基本信息·出版社:清华大学出版社 ·页码:564 页 ·出版日期:2009年11月 ·ISBN:7302211388/9787302211389 ·条形码:9787302211389 ·版本:第1版 · ...
| 商家名称 |
信用等级 |
购买信息 |
订购本书 |
|
|
 |
Windows Server 2008安全内幕(附赠DVD光盘1张) |
 |
|
|
Windows Server 2008安全内幕(附赠DVD光盘1张) |
|
基本信息·出版社:清华大学出版社
·页码:564 页
·出版日期:2009年11月
·ISBN:7302211388/9787302211389
·条形码:9787302211389
·版本:第1版
·装帧:平装
·开本:16
·正文语种:中文
·丛书名:Windows Server 2008系统工程师视频突击
内容简介 《Windows Server 2008安全内幕》全面阐述Windows Server 2008网络操作系统的安全配置和应用,主要内容包括Windows Server 2008系统基本安全措施、增强型安全配置、用户账户安全、活动目录安全、组策略安全、文件系统安全、高级防火墙、系统事件和性能监视、数字证书、VPN连接、NAP、网络应用服务安全等多个方面。通过阅读《Windows Server 2008安全内幕》,读者可以快速掌握Windows Server 2008系统安全基本配置内容,迅速成长为拥有专业技术的系统安全工程师。
《Windows Server 2008安全内幕》可作为大专院校计算机相关专业的教材,也适合具有一定基础的系统管理员和网络管理员阅读。
作者简介 刘晓辉,衡水学院网络中心主任,高级工程师MCSE+CCNP。先后规划和筹建了多个校园网络,主持实施了多个系统集成工和综合布线工程,参与了大量大中型网络项目的招标和验收,始终工作在网络教堂和网络管理第一线。经过多年的摸爬滚打,积累了大量的网络建设和网络管理工作经验。先后出版了《Windows Server 2003组网教程》、《中小企业网站管理培训教程》、《网络常见问题与故障1000例》、《网络安全设计、配置与管理大全》和《网络设备规划、配置与管理大全》等几十部著作。
李利军,东北师范大学网络中心,高级工程师。长期从事网络教学、实验和管理,具有丰富的网络管理实践经验,并对网络安全和数据恢复有着较为深入的研究。先后出版了《局域网组网技术大全》、《中小企业网络管理员实战指南》和《Windows Server2003 R2系统管理实战指南》等多部著作。
编辑推荐 《Windows Server 2008安全内幕》:
Windows Server 2008系统管理鸿篇巨制
金牌微软认证讲师领衔力作
微软认证考生与微软系统工程师必知必会
目录 第1章 WindowsServer2008初始安全1
1.1 WindowsServer2008安装安全2
1.1.1 系统安装安全指南2
1.1.2 安全补丁更新2
1.2 WindowsServer2008基本安全4
1.2.1 Internet连接防火墙4
1.2.2 安全配置向导7
1.3 WindowsServer2008被动防御安全20
1.3.1 配置防病毒系统20
1.3.2 配置防间谍系统23
1.4 WindowsServer2008系统安全28
1.4.1 应用程序安全29
1.4.2 系统服务安全29
1.4.3 注册表安全30
1.4.4 审核策略34
第2章 WindowsServer2008系统加固39
2.1 安装系统更新40
2.1.1 补丁安装注意事项40
2.1.2 补丁安装40
2.2 系统管理员账户43
2.2.1 更改Administrator账户名称43
2.2.2 禁用Administrator账户45
2.2.3 减少管理员组成员46
2.2.4 系统管理员口令设置47
2.2.5 创建陷阱账户48
2.3 磁盘访问权限50
2.3.1 权限范围50
2.3.2 设置磁盘访问权限51
2.3.3 查看磁盘权限51
2.4 系统账户数据库52
2.4.1 加密系统账户数据库52
2.4.2 删除系统账户数据库54
2.4.3 备份和恢复账户信息54
2.5 系统服务安全56
2.5.1 常见服务攻击类型56
2.5.2 服务账户57
2.5.3 服务权限58
2.5.4 漏洞和应对措施58
2.5.5 配置系统服务安全59
2.5.6 系统服务详解61
2.6 端口安全68
2.6.1 端口分类68
2.6.2 端口攻击69
2.6.3 查看端口——netstat70
2.6.4 通过组策略配置端口72
2.7 系统漏洞安全85
2.7.1 漏洞的特性85
2.7.2 漏洞生命周期86
2.7.3 漏洞管理流程87
2.7.4 漏洞修补方略88
2.7.5 漏洞扫描概述89
2.7.6 漏洞扫描工具——MBSA90
第3章 活动目录安全95
3.1 活动目录安全管理96
3.1.1 全局编录96
3.1.2 操作主机98
3.1.3 功能级别105
3.1.4 信任关系108
3.1.5 权限委派116
3.1.6 只读域控制器121
3.1.7 可重新启动的活动目录域服务128
3.2 活动目录数据库129
3.2.1 设置目录数据库访问权限130
3.2.2 整理活动目录数据库130
3.2.3 重定向活动目录数据库133
第4章 组策略安全135
4.1 组策略概述136
4.1.1 WindowsServer2008中组策略的新特性136
4.1.2 ADMX和ADM文件136
4.1.3 编辑ADMX模板138
4.2 编辑组策略138
4.2.1 管理设置139
4.2.2 添加管理模板140
4.2.3 筛选管理模板140
4.3 安全策略141
4.3.1 账户策略142
4.3.2 审核策略147
4.3.3 用户权限分配152
4.3.4 设备限制安全策略157
4.4 软件限制策略159
4.4.1 软件限制策略简介159
4.4.2 安全级别设置160
4.4.3 默认规则166
4.5 IE安全策略168
4.5.1 阻止恶意程序入侵168
4.5.2 禁止改变本地安全访问级别169
第5章 用户账户安全171
5.1 用户账户的管理172
5.1.1 新建用户账户172
5.1.2 重设用户密码174
5.1.3 启用、禁用、删除用户178
5.1.4 限制用户可以登录的时间179
5.1.5 限制用户可以登录的工作站180
5.1.6 恢复误删除的域用户180
5.2 用户组的管理182
5.2.1 新建用户组182
5.2.2 向组中添加成员183
5.2.3 为组指定管理员185
5.2.4 更改组作用域或组类型186
5.2.5 删除组189
5.2.6 默认组介绍189
5.3 用户权限的安全192
5.3.1 为用户设置权利193
5.3.2 将用户权利指派到组193
5.4 用户环境安全194
5.4.1 重定向用户配置文件195
5.4.2 重定向程序安装目录“ProgramFiles”196
5.4.3 重定向“IE临时文件夹”196
5.4.4 重定向“虚拟内存”197
5.5 域用户配置文件安全199
5.5.1 用户配置文件概述199
5.5.2 查看用户配置文件200
5.5.3 漫游用户配置文件201
第6章 文件系统安全203
6.1 基于NTFS文件系统的安全设置204
6.1.1 NTFS权限概述204
6.1.2 设置NTFS权限207
6.1.3 设置磁盘配额212
6.1.4 文件屏蔽215
6.1.5 文件权限审核220
6.2 权限管理服务223
6.2.1 安装ADRMS前的准备223
6.2.2 安装ADRMS服务器223
6.2.3 配置ADRMS服务器230
6.2.4 ADRMS客户端部署及应用240
6.3 共享资源安全245
6.3.1 管理共享文件夹权限246
6.3.2 默认共享安全249
第7章 网络服务安全255
7.1 IIS安全机制256
7.1.1 IIS访问控制安全256
7.1.2 NTFS访问安全257
7.1.3 身份验证257
7.1.4 IIS安装安全258
7.2 WWW安全258
7.2.1 用户控制安全259
7.2.2 访问权限控制261
7.2.3 授权规则263
7.2.4 IPv4地址控制264
7.2.5 IP转发安全266
7.2.6 SSL安全267
7.2.7 审核IIS日志记录269
7.2.8 设置内容过期271
7.2.9 内容分级设置272
7.2.10 注册MIME类型273
7.3 FTP服务安全274
7.3.1 设置TCP端口274
7.3.2 连接数量限制275
7.3.3 用户访问安全275
7.3.4 文件访问安全277
7.4 终端服务安全277
7.4.1 TS网关概述278
7.4.2 安装TS网关278
7.4.3 为TS网关服务器获取证书284
7.4.4 创建终端服务策略285
7.4.5 配置终端服务客户端289
7.4.6 监视TS网关服务器的连接状态和报告293
7.5 文件服务安全294
第8章 Windows防火墙295
8.1 Windows防火墙概述296
8.1.1 使用Windows防火墙筛选通信296
8.1.2 使用IPSec保护通信296
8.1.3 设计Windows防火墙策略298
8.2 配置Windows防火墙300
8.2.1 配置防火墙规则300
8.2.2 IPSec连接安全规则306
8.3 使用组策略配置Windows防火墙313
8.3.1 创建组策略313
8.3.2 Windows防火墙:允许通过验证的IPSec旁路315
8.3.3 标准配置文件/域配置文件315
8.4 配置Windows防火墙事件审核316
8.4.1 启用审核设置316
8.4.2 查看Windows防火墙事件319
8.4.3 筛选Windows防火墙事件321
8.4.4 配置Windows防火墙日志文件321
8.5 Windows防火墙的维护322
第9章 事件和日志323
9.1 事件查看器324
9.1.1 事件基本信息324
9.1.2 事件的类型324
9.1.3 事件查看器的使用325
9.2 安全性日志340
9.2.1 启用审核策略340
9.2.2 审核事件ID341
9.2.3 日志分析353
9.3 可靠性和性能353
9.3.1 监视工具354
9.3.2 数据收集器集362
9.3.3 报告369
第10章 数字证书371
10.1 数字证书服务的安装372
10.1.1 数字证书服务安装前的准备372
10.1.2 数字证书服务的安装372
10.2 CA证书的创建与安装380
10.2.1 服务端CA证书的创建380
10.2.2 独立证书服务的使用387
10.3 CA证书的管理与应用390
10.3.1 吊销证书390
10.3.2 解除吊销的证书391
10.3.3 证书续订391
10.3.4 导出与导入证书393
10.3.5 配置安全Web服务器395
第11章 远程访问VPN连接401
11.1 Windows远程访问VPN的组件402
11.2 远程访问VPN连接规划和设计403
11.2.1 VPN协议403
11.2.2 身份验证方式404
11.2.3 VPN服务器405
11.2.4 Internet基础结构406
11.2.5 内网基础结构407
11.2.6 VPN客户端的内网和Internet并存访问410
11.2.7 身份验证基础结构411
11.2.8 VPN客户端412
11.2.9 PKI413
11.2.1 0NAP的VPN强制414
11.3 配置基于VPN的远程访问414
11.3.1 配置证书414
11.3.2 配置Internet基础结构416
11.3.3 赋予域用户账户远程访问权限417
11.3.4 安装和配置VPN服务器417
11.3.5 配置RADIUS服务器422
11.3.6 配置内网基础结构426
11.3.7 配置VPN客户端427
第12章 站点对站点的VPN连接437
12.1 站点对站点VPN简介438
12.1.1 点对点VPN的实现机制438
12.1.2 请求拨号路由概述438
12.1.3 点对点VPN的类型439
12.1.4 Windows站点对站点VPN的组件440
12.2 点对点VPN连接的规划和设计441
12.2.1 VPN协议441
12.2.2 身份验证方式441
12.2.3 VPN路由器442
12.2.4 Internet基础结构443
12.2.5 站点网络基础结构443
12.2.6 身份验证基础结构444
12.2.7 PKI445
12.3 配置站点对站点VPN连接446
12.3.1 配置VPN路由器证书446
12.3.2 配置拨入用户账户452
12.3.3 配置RADIUS服务器452
12.3.4 配置应答路由器453
12.3.5 配置呼叫路由器456
12.3.6 配置站点网络基础结构456
12.3.7 配置站间网络基础结构457
第13章 网络访问保护概述459
13.1 网络访问保护的需要460
13.1.1 恶意软件及其对企业计算机的影响460
13.1.2 在企业网络中防止恶意软件461
13.1.3 NAP的角色463
13.1.4 NAP的应用环境465
13.1.5 NAP的商业价值465
13.2 NAP的组件466
13.2.1 系统健康代理和系统健康验证467
13.2.2 强制客户端和服务器468
13.2.3 NPS468
13.2.4 网络访问保护策略的模式468
13.3 强制方式469
13.3.1 IPSec强制469
13.3.2 802.1 X强制469
13.3.3 VPN强制470
13.3.4 DHCP强制470
13.4 NAP工作方式470
13.4.1 IPSec强制的工作方式471
13.4.2 802.1 X强制的工作471
13.4.3 VPN强制的工作472
13.4.4 DHCP强制的工作472
13.5 网络访问保护的准备473
13.5.1 评价当前网络基础结构473
13.5.2 相关服务组件的安装475
13.5.3 更新服务器476
13.5.4 安装NPS477
13.5.5 NAP健康策略服务器479
13.5.6 健康要求策略配置482
第14章 NAP应用技术489
14.1 配置IPSec强制490
14.1.1 配置PKI490
14.1.2 配置HRA495
14.1.3 配置NAP健康策略服务器498
14.1.4 配置NAP客户端500
14.1.5 配置和应用IPSec策略504
14.2 配置802.1 X强制510
14.2.1 配置基于PEAP的身份验证方式510
14.2.2 配置802.1 X访问点511
14.2.3 配置NAP健康策略服务器512
14.2.4 配置NAP客户端516
14.2.5 测试受限访问520
14.2.6 为不符合的NAP客户端的延期强制配置网络策略524
14.2.7 为强制模式配置网络策略524
14.3 配置VPN强制527
14.3.1 为VPN服务器配置EAP身份验证527
14.3.2 配置NAP健康策略服务器528
14.3.3 配置NAP客户端532
14.3.4 测试受限VPN客户端的访问535
14.3.5 配置强制模式网络策略536
14.4 配置DHCP强制537
14.4.1 配置NAP健康策略服务器537
14.4.2 配置NAP客户端541
14.4.3 将DHCP服务器配置为RADIUS客户端541
14.4.4 配置DHCP服务器选项542
14.4.5 测试DHCP强制客户端544
14.4.6 授权非NAP客户端的访问546
第15章 数据备份与恢复547
15.1 备份活动目录数据库548
15.1.1 活动目录数据库的备份548
15.1.2 活动目录数据库的恢复551
15.1.3 恢复任意时间活动目录数据库备份553
15.1.4 使用授权还原模式恢复个别对象555
15.2 备份服务状态信息556
15.2.1 备份服务状态556
15.2.2 恢复服务状态557
15.3 DHCP服务器备份557
15.3.1 内置工具558
15.3.2 NETSH命令559
15.3.3 DHCP移植559
15.4 磁盘配额备份560
15.4.1 备份磁盘配额560
15.4.2 还原磁盘配额560
15.5 DNS服务器备份560
15.5.1 DNS注册表信息备份561
15.5.2 DNS数据文件备份561
15.5.3 DNS数据还原562
15.6 WINS服务器备份562
15.6.1 备份Wins数据库562
15.6.2 还原Wins数据库563
15.7 网络配置备份563
15.7.1 备份服务器的网络设置563
15.7.2 恢复服务器的网络设置564
……
序言 随着全球信息化程度的不断提高,计算机应用已经延伸到每个行业的各个领域,成为人们日常生活中不可或缺的一部分。根据某权威机构调查数据显示,截至2008年底,全球正在运行的计算机数量已经超过10亿台,中国占大半部分,在未来5年时间内,全球计算机数量将超过20亿台,并且中国增速会超过其他国家。中国不仅是计算机大国,而且是受病毒侵扰的大国,约有20%的计算机被植入木马,并被恶意用户所劫持和控制。究其主要原因,大多是用户安全防范意识差所致。
许多人认为Windows操作系统是不安全的,其实并非如此。客观地讲,没有绝对安全的操作系统,任何操作系统的安全都是相对的。Linux和UNIX也并非固若金汤,也同样会有系统漏洞,也同样会遭遇各种攻击。Windows Server 2008已经度过了她一岁的生日,就现在的情况来看,无论安全性还是可靠性都得到了广大用户的认可。网络安全同样适用于“木桶原理”,即网络安全涉及诸多方面,而最终导致问题出现的往往是安全性最差的那块“短板”。Windows系统之所以往往充当“短板”角色,原因并不在于操作系统本身的安全架构和设计。即使操作系统本身已经很安全,但因为使用的人缺乏安全意识,也有可能导致操作系统在提高安全性方面所作的全部努力付之东流。
操作系统作为所有计算机资源的“统治者”,是一切应用程序的基础和核心。如果没有操作系统的安全,任何应用和管理都无从谈起。因此,操作系统的安全是整个计算机系统安全的基础。做事效率高当然是件好事,但是如果本末倒置,一切都将归零。不对初装的服务器系统进行安全设置就投入使用,无异于开发商没拿到批文就开工,司机没有取得驾驶证就开车上路,最终结局只有一个——自食恶果。其实,许多安全入侵事件都是由网络管理员或用户的疏忽或疏漏所导致,如果合理配置、全面扫描、完善各种审核机制,完全可以避免大多数的攻击。
文摘 插图:
(4)审核登录事件
审核登录事件设置确定是否审核每一个登录或注销计算机的用户实例。在域控制器上将生成域账户活动的账户登录事件,并在本地计算机上生成本地账户活动的账户登录事件。如果同时启用账户登录和账户审核策略类别,那么使用域账户的登录将生成登录或注销工作站或服务器的事件,而且将在域控制器上生成一个账户登录事件。此外,在用户登录而检索登录脚本和策略时,使用域账户的成员服务器或工作站的交互式登录将在域控制器上生成登录事件。
如果定义该策略设置,可以指定是否审核成功、审核失败,或根本不对事件类型进行审核。登录成功时,成功审核会生成审核项。登录失败时,失败审核会生成审核项。
(5)审核对象访问
审核对象访问设置确定是否审核用户访问某个对象的事件,例如文件、文件夹、注册表项、打印机等,它们都有自己特定的系统访问控制列表(SACL)。
如果定义该策略设置,可以指定是否审核成功、审核失败,或根本不对该事件类型进行审核。当用户成功访问指定了合适SACL.的对象时,成功审核将生成审核项。当用户访问指定有SACI.的对象失败时,失败审核会生成审核项。
(6)审核策略更改
审核策略更改设置确定是否审核用户权限分配策略、审核策略或信任策略更改的每一个事件。
如果定义该策略设置,可以指定是否审核成功、审核失败,或根本不对该事件类型进行审核。对用户权限分配策略、审核策略或信任策略所作更改成功时,成功审核会生成审核项。对用户权限分配策略、审核策略或信任策略所作更改失败时,失败审核会生成审核项。
(7)审核特权使用
审核特权使用设置确定是否审核用户实施其用户权利的每一个实例。如果定义该策略设置,可以指定是否审核成功、审核失败,或根本不对这种事件类型进行审核。用户权利实施成功时,成功审核会生成审核项。用户权利实施失败时,失败审核会生成审核项。
