Windows Server 2003安全性权威指南PDF电子书下载

第1章　信息安全原则 3

1.1　原则1：没有什么比安全的计算机更重要 3

第Ⅰ部分　安全性基础 3

1.2　经典的安全原则：机密性、完整性和记账 4

1.2.1 机密性 4

1.2.2　完整性 6

1.2.3　记账 6

1.3 推论：由经典原则得出的原则 6

1.3.1　深度防御 7

1.3.2　心理可接受性 9

1.3.3　最小特权 9

1.3.6　完全调解 10

1.3.4　实现安全策略 10

1.3.5　职责分离 10

1.3.7　保持更新 11

1.3.8　使用开放式设计 11

1.3.9　减少受攻击面 11

1.3.10　默认的失效保护 11

1.3.11 信任与审核 12

1.3.12　为每个人提供训练和认知 12

1.3.13　机制的节约和多样性 12

第Ⅱ部分　服务器自身的安全 15

第2章　身份验证：身份的证明 15

2.1 登录过程 16

2.1.2　交互式登录过程 17

2.1.1　登录类型 17

2.1.3　域和网络身份验证 18

2.2 网络身份验证过程 18

2.2.1 LM 20

2.2.2　Kerberos 27

2.2.3　配置Kerberos:Kerberos策略 35

2.2.4　证书、智能卡、令牌和生物技术验证 36

2.3　Windows时间服务 38

2.4　计算机账户和身份验证控制 39

2.4.1 计算机账户的创建和口令 39

2.4.2　计算机账户处理操作 40

2.5　匿名访问 41

2.6.1　账户策略 42

2.6　通过Group Policy进行身份验证管理 42

2.6.2 口令策略 44

2.6.3　账户锁定策略 45

2.6.4　用户账户约束 47

2.6.5　本地账户策略和口令重置磁盘 48

2.7　森林和跨森林身份验证 49

2.8　保护身份验证的最优方法 50

2.9 小结 51

第3章　授权：限制系统访问和控制用户行为 52

3.1　Windows安全体系和授权过程 53

3.2　权利、特权和权限 56

3.2.1　隐含权利 56

3.2.2　登录权利 56

3.2.3　添加和删除预定义的用户权利 63

3.2.4　有关Lockdown的建议 64

3.2.5　分配用户权利的最优方法 67

3.3　使用对象权限控制访问 68

3.3.1　权限的基础 68

3.3.2　权限组合 70

3.3.3　分配对象权限的最优方法 71

3.3.4　打印机权限和所有权 72

3.4　基于规则的和基于角色的访问控制系统 74

3.5　默认的操作系统用户角色 76

3.5.1　默认用户账户 77

3.5.2　系统用户账户 77

3.5.3　组 77

3.5.4　组范围 80

3.5.5　管理用户和组 81

3.6　创建自定义角色 84

3.7　创建自定义组角色 85

3.8　访问控制进程 86

3.9　使用Security Options和Registry Settings进行授权 87

3.10　计算机角色 90

3.11 匿名访问 90

3.11.1 安全责任人、授权和匿名访问 90

3.11.2　对资源的匿名访问 91

3.11.3　知名的SID 92

3.12　使用Syskey保护账户数据库 98

3.13 小结 99

第4章 限制对软件的访问及限制软件对资源的访问 100

4.1 Authorization Manager Framework 101

4.1.1 Authorization Manager的基础 103

4.1.2 审核Authorization Manager 115

4.1.3　Authorization Manager管理 116

4.2　软件限制策略 117

4.2.1　软件限制策略的局限性 117

4.2.2　软件限制策略的基础 118

4.2.3　创建和使用软件限制策略 120

4.2.4　软件限制策略的故障诊断 131

4.2.5　软件限制策略的最优方法 132

4.3 使用Component Services保护COM、COM＋和DCOM应用程序 133

4.4 小结 143

5.1 使用NTFS权限控制文件和文件夹访问 144

第5章　控制数据访问 144

5.1.1　文件和文件夹权限 145

5.1.2　默认权限 147

5.1.3　权限解释 149

5.1.4　NTFS磁盘结构 149

5.1.5　权限继承 150

5.1.6　NTFS属性和性能与安全 157

5.2　控制共享访问 158

5.2.1 共享权限 159

5.2.2　文件和打印机共享模式 159

5.2.3　默认的共享 160

5.2.4　简单的文件和打印机共享：Windows XP的新模型 162

5.2.5 创建共享 162

5.2.7　文件和打印机共享的最优方法 164

5.2.6　远程共享管理 164

5.3 使用WebDAV控制对Web文件夹的访问 165

5.3.1　启用WebDAV 168

5.3.2　创建文件夹以共享并设置NTFS权限 169

5.3.3　创建虚拟目录 169

5.3.4　配置虚拟目录的安全 169

5.3.5　客户机配置 170

5.4　控制注册表项的访问 170

5.4.1　默认的注册表权限 171

5.4.2　应用注册表权限 172

5.5　实际的部署问题 173

5.5.1　遗留应用程序权限问题 173

5.5.2　可选数据流 174

5.5.4　恢复和容错 177

5.5.3　使用安全模板设置权限 177

5.5.5 群集 178

5.5.6　DFS 178

5.5.7　有效的安全选项和用户权利管理 179

5.6 小结 181

第6章　EFS基础 182

6.1 什么是EFS 182

6.2　不同Windows版本之间实现的区别 183

6.3 基本操作 184

6.3.1　加密和解密 185

6.3.2　归档／备份证书和密钥 187

6.3.3　导入证书和密钥 190

6.3.5　恢复文件 191

6.3.4　移除私有密钥 191

6.3.6　获得加密密钥 192

6.3.7　添加恢复代理 193

6.4　在加密文件上进行一般操作的效果 193

6.5　EFS体系结构 195

6.5.1　文件系统操作 195

6.5.2　加密、解密和恢复算法 197

6.5.3　加密类型和强度 199

6.6　避免数据丢失：恢复计划 199

6.6.1　单机系统和没有CA的域的恢复计划 199

6.6.2　恢复策略和禁用EFS 200

6.6.3　恢复未恢复内容的工具 202

6.7　特殊的操作和问题 203

6.7.3　备份加密文件 204

6.7.1　改变加密算法 204

6.7.2　在Windows Explorer菜单上放置Encrypt/Decrypt 204

6.7.4　使用脱机文件 205

6.7.5　共享加密文件 205

6.7.6　密码复位 207

6.7.7　在Windows Explorer中为加密的文件和文件夹名添加颜色 208

6.7.8　使用第三方的EFS证书 208

6.7.9　EFS和系统恢复 209

6.7.10　找出并查看证书 209

6.8　远程存储 209

6.8.1　SMB共享 210

6.9　合理的企业策略 211

6.8.2　WebDAV 211

6.10.1　Cipher 212

6.10　工具 212

6.10.2　Esfinfo 214

6.11　故障诊断 214

6.12　小结 215

第Ⅲ部分　保护域服务的安全 219

第7章　Active Directory在域安全中的角色 219

7.1　Active Directory和安全 220

7.2　Active Directory：组织、结构和功能 220

7.2.1 层次结构 221

7.2.2　复制 223

7.2.3 Group Policy 224

7.2.5　对DNS的依赖性 228

7.2.4　管理授权的委托 228

7.3　Active Directory安装：在dcpromo期间的变化 229

7.4　使用Active Directory管理计算机和用户 233

7.4.1　默认GPO的影响 233

7.4.2　创建和配置Active Directory域中的用户、组和计算机 235

7.4.3　管理委托：使用Delegation of Control Wizard 242

7.4.4　理解Active Directory ACL 245

7.5 Group Policy工具 250

7.5.1　Group Policy编辑器 251

7.5.2　Group Policy管理控制台 258

7.6　管理Windows 2000 GPO中的区别 273

7.7　Group Policy的最优方法 273

7.8　小结 274

第8章　信任 275

8.1 Windows Server 2003信任的新特性 276

8.2　信任类型 276

8.2.1　域间Kerberos信任 277

8.2.2　快捷信任 277

8.2.3　Windows NT 4.0信任 279

8.2.4　Windows 2000或Windows Server 2003域的外部信任 279

8.2.5　非Windows Kerberos领域信任 280

8.2.6　森林信任 280

8.3　信任关系 281

8.3.1　森林信任的优点 281

8.3.2　森林和域功能级别 284

8.3.3　组作用域 290

8.3.4　组类型 291

8.3.5　企业组 291

8.3.6　全局目录功能 291

8.4　外部信任创建过程 294

8.4.1　创建外部信任 296

8.4.2　创建Windows NT 4.0域的外部信任 298

8.5　森林信任 302

8.5.1　Incoming和Outgoing森林信任 302

8.5.2　跨森林身份验证和授权 303

8.5.3　创建森林信任 304

8.5.4　保护跨森林信任的森林不受特权提升的攻击 307

8.6.1 多域森林和多森林中使用GPMC 308

8.6　森林和多森林情况下的组策略 308

8.6.2　使用迁移表 309

8.7　突破安全边界：终极森林设计问题 311

8.7.1　SID过滤：捕捉SID欺骗 312

8.7.2　选择性身份验证：信任防火墙 313

8.8　信任的最佳实践 313

8.9 小结 314

第9章　Group Policy故障诊断 315

9.1　确定是否已经应用了策略 317

9.1.1　使用GPMC 317

9.1.2　使用Resultant Set ofPolicy 319

9.1.3　使用GPResult 321

9.2　确定是否正确实现了Group Policy设计 322

9.3.2　基本网络连接的故障诊断 329

9.3　网络问题故障诊断 329

9.3.1　身份验证的故障诊断 329

9.3.3　DNS故障诊断 330

9.3.4　使用DCDIAG和NetDiag查找DNS问题 334

9.3.5　使用Portqry 336

9.3.6　手动检查DNS记录查找问题 336

9.3.7　使用nslookup测试DNS 336

9.3.8　检查事件查看器记录 337

9.4　Active Directory和FRS复制的故障诊断 337

9.4.1　信任关系问题 337

9.4.2　Active Directory复制问题 338

9.4.3　使用DNSLint测试复制 339

9.4.4　使用replmon.exe检查复制 340

9.4.5　使用Repadmin.exe检查复制伙伴之间的复制链接 341

9.4.6　使用GPOTool.exe、Event Viewer和GPMC检查丢失或被破坏的文件 344

9.4.7　Verbose记录 345

9.5　Group Policy对象设计的故障诊断 351

9.6　监控GPO最佳状态 352

9.7　小结 354

第10章　保护Active Directory安全 355

10.1　物理地保护域控制器 356

10.1.1　所有域控制器的物理安全 356

10.1.2　分支机构和小型办公室的物理安全 360

10.1.3　外联网和周边网络的物理安全 363

10.2.1　DC安全基线配置 364

10.2　建立安全配置 364

10.2.2　安全模板／域策略配置 365

10.2.3　本地策略 369

10.2.4　事件日志设置 374

10.2.5　系统服务 375

10.2.6　注册表和文件系统 376

10.2.7　额外的安全配置 378

10.3　建立安全管理实践 378

10.3.1　人事问题 378

10.3.2　保护管理角色 379

10.3.3　保护应用程序和用户访问域控制器的安全 382

10.4　部署安全域控制器 382

10.4.1　准备 383

10.4.3　保护复制安全 386

10.4.2　自动安装域控制器 386

10.5 小结 387

第11章　保护基础结构角色的安全 388

11.1　安全模板 389

11.2　如何使用安全模板通过角色保护计算机 390

11.2.1　创建并操作模板 392

11.2.2　创建基线模板保护所有服务器 394

11.2.3　根据具体环境调整样本模板 395

11.2.4　使用递增模板和其他技术为基础结构服务器提供安全性 405

11.2.5　保护其他角色的安全 412

11.3　应用安全模板 413

11.3.1 使用Active Directory设计保护计算机角色 413

11.3.2　使用安全配置和分析工具 415

11.4　小结 418

第Ⅳ部分　公钥基础结构（PKI） 421

第12章　PKI基础 421

12.1　PKI入门 421

12.1.1　公钥加密过程 421

12.1.2　PKI组件 424

12.2　Windows Server 2003的PKI体系结构 429

12.2.1　证书存储区 429

12.2.2　证书模板 431

12.2.3　执行策略和策略文件 435

12.2.4　证书颁发机构（CA） 437

12.2.5　CA层次 437

12.2.6　证书吊销列表（CRL） 440

12.2.8　CA角色 441

12.2.7　delta CRL 441

12.3　证书服务处理 444

12.4 小结 459

第13章　实现安全的PKI 460

13.1　安装离线根CA 460

13.1.1　服务器准备工作 461

13.1.2　创建capolicy.inf文件 462

13.1.3　离线根CA安装指南 463

13.1.4　单机根CA安装之后的配置 465

13.2　安装和配置从属CA 474

13.2.1　安装从属CA 475

13.2.2　在IIS上启用ASP 475

13.3　使用定制模板为EFS配置密钥存档 486

13.4 小结 490

第Ⅴ部分　保护虚拟网络安全 493

第14章　保护远程访问安全 493

14.1 保护传统远程访问门户 493

14.1.1 Windows Server 2003 RRAS和IAS的安全安装准备 494

14.1.2　安装和配置RRAS 495

14.1.3　安装和配置IAS 503

14.1.4　配置客户机使用远程访问 506

14.1.5　配置用户账户远程访问属性 506

14.1.6　远程访问连接过程 513

14.1.7　为RRAS和IAS配置身份验证和审核 514

14.1.8　VPN协议考虑事项 518

14.1.9　L2TP/IPSec、NAT和NAT-T 519

14.1.10　VPN协议的防火墙端口 520

14.1.11　网络访问隔离控制 521

14.2　使用ISA保护无线访问安全 525

14.2.1 Native 802.11安全特性 525

14.2.2　WiFi保护访问（WPA） 526

14.2.3　使用VPN 526

14.2.4　使用802.1x 527

14.2.5　保护无线客户机安全 532

14.3　保护基于Web服务器访问内部资源的安全 534

14.3.1　Web服务器安全基础 534

14.3.2　远程访问考虑事项 538

14.4　小结 539

15.1　使用SMB签名 540

第15章　保护传输中的数据安全 540

15.2　使用NTLM的会语安全 541

15.3　使用IPSec策略 541

15.3.1 Windows Server 2003中的IPSec实现 542

15.3.2　编写IPSec策略 547

15.3.3　特殊IPSec策略操作 558

15.3.4　IPSec监控和故障诊断 560

15.4　使用安全套接字层（SSL） 564

15.4.1　SSL的工作原理 565

15.4.2　在IIS中实现SSL 566

15.5　使用LDAP服务器签名 570

15.6　小结 571

16.1 变更管理的维护策略 575

第Ⅵ部分　维护和恢复 575

第16章　维护策略和管理实践 575

16.1.1　安全策略维护 576

16.1.2　更新安全性 578

16.2　补丁管理的维护策略 580

16.2.1　补丁管理过程 580

16.2.2　打补丁的过程 583

16.3　管理实践 598

16.3.1　采用安全管理实践 599

16.3.2　保护管理过程 600

16.3.3　保护管理账户 601

16.3.4　强化远程管理工具 601

16.4 小结 614

第17章　数据备份和恢复基础 615

17.1　备份策略、标准和过程 616

17.1.1　Active Directory特有的备份基础知识 617

17.1.2　备份是业务持续性计划的一部分 617

17.2　如何使用Ntbackup 618

17.2.1　备份文件和文件夹 618

17.2.2　系统状态备份 622

17.2.3　备份默认设置和配置选项 624

17.2.4　命令行备份 625

17.2.5　恢复文件和文件夹 626

17.2.6　恢复系统状态备份 628

17.3 自动系统恢复 628

17.4　卷影像复制服务 629

17.4.1 创建影像复制卷 630

17.4.2　从影像副本进行恢复 633

17.4.3　命令行影像复制管理 633

17.5　各种备份工具 634

17.6　从删除对象的存储区中使用户复活 637

17.7　Active Directory恢复 638

17.7.1　标准恢复 639

17.7.2　授权恢复 639

17.8　IIS备份过程 643

17.9　证书颁发机构（CA）备份 644

17.10　小结 645

第18章　审核 649

第Ⅶ部分　监控和审核 649

18.1　为森林建立Windows Server 2003审核策略 650

18.2 审核单机Windows Server 2003计算机 665

18.3　审核服务器应用程序和服务 666

18.3.1　网络服务审核 666

18.3.2　IPSec审核 668

18.3.3 证书颁发机构（CA）审核 668

18.3.4　VPN审核 669

18.3.5　授权管理器审核 671

18.3.6　Net Logon调试日志 671

18.4　审核安全控制：策略一致性、漏洞评估和渗透测试 672

18.4.1　使用安全配置和分析工具来审核安全配置 673

18.4.2　审核特定计算机和用户的安全配置 674

18.4.3　扫描已知的漏洞 676

18.4.4　渗透测试 679

18.5　审核物理安全性 680

18.6　审核策略、标准和过程 680

18.7　检查安全意识 680

18.8　审核外来人员：其他人对公司的信息安全的影响 681

18.9　小结 681

第19章　监控和评估 682

19.1　建立基准 682

19.2　监控基本的服务 684

19.2.1　监控DNS和网络连接 684

19.2.2　监控DHCP 687

19.2.3　监控PKI 688

19.2.4　监控路由和远程访问 689

19.2.5　监控共享 691

19.2.6　监控所有活动的服务 692

19.3 监控活动目录和组策略 692

19.3.1　使用dcdiag来获得一个全面的状况报告 693

19.3.2 监控Active Directory复制 696

19.3.3　监控FRS复制 701

19.3.4　监控Group Policy操作 705

19.3.5　使用性能监控 707

19.4　监控事件日志 711

19.4.1 使用EventCombMT 711

19.4.2　使用Lockoutstatus 712

19.5　事件响应介绍 713

19.6　小结 714