Windows安全應用策略和實施方案手冊

第1章　活動目錄結構安全設計與配置　1
1.1　活動目錄概述　1
1.2　設計目錄林和域的安全邊界　2
1.2.1　安全邊界——目錄林　2
1.2.2　目錄林的安全規(guī)劃　2
1.2.3　域的安全規(guī)劃　3
1.3　目錄林和域的功能級別選擇和配置　4
1.3.1　Windows 2000的域模式　4
1.3.2　查看Windows 2000域模式　6
1.3.3　升級Windows 2000域模式　7
1.3.4　Windows 2003目錄林和域的功能級別　8
1.3.5　Windows 2003 4種域功能級別和功能比較　8
1.3.6　Windows 2003三種目錄林功能級別及功能比較　10
1.3.7　查看Windows 2003目錄林和域的功能級別　11
1.3.8　Windows 2003的目錄林和域功能級別提升策略　11
1.3.9　提升域功能級別　13
1.3.10　提升目錄林功能級別　14
1.4　域信任關系的管理和配置　14
1.4.1　域信任關系概述　15
1.4.2　6種信任關系　18
1.4.3　Windows 2000/2003目錄林中的默認信任關系　19
1.4.4　外部信任關系　19
1.4.5　創(chuàng)建外部信任關系　20
1.4.6　配置和管理快捷信任關系　23
1.4.7　目錄林信任關系介紹　24
1.4.8　配置目錄林信任　24
1.4.9　保護目錄林信任　27
1.4.10　選擇性身份驗證介紹　27
1.4.11　配置選擇性身份驗證　28
1.4.12　啟用/禁用選擇性身份驗證　31
1.4.13　應用SID過濾　31
1.5　創(chuàng)建組織單元實現(xiàn)安全管理　33
1.5.1　組織單元功能介紹　33
1.5.2　創(chuàng)建組織單位　35
1.5.3　配置委派管理　35
第2章　Windows和域的安全管理　39
2.1　Kerberos的安全原理和應用　39
2.1.1　理解Kerberos　39
2.1.2　實現(xiàn)Kerberos委派　43
2.1.3　Kerberos在網(wǎng)絡負載均衡中的應用和配置　43
2.1.4　Kerberos在Cluster群集中的應用和配置　48
2.1.5　Kerberos在IPSec網(wǎng)絡中的使用　51
2.1.6　配置Kerberos策略　51
2.1.7　Kerberos監(jiān)控和排錯　51
2.2　管理和保護活動目錄中的賬號和組　53
2.2.1　理解賬號和組　54
2.2.2　需要關注的活動目錄賬號和組　57
2.2.3　保護活動目錄管理組和賬號　64
2.2.4　采用管理賬號和組的最佳做法　74
2.2.5　賬號的SID管理　77
2.2.6　計算機賬號管理　78
2.3　委派身份驗證　81
2.3.1　理解委派　81
2.3.2　理解和配置受限委派　82
2.3.3　如何在Windows 2000域中實現(xiàn)Kerberos委派　84
2.3.4　如何在Windows 2003域中實現(xiàn)Kerberos委派　86
2.4　管理和配置時間服務　89
2.4.1　時間服務對活動目錄的重要性　90
2.4.2　時間服務是如何工作的　90
2.4.3　活動目錄的時間同步　91
2.4.4　通過防火墻同步時間　92
2.4.5　監(jiān)控時間服務　92
2.5　服務器安全保護　93
2.5.1　強化域控制器的安全配置　93
2.5.2　保護文件安全　97
2.5.3　服務器的物理安全保護　103
2.6　安全安裝Windows　104
2.6.1　安全安裝Windows操作系統(tǒng)　104
2.6.2　安全升級域控制器　107
2.7　Windows 2000/2003安全管理技巧　109
2.7.1　刪除OS/2和POSIX子系統(tǒng)　109
2.7.2　限制空會話訪問　110
2.7.3　從網(wǎng)絡瀏覽列表中隱藏計算機　110
2.7.4　更改DLL搜索順序　111
2.7.5　禁用媒體自動運行　112
2.7.6　關閉文件夾中的Web視圖　112
2.7.7　使用Syskey提高安全性　113
2.7.8　提高Windows的抗DoS攻擊能力　114
2.7.9　禁用不受信任網(wǎng)絡中的NetBIOS和SMB協(xié)議　118
第3章　配置組策略實現(xiàn)安全管理　121
3.1　組策略基本概念　121
3.2　組策略處理和優(yōu)先級　122
3.2.1　組策略的處理順序　122
3.2.2　默認處理順序的例外情況　122
3.2.3　組策略在啟動和登錄時的應用過程　124
3.3　組策略管理方法　125
3.3.1　組策略對象編輯器　125
3.3.2　編輯容器的組策略屬性　127
3.3.3　GPMC　128
3.4　組策略的設計　132
3.5　GPO權限管理　134
3.5.1　GPO讀取和應用權限管理　134
3.5.2　GPO的創(chuàng)建權限管理　135
3.5.3　GPO編輯權限管理　135
3.5.4　GPO鏈接權限管理　136
3.5.5　組策略委派管理的推薦做法　137
3.6　組策略應用　137
3.7　組策略的安全管理功能　137
3.8　安全配置賬號策略　138
3.8.1　安全配置密碼策略　138
3.8.2　安全配置賬號鎖定策略　141
3.8.3　賬號鎖定排錯　143
3.8.4　保護賬號/密碼安全性的其他方法　144
3.9　安全配置Kerberos策略　144
3.10　安全管理用戶權利　145
3.11　配置計算機安全選項　149
3.11.1　編輯安全選項　152
3.11.2　保護Administrator賬號　153
3.11.3　保護Guest賬號　154
3.11.4　限制空白密碼的本地賬戶只允許進行控制臺登錄　154
3.11.5　計算機賬號密碼管理　155
3.11.6　保護與域控制器間的LDAP數(shù)據(jù)流　155
3.11.7　保護SMB數(shù)據(jù)流　156
3.11.8　交互式登錄：可被緩存的前次登錄個數(shù)　157
3.11.9　交互式登錄：要求域控制器身份驗證以解鎖工作站　157
3.11.10　Windows 2000中的匿名訪問限制　158
3.11.11　Windows 2003中的匿名訪問限制　159
3.11.12　限制空會話訪問　160
3.11.13　加強密碼存儲的安全性　162
3.11.14　控制Lan Manager身份驗證級別　163
3.11.15　確定基于NTLM SSP的會話安全　164
3.12　安全管理系統(tǒng)服務　165
3.13　通過組策略禁用U盤　166
3.14　軟件限制策略　168
3.14.1　默認安全級別　168
3.14.2　附加規(guī)則　168
3.14.3　常規(guī)配置規(guī)則　169
3.14.4　配置軟件限制策略　169
3.15　在組策略中使用安全模板　173
3.15.1　安全模板的概念　173
3.15.2　編輯安全模板　173
3.15.3　分析現(xiàn)有安全策略　174
3.16　Windows 2000/2003默認安全策略　175
3.16.1　Windows 2000/2003默認安全策略設置　176
3.16.2　恢復默認安全策略　176
3.17　Windows 2000/2003安全模板推薦　185
第4章　Windows網(wǎng)絡安全部署　187
4.1　保護DNS服務器　187
4.1.1　使用組策略保護DNS服務　187
4.1.2　集成DNS服務到活動目錄　187
4.1.3　啟用安全的動態(tài)更新　189
4.1.4　控制區(qū)域復制　189
4.1.5　啟用或禁用DNS服務器的IP地址　190
4.1.6　調整事件日志和DNS服務日志的大小　190
4.1.7　使用防火墻屏蔽DNS攻擊　191
4.2　保護DHCP服務器　191
4.2.1　防止DHCP拒絕服務攻擊　192
4.2.2　配置DHCP日志　192
4.2.3　使用IPSec篩選器禁用端口　193
4.3　應用IPSec提高網(wǎng)絡安全　193
4.3.1　IPSec簡介　193
4.3.2　配置IPSec協(xié)議免除　199
4.3.3　IPSec使用方案推薦　200
4.3.4　配置傳輸模式的IPSec　201
4.3.5　配置隧道模式的IPSec　221
4.3.6　IPSec監(jiān)控和排錯　224
4.3.7　IPSec與NAT設備的兼容性　228
4.3.8　IPSec與防火墻的集成使用　229
4.4　安裝和配置IAS服務器　229
4.4.1　安裝IAS服務　229
4.4.2　配置RADIUS客戶端　229
4.4.3　為IAS服務器申請證書　230
4.4.4　配置遠程訪問策略　230
4.5　安全配置VPN應用　232
4.5.1　VPN技術的類型　232
4.5.2　VPN的應用場合和實例模型介紹　233
4.5.3　規(guī)劃VPN遠程訪問應用　234
4.5.4　配置VPN 遠程訪問服務器　240
4.5.5　配置L2TP/VPN 遠程訪問服務器　251
4.5.6　在VPN遠程訪問應用中使用EAP驗證方法　254
4.5.7　規(guī)劃網(wǎng)關至網(wǎng)關的VPN應用　258
4.5.8　配置網(wǎng)關至網(wǎng)關的VPN應用　262
4.5.9　在網(wǎng)關至網(wǎng)關的VPN應用中使用EAP驗證　267
4.6　安全的無線網(wǎng)絡應用　270
4.6.1　制定安全的無線網(wǎng)絡策略　270
4.6.2　配置EAP_TLS驗證+WEP加密的無線網(wǎng)絡　273
4.6.3　配置EAP-MSCHAP v2 +WEP的無線網(wǎng)絡　280
第5章　公鑰架構的部署與應用　285
5.1　公鑰架構的工作原理　285
5.1.1　公鑰架構的組成部分　285
5.1.2　非對稱密鑰　286
5.1.3　證書介紹　286
5.1.4　證書頒發(fā)機構　289
5.1.5　證書應用　292
5.1.6　證書身份驗證　293
5.2　公鑰架構設計　294
5.2.1　證書需求　294
5.2.2　CA層次結構設計　296
5.2.3　CA架構設計方案舉例　301
5.2.4　CA的硬件和軟件要求　302
5.2.5　CA配置規(guī)劃　303
5.3　安裝CA系統(tǒng)　304
5.3.1　CA安裝準備　304
5.3.2　安裝獨立根CA　306
5.3.3　安裝企業(yè)根CA　309
5.3.4　安裝子CA　309
5.4　實現(xiàn)CA的安全管理　313
5.4.1　檢查CA證書　314
5.4.2　CRL分發(fā)點的管理　314
5.4.3　配置CRL有效期　315
5.4.4　AIA分發(fā)點的管理　316
5.4.5　修改策略模塊　316
5.4.6　CA安全控制　317
5.4.7　證書模板的管理方法　319
5.4.8　續(xù)訂CA證書　327
5.4.9　修改CA證書的有效期　328
5.4.10　根CA信任　329
5.4.11　CA工具Certutil　338
5.4.12　備份和還原CA　340
5.5　證書的安全管理　341
5.5.1　證書管理工具　342
5.5.2　查看證書內容　344
5.5.3　導出證書　347
5.5.4　導入證書　349
5.5.5　將證書映射到用戶賬號　350
5.5.6　證書有效期管理　350
5.5.7　證書的申請　351
5.5.8　Web證書申請方法　352
5.5.9　證書管理單元申請方法　358
5.5.10　配置證書的自動頒發(fā)　359
5.5.11　證書續(xù)訂　365
5.5.12　證書的吊銷　367
5.6　智能卡部署　367
5.6.1　智能卡硬件準備　368
5.6.2　頒發(fā)智能卡證書　368
5.6.3　智能卡證書續(xù)訂　375
5.6.4　智能卡應用　376
5.7　文件加密　377
5.7.1　加密文件系統(tǒng)概述　378
5.7.2　EFS的實施過程　379
5.7.3　為故障恢復代理生成文件恢復證書　380
5.7.4　備份文件恢復證書密鑰　381
5.7.5　創(chuàng)建基于域的故障恢復代理　381
5.7.6　創(chuàng)建本地恢復代理　382
5.7.7　啟用EFS　382
5.7.8　啟用EFS文件共享　384
5.7.9　備份EFS證書和密鑰　385
5.7.10　EFS數(shù)據(jù)恢復　385
5.7.11　EFS最佳做法　385
第6章　IIS 5.0/IIS 6.0的安全使用　387
6.1　IIS的安裝和配置　388
6.2　Web權限管理　390
6.2.1　Web的安全控制方法　390
6.2.2　Web站點驗證方法的比較與應用　395
6.3　IIS 5.0 Web安全管理　400
6.3.1　IIS中的安全組件　400
6.3.2　IIS 5.0工作方式的揭密　404
6.3.3　IIS 5.0的主要安全隱患　404
6.3.4　強化IIS 5.0的安全設置　406
6.4　IIS 6.0 Web安全管理　413
6.4.1　Windows 2003默認不安裝IIS 6.0　414
6.4.2　應用程序模型　414
6.4.3　利用Windows 2003的安全改善功能　417
6.4.4　安全的網(wǎng)站設置　418
6.5　以Web方式修改密碼　421
6.6　證書在Web中的應用　421
6.6.1　SSL網(wǎng)站的工作原理　421
6.6.2　SSL網(wǎng)站配置　421
6.6.3　配置客戶端證書驗證　427
6.6.4　實現(xiàn)證書與賬號映射　430
6.6.5　配置IIS證書應用中的CRL檢查　434
6.6.6　網(wǎng)站證書應用中的常見問題　435
6.7　安全配置FTP站點　438
6.7.1　FTP站點的配置　438
6.7.2　創(chuàng)建用戶隔離的FTP站點　440
6.7.3　FTP的安全控制　443
6.7.4　FTP的端口和訪問模式　446
6.7.5　多種方法提高FTP站點安全性　447
第7章　ISA Server 2000的應用與管理　449
7.1　ISA Server 2000介紹　449
7.1.1　ISA Server 2000服務器　449
7.1.2　ISA Server的客戶端　451
7.2　ISA Server 2000的應用設計　455
7.2.1　緩存代理服務器　455
7.2.2　防火墻或者集成模式ISA Server　456
7.2.3　容量規(guī)劃建議　458
7.3　安裝ISA Server　459
7.3.1　安裝前的準備　459
7.3.2　安裝獨立的ISA Server　459
7.3.3　安裝更新　461
7.4　安全訪問控制　462
7.4.1　對外訪問控制原理　462
7.4.2　ISA Server基準訪問控制協(xié)議　468
7.4.3　代理內部客戶端訪問外部Web網(wǎng)站　470
7.4.4　代理內部客戶端訪問外部FTP網(wǎng)站　473
7.4.5　代理內部客戶端訪問外部TCP/UDP應用程序　473
7.4.6　代理內部客戶端收發(fā)外網(wǎng)郵件服務器的郵件　474
7.4.7　內部客戶端通過ISA Server使用QQ　475
7.4.8　內部客戶端通過ISA Server訪問流媒體文件　476
7.4.9　內部客戶端通過ISA Server使用MSN Messenger　477
7.4.10　內部客戶端通過ISA Server訪問外部文件共享　480
7.4.11　控制內部客戶端訪問非TCP/UDP應用程序　481
7.4.12　代理內部客戶端Ping連外網(wǎng)計算機　482
7.4.13　代理內部客戶端訪問外部VPN服務器　483
7.5　服務安全發(fā)布　483
7.5.1　服務安全發(fā)布原理　483
7.5.2　Web發(fā)布HTTP網(wǎng)站　485
7.5.3　發(fā)布內部非標準端口HTTP網(wǎng)站　490
7.5.4　將HTTP網(wǎng)站發(fā)布在非標準端口上　490
7.5.5　發(fā)布內部的主機頭網(wǎng)站　491
7.5.6　發(fā)布HTTPS網(wǎng)站　492
7.5.7　發(fā)布FTP網(wǎng)站　494
7.5.8　服務器發(fā)布　495
7.5.9　安全發(fā)布企業(yè)Exchange服務器　498
7.6　配置SMTP過濾器保護郵件安全　507
7.7　發(fā)布ISA Server本機的服務　508
7.8　ISA Server本機安全配置　509
7.9　ISA Server與VPN應用　512
7.9.1　外網(wǎng)用戶直接VPN連接ISA Server　512
7.9.2　外網(wǎng)用戶通過NAT設備VPN連接ISA Server　514
7.9.3　配置網(wǎng)關至網(wǎng)關的VPN/ISA Server應用　515
第8章　ISA Server 2004新特性的應用　521
8.1　多重網(wǎng)絡支持功能應用　521
8.1.1　ISA Server 2000的網(wǎng)絡設計局限　521
8.1.2　ISA Server 2004的多重網(wǎng)絡支持功能　522
8.2　防火墻策略新特性應用　527
8.2.1　ISA Server 2000訪問策略設計的局限　527
8.2.2　ISA Server 2004集成防火墻策略　527
8.2.3　防火墻策略是有序的　528
8.2.4　默認拒絕策略　528
8.2.5　系統(tǒng)策略　529
8.2.6　策略存儲　530
8.2.7　配置防火墻策略　530
8.3　訪問策略　531
8.3.1　配置其他網(wǎng)絡訪問ISA Server本機　531
8.3.2　遠程管理ISA Server　534
8.3.3　ISA Server本機訪問其他網(wǎng)絡　535
8.3.4　配置內部及VPN客戶端訪問外部網(wǎng)絡　536
8.4　協(xié)議篩選　538
8.4.1　HTTP協(xié)議篩選　538
8.4.2　FTP只讀配置　541
8.4.3　SMTP協(xié)議篩選　541
8.5　服務器發(fā)布　542
8.5.1　發(fā)布標準端口的Web服務器　542
8.5.2　發(fā)布非標準端口的Web服務器　546
8.5.3　使用Web發(fā)布規(guī)則發(fā)布FTP站點　546
8.5.4　發(fā)布內網(wǎng)服務器　547
8.5.5　發(fā)布非標準端口的FTP服務器　550
8.6　利用增強的VPN功能　551
8.6.1　發(fā)布VPN服務器　552
8.6.2　在ISA Server上啟用VPN客戶端訪問　553
8.7　利用增強的監(jiān)視功能　555
8.7.1　儀表板　555
8.7.2　在日志查看器中進行實時監(jiān)視　556
8.7.3　內置日志查詢　556
8.7.4　會話的實時監(jiān)視和篩選　557
8.7.5　連接性驗證程序　558
8.7.6　將日志存儲到MSDE數(shù)據(jù)庫　558
8.7.7　發(fā)布報告　559
8.8　導出、導入、備份、還原功能　560
8.8.1　備份還原ISA Server　560
8.8.2　導出導入配置信息　561
8.9　內核模式的安全鎖定　562
8.10　與硬件集成　563
第9章　補丁管理與惡意軟件防殺　565
9.1　介紹Windows更新與補丁　565
9.2　Windows更新網(wǎng)站　568
9.3　自動更新客戶端　568
9.4　SUS補丁管理部署　569
9.4.1　SUS應用場景推薦　569
9.4.2　下載必要的軟件　570
9.4.3　安裝SUS服務軟件和MSBA　571
9.4.4　配置客戶端計算機的自動更新組件　573
9.4.5　SUS補丁管理流程　577
9.4.6　使用MSBA評估客戶端的補丁安裝情況　578
9.4.7　配置SUS服務器選項　580
9.4.8　服務器補丁更新管理　582
9.4.9　在測試環(huán)境中安裝補丁　584
9.4.10　將補丁分發(fā)到客戶機　584
9.4.11　補丁卸載　585
9.4.12　SUS補丁更新監(jiān)控　585
9.5　SMS補丁管理部署　585
9.5.1　安裝SMS 2003安全管理掃描工具　586
9.5.2　設置補丁包的自動更新分發(fā)點　588
9.5.3　分發(fā)掃描工具　588
9.5.4　搭建測試實驗室　589
9.5.5　使用向導分發(fā)補丁　589
9.5.6　使用SMS評估網(wǎng)絡計算機的補丁安裝情況　595
9.6　惡意軟件的防殺　596
9.6.1　惡意軟件的常見傳播方式　596
9.6.2　惡意軟件的破壞力　597
9.6.3　惡意軟件分析　598
9.6.4　惡意軟件防護方法　602
9.6.5　清除惡意軟件　608
第10章　安全審核與監(jiān)測　611
10.1　安全評估方法　611
10.1.1　MBSA安全評估　612
10.1.2　其他入侵監(jiān)測評估方法　616
10.2　審核管理　616
10.2.1　審核配置　617
10.2.2　系統(tǒng)無法記錄安全事件時是否關閉系統(tǒng)　618
10.2.3　審核登錄事件　618
10.2.4　審核賬戶登錄事件　620
10.2.5　審核賬戶管理　621
10.2.6　審核對象訪問　622
10.2.7　審核目錄服務訪問　625
10.2.8　審核特權使用　625
10.2.9　審核進程跟蹤　626
10.2.10　審核系統(tǒng)事件　626
10.2.11　審核策略更改　628
10.3　Windows日志管理　628
10.3.1　保護事件日志　628
10.3.2　配置組策略保護事件日志　629
10.3.3　使用事件查看器管理日志　632
10.3.4　轉儲事件日志工具　634
10.3.5　MOM的日志管理功能　635
10.3.6　使用工具EventCombMT管理事件日志　635
10.4　Windows監(jiān)控管理　639
10.4.1　查看應用程序日志　639
10.4.2　監(jiān)視服務和驅動程序　639
10.4.3　惡意軟件監(jiān)視方法　642