第1章 Windows 2000的安全特征 1
1.1 简介 1
1.1.1 Windows 2000的活动目录 1
1.1.2 分布式安全和安全协议 2
1.1.3 配置智能卡 3
1.1.4 加密 3
1.1.5 IP安全 4
1.1.6 虚拟专用网 4
1.1.7 安全配置和分析工具 4
1.2 快速解决方案 5
1.2.1 了解活动目录结构 5
1.2.2 集中式安全账户管理 6
1.2.3 使用可传递的双向信任 6
1.2.4 委托管理 7
1.2.5 运用访问控制表实现细粒度访问权限 8
1.2.6 使用安全性协议 8
1.2.7 使用安全支持提供者接口 9
1.2.8 使用Kerberos5鉴别协议 10
1.2.9 为Internet安全使用公钥证书 14
1.2.10 实现企业与企业之间的访问 17
1.2.11 提供企业解决方案 18
1.2.12 使用NTLM凭证 18
1.2.13 使用Kerberos凭证 18
1.2.14 使用私/公钥对和证书 19
1.2.15 使用Internet协议安全性 19
1.2.16 使用虚拟专用网 20
1.2.17 使用安全配置工具 21
1.2.18 从NT4移植到Windows 2000 22
第2章 活动目录与访问控制表 24
2.1 简介 24
2.2 快速解决方案 26
2.2.1 支持开放式标准 26
2.2.2 支持标准的名字格式 27
2.2.3 使用应用编程接口 27
2.2.4 使用Windows Scripting Host 30
2.2.5 灵活性 32
2.2.6 使用分布式安全性 36
2.2.7 使用组策略编辑器的安全设置扩展 36
2.2.8 分析默认访问控制设置 39
2.2.9 分析默认组成员资格 41
2.2.10 用户环境之间的切换 42
2.2.11 升级机器与默认安全设置同步 42
2.2.12 使用安全模板插件 43
2.2.13 使用访问控制表编辑器 45
第3章 组策略 47
3.1 简介 47
3.1.1 组策略的权力和益处 47
3.1.2 组策略和活动目录 48
3.2 快速解决方案 50
3.2.1 用活动目录结构链接组策略 50
3.2.2 配置组策略插件 50
3.2.3 域或OU的组策略访问 51
3.2.4 创建组策略对象 52
3.2.5 组策略对象的编辑 53
3.2.6 授予用户域控制器本地登录权 54
3.2.7 管理组策略 55
3.2.8 组策略的添加或浏览 56
3.2.9 继承与覆盖的设置 57
3.2.10 禁用GPO的某些部分 60
3.2.11 将单个GPO链接到多个站点、域和OU 61
3.2.12 基于注册表策略的管理 62
3.2.13 建立脚本 65
3.2.14 使用安全组进行过滤 66
3.2.15 使用回送处理以制定计算机特有的策略 68
3.2.16 设置审计策略 71
第4章 安全协议 73
4.1 简介 73
4.2 快速解决方案 75
4.2.1 建立共享秘密协议 75
4.2.2 使用密钥分发中心 76
4.2.3 理解KERBEROS子协议 79
4.2.4 鉴别登录 82
4.2.5 Kerberos票据分析 86
4.2.6 委托鉴别 88
4.2.7 配置Kerberos域策略 88
4.2.8 使用安全支持提供者接口 90
第5章 加密文件系统 93
5.1 简介 93
5.1.1 为什么需要数据加密 93
5.1.2 加密文件系统 94
5.2 快速解决方案 97
5.2.1 使用cipher命令行工具 97
5.2.2 加密文件或文件夹 98
5.2.3 解密文件或文件夹 99
5.2.4 复制、移动、重命名加密的文件或文件夹 100
5.2.5 备份加密文件夹或文件 101
5.2.6 还原加密文件夹或文件 102
5.2.7 还原文件到不同的计算机 103
5.2.8 在独立计算机内保护默认恢复密钥 106
5.2.9 保护域内默认恢复密钥 108
5.2.10 添加恢复代理 108
5.2.11 为指定的OU设置恢复策略 110
5.2.12 恢复文件或文件夹 110
5.2.13 禁用指定计算机组的EFS 111
第6章 公开密钥 112
6.1 简介 112
6.1.1 公钥密码学 112
6.1.2 有保护作用和值得信任的密钥 113
6.1.3 Windows 2000 PKI组件 115
6.2 快速解决方案 117
6.2.1 启用域客户设置 117
6.2.2 应用Windows 2000公钥的安全性 121
6.2.3 设置WWW安全性 122
6.2.4 在IE中使用基于公钥的验证 123
6.2.5 设置Microsoft Outlook以使用安全套接层协议 124
6.2.6 建立基于公钥体制的安全电子邮件 125
6.2.7 配置OUTLOOK EXPRESS以使用PK的安全性 126
6.2.8 配置OUTLOOK以使用PK安全性 130
6.2.9 实现互操作性 132
第7章 证书服务 135
7.1 简介 135
7.1.1 证书 135
7.1.2 建立企业CA 137
7.1.3 多CA层次结构中的信任 138
7.2 快速解决方案 138
7.2.1 建立证书颁发机构 138
7.2.2 使用WEB页面的证书服务 140
7.2.3 安装CA证书 142
7.2.4 申请高级证书 144
7.2.5 注册使用PKCS#10申请文件 146
7.2.6 配置域以信任外部CA 147
7.2.7 为计算机建立自动证书申请 149
7.2.8 启动或停止证书服务 149
7.2.9 备份或恢复证书服务的服务 150
7.2.10 显示证书服务日志和数据库 152
7.2.11 吊销颁发的证书和发布CRL 153
7.2.12 配置证书服务策略和退出模块 155
第8章 为用户账号映射证书 156
8.1 简介 156
8.1.1 为什么需要证书映射 156
8.1.2 映射类型 157
8.1.3 映射在哪里发生 157
8.2 快速解决方案 158
8.2.1 安装用户证书 158
8.2.2 导出一个证书 159
8.2.3 安装CA证书 161
8.2.4 为UPN映射配置活动目录 162
8.2.5 为一对一映射配置活动目录 166
8.2.6 为一对一映射配置IIS 167
8.2.7 为多对一映射配置活动目录 168
8.2.8 为多对一映射配置IIS 168
8.2.9 测试映射 169
第9章 智能卡 173
9.1 简介 173
9.1.1 什么是智能卡 173
9.1.2 智能卡的互操作性 174
9.1.3 对智能卡的支持 176
9.1.4 对智能卡读卡器的支持 176
9.2 快速解决方案 177
9.2.1 安装智能卡读卡器 177
9.2.2 安装智能卡注册站 178
9.2.3 智能卡的发行 180
9.2.4 使用智能卡登录 183
9.2.5 配置智能卡 186
9.2.6 智能卡发放问题的解决 188
9.2.7 确保智能卡登记站的安全 189
9.2.8 在智能卡上设置应用 189
9.2.9 使用智能卡软件开发包 190
9.2.10 利用微软提供的API 194
9.2.11 使用JAVA CARD API 2.1 195
9.2.12 使用开放的卡框架 196
第10章 IP安全 198
10.1 简介 198
10.1.1 IP安全保护 198
10.1.2 IPSEC的特点 198
10.1.3 安全关联 200
10.2 快速解决方案 201
10.2.1 IPSec操作分析 201
10.2.2 指定IPSec设置 202
10.2.3 在单个计算机上配置IPsec 204
10.2.4 为一个域配置IPSec 208
10.2.5 改变安全方法 208
10.2.6 为一个组织单元配置IPSec 209
第11章 虚拟专用网 212
11.1 简介 212
11.1.1 使用虚拟专用网 212
11.1.2 隧道技术 213
11.1.3 身份验证 214
11.1.4 PPTP和L2TP的比较 215
11.1.5 远程拨入用户身份验证服务 215
11.2 快速解决方案 216
11.2.1 指定VPN策略 216
11.2.2 建立VPN服务器 220
11.2.3 配置VPN服务器 221
11.2.4 配置VPN客户机 222
11.2.5 组织远程访问用户账户 224
11.2.6 为路由器到路由器VPN连接创建远程访问策略 225
11.2.7 启用相互身份验证 225
11.2.8 自动获取计算机证书 226
11.2.9 增加L2TP和PPTP端口 227
11.2.10 建立RADIUS服务器 227
第12章 安全配置和分析工具 228
12.1 简介 228
12.1.1 配置工具 228
12.1.2 安全模板设置 229
12.1.3 预定义安全模板 230
12.2 快速解决方案 231
12.2.1 安全配置的创建和分析 231
12.2.2 编辑安全配置 232
12.2.3 导出安全配置 233
12.2.4 编辑安全模板 234
12.2.5 使用Secedit命令 236
术语表 240