Windows安全应用策略和实施方案手册PDF电子书下载

目录 1

第1章 活动目录结构安全设计与配置 1

1.1 活动目录概述 1

1.2 设计目录林和域的安全边界 2

1.2.1 安全边界——目录林 2

1.2.2 目录林的安全规划 2

1.2.3 域的安全规划 3

1.3 目录林和域的功能级别选择和配置 4

1.3.1 Windows 2000的域模式 4

1.3.2 查看Windows 2000域模式 6

1.3.3 升级WindDws 2000域模式 7

1.3.5 Windows 2003 4种域功能级别和功能比较 8

1.3.4 Windows 2003目录林和域的功能级别 8

1.4.3 Windows 2000/2003目录林中的默认信任关系 1 9

1.3.6 Windows 2003三种目录林功能级别及功能比较 10

1.3.7 查看Windows 2003目录林和域的功能级别 11

1.3.8 Windows 2003的目录林和域功能级别提升策略 11

1.3.9 提升域功能级别 13

1.3.10 提升目录林功能级别 14

1.4 域信任关系的管理和配置 14

1.4.1 域信任关系概述 15

1.4.2 6种信任关系 18

1.4.4 外部信任关系 19

1.4.5 创建外部信任关系 20

1.4.6 配置和管理快捷信任关系 23

1.4.8　配置目录林信任 24

1.4.7 目录林信任关系介绍 24

1.4.10 选择性身份验证介绍 27

1.4.9 保护目录林信任 27

1.4.11 配置选择性身份验证 28

1.4.12 启用／禁用选择性身份验证 31

1.4.13 应用SID过滤 31

1.5 创建组织单元实现安全管理 33

1.5.1 组织单元功能介绍 33

1.5.2 创建组织单位 35

1.5.3 配置委派管理 35

2.1 Kerberos的安全原理和应用 39

2.1.1 理解Ke rberos 39

第2章 Windows和域的安全管理 39

2.1.2 实现Ke rberos委派 43

2.1.3 Kerberos在网络负载均衡中的应用和配置 43

2.1.4 Kerberos在Cluste r群集中的应用和配置 48

2.1.5 Kerberos在IPSec网络中的使用 51

2.1.6 配置Kerberos策略 51

2.1.7 Kerberos监控和排错 51

2.2 管理和保护活动目录中的账号和组 53

2.2.1 理解账号和组 54

2.2.2 需要关注的活动目录账号和组 57

2.2.3 保护活动目录管理组和账号 64

2.2.4 采用管理账号和组的最佳做法 74

2.2.5 账号的SID管理 77

2.2.6 计算机账号管理 78

2.3 委派身份验证 81

2.3.1 理解委派 81

2.3.2 理解和配置受限委派 82

2.3.3 如何在Windows 2000域中实现Kerberos委派 84

3.17　Windows 2000/2003安全模板推荐 1 85

2.3.4 如何在Windows 2003域中实现Kerberos委派 86

2.4 管理和配置时间服务 89

2.4.1 时间服务对活动目录的重要性 90

2.4.2 时间服务是如何工作的 90

2.4.3 活动目录的时间同步 91

2.4.4 通过防火墙同步时间 92

2.4.5 监控时间服务 92

2.5 服务器安全保护 93

2.5.1 强化域控制器的安全配置 93

2.5.2 保护文件安全 97

2.5.3 服务器的物理安全保护 103

2.6 安全安装Windows 104

2.6.1 安全安装Windows操作系统 104

2.6.2 安全升级域控制器 107

2.7 Windows 2000/2003安全管理技巧 109

2.7.1 删除OS/2和POSIX子系统 109

2.7.2 限制空会话访问 110

2.7.3 从网络浏览列表中隐藏计算机 110

2.7.4 更改DLL搜索顺序 111

2.7.5 禁用媒体自动运行 112

2.7.6 关闭文件夹中的Web视图 112

2.7.7 使用Syskey提高安全性 113

2.7.8 提高Windows的抗DoS攻击能力 114

2.7.9 禁用不受信任网络中的NetBIOS和SMB协议 118

3.1 组策略基本概念 121

第3章 配置组策略实现安全管理 121

3.2 组策略处理和优先级 122

3.2.1 组策略的处理顺序 122

3.2.2 默认处理顺序的例外情况 122

3.2.3 组策略在启动和登录时的应用过程 124

3.3 组策略管理方法 125

3.3.1 组策略对象编辑器 125

3.3.2 编辑容器的组策略属性 127

3.3.3 GPMC 128

3.4 组策略的设计 132

3.5.1 GPO读取和应用权限管理 134

3.5 GPO权限管理 134

3.5.2 GPO的创建权限管理 135

3.5.3 GPO编辑权限管理 135

3.5.4 GPO链接权限管理 136

3.5.5 组策略委派管理的推荐做法 137

3.6 组策略应用 137

3.7 组策略的安全管理功能 137

3.8 安全配置账号策略 138

3.8.1 安全配置密码策略 138

3.8.2 安全配置账号锁定策略 141

3.8.3 账号锁定排错 143

3.9 安全配置Kerberos策略 144

3.8.4 保护账号／密码安全性的其他方法 144

3.10 安全管理用户权利 145

3.11 配置计算机安全选项 149

3.11.1 编辑安全选项 152

3.11.2　保护Administrator账号 153

3.11.3　保护Guest账号 154

3.11.4　限制空白密码的本地账户只允许进行控制台登录 154

3.11.5　计算机账号密码管理 155

3.11.6　保护与域控制器间的LDAP数据流 155

3.11.7　保护SMB数据流 156

3.11.9　交互式登录：要求域控制器身份验证以解锁工作站 157

3.11.8　交互式登录：可被缓存的前次登录个数 157

3.11.10　Windows 2000中的匿名访问限制 158

3.11.11　Windows 2003中的匿名访问限制 159

3.11.12　限制空会话访问 160

3.11.13　加强密码存储的安全性 162

3.11.14　控制Lan Manage r身份验证级别 163

3.11.15　确定基于NTLM SSP的会话安全 164

3.12　安全管理系统服务 165

3.13　通过组策略禁用U盘 166

3.14　软件限制策略 168

3.14.1　默认安全级别 168

3.14.2　附加规则 168

3.14.4　配置软件限制策略 169

3.14.3　常规配置规则 169

3.15.1　安全模板的概念 173

3.15.2　编辑安全模板 173

3.15　在组策略中使用安全模板 173

3.15.3　分析现有安全策略 174

3.16　Windows 2000/2003默认安全策略 175

3.16.1　Winaows 2000/2003默认安全策略设置 176

3.16.2　恢复默认安全策略 176

第4章　Windows网络安全部署 187

4.1　保护DNS服务器 187

4.1.1　使用组策略保护DNS服务 187

4.1.2　集成DNS服务到活动目录 187

4.1.4　控制区域复制 189

4.1.3　启用安全的动态更新 189

4.1.5　启用或禁用DNS服务器的IP地址 190

4.1.6　调整事件日志和DNS服务日志的大小 190

4.1.7　使用防火墙屏蔽DNS攻击 191

4.2　保护DHCP服务器 191

4.2.1　防止DHCP拒绝服务攻击 192

4.2.2　配置DHCP日志 192

4.2.3　使用IPSec筛选器禁用端口 193

4.3　应用IPSec提高网络安全 193

4.3.1　IPSec简介 193

4.3.2　配置IPSec协议免除 199

4.3.3　IPSec使用方案推荐 200

4.3.4　配置传输模式的IPSec 201

4.3.5　配置隧道模式的IPSec 221

4.3.6　IPSec监控和排错 224

4.3.7 IPSec与NAT设备的兼容性 228

4.3.8 IPSec与防火墙的集成使用 229

4.4 安装和配置IAS服务器 229

4.4.1 安装IAS服务 229

4.4.2 配置RADIUS客户端 229

4.4.3 为IAS服务器申请证书 230

4.4.4 配置远程访问策略 230

4.5 安全配置VPN应用 232

4.5.1 VPN技术的类型 232

4.5.2 VPN的应用场合和实例模型介绍 233

4.5.3 规划VPN远程访问应用 234

4.5.4 配置VPN远程访问服务器 240

4.5.5 配置L2TP/VPN远程访问服务器 251

4.5.6 在VPN远程访问应用中使用EAP验证方法 254

4.5.7 规划网关至网关的VPN应用 258

4.5.8 配置网关至网关的VPN应用 262

4.5.9 在网关至网关的VPN应用中使用EAP验证 267

4.6 安全的无线网络应用 270

4.6.1 制定安全的无线网络策略 270

4.6.2 配置EAP＿TLS验证＋WEP加密的无线网络 273

4.6.3 配置EAP-MSCHAP v2＋WEP的无线网络 280

5.1.1 公钥架构的组成部分 285

5.1 公钥架构的工作原理 285

第5章 公钥架构的部署与应用 285

5.1.2 非对称密钥 286

5.1.3 证书介绍 286

5.1.4 证书颁发机构 289

5.1.5 证书应用 292

5.1.6 证书身份验证 293

5.2 公钥架构设计 294

5.2.1 证书需求 294

5.2.2 CA层次结构设计 296

5.2.3 CA架构设计方案举例 301

5.2.4 CA的硬件和软件要求 302

5.2.5 CA配置规划 303

5.3.1 CA安装准备 304

5.3 安装CA系统 304

5.3.2 安装独立根CA 306

5.3.3 安装企业根CA 309

5.3.4 安装子CA 309

5.4 实现CA的安全管理 313

5.4.1 检查CA证书 314

5.4.2 CRL分发点的管理 314

5.4.3 配置CRL有效期 315

5.4.4 AIA分发点的管理 316

5.4.5 修改策略模块 316

5.4.6 CA安全控制 317

5.4.7 证书模板的管理方法 319

5.4.8 续订CA证书 327

5.4.9 修改CA证书的有效期 328

5.4.10 根CA信任 329

5.4.11 CA工具Certutil 338

5.4.12 备份和还原CA 340

5.5 证书的安全管理 341

5.5.1 证书管理工具 342

5.5.2 查看证书内容 344

5.5.3 导出证书 347

5.5.4 导入证书 349

5.5.5 将证书映射到用户账号 350

5.5.6 证书有效期管理 350

5.5.7 证书的申请 351

5.5.8 Web证书申请方法 352

5.5.9 证书管理单元申请方法 358

5.5.10 配置证书的自动颁发 359

5.5.11 证书续订 365

5.5.12 证书的吊销 367

5.6 智能卡部署 367

5.6.1 智能卡硬件准备 368

5.6.2 颁发智能卡证书 368

5.6.3 智能卡证书续订 375

5.6.4 智能卡应用 376

5.7 文件加密 377

5.7.1 加密文件系统概述 378

5.7.2 EFS的实施过程 379

5.7.3 为故障恢复代理生成文件恢复证书 380

5.7.4 备份文件恢复证书密钥 381

5.7.5 创建基于域的故障恢复代理 381

5.7.6 创建本地恢复代理 382

5.7.7 启用EFS 382

5.7.8 启用EFS文件共享 384

5.7.9 备份EFS证书和密钥 385

5.7.10 EFS数据恢复 385

5.7.11 EFS最佳做法 385

第6章 IIS 5.0/IIS 6.0的安全使用 387

6.1 IIS的安装和配置 388

6.2.1 Web的安全控制方法 390

6.2 Web权限管理 390

6.2.2 Web站点验证方法的比较与应用 395

6.3 IIS 5.0 Web安全管理　 400

6.3.1 IIS中的安全组件　 400

6.3.2 IIS 5.0工作方式的揭密　 404

6.3.3 IIS 5.0的主要安全隐患　 404

6.3.4 强化IIS 5.0的安全设置　 406

6.4 IIS 6.0 Web安全管理　 413

6.4.1 Windows 2003默认不安装IIS 6.0 　 414

6.4.2 应用程序模型　 414

6.4.3 利用Windows 2003的安全改善功能　 417

6.4.4 安全的网站设置 418

6.6.2 SSL网站配置　 421

6.6.1 SSL网站的工作原理　 421

6.6　证书在Web中的应用　 421

6.5 以Web方式修改密码 421

6.6.3 配置客户端证书验证　 427

6.6.4 实现证书与账号映射　 430

6.6.5 配置IIS证书应用中的CRL检查　 434

6.6.6 网站证书应用中的常见问题　 435

6.7 安全配置FTP站点　 438

6.7.1 FTP站点的配置　 438

6.7.2 创建用户隔离的FTP站点　 440

6.7.3 FTP的安全控制　 443

6.7.4 FTP的端口和访问模式　 446

6.7.5 多种方法提高FTP站点安全性　 447

第7章 ISA Server 2000的应用与管理　 449

7.1 ISA Server 2000介绍　 449

7.1.1 ISA Server 2000服务器　 449

7.1.2 ISAServer的客户端　 451

7.2 ISA Server 2000的应用设计　 455

7.2.1 缓存代理服务器　 455

7.2.2 防火墙或者集成模式ISA Server　 456

7.2.3 容量规划建议　 458

7.3 安装ISAServer 　 459

7.3.1 安装前的准备　 459

7.3.2 安装独立的ISA Server　 459

7.3.3 安装更新　 461

7.4.1 对外访问控制原理　 462

7.4 安全访问控制　 462

7.4.2 ISA Server基准访问控制协议　 468

7.4.3 代理内部客户端访问外部Web网站　 470

7.4.4 代理内部客户端访问外部FTP网站　 473

7.4.5 代理内部客户端访问外部TCP/UDP应用程序　 473

7.4.6 代理内部客户端收发外网邮件服务器的邮件　 474

7.4.7 内部客户端通过ISA Server使用QQ 　 475

7.4.8 内部客户端通过ISA Server访问流媒体文件　 476

7.4.9 内部客户端通过ISA Server使用MSN Messenger 　 477

7.4.10 内部客户端通过ISA Server访问外部文件共享　 480

7.4.11 控制内部客户端访问非TCP/UDP应用程序 　 481

7.4.12　代理内部客户端Ping连外网计算机　 482

7.5.1　服务安全发布原理　 483

7.5　服务安全发布　 483

7.4.13　代理内部客户端访问外部VPN服务器　 483

7.5.2　Web发布HTTP网站　 485

7.5.3　发布内部非标准端口HTTP网站　 490

7.5.4　将HTTP网站发布在非标准端口上　 490

7.5.5　发布内部的主机头网站　 491

7.5.6　发布HTTPS网站　 492

7.5.7　发布FTP网站　 494

7.5.8　服务器发布　 495

7.5.9　安全发布企业Exchange服务器　 498

7.6　配置SMTP过滤器保护邮件安全 507

7.7　发布ISA Server本机的服务 508

7.8 ISA Server本机安全配置 509

7.9.1 外网用户直接VPN连接ISA Server 512

7.9 ISA Server与VPN应用 512

7.9.2 外网用户通过NAT设备VPN连接ISA Server 514

7.9.3 配置网关至网关的VPN/ISA Server应用 515

第8章 ISA Server 2004新特性的应用 521

8.1 多重网络支持功能应用 521

8.1.1 ISA Server 2000的网络设计局限 521

8.1.2 ISA Server 2004的多重网络支持功能 522

8.2 防火墙策略新特性应用 527

8.2.1 ISA Server 2000访问策略设计的局限 527

8.2.2 ISA Server 2004集成防火墙策略 527

8.2.3 防火墙策略是有序的 528

8.2.4 默认拒绝策略 528

8.2.5 系统策略 529

8.2.6 策略存储 530

8.2.7 配置防火墙策略 530

8.3 访问策略 531

8.3.1 配置其他网络访问ISA Server本机 531

8.3.2 远程管理ISA Server 534

8.3.3 ISA Server本机访问其他网络 535

8.3.4 配置内部及VPN客户端访问外部网络 536

8.4 协议筛选 538

8.4.1 HTTP协议筛选 538

8.4.2 FTP只读配置 541

8.4.3 SMTP协议筛选 541

8.5.1　发布标准端口的 Web服务器 542

8.5 服务器发布 542

8.5.2　发布非标准端口的Web服务器 546

8.5.3　使用Web发布规则发布FTP站点 546

8.5.4　发布内网服务器 547

8.5.5　发布非标准端口的FTP服务器 550

8.6　利用增强的VPN功能 551

8.6.1　发布VPN服务器 552

8.6.2　在ISA Server上启用VPN客户端访问 553

8.7　利用增强的监视功能 555

8.7.1　仪表板 555

8.7.2　在日志查看器中进行实时监视 556

8.7.3 内置日志查询 556

8.7.4 会话的实时监视和筛选 557

8.7.5 连接性验证程序 558

8.7.6 将日志存储到MSDE数据库 558

8.7.7 发布报告 559

8.8 导出、导入、备份、还原功能 560

8.8.1 备份还原ISA Server 560

8.8.2 导出导入配置信息 561

8.9 内核模式的安全锁定 562

8.10 与硬件集成 563

第9章 补丁管理与恶意软件防杀 565

9.1 介绍Windows更新与补丁 565

9.2 Windows更新网站 568

9.3 自动更新客户端 568

9.4.1 SUS应用场景推荐 569

9.4 SUS补丁管理部署 569

9.4.2 下载必要的软件 570

9.4.3 安装SUS服务软件和MSBA 571

9.4.4 配置客户端计算机的自动更新组件 573

9.4.5 SUS补丁管理流程 577

9.4.6 使用MSBA评估客户端的补丁安装情况 578

9.4.7 配置SUS服务器选项 580

9.4.8　服务器补丁更新管理 582

9.4.9　在测试环境中安装补丁 584

9.4.10　将补丁分发到客户机 584

9.4.12　SUS补丁更新监控 585

9.5　SMS补丁管理部署 585

9.4.11　补丁卸载 585

9.5.1　安装SMS 2003安全管理扫描工具 586

9.5.2　设置补丁包的自动更新分发点 588

9.5.3　分发扫描工具 588

9.5.4　搭建测试实验室 589

9.5.5　使用向导分发补丁 589

9.5.6　使用SMS评估网络计算机的补丁安装情况 595

9.6　恶意软件的防杀 596

9.6.1　恶意软件的常见传播方式 596

9.6.2　恶意软件的破坏力 597

9.6.3　恶意软件分析 598

9.6.4　恶意软件防护方法 602

9.6.5　清除恶意软件 608

10.1　安全评估方法 611

第10章　安全审核与监测 611

10.1.1　MBSA安全评估 612

10.1.2　其他入侵监测评估方法 616

10.2　审核管理 616

10.2.1　审核配置 617

10.2.2　系统无法记录安全事件时是否关闭系统 618

10.2.3　审核登录事件 618

10.2.4　审核账户登录事件 620

10.2.5　审核账户管理 621

10.2.6　审核对象访问 622

10.2.7　审核目录服务访问 625

10.2.8　审核特权使用 625

10.2.10　审核系统事件 626

10.2.9　审核进程跟踪 626

10.2.11　审核策略更改 628

10.3　Windows 日志管理 628

10.3.1　保护事件日志 628

10.3.2　配置组策略保护事件日志 629

10.3.3 使用事件查看器管理日志 632

10.3.4 转储事件日志工具 634

10.3.5 MOM的日志管理功能 635

10.3.6 使用工具EventCombMT管理事件日志 635

10.4 Windows监控管理 639

10.4.1 查看应用程序日志 639

10.4.2 监视服务和驱动程序 639

10.4.3 恶意软件监视方法 642