第1部分 Windows安全基础 3
第1章 主体、用户以及其他角色 3
1.1 主体、对象和元组 3
1.2 安全主体的类型 4
1.2.1 用户 4
1.2.2 计算机 5
1.2.3 组 6
1.2.4 抽象概念(登录组) 7
1.2.5 服务 8
1.3 安全标识符 8
1.3.1 安全标识符的组成 9
1.3.2 安全标识符的颁发机构 9
1.3.3 服务安全标识符 11
1.3.4 内置安全标识符 11
小结 12
相关资源 12
第2章 认证系统和认证协议 13
2.1 用户已知和已有的凭证 13
2.1.1 用户已知道的凭证 13
2.1.2 用户所有的凭证 14
2.1.3 用户的生物特征 14
2.2 认证符存储 15
2.2.1 LM哈希运算 16
2.2.2 NT哈希运算 18
2.2.3 密码验证 18
2.2.4 存储器 19
2.2.5 反转加密 20
2.3 认证协议 21
2.3.1 基本身份认证 21
2.3.2 质询-响应协议 22
2.4 智能卡认证 27
2.4.1 智能卡和密码 28
2.5 密码攻击 28
2.5.1 获得密码 28
2.5.2 利用截获的信息 31
2.5.3 保护密码 32
2.6 管理密码 34
2.6.1 使用其他认证系统 34
2.6.2 安全地记录密码 34
2.6.3 使用密码短语 34
2.6.4 制定密码策略 34
2.6.5 细化密码策略 35
小结 39
相关资源 39
第3章 管理对象 41
3.1 访问控制术语 41
3.1.1 安全对象 41
3.1.2 安全描述符 42
3.1.3 访问控制列表 43
3.1.4 访问控制列表项(ACE) 44
3.1.5 访问掩码 46
3.1.6 访问列表结构间的联系 49
3.1.7 继承 49
3.1.8 安全令牌 51
3.1.9 访问审核进程 53
3.1.10 完整性标记 54
3.1.11 空和NULL DACL 55
3.1.12 安全描述定义语言(SDDL) 55
3.2 权限管理工具 58
3.2.1 cacls和icacls 58
3.2.2 SC 59
3.2.3 subinacl 59
3.3 Windows Server 2008中访问控制的改变 59
3.3.1 TrustedInstaller权限 59
3.3.2 网络位置SID 59
3.3.3 文件系统名称空间的改变 60
3.3.4 Power User权限移除 60
3.3.5 OWNER_RIGHT和所有权 60
3.4 用户权利和特权 60
3.5 RBAC和AZMAN 63
小结 63
相关资源 64
第4章 用户账户控制(UAC) 65
4.1 用户账户控制概述 65
4.2 令牌筛选 66
4.3 UAC组件 67
4.3.1 UAC提升用户体验 67
4.3.2 应用程序信息服务(AIS) 69
4.3.3 文件和注册表虚拟化 69
4.3.4 应用程序清单与执行请求级别 71
4.3.5 安装程序检测技术 72
4.3.6 用户界面特权隔离 72
4.3.7 安全桌面 72
4.3.8 使用远程协助 73
4.3.9 UAC远程管理限制 74
4.3.10 在管理批准模式下映射网络驱动程序 75
4.3.11 登录时阻止应用程序 76
4.3.12 用UAC配置应用程序的兼容性 77
4.4 UAC组策略设置 77
4.4.1 在安全选项下创建UAC组策略 77
4.4.2 UAC相关策略 81
4.5 Windows Server 2008和Windows Vista SP1中的UAC新特性 83
4.6 UAC最佳实践 83
4.6.1 不错的解决方案 83
4.6.2 更好的解决方案 84
4.6.3 最好的解决方案 84
小结 84
相关资源 84
第5章 防火墙和网络访问保护 85
5.1 Windows筛选平台 86
5.2 高级安全性的Windows防火墙 87
5.2.1 防火墙的改进 88
5.2.2 管理Windows防火墙 90
5.3 路由和远程访问服务 97
5.3.1 RRAS的新特性 97
5.4 Internet协议安全 100
5.4.1 IPSec基础 101
5.4.2 IPSec新特性 102
5.5 网络访问保护 105
5.5.1 NAP架构 105
5.5.2 NAP原理 108
5.5.3 NAP适用场合 110
小结 113
相关资源 113
第6章 服务 114
6.1 服务简介 114
6.1.1 什么是服务 114
6.1.2 服务登录账户 115
6.1.3 服务侦听端口 117
6.1.4 配置服务 117
6.1.5 Windows Server 2008服务角色 121
6.2 针对服务的攻击 121
6.2.1 Blaste蠕虫 121
6.2.2 常见服务攻击媒介 122
6.3 服务强化 123
6.3.1 最小特权 124
6.3.2 服务SID 126
6.4 服务安全 133
6.4.1 作服务清单 133
6.4.2 最小化运行服务 134
6.4.3 使用最小化特权安全模型 135
6.4.4 及时更新 135
6.4.5 创建和使用自定义服务账户 135
6.4.6 使用防火墙和IPsec进行网络隔离 136
6.4.7 检查服务失败 136
6.4.8 开发和使用安全服务 137
小结 137
相关资源 137
第7章 组策略 138
7.1 Windows Server 2008中组策略的新特性 138
7.2 组策略基础 139
7.2.1 本地组策略对象(GPO) 139
7.2.2 基于活动目录的GPO 140
7.2.3 组策略处理 145
7.3 组策略的变化 147
7.3.1 组策略服务 147
7.3.2 ADMX和中央存储 148
7.3.3 Starter GPO 149
7.3.4 组策略注释 150
7.3.5 筛选的改进 152
7.3.6 新的安全策略管理 154
7.3.7 高级安全Windows防火墙 156
7.3.8 有线和无线网络策略 158
7.4 管理安全设置 160
小结 162
相关资源 162
第8章 审核 163
8.1 审核的意义和作用 163
8.2 Windows审核的工作原理 164
8.3 设置审核策略 166
8.3.1 审核策略选项 169
8.4 优化审核策略 171
8.5 Windows Server 2008中的新事件 172
8.6 使用内建工具分析事件 176
8.6.1 事件查看器 176
8.6.2 WEvtUtil.exe 182
小结 183
第2部分 使用活动目录实现身份与访问控制 187
第9章 活动目录域服务安全性设计 187
9.1 新的用户界面 187
9.2 AD DS安装向导 189
9.3 只读域控制器 190
9.3.1 只读AD DS数据库 191
9.3.2 RODC筛选的属性集 191
9.3.3 单向复制 192
9.3.4 证书缓存 192
9.3.5 只读DNS 194
9.3.6 RODC的阶段性安装 195
9.4 可重新启动的AD DS 196
9.4.1 概述 197
9.4.2 重启AD DS 197
9.5 Active Directory数据库装载工具 197
9.5.1 Dsamain.exe概述 198
9.5.2 使用Dsamain.exe的主要步骤 198
9.6 AD DS审核 199
9.6.1 审核AD DS访问 199
9.7 Active Directory轻型目录服务 203
9.7.1 AD LDS概述 203
9.7.2 Windows Server 2008中AD LDS新特性 205
9.8 Active Directory联合身份验证服务 206
9.8.1 什么是AD FS 206
9.8.2 AD FS的新特性 206
小结 207
相关资源 207
第10章 活动目录证书服务 209
10.1 Windows Server 2008中PKI的新特性 209
10.2 证书服务的安全威胁与解决策略 210
10.2.1 CA密钥对丢失 211
10.2.2 阻止证书注销 211
10.2.3 意图修改CA设置 213
10.2.4 意图修改证书模板 213
10.2.5 添加不可信任的CA到信任根CA存储 214
10.2.6 注册代理发布非授权证书 215
10.2.7 独立管理员的CA问题 216
10.2.8 非授权的用户密钥还原 217
10.3 证书服务安全 217
10.3.1 物理安全措施 217
10.4 最佳方案 218
小结 219
相关资源 219
第3部分 常用的安全方案 223
第11章 服务器角色安全 223
11.1 角色与功能比较 223
11.1.1 默认的角色和功能 224
11.2 安装角色和功能 229
11.2.1 已安装的服务器 229
11.3 服务器核心 230
11.3.1 Server Core概述 231
11.3.2 Server Core支持的服务器角色 231
11.3.3 Server Core支持的功能 231
11.3.4 Server Core不支持的角色与功能 232
11.4 服务器角色管理工具 233
11.4.1 初始配置任务 233
11.4.2 添加角色和功能向导 234
11.4.3 服务器管理器 234
11.5 安全配置向导 236
11.5.1 安全配置向导简介 236
11.5.2 使用SCW审核和强制安全 237
11.6 多角色服务器 242
小结 243
第12章 补丁管理 244
12.1 补丁管理流程 244
12.1.1 第1步:评估 244
12.1.2 第2步:标识 245
12.1.3 第3步:评价和计划 247
12.1.4 部署 248
12.2 安全更新解析 249
12.2.1 支持的命令行参数 249
12.2.2 将MUS文件集成到Windows映像 250
12.3 补丁管理工具 250
12.3.1 Microsoft下载中心 251
12.3.2 Microsoft Update目录 251
12.3.3 Windows Update和Microsoft Update 252
12.3.4 Windows自动更新 252
12.3.5 Microsoft Baseline Security Analyzer微软基准安全分析器 253
12.3.6 Windows服务器更新服务(WSUS) 256
12.3.7 System Center Essentials 2007 270
小结 270
相关资源 270
第13章 保障网络安全 272
13.1 安全依赖 274
13.1.1 可接受的依赖 274
13.1.2 不可接受的依赖 275
13.1.3 攻击的依赖分析 276
13.2 依赖类型 277
13.2.1 使用依赖 277
13.2.2 基于访问的依赖 277
13.2.3 管理依赖 279
13.2.4 服务账户依赖 279
13.2.5 操作依赖 279
13.3 减少依赖 279
13.3.1 第1步:定义分类方案 280
13.3.2 第2步和第3步:网络威胁建模 281
13.3.3 第4步:分析与简化 284
13.3.4 第5步:设计隔离策略 285
13.3.5 第6步:导出可操作策略 286
13.3.6 第7步:实施限制 286
小结 288
相关资源 288
第14章 分支机构的安全 289
14.1 分支机构概述 289
14.1.1 分支机构的重要性 289
14.1.2 分支机构中的特点 289
14.1.3 创建分支机构 290
14.2 分支机构中的Windows Server 2008 292
14.2.1 非安全性功能 292
14.2.2 分支机构的安全功能 293
14.3 其他安全措施 302
小结 302
相关资源 303
第15章 中小企业解决方案 304
15.1 为中小企业架设服务器 304
15.1.1 选择正确的平台与角色 305
15.2 为小型企业设计的服务器 307
15.2.1 Windows Server 2008 Web Edition 307
15.2.2 Windows Server Code Name“Cougar” 307
15.2.3 Windows Essential Business Server 309
15.2.4 托管服务器 310
15.2.5 虚拟化 310
15.3 使用多角色服务器 310
15.3.1 可接受的角色 311
15.3.2 服务器组件 311
15.3.3 风险考虑 312
15.3.4 Edge Server 313
15.3.5 支持与更新 314
15.3.6 服务器恢复 315
15.4 中小企业的最优化方案 317
15.4.1 安全指南 317
15.4.2 策略 320
15.4.3 销售商的最优化方案 322
15.4.4 远程访问 323
15.4.5 监控和管理加载项 324
15.4.6 桌面控制和管理中的服务器角色 326
15.4.7 其他的服务器设置建议 329
小结 333
相关资源 333
第16章 应用服务器安全 336
16.1 概述 336
16.2 IIS 7:传承安全理念 337
16.3 配置IIS 7 337
16.4 基于TCP/IP的安全 339
16.4.1 IP地址安全 339
16.4.2 端口安全 341
16.4.3 主机头安全 341
16.5 基于路径的安全 342
16.5.1 限制物理路径 342
16.5.2 文件夹和目录浏览 344
16.6 验证和授权 345
16.6.1 匿名身份验证 346
16.6.2 基本身份验证 346
16.6.3 客户端证书映射 347
16.6.4 摘要式身份验证 349
16.6.5 ASP.Net模拟 350
16.6.6 表单身份验证 350
16.6.7 Windows身份验证 351
16.6.8 信任服务器 352
16.6.9 IIS其他安全考虑 353
小结 357
相关资源 357