第1章 Windows Server 2008操作系统安全概述 1
1.1 Windows Server 2008操作系统安全策略 1
1.1.1 操作系统安装注意事项 1
1.1.2 配置Internet防火墙系统 2
1.1.3 运行安全配置向导 4
1.1.4 安装防病毒系统注意事项 13
1.1.5 计算机病毒及单机防病毒系统 14
1.1.6 网络防病毒系统 16
1.1.7 安装防间谍软件 16
1.1.8 配置应用程序 18
1.1.9 更新安全补丁 18
1.2 系统服务安全 21
1.2.1 实现系统服务安全 21
1.2.2 系统服务详解 23
1.3 用户安全 30
1.3.1 账户策略安全 30
1.3.2 用户账户安全 32
1.3.3 权限和安全 35
1.3.4 文件权限的访问控制 36
1.3.5 系统账号数据库 39
1.3.6 备份账号数据库 40
1.4 系统设置安全 42
1.4.1 关闭NetBIOS端口 42
1.4.2 注册表安全 43
1.4.3 日志审核 47
1.4.4 文件加密 48
小结 49
习题 49
实验:部署Windows Server 2008自动更新 49
第2章 活动目录安全 50
2.1 安全描述符 50
2.1.1 安全描述符概述 50
2.1.2 查看安全描述符 51
2.2 有效权限计算器 52
2.2.1 有效权限计算规则 53
2.2.2 检索有效权限 53
2.3 访问控制继承 54
2.3.1 设置权限继承 54
2.3.2 取消继承权限 56
2.4 权限委派 57
2.4.1 权限委派概述 57
2.4.2 委派操作权限 58
2.5 用户权利 63
2.5.1 特权 63
2.5.2 登录权利 68
2.6 组管理活动目录对象 69
2.6.1 组类型 69
2.6.2 默认组 71
2.6.3 组作用域 74
2.6.4 创建用户组 76
2.7 服务账户 77
2.7.1 服务权限 78
2.7.2 修改服务登录账户 79
2.7.3 服务的依存关系 80
2.7.4 硬件配置文件启用或禁用服务 80
2.8 活动目录数据库安全 81
2.8.1 活动目录数据库文件概述 81
2.8.2 设置目录数据库访问权限 81
2.8.3 活动目录数据库的备份 82
2.8.4 活动目录数据库的恢复 86
小结 88
习题 88
实验:权限委派 88
第3章 用户账户安全 89
3.1 系统管理员账户的管理 89
3.1.1 系统管理员密码设置 89
3.1.2 系统管理员账户安全管理 90
3.2 用户账户的管理 92
3.2.1 创建新用户账户 93
3.2.2 重设账户密码 95
3.2.3 禁用、启用和删除用户账户 99
3.2.4 限制用户登录时间 100
3.2.5 限制用户可以登录的工作站 101
3.3 用户组的管理 102
3.3.1 添加用户组 102
3.3.2 向用户组中添加成员 103
3.3.3 为组指定管理员 105
3.3.4 更改组作用域或组类型 106
3.3.5 删除组 106
3.4 用户权限的安全 106
3.4.1 为用户设置权限 106
3.4.2 设置共享文件夹权限 107
3.5 用户环境 110
3.5.1 重定向用户配置文件 110
3.5.2 重定向程序安装目录Program Files 111
3.5.3 重定向IE临时文件夹 112
3.5.4 重定向虚拟内存 113
小结 115
习题 115
实验:设置账户锁定策略和解锁账户 116
第4章 组策略安全 117
4.1 组策略模板 117
4.1.1 组策略模板概述 117
4.1.2 ADMX与ADM的不同之处 118
4.1.3 ADMX文件编辑方式 118
4.2 安全策略 119
4.2.1 账户策略 119
4.2.2 审核策略 125
4.2.3 用户权限分配 129
4.3 软件限制策略 133
4.3.1 软件限制策略简介 134
4.3.2 安全级别设置 134
4.3.3 默认规则 139
小结 141
习题 142
实验:赋予普通账户远程关机权限 142
第5章 系统漏洞 143
5.1 漏洞概述 143
5.1.1 漏洞的特性 143
5.1.2 漏洞生命周期的5个基本阶段 144
5.1.3 漏洞管理流程 145
5.1.4 漏洞修补方略 147
5.2 漏洞扫描 148
5.2.1 漏洞扫描概述 148
5.2.2 漏洞扫描工具MBSA功能简介 149
5.2.3 MBSA的安装 159
5.2.4 MBSA的应用 159
5.3 修补原则 165
5.3.1 备份相关数据 166
5.3.2 核对补丁信息 166
5.3.3 选择安装模式 167
小结 167
习题 167
实验:使用MBSA扫描本地IIS服务漏洞 168
第6章 端口和网络安全 169
6.1 端口分类 169
6.1.1 按端口号划分 169
6.1.2 按协议类型划分 170
6.1.3 应用程序和服务端口 171
6.2 查看端口 172
6.2.1 Windows内置端口查看命令 172
6.2.2 端口查询工具——PortQry 175
6.2.3 端口监控工具——Port Reporter 189
6.3 关闭/开启端口 194
6.3.1 关闭服务法 194
6.3.2 IP安全策略法 195
6.4 端口重定向 208
6.4.1 WWW服务的重定向 208
6.4.2 FTP服务的重定向 209
6.4.3 终端服务端口重定向 210
小结 212
习题 212
实验:关闭23端口 212
第7章 Internet信息服务安全 213
7.1 IIS安全机制 213
7.1.1 IIS访问控制安全 213
7.1.2 NTFS访问安全 214
7.1.3 身份验证 215
7.1.4 IIS安装安全 216
7.2 WWW服务安全 217
7.2.1 用户控制安全 217
7.2.2 访问权限控制 219
7.2.3 授权规则 222
7.2.4 IPv4地址控制 223
7.2.5 IP转发安全 225
7.2.6 SSL安全 226
7.2.7 审核IIS日志记录 229
7.2.8 设置内容过期 231
7.2.9 内容分级设置 232
7.2.10 注册MIME类型 233
7.3 FTP服务安全 234
7.3.1 设置TCP端口 234
7.3.2 连接数量限制 234
7.3.3 用户访问安全 235
7.3.4 文件访问安全 237
7.4 基于IIS 6.0的Web安全 238
7.4.1 内容分级设置 238
7.4.2 获取用于SSL加密的服务器证书 239
小结 243
习题 244
实验:搭建安全的FTP服务器 244
第8章 文件安全 245
8.1 基于NTFS文件系统的安全设置 245
8.1.1 NTFS权限概述 245
8.1.2 NTFS文件夹权限和NTFS文件权限 245
8.1.3 访问控制列表 246
8.1.4 多重NTFS权限 247
8.1.5 NTFS权限的继承性 249
8.1.6 设置NTFS权限 250
8.1.7 设置磁盘配额 256
8.1.8 文件屏蔽 259
8.1.9 文件权限审核 263
8.2 权限管理服务 266
8.2.1 安装AD RMS前的准备 266
8.2.2 安装AD RMS服务器 266
8.2.3 配置AD RMS服务器 271
8.2.4 AD RMS客户端部署及应用 280
8.3 信息权限管理 284
8.3.1 IRM简介 284
8.3.2 创建被保护的安全文档 285
8.3.3 使用被保护文档 287
8.3.4 请求权限 288
8.4 共享资源安全 289
8.4.1 管理共享文件夹权限 289
8.4.2 默认共享安全 292
小结 297
习题 297
实验:使用AD RMS保护共享文档的安全 297
第9章 Windows防火墙 299
9.1 Windows防火墙基本配置 299
9.1.1 Windows防火墙概述 299
9.1.2 开启/关闭防火墙 301
9.1.3 还原Windows防火墙默认设置 302
9.2 访问控制配置 302
9.2.1 允许/限制端口访问 303
9.2.2 允许/限制程序访问 304
9.3 使用组策略配置Windows防火墙 306
9.3.1 创建组策略 306
9.3.2 允许通过验证的IPSec旁路 307
9.3.3 标准配置文件/域配置文件 307
9.4 高级安全Windows防火墙基本配置 316
9.4.1 高级安全Windows防火墙概述 316
9.4.2 配置防火墙规则 317
9.4.3 创建IPSec连接安全规则 322
9.5 配置Windows防火墙事件审核 325
9.5.1 启用审核设置 325
9.5.2 查看Windows防火墙事件 328
9.5.3 筛选Windows防火墙事件 329
9.5.4 配置Windows防火墙日志文件 330
小结 331
习题 331
实验:使用防火墙阻止QQ访问网络 331
第10章 系统补丁维护 333
10.1 Microsoft Update 333
10.1.1 系统更新注意事项 333
10.1.2 系统更新设置 334
10.2 系统更新服务 336
10.2.1 WSUS概述 336
10.2.2 WSUS服务器的安装 337
10.2.3 WSUS服务器的设置 341
10.2.4 WSUS客户端的安装和设置 350
小结 355
习题 355
实验:使用WSUS服务器管理客户端更新 355
第11章 使用SCCM 2007分发客户端更新 356
11.1 安装SCCM 2007服务器 356
11.1.1 准备工作 356
11.1.2 安装SCCM 2007服务器 367
11.1.3 安装SCCM 2007 R2 371
11.2 配置SCCM 2007服务器 372
11.2.1 配置站点边界 372
11.2.2 配置站点系统角色 373
11.2.3 配置客户代理组件 378
11.2.4 配置客户端发现方法 381
11.2.5 配置客户端安装方法 383
11.3 配置SCCM 2007客户端 385
11.3.1 发现客户端 385
11.3.2 使用“推送”方式部署客户端 387
11.4 使用SCCM分发软件更新 388
11.4.1 配置客户端策略 389
11.4.2 获取软件更新 389
11.4.3 部署软件更新 389
11.4.4 客户端接收软件更新 393
小结 394
习题 394
实验:使用自动方式部署SCCM客户端 395
第12章 证书服务与SSL安全协议 396
12.1 证书服务的概念 396
12.1.1 数字证书简介 396
12.1.2 认证服务简介 397
12.2 安装证书服务 397
12.2.1 企业CA的安装 397
12.2.2 独立根CA的安装 401
12.3 配置和实现SSL证书颁发 402
12.3.1 安全套接字层(SSL)协议 402
12.3.2 使用SSL证书配置安全Web站点 403
12.4 SSL的安全漏洞及其解决方案 410
12.4.1 SSL安全漏洞 410
12.4.2 安全防范措施 411
小结 412
习题 412
实验:使用SSL证书搭建安全Web网站 412
第13章 Windows网络访问保护 414
13.1 NAP概述 414
13.1.1 NAP的组件 414
13.1.2 NAP系统工作机制 415
13.1.3 NAP的应用环境 416
13.1.4 强制方式 417
13.2 安装NPS 418
13.3 配置DHCP强制 420
13.3.1 修改DHCP相关选项 420
13.3.2 配置NPS策略 423
13.3.3 配置启用DHCP强制客户端 430
13.3.4 测试DHCP强制 432
13.4 配置VPN强制 433
13.4.1 配置VPN服务器 433
13.4.2 配置NPS服务器及策略 438
13.4.3 设置远程访问账户 445
13.4.4 配置VPN强制客户端 445
13.4.5 测试VPN强制 449
13.5 IPSec强制 451
13.5.1 概述 451
13.5.2 配置CA 453
13.5.3 配置域控制器默认策略 456
13.5.4 配置NPS 457
13.5.5 配置强制客户端 461
13.5.6 测试IPSec强制 463
小结 463
习题 463
实验:配置VPN强制 463
第14章 数据库安全 465
14.1 系统补丁 465
14.1.1 操作系统补丁 465
14.1.2 数据库补丁 466
14.2 MBSA数据库扫描 466
14.3 文件夹访问权限 468
14.3.1 文件夹共享 468
14.3.2 安全列表 469
14.4 密码审核 469
14.4.1 强密码验证 470
14.4.2 禁用系统管理员组 472
14.4.3 C2审核 474
14.4.4 修改SA账户名称 475
14.5 数据库访问权限 475
14.5.1 数据库访问权限 475
14.5.2 数据表访问权限 479
14.6 只读数据库 480
14.7 数据加密 482
14.7.1 创建数据库主密钥 482
14.7.2 创建加密密钥 484
14.7.3 加密数据列 485
14.7.4 解密数据列 487
14.8 外围应用配置器 489
14.8.1 启动外围应用配置器 489
14.8.2 服务和连接的外围应用配置器 489
14.8.3 功能的外围应用配置器 491
14.9 备份和恢复数据库 492
14.9.1 完全备份与恢复数据库 493
14.9.2 创建自动备份数据库计划 497
小结 500
习题 501
实验:备份和恢复数据库 501