Windows Server 2003安全性权威指南PDF|Epub|txt|kindle电子书版本网盘下载

Windows Server 2003安全性权威指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　信息安全原则3

1.1　原则1：没有什么比安全的计算机更重要3

第Ⅰ部分　安全性基础3

1.2　经典的安全原则：机密性、完整性和记账4

1.2.1 机密性4

1.2.2　完整性6

1.2.3　记账6

1.3 推论：由经典原则得出的原则6

1.3.1　深度防御7

1.3.2　心理可接受性9

1.3.3　最小特权9

1.3.6　完全调解10

1.3.4　实现安全策略10

1.3.5　职责分离10

1.3.7　保持更新11

1.3.8　使用开放式设计11

1.3.9　减少受攻击面11

1.3.10　默认的失效保护11

1.3.11 信任与审核12

1.3.12　为每个人提供训练和认知12

1.3.13　机制的节约和多样性12

第Ⅱ部分　服务器自身的安全15

第2章　身份验证：身份的证明15

2.1 登录过程16

2.1.2　交互式登录过程17

2.1.1　登录类型17

2.1.3　域和网络身份验证18

2.2 网络身份验证过程18

2.2.1 LM20

2.2.2　Kerberos27

2.2.3　配置Kerberos:Kerberos策略35

2.2.4　证书、智能卡、令牌和生物技术验证36

2.3　Windows时间服务38

2.4　计算机账户和身份验证控制39

2.4.1 计算机账户的创建和口令39

2.4.2　计算机账户处理操作40

2.5　匿名访问41

2.6.1　账户策略42

2.6　通过Group Policy进行身份验证管理42

2.6.2 口令策略44

2.6.3　账户锁定策略45

2.6.4　用户账户约束47

2.6.5　本地账户策略和口令重置磁盘48

2.7　森林和跨森林身份验证49

2.8　保护身份验证的最优方法50

2.9 小结51

第3章　授权：限制系统访问和控制用户行为52

3.1　Windows安全体系和授权过程53

3.2　权利、特权和权限56

3.2.1　隐含权利56

3.2.2　登录权利56

3.2.3　添加和删除预定义的用户权利63

3.2.4　有关Lockdown的建议64

3.2.5　分配用户权利的最优方法67

3.3　使用对象权限控制访问68

3.3.1　权限的基础68

3.3.2　权限组合70

3.3.3　分配对象权限的最优方法71

3.3.4　打印机权限和所有权72

3.4　基于规则的和基于角色的访问控制系统74

3.5　默认的操作系统用户角色76

3.5.1　默认用户账户77

3.5.2　系统用户账户77

3.5.3　组77

3.5.4　组范围80

3.5.5　管理用户和组81

3.6　创建自定义角色84

3.7　创建自定义组角色85

3.8　访问控制进程86

3.9　使用Security Options和Registry Settings进行授权87

3.10　计算机角色90

3.11 匿名访问90

3.11.1 安全责任人、授权和匿名访问90

3.11.2　对资源的匿名访问91

3.11.3　知名的SID92

3.12　使用Syskey保护账户数据库98

3.13 小结99

第4章 限制对软件的访问及限制软件对资源的访问100

4.1 Authorization Manager Framework101

4.1.1 Authorization Manager的基础103

4.1.2 审核Authorization Manager115

4.1.3　Authorization Manager管理116

4.2　软件限制策略117

4.2.1　软件限制策略的局限性117

4.2.2　软件限制策略的基础118

4.2.3　创建和使用软件限制策略120

4.2.4　软件限制策略的故障诊断131

4.2.5　软件限制策略的最优方法132

4.3 使用Component Services保护COM、COM＋和DCOM应用程序133

4.4 小结143

5.1 使用NTFS权限控制文件和文件夹访问144

第5章　控制数据访问144

5.1.1　文件和文件夹权限145

5.1.2　默认权限147

5.1.3　权限解释149

5.1.4　NTFS磁盘结构149

5.1.5　权限继承150

5.1.6　NTFS属性和性能与安全157

5.2　控制共享访问158

5.2.1 共享权限159

5.2.2　文件和打印机共享模式159

5.2.3　默认的共享160

5.2.4　简单的文件和打印机共享：Windows XP的新模型162

5.2.5 创建共享162

5.2.7　文件和打印机共享的最优方法164

5.2.6　远程共享管理164

5.3 使用WebDAV控制对Web文件夹的访问165

5.3.1　启用WebDAV168

5.3.2　创建文件夹以共享并设置NTFS权限169

5.3.3　创建虚拟目录169

5.3.4　配置虚拟目录的安全169

5.3.5　客户机配置170

5.4　控制注册表项的访问170

5.4.1　默认的注册表权限171

5.4.2　应用注册表权限172

5.5　实际的部署问题173

5.5.1　遗留应用程序权限问题173

5.5.2　可选数据流174

5.5.4　恢复和容错177

5.5.3　使用安全模板设置权限177

5.5.5 群集178

5.5.6　DFS178

5.5.7　有效的安全选项和用户权利管理179

5.6 小结181

第6章　EFS基础182

6.1 什么是EFS182

6.2　不同Windows版本之间实现的区别183

6.3 基本操作184

6.3.1　加密和解密185

6.3.2　归档／备份证书和密钥187

6.3.3　导入证书和密钥190

6.3.5　恢复文件191

6.3.4　移除私有密钥191

6.3.6　获得加密密钥192

6.3.7　添加恢复代理193

6.4　在加密文件上进行一般操作的效果193

6.5　EFS体系结构195

6.5.1　文件系统操作195

6.5.2　加密、解密和恢复算法197

6.5.3　加密类型和强度199

6.6　避免数据丢失：恢复计划199

6.6.1　单机系统和没有CA的域的恢复计划199

6.6.2　恢复策略和禁用EFS200

6.6.3　恢复未恢复内容的工具202

6.7　特殊的操作和问题203

6.7.3　备份加密文件204

6.7.1　改变加密算法204

6.7.2　在Windows Explorer菜单上放置Encrypt/Decrypt204

6.7.4　使用脱机文件205

6.7.5　共享加密文件205

6.7.6　密码复位207

6.7.7　在Windows Explorer中为加密的文件和文件夹名添加颜色208

6.7.8　使用第三方的EFS证书208

6.7.9　EFS和系统恢复209

6.7.10　找出并查看证书209

6.8　远程存储209

6.8.1　SMB共享210

6.9　合理的企业策略211

6.8.2　WebDAV211

6.10.1　Cipher212

6.10　工具212

6.10.2　Esfinfo214

6.11　故障诊断214

6.12　小结215

第Ⅲ部分　保护域服务的安全219

第7章　Active Directory在域安全中的角色219

7.1　Active Directory和安全220

7.2　Active Directory：组织、结构和功能220

7.2.1 层次结构221

7.2.2　复制223

7.2.3 Group Policy224

7.2.5　对DNS的依赖性228

7.2.4　管理授权的委托228

7.3　Active Directory安装：在dcpromo期间的变化229

7.4　使用Active Directory管理计算机和用户233

7.4.1　默认GPO的影响233

7.4.2　创建和配置Active Directory域中的用户、组和计算机235

7.4.3　管理委托：使用Delegation of Control Wizard242

7.4.4　理解Active Directory ACL245

7.5 Group Policy工具250

7.5.1　Group Policy编辑器251

7.5.2　Group Policy管理控制台258

7.6　管理Windows 2000 GPO中的区别273

7.7　Group Policy的最优方法273

7.8　小结274

第8章　信任275

8.1 Windows Server 2003信任的新特性276

8.2　信任类型276

8.2.1　域间Kerberos信任277

8.2.2　快捷信任277

8.2.3　Windows NT 4.0信任279

8.2.4　Windows 2000或Windows Server 2003域的外部信任279

8.2.5　非Windows Kerberos领域信任280

8.2.6　森林信任280

8.3　信任关系281

8.3.1　森林信任的优点281

8.3.2　森林和域功能级别284

8.3.3　组作用域290

8.3.4　组类型291

8.3.5　企业组291

8.3.6　全局目录功能291

8.4　外部信任创建过程294

8.4.1　创建外部信任296

8.4.2　创建Windows NT 4.0域的外部信任298

8.5　森林信任302

8.5.1　Incoming和Outgoing森林信任302

8.5.2　跨森林身份验证和授权303

8.5.3　创建森林信任304

8.5.4　保护跨森林信任的森林不受特权提升的攻击307

8.6.1 多域森林和多森林中使用GPMC308

8.6　森林和多森林情况下的组策略308

8.6.2　使用迁移表309

8.7　突破安全边界：终极森林设计问题311

8.7.1　SID过滤：捕捉SID欺骗312

8.7.2　选择性身份验证：信任防火墙313

8.8　信任的最佳实践313

8.9 小结314

第9章　Group Policy故障诊断315

9.1　确定是否已经应用了策略317

9.1.1　使用GPMC317

9.1.2　使用Resultant Set ofPolicy319

9.1.3　使用GPResult321

9.2　确定是否正确实现了Group Policy设计322

9.3.2　基本网络连接的故障诊断329

9.3　网络问题故障诊断329

9.3.1　身份验证的故障诊断329

9.3.3　DNS故障诊断330

9.3.4　使用DCDIAG和NetDiag查找DNS问题334

9.3.5　使用Portqry336

9.3.6　手动检查DNS记录查找问题336

9.3.7　使用nslookup测试DNS336

9.3.8　检查事件查看器记录337

9.4　Active Directory和FRS复制的故障诊断337

9.4.1　信任关系问题337

9.4.2　Active Directory复制问题338

9.4.3　使用DNSLint测试复制339

9.4.4　使用replmon.exe检查复制340

9.4.5　使用Repadmin.exe检查复制伙伴之间的复制链接341

9.4.6　使用GPOTool.exe、Event Viewer和GPMC检查丢失或被破坏的文件344

9.4.7　Verbose记录345

9.5　Group Policy对象设计的故障诊断351

9.6　监控GPO最佳状态352

9.7　小结354

第10章　保护Active Directory安全355

10.1　物理地保护域控制器356

10.1.1　所有域控制器的物理安全356

10.1.2　分支机构和小型办公室的物理安全360

10.1.3　外联网和周边网络的物理安全363

10.2.1　DC安全基线配置364

10.2　建立安全配置364

10.2.2　安全模板／域策略配置365

10.2.3　本地策略369

10.2.4　事件日志设置374

10.2.5　系统服务375

10.2.6　注册表和文件系统376

10.2.7　额外的安全配置378

10.3　建立安全管理实践378

10.3.1　人事问题378

10.3.2　保护管理角色379

10.3.3　保护应用程序和用户访问域控制器的安全382

10.4　部署安全域控制器382

10.4.1　准备383

10.4.3　保护复制安全386

10.4.2　自动安装域控制器386

10.5 小结387

第11章　保护基础结构角色的安全388

11.1　安全模板389

11.2　如何使用安全模板通过角色保护计算机390

11.2.1　创建并操作模板392

11.2.2　创建基线模板保护所有服务器394

11.2.3　根据具体环境调整样本模板395

11.2.4　使用递增模板和其他技术为基础结构服务器提供安全性405

11.2.5　保护其他角色的安全412

11.3　应用安全模板413

11.3.1 使用Active Directory设计保护计算机角色413

11.3.2　使用安全配置和分析工具415

11.4　小结418

第Ⅳ部分　公钥基础结构（PKI）421

第12章　PKI基础421

12.1　PKI入门421

12.1.1　公钥加密过程421

12.1.2　PKI组件424

12.2　Windows Server 2003的PKI体系结构429

12.2.1　证书存储区429

12.2.2　证书模板431

12.2.3　执行策略和策略文件435

12.2.4　证书颁发机构（CA）437

12.2.5　CA层次437

12.2.6　证书吊销列表（CRL）440

12.2.8　CA角色441

12.2.7　delta CRL441

12.3　证书服务处理444

12.4 小结459

第13章　实现安全的PKI460

13.1　安装离线根CA460

13.1.1　服务器准备工作461

13.1.2　创建capolicy.inf文件462

13.1.3　离线根CA安装指南463

13.1.4　单机根CA安装之后的配置465

13.2　安装和配置从属CA474

13.2.1　安装从属CA475

13.2.2　在IIS上启用ASP475

13.3　使用定制模板为EFS配置密钥存档486

13.4 小结490

第Ⅴ部分　保护虚拟网络安全493

第14章　保护远程访问安全493

14.1 保护传统远程访问门户493

14.1.1 Windows Server 2003 RRAS和IAS的安全安装准备494

14.1.2　安装和配置RRAS495

14.1.3　安装和配置IAS503

14.1.4　配置客户机使用远程访问506

14.1.5　配置用户账户远程访问属性506

14.1.6　远程访问连接过程513

14.1.7　为RRAS和IAS配置身份验证和审核514

14.1.8　VPN协议考虑事项518

14.1.9　L2TP/IPSec、NAT和NAT-T519

14.1.10　VPN协议的防火墙端口520

14.1.11　网络访问隔离控制521

14.2　使用ISA保护无线访问安全525

14.2.1 Native 802.11安全特性525

14.2.2　WiFi保护访问（WPA）526

14.2.3　使用VPN526

14.2.4　使用802.1x527

14.2.5　保护无线客户机安全532

14.3　保护基于Web服务器访问内部资源的安全534

14.3.1　Web服务器安全基础534

14.3.2　远程访问考虑事项538

14.4　小结539

15.1　使用SMB签名540

第15章　保护传输中的数据安全540

15.2　使用NTLM的会语安全541

15.3　使用IPSec策略541

15.3.1 Windows Server 2003中的IPSec实现542

15.3.2　编写IPSec策略547

15.3.3　特殊IPSec策略操作558

15.3.4　IPSec监控和故障诊断560

15.4　使用安全套接字层（SSL）564

15.4.1　SSL的工作原理565

15.4.2　在IIS中实现SSL566

15.5　使用LDAP服务器签名570

15.6　小结571

16.1 变更管理的维护策略575

第Ⅵ部分　维护和恢复575

第16章　维护策略和管理实践575

16.1.1　安全策略维护576

16.1.2　更新安全性578

16.2　补丁管理的维护策略580

16.2.1　补丁管理过程580

16.2.2　打补丁的过程583

16.3　管理实践598

16.3.1　采用安全管理实践599

16.3.2　保护管理过程600

16.3.3　保护管理账户601

16.3.4　强化远程管理工具601

16.4 小结614

第17章　数据备份和恢复基础615

17.1　备份策略、标准和过程616

17.1.1　Active Directory特有的备份基础知识617

17.1.2　备份是业务持续性计划的一部分617

17.2　如何使用Ntbackup618

17.2.1　备份文件和文件夹618

17.2.2　系统状态备份622

17.2.3　备份默认设置和配置选项624

17.2.4　命令行备份625

17.2.5　恢复文件和文件夹626

17.2.6　恢复系统状态备份628

17.3 自动系统恢复628

17.4　卷影像复制服务629

17.4.1 创建影像复制卷630

17.4.2　从影像副本进行恢复633

17.4.3　命令行影像复制管理633

17.5　各种备份工具634

17.6　从删除对象的存储区中使用户复活637

17.7　Active Directory恢复638

17.7.1　标准恢复639

17.7.2　授权恢复639

17.8　IIS备份过程643

17.9　证书颁发机构（CA）备份644

17.10　小结645

第18章　审核649

第Ⅶ部分　监控和审核649

18.1　为森林建立Windows Server 2003审核策略650

18.2 审核单机Windows Server 2003计算机665

18.3　审核服务器应用程序和服务666

18.3.1　网络服务审核666

18.3.2　IPSec审核668

18.3.3 证书颁发机构（CA）审核668

18.3.4　VPN审核669

18.3.5　授权管理器审核671

18.3.6　Net Logon调试日志671

18.4　审核安全控制：策略一致性、漏洞评估和渗透测试672

18.4.1　使用安全配置和分析工具来审核安全配置673

18.4.2　审核特定计算机和用户的安全配置674

18.4.3　扫描已知的漏洞676

18.4.4　渗透测试679

18.5　审核物理安全性680

18.6　审核策略、标准和过程680

18.7　检查安全意识680

18.8　审核外来人员：其他人对公司的信息安全的影响681

18.9　小结681

第19章　监控和评估682

19.1　建立基准682

19.2　监控基本的服务684

19.2.1　监控DNS和网络连接684

19.2.2　监控DHCP687

19.2.3　监控PKI688

19.2.4　监控路由和远程访问689

19.2.5　监控共享691

19.2.6　监控所有活动的服务692

19.3 监控活动目录和组策略692

19.3.1　使用dcdiag来获得一个全面的状况报告693

19.3.2 监控Active Directory复制696

19.3.3　监控FRS复制701

19.3.4　监控Group Policy操作705

19.3.5　使用性能监控707

19.4　监控事件日志711

19.4.1 使用EventCombMT711

19.4.2　使用Lockoutstatus712

19.5　事件响应介绍713

19.6　小结714