Windows 2000安全技術 特色及評論
內容包括:密碼學簡介、相關的安全協定、公鑰體系及其建立過程、Kerberos、加密檔案系統、NTFS、安全策略及安全工具;此外,還介紹了Windows 2000域的安全管理與保護、低級Windows客戶的保護、新的分散式檔案系統;最後,還深入探究了使用RADIUS和RRAS來保護遠程訪問、Web安全以及互操作性方面的內容。 本書通過案例分析進行講解,文筆流暢,通俗易懂。適合管理和支持Windows 2000的網路管理員、欲將網路升級到Windows 2000的管理人員、系統安全及審計方面的專業人員學習使用。學習本書不要求具有Windows NT及其安全或密碼學方面的知識,但需具備基本的網路知識。Windows 2000安全技術 本書目錄
第1部分 概念與定義第1章 安全的基本概念
1.1 安全的三個“A”
1.1.1 認證
1.1.2 授權
1.1.3 審核
1.2 安全策略
1.3 計算機安全的目標
1.3.1 完整性
1.3.2 控制
1.3.3 可用性
1.4 其他安全術語
1.5 更多的信息
1.6 小結
第2章 密碼學介紹
2.1 歷史背景
2.2 現代的加密算法
2.2.1 對稱密鑰密碼系統
2.2.2 非對稱密鑰密碼系統
2.2.3 公鑰體系
2.2.4 數字簽名
2.2.5 數字編碼
2.3 常用加密算法
2.3.1 DES
2.3.2 已被提議用來替代DES的算法
2.3.3 Ron Rivest算法
2.3.4 CAST-128
2.3.5 Diffie-Hellman
2.3.6 RSA
2.3.7 散列函式
2.3.8 將來的希望:橢圓曲線密碼系統
2.4 攻擊方法
2.5 更多的信息
2.6 小結
第3章 新的協定、產品及API
3.1 與Web相關的協定
3.1.1 安全套接字層和HTTPS
3.1.2 傳輸層安全協定(RFC 2246)
3.2 遠程訪問協定
3.2.1 串列線路Internet協定(RFC 1055)
3.2.2 點到點協定(RFC 1661)
3.2.3 口令認證協定
3.2.4 質詢-握手認證協定(RFC 1994)
3.2.5 Microsoft-CHAP版本1(RFC 2433)和版本2(RFC 2759)
3.2.6 點到點隧道協定(RFC 2637)
3.2.7 Microsoft點到點加密機制(MPPE)
3.2.8 第二層隧道協定(RFC 2661)
3.3 IPSec
3.3.1 密鑰管理
3.3.2 安全策略資料庫
3.3.3 IP棧實現
3.3.4 通信安全協定:AH與ESP
3.3.5 SA束
3.3.6 性能問題
3.4 DHCP與動態DNS之間的安全通信(RFC 2535,2136,2137)
3.4.1 公鑰/私鑰的實現(RFC 2535)
3.4.2 通過Kerberos 5的DHCP認證和使用DHCP的DNS安全更新
3.5 Microsoft獨有的API和安全協定
3.5.1 伺服器控制的加密系統
3.5.2 CryptoAPI
3.5.3 認證碼
3.5.4 安全支持提供者接口(SSPI)
3.5.5 LM、NTLM、NTLMv2
3.6 更多的信息
3.7 小結
第4章 公鑰體系(PKI)
4.1 證書頒發機構
4.2 註冊頒發機構
4.3 證書與密鑰
4.3.1 X.509證書
4.3.2 簡單公鑰體系
4.3.3 PGP
4.3.4 證書驗證
4.4 證書倉庫
4.5 證書吊銷列表
4.5.1 吊銷列表的選項
4.6 證書信任模型
4.6.1 層次型信任模型
4.6.2 分散式信任
4.6.3 Web信任
4.6.4 用戶信任
4.6.5 交叉證明
4.7 客戶與客戶軟體
4.8 PKI過程
4.8.1 時間問題
4.8.2 密鑰/證書生存周期
4.8.3 產生
4.9 更多的怕息
4.10 小結
第5章 Kerberos基礎
5.1 Kerberos基礎
5.1.1 登錄認證:認證服務交換
5.1.2 獲得一個票證:票證授予服務交換
5.1.3 訪問資源:客戶/伺服器認證交換
5.2 Kerberos組成和算法
5.2.1 組件
5.2.2 Kerberos算法
5.3 Kerberos信任路徑
5.4 加密和校驗和
5.5 更多的信息
5.6 小結
第2部分 保護作業系統的安全
第6章 從頭開始考慮安全
6.1 用戶和組
6.1.1 獨立系統上的用戶和組
6.1.2 隱式的用戶許可權
6.2 活動目錄介紹
6.2.1 活動目錄結構
6.2.2 域模式
6.2.3 組作用域
6.2.4 域中默認的組
6.2.5 隱式組或系統組
6.3 許可權和特權
6.3.1 用戶和組管理工具
6.4 Windows 2000 NTFS
6.4.1 檔案許可權
6.4.2 默認安全設定
6.4.3 資源訪問
6.4.4 特殊許可權
6.4.5 與以前NTFS版本的區別
6.4.6 已分享檔案夾的發布:模糊中會有安全性嗎?
6.5 默認註冊表許可權
6.6 軟保護和windows檔案保護
6.6.1 軟保護
6.6.2 Windows檔案保護
6.7 Windows 2000加密檔案系統
6.7.1 EFS基礎
6.7.2 加密檔案系統如何工作
6.7.3 提供證書頒發機構的好處
6.7.4 Cipher命令
6.7.5 恢復策略和EFS管理
6.8 最佳操作
6.9 更多的信息
6.10 小結
第7章 用戶認證
7.1 LM與NTLM認證
7.2 Windows 2000中的Kerberos
7.2.1 Kerberos對Windows 2000的益處
7.2.2 活動目錄的作用
7.2.3 認證的第1步:獲取登錄會話密鑰
7.2.4 認證的第2步:TGS交換――獲取特定伺服器的票證
7.2.5 認證的第3步:使用會話票證來獲準進入――CS交換
7.2.6 票證
7.2.7 DNS名字解析
7.2.8 域間的活動
7.2.9 Kerberos與WinLogon服務的集成
7.2.10 使用Kerberos票證來得到訪問控制信息
7.2.11 Kerberos與服務賬號的集成
7.2.12 公鑰的Kerberos擴展
7.3 網路登錄的過程
7.4 在Windows 2000中使用智慧卡
7.4.1 Microsoft的方法
7.4.2 基本組件
7.4.3 安裝與使用智慧卡
7.4.4 使用智慧卡進行Windows 2000登錄
7.4.5 智慧卡與遠程訪問
7.5 更多的信息
7.6 小結
第8章 生存周期選擇
8.1 為了改進安全性而在安裝時的注意事項
8.1.1 升級與全新安裝之間的區別
8.1.2 保護升級安裝的安全
8.1.3 已升級的Windows NT主域控制器(PDC)上的活動目錄
8.2 維護
8.2.1 選擇安全的應用程式:Windows 2000應用程式標誌的標準
8.2.2 使用和維護安全策略
8.2.3 備份
8.3 系統恢復:修復概述
8.3.1 在安全模式中啟動
8.3.2 緊急修復過程
8.3.3 使用最後一次正確配置
8.3.4 使用Windows 2000修復控制台
8.3.5 系統檔案檢查器
8.4 死亡與分解
8.5 最佳操作
8.6 更多的信息
8.7 小結
第9章 安全工具
9.1 使用安全配置和分析工具集
9.1.1 安全模板
9.1.2 安全配置和分析
9.1.3 使用secedit工具
9.1.4 使用安全配置工具集進行審核
9.2 組策略
9.2.1 組策略工具
9.2.2 GPO組件
9.2.3 與組策略編輯器一起使用安全配置和分析
9.3 支持工具
9.4 Resource Kit工具
9.4.1 與審核相關的工具
9.4.2 組策略工具
9.4.3 用戶管理工具
9.4.4 管理工具
9.4.5 註冊表工具
9.4.6 DACL
9.5 選擇要使用的工具
9.6 最佳操作
9.7 更多的信息
9.8 小結
第10章 保護Windows 2000 Professional的安全
10.1 建立和保護用戶和組資料庫
10.1.1 安全模型
10.1.2 管理本地賬號資料庫中的賬號和組
10.1.3 保護賬號資料庫
10.2 Windows NT 4.0域中的Windows 2000 Professional
10.2.1 Windows NT 4.0域中的認證
10.2.2 Windows NT域中的授權
10.3 使用組策略管理本地安全設定
10.3.1 賬號策略
10.3.2 本地策略
10.3.3 策略設定
10.4 使安全設定與用戶能力匹配
10.5 策略的實現和實施
10.5.1 密碼策略
10.5.2 賬號鎖定
10.5.3 審核策略
10.5.4 用戶許可權
10.5.5 安全選項
10.5.6 事件日誌設定
10.6 保護無線連線的安全
10.6.1 無線連線:計算機與計算機
10.6.2 無線連線:紅外網路連線
10.7 安全數據和應用程式訪問的協定與進程
10.8 使用Windows 2000 Professional管理Windows 2000域
10.8.1 可用的工具
10.9 最佳操作
10.10 更多的信息
10.11 小結
第11章 保護Windows 2000 Server的安全
11.1 Server的角色
11.1.1 Server的關係
11.1.2 Server的作用
11.2 安裝默認的安全項
11.2.1 用戶和組
11.2.2 本地安全策略
11.3 策略設定
11.4 Server安全模板
11.5 使用和保護終端服務
11.5.1 登錄許可權
11.5.2 應用程式問題
11.5.3 終端服務配置工具
11.5.4 數據加密
11.6 保護互操作服務
11.6.1 Macintosh服務
11.6.2 Unix服務
11.7 最佳操作
11.8 更多的信息
11.9 小結
第3部分 保護Microsoft本地區域網路的安全
第12章 域級安全
12.1 活動目錄概念介紹
12.1.1 活動目錄層次
12.1.2 全局編錄
12.1.3 信任關係
12.1.4 數據存儲和複製
12.1.5 混合模式,本機模式
12.1.6 LDAP
12.2 動態DNS
12.2.1 動態DNS是怎樣工作的
12.2.2 保護動態DNS
12.3 分散式安全服務介紹
12.3.1 IPSec策略
12.3.2 Kerberos策略
12.4 網路認證服務的比較:Kerberos和NTLM
12.5 最佳操作
12.6 更多的信息
12.7 小結
第13章 保護傳統Windows客戶的安全
13.1 改善認證措施
13.1.1 下級客戶的登錄
13.1.2 實現NTLMv2:第一步――下級客戶
13.1.3 實現NTLMv2:第二步――在Windows 2000域控制器上要求使用NTLMv2
13.2 保護網路通信
13.2.1 SMB簽名
13.2.2 使用經協商的NTLMv2會話安全
13.3 改善基本的系統安全
13.3.1 系統策略編輯器
13.3.2 安全配置管理器
13.4 最佳操作
13.5 更多的信息
13.6 小結
第14章 保護分散式檔案系統的安全
14.1 理解DFS
14.1.1 定義、組件和概念
14.1.2 DFS的工作方式
14.1.3 DFS的使用
14.1.4 DFS客戶端
14.2 理解檔案複製服務
14.2.1 定義FRS功能
14.2.2 在DFS中使用FRS
14.2.3 管理DFS複製計畫
14.3 保護DFS的安全
14.3.1 保護DFS拓撲結構
14.3.2 保護檔案和資料夾
14.3.3 保護檔案複製策略
14.3.4 規劃安全的DFS架構
14.3.5 實現和維護
14.3.6 審核DFS的安全性
14.4 最佳操作
14.5 小結
第4部分 保護現實世界網路的安全
第15章 安全遠程訪問選項
15.1 路由和遠程訪問服務
15.1.1 網路地址轉換和Internet連線共享
15.1.2 遠程訪問服務(RAS)
15.1.3 虛擬專用網路
15.2 Internet認證服務
15.2.1 Internet認證服務的配置和放置
15.2.2 IAS策略
15.2.3 和IAS一起使用VPN
15.2.4 什麼時候使用IAS,什麼時候使用RRAS
15.3 終端服務
15.3.1 向用戶提供遠程訪問
15.3.2 為管理員提供遠程訪問
15.4 保護遠程管理訪問的安全
15.4.1 使用策略控制訪問
15.4.2 使用telnet
15.5 最佳操作
15.6 更多的信息
15.7 小結
第16章 使用分散式安全服務保護網路的安全
16.1 活動目錄操作
16.1.1 活動目錄複製
16.1.2 保護活動目錄
16.1.3 恢復活動目錄
16.2 使用組策略對象控制計算機和用戶
16.2.1 組策略處理
16.2.2 組策略繼承
16.2.3 組策略管理的其他項目
16.2.4 組策略對象的複製和管理
16.2.5 策略套用
16.2.6 混合的Windows作業系統網路中的策略
16.2.7 組策略對象的許可權委派
16.3 更多的信息
16.4 小結
第17章 企業公鑰體系
17.1 Windows 2000證書服務結構
17.1.1 證書頒發機構
17.1.2 證書層次
17.1.3 證書和證書模板
17.1.4 證書吊銷列表
17.1.5 鑰策略
17.1.6 證書存儲
17.1.7 加密服務提供者
17.1.8 證書信任列表
17.2 證書生存期
17.2.1 當安裝根CA時,頒發一份根CA證書
17.2.2 如果受到請求,根CA可以為從屬CA頒發證書
17.2.3 從屬CA可以為別的從屬CA頒發證書
17.2.4 周期性的發布證書吊銷列表
17.2.5 根CA證書必須在過期之前或者整個證書服務結構失效之前重新頒發
17.2.6 從屬CA證書在過期之前或者它頒發的任何證書失效之前重新頒發
17.2.7 證書請求放置在佇列中等待管理員同意/拒絕
17.2.8 基於公鑰體系的應用程式使用的證書
17.2.9 證書可以被吊銷
17.2.10 證書可以被更新
17.2.11 證書可以失效
17.3 公鑰體系的組策略
17.3.1 企業信任(用戶和計算機配置)
17.3.2 加密數據恢復代理
17.3.3 自動的證書請求設定
17.3.4 受信任的根CA
17.4 證書服務的其他安全實踐
17.4.1 創建安全的CA層次
17.4.2 CA自由訪問控制列表
17.4.3 第三方信任
17.4.4 備份和恢復過程和建議
17.4.5 允許Netscape兼容的基於Web的吊銷檢查
17.4.6 修改默認的證書模板自由訪問控制列表
17.5 基於證書/公鑰體系的應用程式
17.6 最佳操作
17.7 更多的信息
17.8 小結
第18章 協同工作
18.1 與UNIX協同工作
18.1.1 原有功能
18.1.2 Services for Unix 2.0
18.1.3 Kerberos互操作性
18.2 PKI互操作性
18.2.1 共存
18.2.2 商業合作夥伴訪問
18.2.3 只使用第三方PKI
18.2.4 基於第三方PKI的應用程式
18.3 Macintosh
18.3.1 檔案共享
18.3.2 控制印表機訪問
18.3.3 Microsoft提供的用戶認證模組(MS-UAM)
18.4 Novell
18.4.1 Windows 2000和NetWare網路間協同工作
18.4.2 在NetWare網路中集成Windows 2000 Professional系統
18.5 IBM Mainframe和AS400
18.6 單一登錄
18.6.1 擴展環境
18.6.2 詳細情況
18.6.3 不使用SSO的情況
18.7 目錄集成:元目錄
18.8 最佳操作
18.9 更多的信息
18.10 小結
第19章 Web安全
19.1 保護Windows 2000 Server
19.1.1 配置硬體
19.1.2 升級作業系統
19.1.3 刪除或禁用不必要的組件
19.1.4 檢查和設定組策略
19.1.5 理解並限制登錄和用戶許可權
19.1.6 增強檔案系統的安全性
19.2 保證Web站點的安全
19.2.1 基本屬性和站點配置
19.2.2 匿名用戶賬號
19.2.3 認證
19.2.4 虛擬目錄安全
19.2.5 檔案訪問
19.2.6 安全憑據委派
19.2.7 使用SSL
19.3 工具
19.3.1 隨產品一起發布的安全工具和服務
19.3.2 Internet伺服器安全配置工具
19.3.3 Web安全模板
19.4 監視,測量和維護
19.4.1 安全開銷
19.4.2 什麼是可疑的活動
19.5 最佳操作
19.6 更多的信息
19.7 小結
第20章 案例研究:分散式合作夥伴
20.1 商業模型
20.1.1 根本原因
20.1.2 服務
20.2 網路基本設施的安全
20.2.1 邏輯綜述
20.2.2 物理網路
20.3 活動目錄架構主幹
20.4 認證和授權
20.4.1 公鑰體系(PKI)
20.4.2 商業功能網路的認證
20.4.3 授權
20.5 公共和私有接口處理
20.6 小結
附錄 資源
參考書
Microsoft站點信息
其他Web站點
白皮書