2 PKI组件 424

12.2 Windows Server 2003的

PKI体系结构 429

　12.2.1 证书存储区 429

　12.2.2 证书模板 431

　12.2.3 执行策略和策略文件 435

　12.2.4 证书颁发机构(CA) 437

　12.2.5 CA层次 437

　12.2.6 证书吊销列表(CRL) 440

　12.2.7 delta CRL 441

　12.2.8 CA角色 441

12.3 证书服务处理 444

12.4 小结 459

第13章 实现安全的PKI 460

13.1 安装离线根CA 460

　13.1.1 服务器准备工作 461

　13.1.2 创建capolicy.inf文件 462

　13.1.3 离线根CA安装指南 463

13.1.4 单机根CA安装之后

的配置 465

13.2 安装和配置从属CA 474

　13.2.1 安装从属CA 475

　13.2.2 在IIS上启用ASP 475

13.3 使用定制模板为EFS

配置密钥存档 486

13.4 小结 490

第Ⅴ部分 保护虚拟网络安全

第14章 保护远程访问安全 493

14.1 保护传统远程访问门户 493

14.1.1 Windows Server 2003 RRAS

和IAS的安全安装

准备 494

　14.1.2 安装和配置RRAS 495

　14.1.3 安装和配置IAS 503

14.1.4 配置客户机使用

远程访问 506

14.1.5 配置用户账户远程

访问属性 506

　14.1.6 远程访问连接过程 513

14.1.7 为RRAS和IAS配置

身份验证和审核 514

　14.1.8 VPN协议考虑事项 518

14.1.9 L2TP/IPSec、NAT

和NAT-T 519

14.1.10 VPN协议的防火墙

端口 520

　14.1.11 网络访问隔离控制 521

14.2 使用ISA保护无线访问

安全 525

14.2.1 Native 802.11

安全特性 525

　14.2.2 WiFi保护访问(WPA) 526

　14.2.3 使用VPN 526

　14.2.4 使用802.1x 527

　14.2.5 保护无线客户机安全 532

14.3 保护基于Web服务器访问

内部资源的安全 534

　14.3.1 Web服务器安全基础 534

　14.3.2 远程访问考虑事项 538

14.4 小结 539

第15章 保护传输中的数据安全 540

15.1 使用SMB签名 540

15.2 使用NTLM的会语安全 541

15.3 使用IPSec策略 541

15.3.1 Windows Server 2003

中的IPSec实现 542

　15.3.2 编写IPSec策略 547

　15.3.3 特殊IPSec策略操作 558

　15.3.4 IPSec监控和故障诊断 560

15.4 使用安全套接字层(SSL) 564

　15.4.1 SSL的工作原理 565

　15.4.2 在IIS中实现SSL 566

15.5 使用LDAP服务器签名 570

15.6 小结 571

第Ⅵ部分 维护和恢复

第16章 维护策略和管理实践 575

16.1 变更管理的维护策略 575

　16.1.1 安全策略维护 576

　16.1.2 更新安全性 578

16.2 补丁管理的维护策略 580

　16.2.1 补丁管理过程 580

　16.2.2 打补丁的过程 583

16.3 管理实践 598

　16.3.1 采用安全管理实践 599

　16.3.2 保护管理过程 600

　16.3.3 保护管理账户 601

　16.3.4 强化远程管理工具 601

16.4 小结 614

第17章 数据备份和恢复基础 615

17.1 备份策略、标准和过程 616

17.1.1 Active Directory特有的

备份基础知识 617

17.1.2 备份是业务持续性计划

的一部分 617

17.2 如何使用Ntbackup 618

　17.2.1 备份文件和文件夹 618

　17.2.2 系统状态备份 622

17.2.3 备份默认设置和配置

选项 624

　17.2.4 命令行备份 625

　17.2.5 恢复文件和文件夹 626

　17.2.6 恢复系统状态备份 628

17.3 自动系统恢复 628

17.4 卷影像复制服务 629

　17.4.1 创建影像复制卷 630

　17.4.2 从影像副本进行恢复 633

　17.4.3 命令行影像复制管理 633

17.5 各种备份工具 634

17.6 从删除对象的存储区中使

用户复活 637

17.7 Active Directory恢复 638

　17.7.1 标准恢复 639

　17.7.2 授权恢复 639

17.8 IIS备份过程 643

17.9 证书颁发机构(CA)备份 644

17.10 小结 645

第Ⅶ部分 监控和审核

第18章 审核 649

18.1 为森林建立Windows Server

2003审核策略 650

18.2 审核单机Windows Server

2003计算机 665

18.3 审核服务器应用程序

和服务 666

　18.3.1 网络服务审核 666

　18.3.2 IPSec审核 668

　18.3.3 证书颁发机构(CA)审核 668

　18.3.4 VPN审核 669

　18.3.5 授权管理器审核 671

　18.3.6 Net Logon调试日志 671

18.4 审核安全控制：策略一致性、

漏洞评估和渗透测试 672

18.4.1 使用安全配置和分析

工具来审核安全配置 673

18.4.2 审核特定计算机和用户

的安全配置 674

　18.4.3 扫描已知的漏洞 676

　18.4.4 渗透测试 679

18.5 审核物理安全性 680

18.6 审核策略、标准和过程 680

18.7 检查安全意识 680

18.8 审核外来人员：其他人对

公司的信息安全的影响 681

18.9 小结 681

第19章 监控和评估 682

19.1 建立基准 682

19.2 监控基本的服务 684

　19.2.1 监控DNS和网络连接 684

　19.2.2 监控DHCP 687

　19.2.3 监控PKI 688

　19.2.4 监控路由和远程访问 689

　19.2.5 监控共享 691

　19.2.6 监控所有活动的服务 692

19.3 监控活动目录和组策略 692

19.3.1 使用dcdiag来获得一个

全面的状况报告 693

19.3.2 监控Active Directory

复制 696

　19.3.3 监控FRS复制 701

　19.3.4 监控Group Policy操作 705

　19.3.5 使用性能监控 707

19.4 监控事件日志 711

　19.4.1 使用EventCombMT 711

　19.4.2 使用Lockoutstatus 712

19.5 事件响应介绍 713

19.6 小结 714