HARDENING Windows Systems中文版

第1部分 馬上行動(dòng)
第1章 立即行動(dòng) 3
1.1 強(qiáng)化密碼策略 5
1.1.1 創(chuàng)建邏輯策略 6
1.1.2 改變本地賬戶策略 7
1.1.3 修改個(gè)人賬戶策略 7
1.2 鎖定遠(yuǎn)程管理 9
1.3 鎖定管理工作站 10
1.4 物理保護(hù)所有系統(tǒng) 11
1.5 保密 11
1.6 禁用EFS 12
1.7 禁用不滿足嚴(yán)格安全策略要求的無線網(wǎng)絡(luò) 12
1.8 禁止無保護(hù)措施的筆記本和臺式機(jī)連接局域網(wǎng) 13
1.9 使用Runas或Su 13
1.10 禁用紅外文件傳輸 14
第2部分 從頂端做起：系統(tǒng)地強(qiáng)化安全
第2章 強(qiáng)化認(rèn)證——證明來賓身份 17
2.1 什么是認(rèn)證 18
2.1.1 何時(shí)需要認(rèn)證 18
2.1.2 在Windows安全框架內(nèi)何處適合認(rèn)證 19
2.2 認(rèn)證的證書（credentials）選擇 20
2.3 強(qiáng)化用戶登錄 21
2.3.1 登錄類型 22
2.3.2 強(qiáng)化賬戶 23
2.3.3 強(qiáng)化賬戶策略 24
2.3.4 強(qiáng)化濕件 36
2.3.5 禁止自動(dòng)登錄 38
2.3.6 限制匿名訪問 39
2.3.7 保護(hù)Windows 2000系統(tǒng)的密碼安全 40
2.4 強(qiáng)化網(wǎng)絡(luò)認(rèn)證 41
2.4.1 LM，NTLM，NTLMv2 41
2.4.2 Kerberos協(xié)議 44
2.4.3 遠(yuǎn)程訪問認(rèn)證協(xié)議 45
2.4.4 Web服務(wù)器認(rèn)證選擇 47
2.4.5 加強(qiáng)無線認(rèn)證 48
2.5 強(qiáng)化計(jì)算機(jī)和服務(wù)的認(rèn)證過程 48
2.5.1 為服務(wù)賬號制定強(qiáng)密碼以及不允許用戶使用服務(wù)賬號登錄 49
2.5.2 使用本地服務(wù)賬號并不允許通過網(wǎng)絡(luò)訪問服務(wù)賬號 50
2.5.3 使用服務(wù)賬號的低特權(quán)賬號 50
2.5.4 強(qiáng)化計(jì)算機(jī)賬戶 50
第3章 強(qiáng)化物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施 51
3.1 網(wǎng)絡(luò)分段 52
3.1.1 示例 52
3.1.2 決定合適網(wǎng)絡(luò)分段的最好方法 55
3.2 在分段邊界安裝防護(hù)性措施和檢測性措施 57
3.2.1 防范性的控制措施 57
3.2.2 檢測性的控制措施 64
3.2.3 邊界控制的最好措施 65
3.3 保護(hù)重要通信 76
3.3.1 保護(hù)活動(dòng)目錄和其他域之間的通信 76
3.3.2 Web通信保護(hù) 86
3.3.3 E-Mail保護(hù) 86
3.4 保護(hù)重要服務(wù)器 86
3.4.1 保護(hù)域控制器 86
3.4.2 保護(hù)基礎(chǔ)設(shè)施服務(wù)器 89
3.5 保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施 89
3.6 保護(hù)對客戶端系統(tǒng)的訪問 90
3.6.1 使用常駐計(jì)算機(jī)的防火墻 90
3.6.2 客戶端物理安全選項(xiàng) 91
第4章 強(qiáng)化邏輯網(wǎng)絡(luò)基礎(chǔ)設(shè)施 93
4.1 工作組計(jì)算機(jī)安全基礎(chǔ) 94
4.1.1 工作組基本要點(diǎn) 95
4.1.2 工作組用戶賬號 95
4.1.3 工作組網(wǎng)絡(luò)資源 95
4.1.4 強(qiáng)化工作組 97
4.2 Windows NT 4.0類型的域的安全基礎(chǔ) 99
4.2.1 中央管理 100
4.2.2 安全邊界 100
4.2.3 NT 4.0類型的信任 101
4.2.4 強(qiáng)化Windows NT 4.0域 103
4.3 活動(dòng)目錄林安全基礎(chǔ) 104
4.3.1 中央集權(quán)管理的優(yōu)點(diǎn) 105
4.3.2 自治和隔離：域不是一個(gè)安全邊界 107
4.3.3 建立基于安全需要的域 108
4.3.4 建立基于安全和管理需要的組織單元 108
4.3.5 將域控制器和全局目錄服務(wù)器只放在需要的地方 109
4.3.6 配置遠(yuǎn)程Windows Server 2003域控制器以使用通用組高速緩存 109
4.3.7 創(chuàng)建最小數(shù)目的異常域信任 110
4.3.8 提升域和林功能級別到Windows Server 2003 113
4.3.9 使用選擇性認(rèn)證 116
4.3.10 如何建立一個(gè)外部信任（External Trust） 118
4.4 強(qiáng)化邏輯網(wǎng)絡(luò)基礎(chǔ)設(shè)施的備忘錄 122
第5章 強(qiáng)化網(wǎng)絡(luò)基礎(chǔ)設(shè)施角色 124
5.1 開發(fā)安全基線 126
5.2 限制用戶權(quán)限 127
5.2.1 用戶權(quán)限基線的修改 127
5.2.2 使用本地安全策略修改用戶權(quán)限 129
5.2.3 使用NT 4.0用戶管理器修改用戶權(quán)限 129
5.3 禁用可選擇的子系統(tǒng) 130
5.4 禁用或刪除不必要的服務(wù) 131
5.5 應(yīng)用混合安全配置 138
5.5.1 不顯示上次登錄用戶名 139
5.5.2 添加登錄提示 139
5.6 開發(fā)增量安全步驟（Incremental Security Steps） 140
5.6.1 強(qiáng)化基礎(chǔ)設(shè)施組（Infrastructure Group） 140
5.6.2 強(qiáng)化DHCP 140
5.6.3 強(qiáng)化DNS 144
5.6.4 強(qiáng)化WINS 152
5.7 選擇安全部署的方法和模型 153
5.7.1 用工具在Windows NT 4.0系統(tǒng)進(jìn)行常規(guī)安全設(shè)置 154
5.7.2 用安全模板定義安全設(shè)置 157
5.7.3 使用安全配置和分析或安全管理器 162
5.7.4 使用Secedit 163
第6章 保護(hù)Windows目錄信息及其操作 164
6.1 保護(hù)DNS 166
6.2 將AD數(shù)據(jù)庫和SYSVOL放在獨(dú)立的磁盤上 167
6.3 物理保護(hù)域控制器 168
6.4 監(jiān)視和保護(hù)活動(dòng)目錄狀態(tài) 170
6.4.1 監(jiān)視DNS 170
6.4.2 監(jiān)視復(fù)制 177
6.4.3 監(jiān)視組策略操作 184
6.4.4 強(qiáng)化域以及域控制器安全策略 189
6.4.5 保護(hù)活動(dòng)目錄通信 193
6.4.6 管理“管理權(quán)限”（Administrative Authority） 194
6.5 保護(hù)活動(dòng)目錄數(shù)據(jù)——理解活動(dòng)目錄對象權(quán)限 195
第7章 強(qiáng)化管理權(quán)限和操作 196
7.1 委托和控制管理權(quán)限 197
7.1.1 定義用戶角色 198
7.1.2 定義技術(shù)控制 209
7.2 定義安全管理措施 217
7.2.1 非常高風(fēng)險(xiǎn)管理 217
7.2.2 高風(fēng)險(xiǎn)數(shù)據(jù)中心管理 226
7.2.3 高風(fēng)險(xiǎn)非數(shù)據(jù)中心管理 229
7.2.4 中等風(fēng)險(xiǎn)管理 229
7.2.5 低風(fēng)險(xiǎn)管理 232
第8章 按角色分別強(qiáng)化服務(wù)器和客戶端計(jì)算機(jī) 233
8.1 基于角色的強(qiáng)化過程 234
8.2 決定計(jì)算機(jī)角色 235
8.2.1 頂級計(jì)算機(jī)角色 236
8.2.2 二級或三級計(jì)算機(jī)角色 236
8.3 設(shè)計(jì)基于角色的強(qiáng)化基礎(chǔ)設(shè)施 237
8.3.1 用腳本自動(dòng)使用多模板 237
8.3.2 使用活動(dòng)目錄體系和組策略方法 239
8.3.3 使用Windows NT 4.0系統(tǒng)策略 243
8.4 改編安全模板 250
8.4.1 檢查及修改基線模板 251
8.4.2 檢查以及修改基于角色的模板 254
8.5 用組策略執(zhí)行強(qiáng)化計(jì)劃 255
8.5.1 創(chuàng)建一個(gè)撤銷計(jì)劃（Back-out Plan） 256
8.5.2 將模板導(dǎo)入合適的GPO 256
第9章 強(qiáng)化應(yīng)用程序訪問和使用 260
9.1 通過管理模板限制訪問 261
9.1.1 強(qiáng)化操作系統(tǒng)配置 263
9.1.2 強(qiáng)化用戶設(shè)置 268
9.1.3 使用其他.adm文件 272
9.1.4 強(qiáng)化應(yīng)用程序 273
9.2 通過軟件限制策略限制訪問 283
9.2.1 安全等級設(shè)置為Disallowed 283
9.2.2 設(shè)置策略選項(xiàng) 284
9.2.3 編寫規(guī)則來允許和限制軟件 287
9.3 開發(fā)與實(shí)施臺式機(jī)與用戶角色 289
9.4 使用組策略管理控制臺復(fù)制GPO 291
第10章 強(qiáng)化數(shù)據(jù)訪問 292
10.1 使用NTFS文件系統(tǒng) 293
10.2 使用DACL保護(hù)數(shù)據(jù) 294
10.2.1 使用繼承管理權(quán)限 295
10.2.2 基于用戶角色分配權(quán)限 297
10.2.3 維護(hù)合適權(quán)限 301
10.2.4 保護(hù)文件系統(tǒng)和數(shù)據(jù) 301
10.2.5 強(qiáng)化文件系統(tǒng)共享 305
10.2.6 保護(hù)打印機(jī) 309
10.2.7 保護(hù)注冊表項(xiàng) 310
10.2.8 保護(hù)目錄對象 312
10.2.9 保護(hù)服務(wù) 313
10.3 使用EFS保護(hù)數(shù)據(jù) 314
10.3.1 禁用EFS除非可被安全地使用 314
10.3.2 強(qiáng)化EFS規(guī)則 317
第11章 強(qiáng)化通信 322
11.1 保護(hù)LAN信息通信 323
11.1.1 為NTLM使用SMB消息簽名和會話安全 323
11.1.2 使用IPSec策略 325
11.2 保護(hù)WAN信息通信 333
11.2.1 強(qiáng)化遠(yuǎn)程訪問服務(wù)器 333
11.2.2 強(qiáng)化NT 4.0遠(yuǎn)程訪問服務(wù)器配置 336
11.2.3 強(qiáng)化Windows Server 2000和Windows Server 2003 RRAS配置 338
11.2.4 使用L2TP/IPSec VPN 342
11.2.5 使用遠(yuǎn)程訪問策略 343
11.2.6 強(qiáng)化遠(yuǎn)程訪問客戶端 345
11.2.7 使用IAS集中認(rèn)證、賬戶和授權(quán) 345
11.2.8 保護(hù)無線訪問 346
11.3 用SSL保護(hù)Web通信 351
第12章 使用PKI強(qiáng)化Windows及強(qiáng)化PKI自身 352
12.1 使用PKI強(qiáng)化Windows 353
12.1.1 使用PKI強(qiáng)化認(rèn)證 353
12.1.2 用證書保護(hù)數(shù)據(jù) 359
12.2 強(qiáng)化PKI 360
12.2.1 強(qiáng)化證書授權(quán)計(jì)算機(jī) 360
12.2.2 實(shí)施CA分級結(jié)構(gòu) 360
12.2.3 保護(hù)根CA 360
12.2.4 使用中間CA增加可靠性 366
12.2.5 在多個(gè)發(fā)行CA之間劃分證書功能 368
12.2.6 為從屬CA提供物理保護(hù) 368
12.2.7 要求證書批準(zhǔn) 368
12.2.8 限制證書頒發(fā) 370
12.2.9 建立角色分離 372
12.2.10 強(qiáng)制角色分離 373
12.2.11 配置自動(dòng)登記 374
12.2.12 培訓(xùn)用戶證書請求程序 376
12.2.13 強(qiáng)化PKI策略、程序和規(guī)則 377
第3部分 一勞不能永逸
第13章 強(qiáng)化安全周期 381
13.1 創(chuàng)建業(yè)務(wù)連續(xù)性計(jì)劃 382
13.1.1 確定計(jì)劃范圍 383
13.1.2 進(jìn)行業(yè)務(wù)影響評估 383
13.1.3 進(jìn)行風(fēng)險(xiǎn)分析 384
13.1.4 制定計(jì)劃 385
13.1.5 測試 386
13.1.6 計(jì)劃實(shí)施 386
13.1.7 計(jì)劃維護(hù) 386
13.2 制定安全策略 386
13.3 強(qiáng)化操作系統(tǒng)安裝 386
13.3.1 準(zhǔn)備默認(rèn)安全模板 387
13.3.2 使用Slipstreaming 387
13.3.3 安裝過程中用RIS添加服務(wù)包 387
13.3.4 安裝過程中安裝Hotfix補(bǔ)丁 388
13.4 強(qiáng)化操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)保護(hù) 390
13.5 用正規(guī)的變更管理程序管理變更 391
13.5.1 升級、人員變動(dòng)、變更和新的安裝 392
13.5.2 安全配置更改 392
13.5.3 補(bǔ)丁 392
13.6 準(zhǔn)備災(zāi)難恢復(fù) 403
13.6.1 使用容錯(cuò)配置 403
13.6.2 計(jì)劃備份以及執(zhí)行備份 404
13.6.3 計(jì)劃并進(jìn)行特殊備份操作 407
13.6.4 實(shí)踐恢復(fù)操作 408
13.7 監(jiān)控與審計(jì) 410
13.7.1 配置系統(tǒng)審計(jì) 411
13.7.2 配置審計(jì)日志 414
13.7.3 保存審計(jì)日志文件 415
13.7.4 使用安全事件進(jìn)行入侵檢測與辯論分析 416
13.7.5 審計(jì)安全配置 418
13.7.6 審計(jì)補(bǔ)丁狀態(tài) 420
第4部分 如何成功地強(qiáng)化Windows系統(tǒng)的安全性
第14章 強(qiáng)化濕件（Wetware） 425
14.1 診斷與改善安全策略 426
14.1.1 決定目前信息系統(tǒng)安全策略 427
14.1.2 評價(jià)策略 427
14.1.3 參與安全策略的構(gòu)建與維護(hù) 428
14.2 學(xué)會商務(wù)談吐 430
14.3 采取的第一個(gè)措施 431
14.4 通曉現(xiàn)行法律 431
14.4.1 所依賴的規(guī)則 432
14.4.2 現(xiàn)行立法掠影 433
14.5 了解Windows和其他操作系統(tǒng)的漏洞 436
14.6 了解并具體實(shí)施自愿性標(biāo)準(zhǔn) 437
14.6.1 ISO 17799 437
14.6.2 國家網(wǎng)絡(luò)安全戰(zhàn)略計(jì)劃 438
14.7 啟動(dòng)或參與安全意識教育 438
14.7.1 安全意識目標(biāo) 438
14.7.2 運(yùn)作 439
附錄 資源 440