Windows Server 2008安全技术详解PDF电子书下载

第1部分 Windows安全基础 3

第1章 主体、用户以及其他角色 3

1.1 主体、对象和元组 3

1.2 安全主体的类型 4

1.2.1 用户 4

1.2.2 计算机 5

1.2.3 组 6

1.2.4 抽象概念（登录组） 7

1.2.5 服务 8

1.3 安全标识符 8

1.3.1 安全标识符的组成 9

1.3.2 安全标识符的颁发机构 9

1.3.3 服务安全标识符 11

1.3.4 内置安全标识符 11

小结 12

相关资源 12

第2章 认证系统和认证协议 13

2.1 用户已知和已有的凭证 13

2.1.1 用户已知道的凭证 13

2.1.2 用户所有的凭证 14

2.1.3 用户的生物特征 14

2.2 认证符存储 15

2.2.1 LM哈希运算 16

2.2.2 NT哈希运算 18

2.2.3 密码验证 18

2.2.4 存储器 19

2.2.5 反转加密 20

2.3 认证协议 21

2.3.1 基本身份认证 21

2.3.2 质询-响应协议 22

2.4 智能卡认证 27

2.4.1 智能卡和密码 28

2.5 密码攻击 28

2.5.1 获得密码 28

2.5.2 利用截获的信息 31

2.5.3 保护密码 32

2.6 管理密码 34

2.6.1 使用其他认证系统 34

2.6.2 安全地记录密码 34

2.6.3 使用密码短语 34

2.6.4 制定密码策略 34

2.6.5 细化密码策略 35

小结 39

相关资源 39

第3章 管理对象 41

3.1 访问控制术语 41

3.1.1 安全对象 41

3.1.2 安全描述符 42

3.1.3 访问控制列表 43

3.1.4 访问控制列表项（ACE） 44

3.1.5 访问掩码 46

3.1.6 访问列表结构间的联系 49

3.1.7 继承 49

3.1.8 安全令牌 51

3.1.9 访问审核进程 53

3.1.10 完整性标记 54

3.1.11 空和NULL DACL 55

3.1.12 安全描述定义语言（SDDL） 55

3.2 权限管理工具 58

3.2.1 cacls和icacls 58

3.2.2 SC 59

3.2.3 subinacl 59

3.3 Windows Server 2008中访问控制的改变 59

3.3.1 TrustedInstaller权限 59

3.3.2 网络位置SID 59

3.3.3 文件系统名称空间的改变 60

3.3.4 Power User权限移除 60

3.3.5 OWNER_RIGHT和所有权 60

3.4 用户权利和特权 60

3.5 RBAC和AZMAN 63

小结 63

相关资源 64

第4章 用户账户控制（UAC） 65

4.1 用户账户控制概述 65

4.2 令牌筛选 66

4.3 UAC组件 67

4.3.1 UAC提升用户体验 67

4.3.2 应用程序信息服务（AIS） 69

4.3.3 文件和注册表虚拟化 69

4.3.4 应用程序清单与执行请求级别 71

4.3.5 安装程序检测技术 72

4.3.6 用户界面特权隔离 72

4.3.7 安全桌面 72

4.3.8 使用远程协助 73

4.3.9 UAC远程管理限制 74

4.3.10 在管理批准模式下映射网络驱动程序 75

4.3.11 登录时阻止应用程序 76

4.3.12 用UAC配置应用程序的兼容性 77

4.4 UAC组策略设置 77

4.4.1 在安全选项下创建UAC组策略 77

4.4.2 UAC相关策略 81

4.5 Windows Server 2008和Windows Vista SP1中的UAC新特性 83

4.6 UAC最佳实践 83

4.6.1 不错的解决方案 83

4.6.2 更好的解决方案 84

4.6.3 最好的解决方案 84

小结 84

相关资源 84

第5章 防火墙和网络访问保护 85

5.1 Windows筛选平台 86

5.2 高级安全性的Windows防火墙 87

5.2.1 防火墙的改进 88

5.2.2 管理Windows防火墙 90

5.3 路由和远程访问服务 97

5.3.1 RRAS的新特性 97

5.4 Internet协议安全 100

5.4.1 IPSec基础 101

5.4.2 IPSec新特性 102

5.5 网络访问保护 105

5.5.1 NAP架构 105

5.5.2 NAP原理 108

5.5.3 NAP适用场合 110

小结 113

相关资源 113

第6章 服务 114

6.1 服务简介 114

6.1.1 什么是服务 114

6.1.2 服务登录账户 115

6.1.3 服务侦听端口 117

6.1.4 配置服务 117

6.1.5 Windows Server 2008服务角色 121

6.2 针对服务的攻击 121

6.2.1 Blaste蠕虫 121

6.2.2 常见服务攻击媒介 122

6.3 服务强化 123

6.3.1 最小特权 124

6.3.2 服务SID 126

6.4 服务安全 133

6.4.1 作服务清单 133

6.4.2 最小化运行服务 134

6.4.3 使用最小化特权安全模型 135

6.4.4 及时更新 135

6.4.5 创建和使用自定义服务账户 135

6.4.6 使用防火墙和IPsec进行网络隔离 136

6.4.7 检查服务失败 136

6.4.8 开发和使用安全服务 137

小结 137

相关资源 137

第7章 组策略 138

7.1 Windows Server 2008中组策略的新特性 138

7.2 组策略基础 139

7.2.1 本地组策略对象（GPO） 139

7.2.2 基于活动目录的GPO 140

7.2.3 组策略处理 145

7.3 组策略的变化 147

7.3.1 组策略服务 147

7.3.2 ADMX和中央存储 148

7.3.3 Starter GPO 149

7.3.4 组策略注释 150

7.3.5 筛选的改进 152

7.3.6 新的安全策略管理 154

7.3.7 高级安全Windows防火墙 156

7.3.8 有线和无线网络策略 158

7.4 管理安全设置 160

小结 162

相关资源 162

第8章 审核 163

8.1 审核的意义和作用 163

8.2 Windows审核的工作原理 164

8.3 设置审核策略 166

8.3.1 审核策略选项 169

8.4 优化审核策略 171

8.5 Windows Server 2008中的新事件 172

8.6 使用内建工具分析事件 176

8.6.1 事件查看器 176

8.6.2 WEvtUtil.exe 182

小结 183

第2部分 使用活动目录实现身份与访问控制 187

第9章 活动目录域服务安全性设计 187

9.1 新的用户界面 187

9.2 AD DS安装向导 189

9.3 只读域控制器 190

9.3.1 只读AD DS数据库 191

9.3.2 RODC筛选的属性集 191

9.3.3 单向复制 192

9.3.4 证书缓存 192

9.3.5 只读DNS 194

9.3.6 RODC的阶段性安装 195

9.4 可重新启动的AD DS 196

9.4.1 概述 197

9.4.2 重启AD DS 197

9.5 Active Directory数据库装载工具 197

9.5.1 Dsamain.exe概述 198

9.5.2 使用Dsamain.exe的主要步骤 198

9.6 AD DS审核 199

9.6.1 审核AD DS访问 199

9.7 Active Directory轻型目录服务 203

9.7.1 AD LDS概述 203

9.7.2 Windows Server 2008中AD LDS新特性 205

9.8 Active Directory联合身份验证服务 206

9.8.1 什么是AD FS 206

9.8.2 AD FS的新特性 206

小结 207

相关资源 207

第10章 活动目录证书服务 209

10.1 Windows Server 2008中PKI的新特性 209

10.2 证书服务的安全威胁与解决策略 210

10.2.1 CA密钥对丢失 211

10.2.2 阻止证书注销 211

10.2.3 意图修改CA设置 213

10.2.4 意图修改证书模板 213

10.2.5 添加不可信任的CA到信任根CA存储 214

10.2.6 注册代理发布非授权证书 215

10.2.7 独立管理员的CA问题 216

10.2.8 非授权的用户密钥还原 217

10.3 证书服务安全 217

10.3.1 物理安全措施 217

10.4 最佳方案 218

小结 219

相关资源 219

第3部分 常用的安全方案 223

第11章 服务器角色安全 223

11.1 角色与功能比较 223

11.1.1 默认的角色和功能 224

11.2 安装角色和功能 229

11.2.1 已安装的服务器 229

11.3 服务器核心 230

11.3.1 Server Core概述 231

11.3.2 Server Core支持的服务器角色 231

11.3.3 Server Core支持的功能 231

11.3.4 Server Core不支持的角色与功能 232

11.4 服务器角色管理工具 233

11.4.1 初始配置任务 233

11.4.2 添加角色和功能向导 234

11.4.3 服务器管理器 234

11.5 安全配置向导 236

11.5.1 安全配置向导简介 236

11.5.2 使用SCW审核和强制安全 237

11.6 多角色服务器 242

小结 243

第12章 补丁管理 244

12.1 补丁管理流程 244

12.1.1 第1步：评估 244

12.1.2 第2步：标识 245

12.1.3 第3步：评价和计划 247

12.1.4 部署 248

12.2 安全更新解析 249

12.2.1 支持的命令行参数 249

12.2.2 将MUS文件集成到Windows映像 250

12.3 补丁管理工具 250

12.3.1 Microsoft下载中心 251

12.3.2 Microsoft Update目录 251

12.3.3 Windows Update和Microsoft Update 252

12.3.4 Windows自动更新 252

12.3.5 Microsoft Baseline Security Analyzer微软基准安全分析器 253

12.3.6 Windows服务器更新服务（WSUS） 256

12.3.7 System Center Essentials 2007 270

小结 270

相关资源 270

第13章 保障网络安全 272

13.1 安全依赖 274

13.1.1 可接受的依赖 274

13.1.2 不可接受的依赖 275

13.1.3 攻击的依赖分析 276

13.2 依赖类型 277

13.2.1 使用依赖 277

13.2.2 基于访问的依赖 277

13.2.3 管理依赖 279

13.2.4 服务账户依赖 279

13.2.5 操作依赖 279

13.3 减少依赖 279

13.3.1 第1步：定义分类方案 280

13.3.2 第2步和第3步：网络威胁建模 281

13.3.3 第4步：分析与简化 284

13.3.4 第5步：设计隔离策略 285

13.3.5 第6步：导出可操作策略 286

13.3.6 第7步：实施限制 286

小结 288

相关资源 288

第14章 分支机构的安全 289

14.1 分支机构概述 289

14.1.1 分支机构的重要性 289

14.1.2 分支机构中的特点 289

14.1.3 创建分支机构 290

14.2 分支机构中的Windows Server 2008 292

14.2.1 非安全性功能 292

14.2.2 分支机构的安全功能 293

14.3 其他安全措施 302

小结 302

相关资源 303

第15章 中小企业解决方案 304

15.1 为中小企业架设服务器 304

15.1.1 选择正确的平台与角色 305

15.2 为小型企业设计的服务器 307

15.2.1 Windows Server 2008 Web Edition 307

15.2.2 Windows Server Code Name“Cougar” 307

15.2.3 Windows Essential Business Server 309

15.2.4 托管服务器 310

15.2.5 虚拟化 310

15.3 使用多角色服务器 310

15.3.1 可接受的角色 311

15.3.2 服务器组件 311

15.3.3 风险考虑 312

15.3.4 Edge Server 313

15.3.5 支持与更新 314

15.3.6 服务器恢复 315

15.4 中小企业的最优化方案 317

15.4.1 安全指南 317

15.4.2 策略 320

15.4.3 销售商的最优化方案 322

15.4.4 远程访问 323

15.4.5 监控和管理加载项 324

15.4.6 桌面控制和管理中的服务器角色 326

15.4.7 其他的服务器设置建议 329

小结 333

相关资源 333

第16章 应用服务器安全 336

16.1 概述 336

16.2 IIS 7：传承安全理念 337

16.3 配置IIS 7 337

16.4 基于TCP/IP的安全 339

16.4.1 IP地址安全 339

16.4.2 端口安全 341

16.4.3 主机头安全 341

16.5 基于路径的安全 342

16.5.1 限制物理路径 342

16.5.2 文件夹和目录浏览 344

16.6 验证和授权 345

16.6.1 匿名身份验证 346

16.6.2 基本身份验证 346

16.6.3 客户端证书映射 347

16.6.4 摘要式身份验证 349

16.6.5 ASP.Net模拟 350

16.6.6 表单身份验证 350

16.6.7 Windows身份验证 351

16.6.8 信任服务器 352

16.6.9 IIS其他安全考虑 353

小结 357

相关资源 357