Windows 2000安全技术PDF格式文档图书下载

第1部分 概念与定义 1

第1章 安全的基本概念 1

1.1 安全的三个“A” 1

1.1.1 认证 2

1.1.2 授权 4

1.1.3 审核 5

1.2 安全策略 5

1.3 计算机安全的目标 6

1.3.1 完整性 6

1.3.2 控制 8

1.3.3 可用性 8

1.4 其他安全术语 9

1.5 更多的信息 10

1.6 小结 10

第2章 密码学介绍 11

2.1 历史背景 11

2.2 现代的加密算法 13

2.2.1 对称密钥密码系统 13

2.2.2 非对称密钥密码系统 14

2.2.3 公钥体系 16

2.2.4 数字签名 16

2.2.5 数字编码 16

2.3 常用加密算法 19

2.3.1 DES 19

2.3.2 已被提议用来替代DES的算法 20

2.3.3 Ron Rivest算法 21

2.3.4 CAST-128 21

2.3.5 Diffie-Hellman 21

2.3.6 RSA 21

2.3.7 散列函数 22

2.3.8 将来的希望：椭圆曲线密码系统 23

2.4 攻击方法 23

2.5 更多的信息 24

2.6 小结 24

第3章 新的协议、产品及API 25

3.1 与Web相关的协议 26

3.1.1 安全套接字层和HTTPS 26

3.1.2 传输层安全协议（RFC 2246） 27

3.2 远程访问协议 28

3.2.1 串行线路Internet协议（RFC 1055） 29

3.2.2 点到点协议（RFC 1661） 29

3.2.3 口令认证协议 29

3.2.4 质询－握手认证协议（RFC 1994） 29

3.2.5 Microsoft-CHAP版本1（RFC 2433）和版本2（RFC 2759） 30

3.2.6 点到点隧道协议（RFC 2637） 31

3.2.7 Microsoft点到点加密机制（MPPE） 35

3.2.8 第二层隧道协议（RFC 2661） 35

3.3 IPSec 38

3.3.1 密钥管理 38

3.3.2 安全策略数据库 39

3.3.3 IP栈实现 40

3.3.4 通信安全协议：AH与ESP 40

3.3.5 SA束 43

3.3.6 性能问题 44

3.4 DHCP与动态DNS之间的安全通信（RFC 2535,2136,2137） 44

3.4.1 公钥／私钥的实现（RFC 2535） 45

3.4.2 通过Kerberos 5的DHCP认证和使用DHCP的DNS安全更新 45

3.5 Microsoft独有的API和安全协议 46

3.5.1 服务器控制的加密系统 47

3.5.2 CryptoAPI 47

3.5.3 认证码 48

3.5.4 安全支持提供者接口（SSPI） 48

3.5.5 LM、NTLM、NTLMv2 48

3.6 更多的信息 50

3.7 小结 50

第4章 公钥体系（PKI） 51

4.1 证书颁发机构 52

4.2 注册颁发机构 52

4.3 证书与密钥 53

4.3.1 X.509证书 53

4.3.2 简单公钥体系 54

4.3.3 PGP 54

4.3.4 证书验证 54

4.4 证书仓库 55

4.5 证书吊销列表 55

4.5.1 吊销列表的选项 56

4.6 证书信任模型 57

4.6.1 层次型信任模型 58

4.6.2 分布式信任 59

4.6.3 Web信任 59

4.6.4 用户信任 61

4.6.5 交叉证明 62

4.7 客户与客户软件 62

4.8 PKI过程 63

4.8.1 时间问题 63

4.8.2 密钥／证书生存周期 63

4.8.3 产生 64

4.9 更多的信息 66

4.10 小结 66

第5章 Kerberos基础 67

5.1 Kerberos基础 68

5.1.1 登录认证：认证服务交换 69

5.1.2 获得一个票证：票证授予服务交换 69

5.1.3 访问资源：客户／服务器认证交换 70

5.2 Kerberos组成和算法 70

5.2.1 组件 70

5.2.2 Kerberos算法 72

5.3 Kerberos信任路径 86

5.4 加密和校验和 88

5.5 更多的信息 89

5.6 小结 90

第2部分 保护操作系统的安全 91

第6章 从头开始考虑安全 91

6.1 用户和组 92

6.1.1 独立系统上的用户和组 92

6.1.2 隐式的用户权限 95

6.2 活动目录介绍 95

6.2.1 活动目录结构 95

6.2.2 域模式 96

6.2.3 组作用域 97

6.2.4 域中默认的组 98

6.2.5 隐式组或系统组 100

6.3 权限和特权 100

6.3.1 用户和组管理工具 102

6.4 Windows 2000 NTFS 103

6.4.1 文件权限 103

6.4.2 默认安全设置 104

6.4.3 资源访问 106

6.4.4 特殊权限 106

6.4.5 与以前NTFS版本的区别 107

6.4.6 共享文件夹的发布：模糊中会有安全性吗？ 108

6.5 默认注册表权限 108

6.6 软保护和Windows文件保护 110

6.6.1 软保护 110

6.6.2 Windows文件保护 111

6.7 Windows 2000加密文件系统 112

6.7.1 EFS基础 112

6.7.2 加密文件系统如何工作 113

6.7.3 提供证书颁发机构的好处 114

6.7.4 Cipher命令 115

6.7.5 恢复策略和EFS管理 116

6.8 最佳操作 116

6.9 更多的信息 117

6.10 小结 117

第7章 用户认证 118

7.1 LM与NTLM认证 118

7.2 Windows 2000中的Kerberos 119

7.2.1 Kerberos对Windows 2000的益处 119

7.2.2 活动目录的作用 120

7.2.3 认证的第1步：获取登录会话密钥 120

7.2.4 认证的第2步：TGS交换——获取特定服务器的票证 121

7.2.5 认证的第3步：使用会话票证来获准进入——CS交换 123

7.2.6 票证 123

7.2.7 DNS名字解析 124

7.2.8 域间的活动 125

7.2.9 Kerberos与WinLogon服务的集成 126

7.2.10 使用Kerberos票证来得到访问控制信息 128

7.2.11 Kerberos与服务账号的集成 129

7.2.12 公钥的Kerberos扩展 130

7.3 网络登录的过程 131

7.4 在Windows 2000中使用智能卡 133

7.4.1 Microsoft的方法 133

7.4.2 基本组件 134

7.4.3 安装与使用智能卡 135

7.4.4 使用智能卡进行Windows 2000登录 136

7.4.5 智能卡与远程访问 137

7.5 更多的信息 138

7.6 小结 138

第8章 生存周期选择 139

8.1 为了改进安全性而在安装时的注意事项 139

8.1.1 升级与全新安装之间的区别 140

8.1.2 保护升级安装的安全 141

8.1.3 已升级的Windows NT主域控制器（PDC）上的活动目录 141

8.2 维护 143

8.2.1 选择安全的应用程序：Windows 2000应用程序标志的标准 143

8.2.2 使用和维护安全策略 147

8.2.3 备份 148

8.3 系统恢复：修复概述 152

8.3.1 在安全模式中启动 152

8.3.2 紧急修复过程 153

8.3.3 使用最后一次正确配置 154

8.3.4 使用Windows 2000修复控制台 154

8.3.5 系统文件检查器 157

8.4 死亡与分解 158

8.5 最佳操作 158

8.6 更多的信息 159

8.7 小结 159

第9章 安全工具 160

9.1 使用安全配置和分析工具集 160

9.1.1 安全模板 161

9.1.2 安全配置和分析 162

9.1.3 使用secedit工具 165

9.1.4 使用安全配置工具集进行审核 167

9.2 组策略 167

9.2.1 组策略工具 168

9.2.2 GPO组件 169

9.2.3 与组策略编辑器一起使用安全配置和分析 171

9.3 支持工具 171

9.4 Resource Kit工具 171

9.4.1 与审核相关的工具 172

9.4.2 组策略工具 174

9.4.3 用户管理工具 176

9.4.4 管理工具 179

9.4.5 注册表工具 181

9.4.6 DACL 183

9.5 选择要使用的工具 186

9.6 最佳操作 187

9.7 更多的信息 187

9.8 小结 188

第10章 保护Windows 2000 Professiornal的安全 189

10.1 建立和保护用户和组数据库 189

10.1.1 安全模型 190

10.1.2 管理本地账号数据库中的账号和组 192

10.1.3 保护账号数据库 193

10.2 Windows NT 4.0域中的Windows 2000 Professional 194

10.2.1 Windows NT4.0域中的认证 195

10.2.2 Windows NT域中的授权 195

10.3 使用组策略管理本地安全设置 196

10.3.1 账号策略 197

10.3.2 本地策略 197

10.3.3 策略设置 204

10.4 使安全设置与用户能力匹配 204

10.5 策略的实现和实施 205

10.5.1 密码策略 206

10.5.2 账号锁定 206

10.5.3 审核策略 206

10.5.4 用户权限 207

10.5.5 安全选项 207

10.5.6 事件日志设置 208

10.6 保护无线连接的安全 208

10.6.1 无线连接：计算机与计算机 208

10.6.2 无线连接：红外网络连接 209

10.7 安全数据和应用程序访问的协议与进程 209

10.8 使用Windows 2000 Professional管理Windows 2000域 210

10.8.1 可用的工具 210

10.9 最佳操作 211

10.10 更多的信息 211

10.11 小结 212

第11章 保护Windows 2000 Server的安全 213

11.1 Server的角色 213

11.1.1 Server的关系 213

11.1.2 Server的作用 214

11.2 安装默认的安全项 216

11.2.1 用户和组 217

11.2.2 本地安全策略 217

11.3 策略设置 223

11.4 Server安全模板 223

11.5 使用和保护终端服务 224

11.5.1 登录权限 225

11.5.2 应用程序问题 226

11.5.3 终端服务配置工具 226

11.5.4 数据加密 226

11.6 保护互操作服务 226

11.6.1 Macintosh服务 227

11.6.2 Unix服务 229

11.7 最佳操作 231

11.8 更多的信息 232

11.9 小结 233

第3部分 保护Microsoft本地局域网的安全 234

第12章 域级安全 234

12.1 活动目录概念介绍 234

12.1.1 活动目录层次 235

12.1.2 全局编录 238

12.1.3 信任关系 238

12.1.4 数据存储和复制 240

12.1.5 混合模式，本机模式 240

12.1.6 LDAP 242

12.2 动态DNS 242

12.2.1 动态DNS是怎样工作的 242

12.2.2 保护动态DNS 245

12.3 分布式安全服务介绍 248

12.3.1 IPSec策略 249

12.3.2 Kerberos策略 250

12.4 网络认证服务的比较：Kerberos和NTLM 250

12.5 最佳操作 251

12.6 更多的信息 252

12.7 小结 252

第13章 保护传统Windows客户的安全 253

13.1 改善认证措施 253

13.1.1 下级客户的登录 253

13.1.2 实现NTLMv2：第一步——下级客户 256

13.1.3 实现NTLMv2：第二步——在Windows 2000域控制器上要求使用NTLMv2 258

13.2 保护网络通信 258

13.2.1 SMB签名 258

13.2.2 使用经协商的NTLMv2会话安全 260

13.3 改善基本的系统安全 261

13.3.1 系统策略编辑器 261

13.3.2 安全配置管理器 264

13.4 最佳操作 265

13.5 更多的信息 265

13.6 小结 266

第14章 保护分布式文件系统的安全 267

14.1 理解DFS 267

14.1.1 定义、组件和概念 267

14.1.2 DFS的工作方式 268

14.1.3 DFS的使用 271

14.1.4 DFS客户端 271

14.2 理解文件复制服务 271

14.2.1 定义FRS功能 271

14.2.2 在DFS中使用FRS 272

14.2.3 管理DFS复制计划 273

14.3 保护DFS的安全 274

14.3.1 保护DFS拓扑结构 274

14.3.2 保护文件和文件夹 274

14.3.3 保护文件复制策略 275

14.3.4 规划安全的DFS架构 276

14.3.5 实现和维护 276

14.3.6 审核DFS的安全性 277

14.4 最佳操作 277

14.5 小结 278

第4部分 保护现实世界网络的安全 279

第15章 安全远程访问选项 279

15.1 路由和远程访问服务 279

15.1.1 网络地址转换和Internet连接共享 280

15.1.2 远程访问服务（RAS） 284

15.1.3 虚拟专用网络 289

15.2 Internet认证服务 294

15.2.1 Internet认证服务的配置和放置 295

15.2.2 IAS策略 299

15.2.3 和IAS一起使用VPN 300

15.2.4 什么时候使用IAS，什么时候使用RRAS 300

15.3 终端服务 300

15.3.1 向用户提供远程访问 300

15.3.2 为管理员提供远程访问 301

15.4 保护远程管理访问的安全 301

15.4.1 使用策略控制访问 301

15.4.2 使用telnet 302

15.5 最佳操作 302

15.6 更多的信息 302

15.7 小结 303

第16章 使用分布式安全服务保护网络的安全 304

16.1 活动目录操作 304

16.1.1 活动目录复制 305

16.1.2 保护活动目录 310

16.1.3 恢复活动目录 315

16.2 使用组策略对象控制计算机和用户 316

16.2.1 组策略处理 316

16.2.2 组策略继承 319

16.2.3 组策略管理的其他项目 323

16.2.4 组策略对象的复制和管理 326

16.2.5 策略应用 327

16.2.6 混合的Windows操作系统网络中的策略 328

16.2.7 组策略对象的权限委派 329

16.3 更多的信息 329

16.4 小结 329

第17章 企业公钥体系 330

17.1 Windows 2000证书服务结构 330

17.1.1 证书颁发机构 331

17.1.2 证书层次 332

17.1.3 证书和证书模板 333

17.1.4 证书吊销列表 334

17.1.5 公钥策略 334

17.1.6 证书存储 334

17.1.7 加密服务提供者 335

17.1.8 证书信任列表 336

17.2 证书生存期 337

17.2.1 当安装根CA时，颁发一份根CA证书 337

17.2.2 如果受到请求，根CA可以为从属CA颁发证书 337

17.2.3 从属CA可以为别的从属CA颁发证书 337

17.2.4 周期性的发布证书吊销列表 337

17.2.5 根CA证书必须在过期之前或者整个证书服务结构失效之前重新颁发 338

17.2.6 从属CA证书在过期之前或者它颁发的任何证书失效之前重新颁发 338

17.2.7 证书请求放置在队列中等待管理员同意／拒绝 338

17.2.8 基于公钥体系的应用程序使用的证书 338

17.2.9 证书可以被吊销 339

17.2.10 证书可以被更新 339

17.2.11 证书可以失效 339

17.3 公钥体系的组策略 339

17.3.1 企业信任（用户和计算机配置） 340

17.3.2 加密数据恢复代理 340

17.3.3 自动的证书请求设置 341

17.3.4 受信任的根CA 341

17.4 证书服务的其他安全实践 341

17.4.1 创建安全的CA层次 341

17.4.2 CA自由访问控制列表 342

17.4.3 第三方信任 343

17.4.4 备份和恢复过程和建议 343

17.4.5 允许Netscape兼容的基于Web的吊销检查 344

17.4.6 修改默认的证书模板自由访问控制列表 344

17.5 基于证书／公钥体系的应用程序 344

17.6 最佳操作 345

17.7 更多的信息 345

17.8 小结 346

第18章 协同工作 347

18.1 与UNIX协同工作 347

18.1.1 原有功能 347

18.1.2 Services for Unix 2.0 348

18.1.3 Kerberos互操作性 350

18.2 PKI互操作性 354

18.2.1 共存 355

18.2.2 商业合作伙伴访问 356

18.2.3 只使用第三方PKI 357

18.2.4 基于第三方PKI的应用程序 357

18.3 Macintosh 357

18.3.1 文件共享 358

18.3.2 控制打印机访问 358

18.3.3 Microsoft提供的用户认证模块（MS-UAM） 358

18.4 Novell 359

18.4.1 Windows 2000和NetWare网络间协同工作 359

18.4.2 在NetWare网络中集成Windows 2000 Professional系统 360

18.5 IBM Mainframe和AS400 361

18.6 单一登录 362

18.6.1 扩展环境 362

18.6.2 详细情况 362

18.6.3 不使用SSO的情况 363

18.7 目录集成：元目录 363

18.8 最佳操作 364

18.9 更多的信息 364

18.10 小结 365

第19章 Web安全 366

19.1 保护Windows 2000 Server 367

19.1.1 配置硬件 367

19.1.2 升级操作系统 367

19.1.3 删除或禁用不必要的组件 368

19.1.4 检查和设置组策略 369

19.1.5 理解并限制登录和用户权限 369

19.1.6 增强文件系统的安全性 369

19.2 保证Web站点的安全 370

19.2.1 基本属性和站点配置 370

19.2.2 匿名用户账号 372

19.2.3 认证 372

19.2.4 虚拟目录安全 374

19.2.5 文件访问 374

19.2.6 安全凭据委派 376

19.2.7 使用SSL 376

19.3 工具 376

19.3.1 随产品一起发布的安全工具和服务 376

19.3.2 Internet服务器安全配置工具 377

19.3.3 Web安全模板 379

19.4 监视，测量和维护 382

19.4.1 安全开销 382

19.4.2 什么是可疑的活动 383

19.5 最佳操作 383

19.6 更多的信息 384

19.7 小结 384

第20章 案例研究：分布式合作伙伴 385

20.1 商业模型 385

20.1.1 根本原因 386

20.1.2 服务 386

20.2 网络基本设施的安全 387

20.2.1 逻辑综述 388

20.2.2 物理网络 388

20.3 活动目录架构主干 391

20.4 认证和授权 393

20.4.1 公钥体系（PKI） 393

20.4.2 商业功能网络的认证 393

20.4.3 授权 394

20.5 公共和私有接口处理 394

20.6 小结 395

附录 资源 396

参考书 396

Microsoft站点信息 397

其他Web站点 397

白皮书 398

查看更多关于Windows 2000安全技术的内容