Windows 2000安全技術(shù)參考

譯者序
前言
第1章 Windows 2000安全特性變化概覽
1.1 Windows 2000的版本
1.2 Windows 2000新增安全特性
1.2.1 活動目錄
1.2.2 Kerberos
1.2.3 公鑰密碼系統(tǒng)
1.2.4 組策略對象
1.2.5 IPsec協(xié)議
1.2.6 加密文件系統(tǒng)
1.2.7 安全配置工具集
1.3 小結(jié)
第2章 Windows NT 4.0安全特性回顧
2.1 系統(tǒng)安全總體設(shè)計(jì)
2.1.1 安全登錄過程
2.1.2 本地安全授權(quán)
2.1.3 安全參考監(jiān)視器
2.1.4 對象管理器
2.1.5 安全帳戶管理器
2.1.6 自由訪問控制
2.1.7 安全標(biāo)識符
2.1.8 安全訪問令牌
2.1.9 訪問控制列表
2.1.10 訪問一個對象
2.2 工作組、域和信任關(guān)系
2.2.1 工作組
2.2.2 把計(jì)算機(jī)加入一個域
2.2.3 域
2.2.4 信任關(guān)系
2.3 訪問控制
2.3.1 文件系統(tǒng)訪問控制
2.3.2 注冊表訪問控制
2.3.3 打印機(jī)訪問控制
2.4 安全事件日志
2.5 用戶與工作組
2.6 用戶權(quán)力與特權(quán)
2.7 策略
2.8 小結(jié)
第3章 Windows 2000安全模型與子系統(tǒng)
3.1 安全模型簡介
3.2 理解安全主體
3.2.1 用戶帳戶與計(jì)算機(jī)帳戶
3.2.2 安全主體的命名
3.2.3 用戶帳戶
3.2.4 計(jì)算機(jī)帳戶
3.2.5 組帳戶
3.3 域間信任
3.3.1 單向信任
3.3.2 不可傳遞的信任
3.4 分布式安全特性
3.4.1 用戶身份驗(yàn)證
3.4.2 模擬
3.4.3 訪問令牌
3.4.4 訪問控制
3.4.5 公鑰基礎(chǔ)結(jié)構(gòu)
3.4.6 理解加密文件系統(tǒng)
3.5 新增本地安全特性簡介
3.5.1 NTFS
3.5.2 輔助登錄
3.6 安全子系統(tǒng)簡介
3.6.1 用戶權(quán)力
3.6.2 本地安全策略
3.6.3 組策略
3.6.4 用系統(tǒng)服務(wù)實(shí)現(xiàn)安全功能
3.7 小結(jié)
第4章 活動目錄
4.1 活動目錄與目錄服務(wù)基礎(chǔ)
4.1.1 為什么需要目錄服務(wù)
4.1.2 活動目錄是怎樣工作的
4.1.3 活動目錄有什么好處
4.2 活動目錄體系結(jié)構(gòu)
4.2.1 活動目錄與域名服務(wù)
4.2.2 活動目錄與域控制器
4.3 活動目錄對象
4.3.1 架構(gòu)
4.3.2 對象命名約定
4.3.3 活動目錄對象的描述
4.3.4 對象公布
4.3.5 互操作性
4.3.6 內(nèi)部引用與外部引用
4.4 Windows 2000域
4.5 站點(diǎn)
4.5.1 活動目錄如何使用站點(diǎn)信息
4.5.2 默認(rèn)首站名
4.6 組織單位
4.7 活動目錄的復(fù)制
4.7.1 站點(diǎn)內(nèi)的復(fù)制
4.7.2 站點(diǎn)間的復(fù)制
4.8 規(guī)劃與轉(zhuǎn)出的考慮
4.8.1 規(guī)劃活動目錄
4.8.2 規(guī)劃森林結(jié)構(gòu)
4.9 規(guī)劃域結(jié)構(gòu)
4.9.1 規(guī)劃組織單位結(jié)構(gòu)
4.9.2 規(guī)劃站點(diǎn)結(jié)構(gòu)
4.9.3 規(guī)劃DNS結(jié)構(gòu)
4.9.4 規(guī)劃DNS服務(wù)器的部署
4.9.5 以簡捷信任優(yōu)化驗(yàn)證
4.10 使用活動目錄
4.10.1 Active Directory Domains And Trusts Snap－In
4.10.2 The Active Directory Users and Computers Snap－In
4.10.3 The Active Directory Sites And Services Snap－In
4.11 管理活動目錄
4.12 小結(jié)
第5章 身份驗(yàn)證
5.1 概述
5.2 交互式登錄與網(wǎng)絡(luò)身份驗(yàn)證
5.2.1 交互式登錄
5.2.2 身份驗(yàn)證程序包
5.2.3 本地安全權(quán)限
5.2.4 交互式登錄到本地機(jī)器
5.2.5 交互式登錄到域帳戶
5.2.6 安全支持提供程序
5.3 網(wǎng)絡(luò)身份驗(yàn)證
5.4 Kerberos vs
5.4.1 Kerberos v5是如何工作的
5.4.2 啟用Kerberos v5驗(yàn)證
5.4.3 Kerberos v5策略
5.4.4 Kerberos v5應(yīng)用程序
5.5 NTLM
5.6 智能卡登錄
5.6.1 什么是智能卡
5.6.2 智能卡的優(yōu)點(diǎn)
5.6.3 智能卡讀取器
5.6.4 啟用智能卡
5.6.5 使用智能卡
5.7 安全套接字層
5.8 小結(jié)
第6章 密碼系統(tǒng)與微軟公鑰基礎(chǔ)結(jié)構(gòu)
6.1 PKI引言
6.2 密碼系統(tǒng)背景
6.2.1 保密性
6.2.2 實(shí)體驗(yàn)證
6.2.3 數(shù)據(jù)完整性
6.2.4 不可否認(rèn)
6.2.5 PKI基礎(chǔ)
6.2.6 多CA與證書頒發(fā)策略
6.3 密碼服務(wù)
6.3.1 對稱密碼算法
6.3.2 非對稱密碼算法
6.3.3 非對稱簽名算法
6.3.4 非對稱密鑰交換
6.3.5 散列
6.3.6 密碼服務(wù)
6.3.7 證書與密鑰交換
6.4 微軟PKI
6.4.1 為什么要用PKI
6.4.2 證書服務(wù)
6.4.3 證書的生存期
6.4.4 公鑰策略
6.4.5 活動目錄
6.5 設(shè)計(jì)你的PKJ
6.5.1 確定你的證書需求
6.5.2 定義證書頒發(fā)方法
6.5.3 定義你的CA信任策略
6.5.4 定義CA服務(wù)器的安全需求
6.5.5 定義證書的生存期
6.5.6 定義注冊與更新過程
6.5.7 定義證書吊銷策略
6.5.8 定義維護(hù)與災(zāi)難恢復(fù)過程
6.5.9 編寫設(shè)計(jì)文檔
6.6 小結(jié)
第7章 訪問控制模型
7.1 訪問控制基礎(chǔ)
7.1.1 訪問控制概述
7.1.2 權(quán)限
7.1.3 權(quán)限繼承
7.1.4 用戶權(quán)力
7.1.5 安全標(biāo)識符
7.1.6 所有者身份
7.1.7 訪問令牌
7.1.8 訪問控制列表
7.1.9 安全描述
7.1.10 繼承
7.1.11 訪問檢查
7.1.12 審核的產(chǎn)生
7.2 編輯訪問控制設(shè)置
7.2.1 安全屬性
7.2.2 高級訪問控制設(shè)置
7.3 NTFS設(shè)置
7.3.1 文件夾共享
7.3.2 磁盤限額
7.3.3 加密文件系統(tǒng)
7.4 小結(jié)
第8章 組策略
8.1 什么是組策略
8.1.1 組策略基礎(chǔ)結(jié)構(gòu)
8.1.2 對使用組策略的要求
8.1.3 組策略MMC Snap－In擴(kuò)展
8.1.4 Windows NT 4.0策略與Windows 2000策略的比較
8.2 組策略容器與對象
8.2.1 本地與非本地組策略對象
8.2.2 對組策略對象的組織
8.2.3 組策略容器
8.2.4 組策略模板
8.3 組策略區(qū)域
8.3.1 計(jì)算機(jī)配置節(jié)點(diǎn)
8.3.2 用戶配置節(jié)點(diǎn)
8.4 組策略應(yīng)用
8.4.1 策略繼承與優(yōu)先順序
8.4.2 安全策略優(yōu)先順序
8.4.3 啟動與登錄
8.4.4 應(yīng)用程序與組策略
8.5 組策略工具的使用
8.5.1 用組策略配置一個域安全結(jié)構(gòu)
8.5.2 訪問組策略
8.5.3 Active Directory Snap－In擴(kuò)展
8.5.4 安全策略工具
8.6 管理組策略
8.6.1 在網(wǎng)絡(luò)中管理組策略
8.6.2 保護(hù)組策略的安全
8.6.3 用于Microsoft Management Console的策略
8.6.4 移植性問題
8.6.5 管理模板的作用
8.6.6 系統(tǒng)策略編輯器的作用
8.6.7 Windows NT 4.0的系統(tǒng)策略
8.7 小結(jié)
第9章 安全配置與監(jiān)視
9.1 安全配置工具集
9.1.1 安全配置工具集組件
9.1.2 安全配置工具集的用戶界面
9.2 安全模板、安全數(shù)據(jù)庫和安全策略
9.2.1 安全模板
9.2.2 預(yù)定義安全模板
9.2.3 安全數(shù)據(jù)庫
9.2.4 安全策略
9.3 Security Templates Snap－In
9.3.1 加載Security Templates Snap－In
9.3.2 創(chuàng)建新模板
9.3.3 修改現(xiàn)存模板
9.3.4 修改帳戶策略
9.3.5 修改本地策略
9.3.6 修改事件日志設(shè)置
9.3.7 創(chuàng)建受限組策略
9.3.8 為系統(tǒng)服務(wù)設(shè)置權(quán)限
9.3.9 配置注冊表設(shè)置
9.3.10 為文件系統(tǒng)目錄配置權(quán)限
9.3.11 繼承、覆蓋和忽略策略變化
9.3.12 安全模板管理
9.3.13 保存模板控制臺
9.4 Security Configuration And Analysis Snap－In
9.4.1 安裝Security Configuration And Analysis Snap－In
9.4.2 模板的導(dǎo)入和導(dǎo)出
9.4.3 創(chuàng)建數(shù)據(jù)庫
9.4.4 執(zhí)行分析
9.4.5 檢查分析結(jié)果
9.4.6 修改基本分析設(shè)置
9.4.7 配置系統(tǒng)安全
9.4.8 查看已更新設(shè)置
9.4.9 查看已更新的注冊表設(shè)置
9.4.10 查看已更新的文件系統(tǒng)安全設(shè)置
9.5 組策略管理單元的安全設(shè)置擴(kuò)展
9.5.1 安裝安全設(shè)置擴(kuò)展
9.5.2 在安全設(shè)置擴(kuò)展內(nèi)編輯設(shè)置
9.6 Secedit.exe命令行工具
9.6.1 用Secedit.exe配置安全性
9.6.2 用Secedit.exe執(zhí)行安全分析
9.7 定制安全配置工具集
9.7.1 注冊表擴(kuò)展
9.7.2 編輯注冊表
9.7.3 修改注冊表值
9.7.4 實(shí)現(xiàn)新設(shè)置
9.8 安全描述定義語言
9.9 企業(yè)配置轉(zhuǎn)出
9.10 小結(jié)
第10章 審核
10.1 有效的審核
10.2 審核策略
10.3 Windows 2000的審核功能
10.3.1 審核日志文件策略
10.3.2 配置審核策略
10.3.3 配置對象審核
10.3.4 打印機(jī)審核
10.3.5 本地驅(qū)動器審核
10.3.6 注冊表審核
10.3.7 用戶帳戶管理審核
10.3.8 審核日志分類
10.3.9 完全特權(quán)審核
10.3.10 為審核設(shè)置權(quán)限
10.4 審核與組策略
10.5 事件日志子系統(tǒng)
10.5.1 事件記錄
10.5.2 事件日志屬性
10.5.3 對事件進(jìn)行過濾
10.5.4 安全事件記錄
10.5.5 查找日志中的特定事件
10.5.6 過濾事件
10.5.7 查看事件詳情
10.6 審核動態(tài)主機(jī)配置控制協(xié)議
10.6.1 審核日志是怎樣工作的
10.6.2 命名審核日志文件
10.6.3 開始每天的審核日志
10.6.4 分析服務(wù)器日志文件
10.6.5 DHCP服務(wù)器日志文件格式
10.7 對消息隊(duì)列的審核
10.7.1 配置審核
10.7.2 審核消息
10.8 IPsec審核日志
10.8.1 檢驗(yàn)IPsec的安全性
10.8.2 Event Viewer與安全審核日志
10.8.3 TCP/IP屬性
10.9 事件ID與事件描述
10.10 DHCP服務(wù)器日志：通用事件編碼
10.11 小結(jié)
第11章 網(wǎng)絡(luò)安全
11.1 保護(hù)IP通信
11.1.1 數(shù)據(jù)包捕捉
11.1.2 數(shù)據(jù)篡改
11.1.3 欺騙
11.1.4 口令泄露
11.1.5 拒絕服務(wù)攻擊
11.1.6 密鑰泄露
11.1.7 應(yīng)用層攻擊
11.1.8 IPSec標(biāo)準(zhǔn)
11.1.9 IPSec協(xié)議
11.1.10 IPSec組件
11.1.11 部署IPSec
11.2 DHCP安全問題
11.2.1 DHCP與IPSec
11.2.2 欺詐性DHCP服務(wù)器
11.3 保護(hù)動態(tài)DNS安全
11.3.1 DNS安全標(biāo)準(zhǔn)
11.3.2 安全的動態(tài)更新過程
11.3.3 更改DNS服務(wù)器的默認(rèn)安全設(shè)置
11.3.4 更改DNS客戶的默認(rèn)安全設(shè)置
11.3.5 使用Downlevel客戶
11.4 DFS安全
11.5 遠(yuǎn)程訪問安全
11.5.1 對可擴(kuò)展身份驗(yàn)證協(xié)議的支持
11.5.2 EAP－MD5
11.5.3 EAP－TLS
11.6 小結(jié)
第12章 終端服務(wù)
12.1 操作模式
12.1.1 應(yīng)用服務(wù)器模式
12.1.2 遠(yuǎn)程管理模式
12.2 終端服務(wù)集成
12.3 終端服務(wù)準(zhǔn)備
12.3.1 安全審核
12.3.2 防火墻
12.3.3 對WAN和遠(yuǎn)程訪問的考慮
12.3.4 組策略與終端服務(wù)
12.4 啟用終端服務(wù)
12.5 Terminal Services Configuration工具
12.5.1 配置連接
12.5.2 設(shè)置連接屬性
12.5.3 配置服務(wù)器設(shè)置
12.6 終端服務(wù)用戶配置
12.6.1 用戶權(quán)限
12.6.2 Active Directory Users And Computers的Terminal Services擴(kuò)展
12.7 配置Terminal Servies Client
12.7.1 安裝Terminal Servies Client
12.7.2 連接運(yùn)行終端服務(wù)的服務(wù)器
12.7.3 Terminal Services Client Configuration Manager
12.8 Terminal Services Manager工具
12.8.1 控制臺會話
12.8.2 監(jiān)聽會話
12.8.3 空閑會話
12.8.4 Terminal Services Manager的使用
12.8.5 會話管理
12.9 小結(jié)
第13章 IIS 5.0與IE 5.0
13.1 IIS 5.0
13.2 IIS安全需求
13.2.1 連接需求
13.2.2 服務(wù)器安全需求
13.3 IIS新增特性
13.4 IIS安全核對清單
13.4.1 Windows安全
13.4.2 IIS安全
13.5 IIS安全特性
13.5.1 資源層次與屬性繼承
13.5.2 身份驗(yàn)證
13.5.3 訪問控制
13.5.4 加密與證書
13.5.5 審核
13.6 IE 5.0
13.7 IE面臨的安全威脅
13.8 IE安全需求
13.9 IE 5.0安全特性
13.9.1 安全區(qū)域
13.9.2 區(qū)域安全設(shè)置
13.9.3 保護(hù)客戶與服務(wù)器之間的通信
13.9.4 安全信道
13.9.5 發(fā)行者認(rèn)證碼
13.9.6 內(nèi)容分級
13.9.7 IE管理工具包與組策略
13.9.8 其他安全設(shè)置
13.9.9 Profile Assistant
13.9.10 配置安全區(qū)域及其設(shè)置
13.9.11 配置“保護(hù)客戶與服務(wù)器之間的通信”
13.9.12 配置認(rèn)證碼
13.9.13 配置內(nèi)容分級
13.9.14 配置IE管理工具包與組策略
13.9.15 配置其他安全設(shè)置
13.9.16 配置Profile Assistant
13.10 小結(jié)
附錄A Microsoft Windows 2000資源工具箱
附錄B 安全工具集模板