Handening Windows Systems中文版

Handening Windows Systems中文版

《Handening Windows Systems中文版》是2006年出版的一本圖書。

內容簡介

“Hardening”系列是美國McGraw-Hill公司新近推出的又一套信息安全系列叢書,與久負盛名的“黑客大曝光”系列攜手,為信息安全界奉獻了一道饕餮大餐。

本書是“Hardening”系列成員之一,由安全界著名傳道士RobertaBragg執筆,通過四段式系統強化教學法,從技術和管理制度兩方面,詳細介紹Windows系統的安全防護工作,對系統管理員容易疏忽或犯錯的細節進行深入發掘,旨在幫助讀者把Windows系統建設成強固的信息安全堡壘。

全書共分4大部分14章,第1部分給出降低系統威脅的10項關鍵措施,是系統阻止入侵的必要手段;第2部分是本書的重中之重,自頂向下系統講述強化Windows系統的各項具體方法和措施;第3部分告誡人們:一勞不能永逸,需要利用各種監控技術持續監控系統,教會讀者創建業務連續性計畫、制定安全策略以及災難恢復策略等;第4部分對信息安全工作的濕件方面進行全方位討論,同類書中少見。

本書操作平台覆蓋Windows95/98/NT4.0/2000/XP以及WindowsServer2003,是IT專業人士的福音。

書籍目錄

目錄

第1部分馬上行動

第1章立即行動 3

1.1強化密碼策略 5

1.1.1創建邏輯策略 6

1.1.2改變本地賬戶策略 7

1.1.3修改個人賬戶策略 7

1.2鎖定遠程管理 9

1.3鎖定管理工作站 10

1.4物理保護所有系統 11

1.5保密 11

1.6禁用EFS 12

1.7禁用不滿足嚴格安全策略要求的無線網路 12

1.8禁止無保護措施的筆記本和台式機連線區域網路 13

1.9使用Runas或Su 13

1.10禁用紅外檔案傳輸 14

第2部分從頂端做起:系統地強化安全

第2章強化認證——證明來賓身份 17

2.1什麼是認證 18

2.1.1何時需要認證 18

2.1.2在Windows安全框架內何處適合認證 19

2.2認證的證書(credentials)選擇 20

2.3強化用戶登錄 21

2.3.1登錄類型 22

2.3.2強化賬戶 23

2.3.3強化賬戶策??24

2.3.4強化濕件 36

2.3.5禁止自動登錄 38

2.3.6限制匿名訪問 39

2.3.7保護Windows2000系統的密碼安全 40

2.4強化網路認證 41

2.4.1LM,NTLM,NTLMv2 41

2.4.2Kerberos協定 44

2.4.3遠程訪問認證協定 45

2.4.4Web伺服器認證選擇 47

2.4.5加強無線認證 48

2.5強化計算機和服務的認證過程 48

2.5.1為服務賬號制定強密碼以及不允許用戶使用服務賬號登錄 49

2.5.2使用本地服務賬號並不允許通過網路訪問服務賬號 50

2.5.3使用服務賬號的低特權賬號 50

2.5.4強化計算機賬戶 50

第3章強化物理網路基礎設施 51

3.1網路分段 52

3.1.1示例 52

3.1.2決定合適網路分段的最好方法 55

3.2在分段邊界安裝防護性措施和檢測性措施 57

3.2.1防範性的控制措施 57

3.2.2檢測性的控制措施 64

3.2.3邊界控制的最好措施 65

3.3保護重要通信 76

3.3.1保護活動目錄和其他域之間的通信 76

3.3.2Web通信保護 86

3.3.3E-Mail保護 86

3.4保護重要伺服器 86

3.4.1保護域控制器 86

3.4.2保護基礎設施伺服器 89

3.5保護網路基礎設施 89

3.6保護對客戶端系統的訪問 90

3.6.1使用常駐計算機的防火牆 90

3.6.2客戶端物理安全?∠?91

第4章強化邏輯網路基礎設施 93

4.1工作組計算機安全基礎 94

4.1.1工作組基本要點 95

4.1.2工作組用戶賬號 95

4.1.3工作組網路資源 95

4.1.4強化工作組 97

4.2WindowsNT4.0類型的域的安全基礎 99

4.2.1中央管理 100

4.2.2安全邊界 100

4.2.3NT4.0類型的信任 101

4.2.4強化WindowsNT4.0域 103

4.3活動目錄林安全基礎 104

4.3.1中央集權管理的優點 105

4.3.2自治和隔離:域不是一個安全邊界 107

4.3.3建立基於安全需要的域 108

4.3.4建立基於安全和管理需要的組織單元 108

4.3.5將域控制器和全局目錄伺服器只放在需要的地方 109

4.3.6配置遠程WindowsServer2003域控制器以使用通用組高速快取 109

4.3.7創建最小數目的異常域信任 110

4.3.8提升域和林功能級別到WindowsServer2003 113

4.3.9使用選擇性認證 116

4.3.10如何建立一個外部信任(ExternalTrust) 118

4.4強化邏輯網路基礎設施的備忘錄 122

第5章強化網路基礎設施角色 124

5.1開發安全基線 126

5.2限制用戶許可權 127

5.2.1用戶許可權基線的修改 127

5.2.2使用本地安全策略修改用戶許可權 129

5.2.3使用NT4.0用戶管理器修改用戶許可權 129

5.3禁用可選擇的子系統 130

5.4禁用或刪除不必要的服務 131

5.5套用混合安全配置 138

5.5.1不顯示上次登錄用戶名 139

5.5.2添加登錄提示 139

5.6開發增量安全步驟(IncrementalSecuritySteps) 140

5.6.1強化基礎設施組(InfrastructureGroup) 140

5.6.2強化DHCP 140

5.6.3強化DNS 144

5.6.4強化WINS 152

5.7選擇安全部署的方法和模型 153

5.7.1用工具在WindowsNT4.0系統進行常規安全設定 154

5.7.2用安全模板定義安全設定 157

5.7.3使用安全配置和分析或安全管理器 162

5.7.4使用Secedit 163

第6章保護Windows目錄信息及其操作 164

6.1保護DNS 166

6.2將AD資料庫和SYSVOL放在獨立的磁碟上 167

6.3物理保護域控制器 168

6.4監視和保護活動目錄狀態 170

6.4.1監視DNS 170

6.4.2監視複製 177

6.4.3監視組策略操作 184

6.4.4強化域以及域控制器安全策略 189

6.4.5保護活動目錄通信 193

6.4.6管理“管理許可權”(AdministrativeAuthority) 194

6.5保護活動目錄數據——理解活動目錄對象許可權 195

第7章強化管理許可權和操作 196

7.1委託和控制管理許可權 197

7.1.1定義用戶角色 198

7.1.2定義技術控制 209

7.2定義安全管理措施 217

7.2.1非常高風險管理 217

7.2.2高風險數據中心管理 226

7.2.3高風險非數據中心管理 229

7.2.4中等風險管理 229

7.2.5低風險管理 232

第8章按角色分彆強化伺服器和客戶端計算機 233

8.1基於角色的強化過程 234

8.2決定計算機角色 235

8.2.1頂級計算機角色 236

8.2.2二級或三級計算機角色 236

8.3設計基於角色的強化基礎設施 237

8.3.1用腳本自動使用多模板 237

8.3.2使用活動目錄體系和組策略方法 239

8.3.3使用WindowsNT4.0系統策略 243

8.4改編安全模板 250

8.4.1檢查及修改基線模板 251

8.4.2檢查以及修改基於角色的模板 254

8.5用組策略執行強化計畫 255

8.5.1創建一個撤銷計畫(Back-outPlan) 256

8.5.2將模板導入合適的GPO 256

第9章強化應用程式訪問和使用 260

9.1通過管理模板限制訪問 261

9.1.1強化作業系統配置 263

9.1.2強化用戶設定 268

9.1.3使用其他.adm檔案 272

9.1.4強化應用程式 273

9.2通過軟體限制策略限制訪問 283

9.2.1安全等級設定為Disallowed 283

9.2.2設定策略選項 284

9.2.3編寫規則來允許和限制軟體 287

9.3開發與實施台式機與用戶角色 289

9.4使用組策略管理控制台複製GPO 291

第10章強化數據訪問 292

10.1使用NTFS檔案系統 293

10.2使用DACL保護數據 294

10.2.1使用繼承管理許可權 295

10.2.2基於用戶角色分配許可權 297

10.2.3維護合適許可權 301

10.2.4保護檔案系統和數據 301

10.2.5強化檔案系統共享 305

10.2.6保護印表機 309

10.2.7保護註冊表項 310

10.2.8保護目錄對象 312

10.2.9保護服務 313

10.3使用EFS保護數據 314

10.3.1禁用EFS除非可被安全地使用 314

10.3.2強化EFS規則 317

第11章強化通信 322

11.1保護LAN信息通信 323

11.1.1為NTLM使用SMB訊息簽名和會話安全 323

11.1.2使用IPSec策略 325

11.2保護WAN信息通信 333

11.2.1強化遠程訪問伺服器 333

11.2.2強化NT4.0遠程訪問伺服器配置 336

11.2.3強化WindowsServer2000和WindowsServer2003RRAS配置 338

11.2.4使用L2TP/IPSecVPN 342

11.2.5使用遠程訪問策略 343

11.2.6強化遠程訪問客戶端 345

11.2.7使用IAS集中認證、賬戶和授權 345

11.2.8保護無線訪問 346

11.3用SSL保護Web通信 351

第12章使用PKI強化Windows及強化PKI自身 352

12.1使用PKI強化Windows 353

12.1.1?褂肞KI強化認證 353

12.1.2用證書保護數據 359

12.2強化PKI 360

12.2.1強化證書授權計算機 360

12.2.2實施CA分級結構 360

12.2.3保護根CA 360

12.2.4使用中間CA增加可靠性 366

12.2.5在多個發行CA之間劃分證書功能 368

12.2.6為從屬CA提供物理保護 368

12.2.7要求證書批准 368

12.2.8限制證書頒發 370

12.2.9建立角色分離 372

12.2.10強制角色分離 373

12.2.11配置自動登記 374

12.2.12培訓用戶證書請求程式 376

12.2.13強化PKI策略、程式和規則 377

第3部分一勞不能永逸

第13章強化安全周期 381

13.1創建業務連續性計畫 382

13.1.1確定計畫範圍 383

13.1.2進行業務影響評估 383

13.1.3進行風險分析 384

13.1.4制定計畫 385

13.1.5測試 386

13.1.6計畫實施 386

13.1.7計畫維護 386

13.2制定安全策略 386

13.3強化作業系統安裝 386

13.3.1準備默認安全模板 387

13.3.2使用Slipstreaming 387

13.3.3安裝過程中用RIS添加服務包 387

13.3.4安裝過程中安裝Hotfix補丁 388

13.4強化作業系統、應用程式和數據保護 390

13.5用正規的變更管理程式管理變更 391

13.5.1升級、人員變動、變更和新的安裝 392

13.5.2安全配置更改 392

13.5.3補丁 392

13.6準備災難恢復 403

13.6.1使用容錯配置 403

13.6.2計畫備份以及執行備份 404

13.6.3計畫並進行特殊備份操作 407

13.6.4實踐恢復操作 408

13.7監控與審計 410

13.7.1配置系統審計 411

13.7.2配置審計日誌 414

13.7.3保存審計日誌檔案 415

13.7.4使用安全事件進行入侵檢測與辯論分析 416

13.7.5審計安全配置 418

13.7.6審計補丁狀態 420

第4部分如何成功地強化Windows系統的安全性

第14章強化濕件(Wetware) 425

14.1診斷與改善安全策略 426

14.1.1決定目前信息系統安全策略 427

14.1.2評價策略 427

14.1.3參與安全策略的構建與維護 428

14.2學會商務談吐 430

14.3採取的第一個措施 431

14.4通曉現行法律 431

14.4.1所依賴的規則 432

14.4.2現行立法掠影 433

14.5了解Windows和其他作業系統的漏洞 436

14.6了解並具體實施自願性標準 437

14.6.1ISO17799 437

14.6.2國家網路安全戰略計畫 438

14.7啟動或參與安全意識教育 438

14.7.1安全意識目標 438

14.7.2運作 439

附錄資源 440

相關詞條

相關搜尋

熱門詞條

聯絡我們