Windows安全应用策略和实施方案手册

图书标准信息

• 作者 程迎春
• 出版社 人民邮电出版社
• 出版时间 2005-05
• 版次 1
• ISBN 9787115131652
• 定价 69.00元
• 装帧 平装
• 开本 其他
• 纸张 胶版纸
• 页数 642页
• 字数 1006千字

【内容简介】

本书共分10章，分别从活动目录安全管理、Windows网络安全、公钥架构配置和应用、IIS的安全使用、ISA Server防火墙应用、补丁维护与病毒防护、安全审核与监测等方面全面系统地阐述了Windows安全问题，对Windows安全所涉及的主要产品和组件进行了详细的剖析和安全应用管理指导。本书涉及的具体产品和组件包括Windows 2000、Windows 2003、CA（PKI）、IIS 5.0、IIS 6.0、ISA Server 2000、ISA Server 2004、SUS和SMS Server 2003等。

   本书内容全面、系统且实用，不仅介绍了Windows系统的安全管理技术，还以实际应用为背景，提供了大量的安全应用方案，并详细介绍了相关的配置方法和技巧，为用户掌握并实施Windows安全应用与管理提供了有力的支持。本书中的很多应用案例都是作者多年实际经验的总结，具有相当的指导意义和参考价值。

【目录】

第1章  活动目录结构安全设计与配置1

1.1 活动目录概述1

1.2 设计目录林和域的安全边界2

1.2.1 安全边界-目录林2

1.2.2 目录林的安全规划2

1.2.3 域的安全规划3

1.3 目录林和域的功能级别选择和配置4

1.3.1 Windows 2000的域模式4

1.3.2 查看Windows 2000域模式6

1.3.3 升级Windows 2000域模式7

1.3.4 Windows 2003目录林和域的功能级别8

1.3.5 Windows 2003 4种域功能级别和功能比较8

1.3.6 Windows 2003三种目录林功能级别及功能比较10

1.3.7 查看Windows 2003目录林和域的功能级别11

1.3.8 Windows 2003的目录林和域功能级别提升策略11

1.3.9 提升域功能级别13

1.3.10 提升目录林功能级别14

1.4 域信任关系的管理和配置14

1.4.1 域信任关系概述15

1.4.2  6种信任关系18

1.4.3 Windows 2000/2003目录林中的默认信任关系19

1.4.4 外部信任关系19

1.4.5 创建外部信任关系20

1.4.6 配置和管理快捷信任关系23

1.4.7 目录林信任关系介绍24

1.4.8 配置目录林信任24

1.4.9 保护目录林信任27

1.4.10 选择性身份验证介绍27

1.4.11 配置选择性身份验证28

1.4.12 启用/禁用选择性身份验证31

1.4.13 应用SID过滤31

1.5 创建组织单元实现安全管理33

1.5.1 组织单元功能介绍33

1.5.2 创建组织单位35

1.5.3 配置委派管理35

第2章  Windows和域的安全管理39

2.1 Kerberos的安全原理和应用39

2.1.1 理解Kerberos39

2.1.2 实现Kerberos委派43

2.1.3 Kerberos在网络负载均衡中的应用和配置43

2.1.4 Kerberos在Cluster群集中的应用和配置48

2.1.5 Kerberos在IPSec网络中的使用51

2.1.6 配置Kerberos策略51

2.1.7 Kerberos监控和排错51

2.2 管理和保护活动目录中的账号和组53

2.2.1 理解账号和组54

2.2.2 需要关注的活动目录账号和组57

2.2.3 保护活动目录管理组和账号64

2.2.4 采用管理账号和组的最佳做法74

2.2.5 账号的SID管理77

2.2.6 计算机账号管理78

2.3 委派身份验证81

2.3.1 理解委派81

2.3.2 理解和配置受限委派82

2.3.3 如何在Windows 2000域中实现Kerberos委派84

2.3.4 如何在Windows 2003域中实现Kerberos委派86

2.4 管理和配置时间服务89

2.4.1 时间服务对活动目录的重要性90

2.4.2 时间服务是如何工作的90

2.4.3 活动目录的时间同步91

2.4.4 通过防火墙同步时间92

2.4.5 监控时间服务92

2.5 服务器安全保护93

2.5.1 强化域控制器的安全配置93

2.5.2 保护文件安全97

2.5.3 服务器的物理安全保护103

2.6 安全安装Windows104

2.6.1 安全安装Windows操作系统104

2.6.2 安全升级域控制器107

2.7 Windows 2000/2003安全管理技巧109

2.7.1 删除OS/2和POSIX子系统109

2.7.2 限制空会话访问110

2.7.3 从网络浏览列表中隐藏计算机110

2.7.4 更改DLL搜索顺序111

2.7.5 禁用媒体自动运行112

2.7.6 关闭文件夹中的Web视图112

2.7.7 使用Syskey提高安全性113

2.7.8 提高Windows的抗DoS攻击能力114

2.7.9 禁用不受信任网络中的NetBIOS和SMB协议118

第3章  配置组策略实现安全管理121

3.1 组策略基本概念121

3.2 组策略处理和优先级122

3.2.1 组策略的处理顺序122

3.2.2 默认处理顺序的例外情况122

3.2.3 组策略在启动和登录时的应用过程124

3.3 组策略管理方法125

3.3.1 组策略对象编辑器125

3.3.2 编辑容器的组策略属性127

3.3.3 GPMC128

3.4 组策略的设计132

3.5 GPO权限管理134

3.5.1 GPO读取和应用权限管理134

3.5.2 GPO的创建权限管理135

3.5.3 GPO编辑权限管理135

3.5.4 GPO链接权限管理136

3.5.5 组策略委派管理的推荐做法137

3.6 组策略应用137

3.7 组策略的安全管理功能137

3.8 安全配置账号策略138

3.8.1 安全配置密码策略138

3.8.2 安全配置账号锁定策略141

3.8.3 账号锁定排错143

3.8.4 保护账号/密码安全性的其他方法144

3.9 安全配置Kerberos策略144

3.10 安全管理用户权利145

3.11 配置计算机安全选项149

3.11.1 编辑安全选项152

3.11.2 保护Administrator账号153

3.11.3 保护Guest账号154

3.11.4 限制空白密码的本地账户只允许进行控制台登录154

3.11.5 计算机账号密码管理155

3.11.6 保护与域控制器间的LDAP数据流155

3.11.7 保护SMB数据流156

3.11.8 交互式登录：可被缓存的前次登录个数157

3.11.9 交互式登录：要求域控制器身份验证以解锁工作站157

3.11.10 Windows 2000中的匿名访问限制158

3.11.11 Windows 2003中的匿名访问限制159

3.11.12 限制空会话访问160

3.11.13 加强密码存储的安全性162

3.11.14 控制Lan Manager身份验证级别163

3.11.15 确定基于NTLM SSP的会话安全164

3.12 安全管理系统服务165

3.13 通过组策略禁用U盘166

3.14 软件限制策略168

3.14.1 默认安全级别168

3.14.2 附加规则168

3.14.3 常规配置规则169

3.14.4 配置软件限制策略169

3.15 在组策略中使用安全模板173

3.15.1 安全模板的概念173

3.15.2 编辑安全模板173

3.15.3 分析现有安全策略174

3.16 Windows 2000/2003默认安全策略175

3.16.1 Windows 2000/2003 默认安全策略设置176

3.16.2 恢复默认安全策略176

3.17 Windows 2000/2003安全模板推荐185

第4章  Windows网络安全部署187

4.1 保护DNS服务器187

4.1.1 使用组策略保护DNS服务187

4.1.2 集成DNS服务到活动目录187

4.1.3 启用安全的动态更新189

4.1.4 控制区域复制189

4.1.5 启用或禁用DNS服务器的IP地址190

4.1.6 调整事件日志和DNS服务日志的大小190

4.1.7 使用防火墙屏蔽DNS攻击191

4.2 保护DHCP服务器191

4.2.1 防止DHCP拒绝服务攻击192

4.2.2 配置DHCP日志192

4.2.3 使用IPSec筛选器禁用端口193

4.3 应用IPSec提高网络安全193

4.3.1 IPSec简介193

4.3.2 配置IPSec协议免除199

4.3.3 IPSec使用方案推荐200

4.3.4 配置传输模式的IPSec201

4.3.5 配置隧道模式的IPSec221

4.3.6 IPSec监控和排错224

4.3.7 IPSec与NAT设备的兼容性228

4.3.8 IPSec与防火墙的集成使用229

4.4 安装和配置IAS服务器229

4.4.1 安装IAS服务229

4.4.2 配置RADIUS客户端229

4.4.3 为IAS服务器申请证书230

4.4.4 配置远程访问策略230

4.5 安全配置VPN应用232

4.5.1 VPN技术的类型232

4.5.2 VPN的应用场合和实例模型介绍233

4.5.3 规划VPN远程访问应用234

4.5.4 配置VPN 远程访问服务器240

4.5.5 配置L2TP/VPN 远程访问服务器251

4.5.6 在VPN远程访问应用中使用EAP验证方法254

4.5.7 规划网关至网关的VPN应用258

4.5.8 配置网关至网关的VPN应用262

4.5.9 在网关至网关的VPN应用中使用EAP验证267

4.6 安全的无线网络应用270

4.6.1 制定安全的无线网络策略270

4.6.2 配置EAP_TLS验证+WEP加密的无线网络273

4.6.3 配置EAP-MSCHAP v2 +WEP的无线网络280

第5章  公钥架构的部署与应用285

5.1 公钥架构的工作原理285

5.1.1 公钥架构的组成部分285

5.1.2 非对称密钥286

5.1.3 证书介绍286

5.1.4 证书颁发机构289

5.1.5 证书应用292

5.1.6 证书身份验证293

5.2 公钥架构设计294

5.2.1 证书需求294

5.2.2 CA层次结构设计296

5.2.3 CA架构设计方案举例301

5.2.4 CA的硬件和软件要求302

5.2.5 CA配置规划303

5.3 安装CA系统304

5.3.1 CA安装准备304

5.3.2 安装独立根CA306

5.3.3 安装企业根CA309

5.3.4 安装子CA309

5.4 实现CA的安全管理313

5.4.1 检查CA证书314

5.4.2 CRL分发点的管理314

5.4.3 配置CRL有效期315

5.4.4 AIA分发点的管理316

5.4.5 修改策略模块316

5.4.6 CA安全控制317

5.4.7 证书模板的管理方法319

5.4.8 续订CA证书327

5.4.9 修改CA证书的有效期328

5.4.10 根CA信任329

5.4.11 CA工具Certutil338

5.4.12 备份和还原CA340

5.5 证书的安全管理341

5.5.1 证书管理工具342

5.5.2 查看证书内容344

5.5.3 导出证书347

5.5.4 导入证书349

5.5.5 将证书映射到用户账号350

5.5.6 证书有效期管理350

5.5.7 证书的申请351

5.5.8 Web证书申请方法352

5.5.9 证书管理单元申请方法358

5.5.10 配置证书的自动颁发359

5.5.11 证书续订365

5.5.12 证书的吊销367

5.6 智能卡部署367

5.6.1 智能卡硬件准备368

5.6.2 颁发智能卡证书368

5.6.3 智能卡证书续订375

5.6.4 智能卡应用376

5.7 文件加密377

5.7.1 加密文件系统概述378

5.7.2 EFS的实施过程379

5.7.3 为故障恢复代理生成文件恢复证书380

5.7.4 备份文件恢复证书密钥381

5.7.5 创建基于域的故障恢复代理381

5.7.6 创建本地恢复代理382

5.7.7 启用EFS382

5.7.8 启用EFS文件共享384

5.7.9 备份EFS证书和密钥385

5.7.10 EFS数据恢复385

5.7.11 EFS最佳做法385

第6章  IIS 5.0/IIS 6.0的安全使用387

6.1 IIS的安装和配置388

6.2 Web权限管理390

6.2.1 Web的安全控制方法390

6.2.2 Web站点验证方法的比较与应用395

6.3 IIS 5.0 Web安全管理400

6.3.1 IIS中的安全组件400

6.3.2 IIS 5.0工作方式的揭密404

6.3.3 IIS 5.0的主要安全隐患404

6.3.4 强化IIS 5.0的安全设置406

6.4 IIS 6.0 Web安全管理413

6.4.1 Windows 2003默认不安装IIS 6.0414

6.4.2 应用程序模型414

6.4.3 利用Windows 2003的安全改善功能417

6.4.4 安全的网站设置418

6.5 以Web方式修改密码421

6.6 证书在Web中的应用421

6.6.1 SSL网站的工作原理421

6.6.2 SSL网站配置421

6.6.3 配置客户端证书验证427

6.6.4 实现证书与账号映射430

6.6.5 配置IIS证书应用中的CRL检查434

6.6.6 网站证书应用中的常见问题435

6.7 安全配置FTP站点438

6.7.1 FTP站点的配置438

6.7.2 创建用户隔离的FTP站点440

6.7.3 FTP的安全控制443

6.7.4 FTP的端口和访问模式446

6.7.5 多种方法提高FTP站点安全性447

第7章  ISA Server 2000的应用与管理449

7.1 ISA Server 2000介绍449

7.1.1 ISA Server 2000服务器449

7.1.2 ISA Server的客户端451

7.2 ISA Server 2000的应用设计455

7.2.1 缓存代理服务器455

7.2.2 防火墙或者集成模式ISA Server456

7.2.3 容量规划建议458

7.3 安装ISA Server459

7.3.1 安装前的准备459

7.3.2 安装独立的ISA Server459

7.3.3 安装更新461

7.4 安全访问控制462

7.4.1 对外访问控制原理462

7.4.2 ISA Server基准访问控制协议468

7.4.3 代理内部客户端访问外部Web网站470

7.4.4 代理内部客户端访问外部FTP网站473

7.4.5 代理内部客户端访问外部TCP/UDP应用程序473

7.4.6 代理内部客户端收发外网邮件服务器的邮件474

7.4.7 内部客户端通过ISA Server使用QQ475

7.4.8 内部客户端通过ISA Server访问流媒体文件476

7.4.9 内部客户端通过ISA Server使用MSN Messenger477

7.4.10 内部客户端通过ISA Server访问外部文件共享480

7.4.11 控制内部客户端访问非TCP/UDP应用程序481

7.4.12 代理内部客户端Ping连外网计算机482

7.4.13 代理内部客户端访问外部VPN服务器483

7.5 服务安全发布483

7.5.1 服务安全发布原理483

7.5.2 Web发布HTTP网站485

7.5.3 发布内部非标准端口HTTP网站490

7.5.4 将HTTP网站发布在非标准端口上490

7.5.5 发布内部的主机头网站491

7.5.6 发布HTTPS网站492

7.5.7 发布FTP网站494

7.5.8 服务器发布495

7.5.9 安全发布企业Exchange服务器498

7.6 配置SMTP过滤器保护邮件安全507

7.7 发布ISA Server本机的服务508

7.8 ISA Server本机安全配置509

7.9 ISA Server与VPN应用512

7.9.1 外网用户直接VPN连接ISA Server512

7.9.2 外网用户通过NAT设备VPN连接ISA Server514

7.9.3 配置网关至网关的VPN/ISA Server应用515

第8章  ISA Server 2004新特性的应用521

8.1 多重网络支持功能应用521

8.1.1 ISA Server 2000的网络设计局限521

8.1.2 ISA Server 2004的多重网络支持功能522

8.2 防火墙策略新特性应用527

8.2.1 ISA Server 2000访问策略设计的局限527

8.2.2 ISA Server 2004集成防火墙策略527

8.2.3 防火墙策略是有序的528

8.2.4 默认拒绝策略528

8.2.5 系统策略529

8.2.6 策略存储530

8.2.7 配置防火墙策略530

8.3 访问策略531

8.3.1 配置其他网络访问ISA Server本机531

8.3.2 远程管理ISA Server534

8.3.3 ISA Server本机访问其他网络535

8.3.4 配置内部及VPN客户端访问外部网络536

8.4 协议筛选538

8.4.1 HTTP协议筛选538

8.4.2 FTP只读配置541

8.4.3 SMTP协议筛选541

8.5 服务器发布542

8.5.1 发布标准端口的Web服务器542

8.5.2 发布非标准端口的Web服务器546

8.5.3 使用Web发布规则发布FTP站点546

8.5.4 发布内网服务器547

8.5.5 发布非标准端口的FTP服务器550

8.6 利用增强的VPN功能551

8.6.1 发布VPN服务器552

8.6.2 在ISA Server上启用VPN客户端访问553

8.7 利用增强的监视功能555

8.7.1 仪表板555

8.7.2 在日志查看器中进行实时监视556

8.7.3 内置日志查询556

8.7.4 会话的实时监视和筛选557

8.7.5 连接性验证程序558

8.7.6 将日志存储到MSDE数据库558

8.7.7 发布报告559

8.8 导出、导入、备份、还原功能560

8.8.1 备份还原ISA Server560

8.8.2 导出导入配置信息561

8.9 内核模式的安全锁定562

8.10 与硬件集成563

第9章  补丁管理与恶意软件防杀565

9.1 介绍Windows更新与补丁565

9.2 Windows更新网站568

9.3 自动更新客户端568

9.4 SUS补丁管理部署569

9.4.1 SUS应用场景推荐569

9.4.2 下载必要的软件570

9.4.3 安装SUS服务软件和MSBA571

9.4.4 配置客户端计算机的自动更新组件573

9.4.5 SUS补丁管理流程577

9.4.6 使用MSBA评估客户端的补丁安装情况578

9.4.7 配置SUS服务器选项580

9.4.8 服务器补丁更新管理582

9.4.9 在测试环境中安装补丁584

9.4.10 将补丁分发到客户机584

9.4.11 补丁卸载585

9.4.12 SUS补丁更新监控585

9.5 SMS补丁管理部署585

9.5.1 安装SMS 2003安全管理扫描工具586

9.5.2 设置补丁包的自动更新分发点588

9.5.3 分发扫描工具588

9.5.4 搭建测试实验室589

9.5.5 使用向导分发补丁589

9.5.6 使用SMS评估网络计算机的补丁安装情况595

9.6 恶意软件的防杀596

9.6.1 恶意软件的常见传播方式596

9.6.2 恶意软件的破坏力597

9.6.3 恶意软件分析598

9.6.4 恶意软件防护方法602

9.6.5 清除恶意软件608

第10章  安全审核与监测611

10.1 安全评估方法611

10.1.1 MBSA安全评估612

10.1.2 其他入侵监测评估方法616

10.2 审核管理616

10.2.1 审核配置617

10.2.2 系统无法记录安全事件时是否关闭系统618

10.2.3 审核登录事件618

10.2.4 审核账户登录事件620

10.2.5 审核账户管理621

10.2.6 审核对象访问622

10.2.7 审核目录服务访问625

10.2.8 审核特权使用625

10.2.9 审核进程跟踪626

10.2.10 审核系统事件626

10.2.11 审核策略更改628

10.3 Windows日志管理628

10.3.1 保护事件日志628

10.3.2 配置组策略保护事件日志629

10.3.3 使用事件查看器管理日志632

10.3.4 转储事件日志工具634

10.3.5 MOM的日志管理功能635

10.3.6 使用工具EventCombMT管理事件日志635

10.4 Windows监控管理639

10.4.1 查看应用程序日志639

10.4.2 监视服务和驱动程序639

10.4.3 恶意软件监视方法642