WindowsServer2003系統安全管理

圖書信息

作　者：王淑江，劉曉輝，張奎亭 編著

出 版 社： 電子工業出版社

WindowsServer2003系統安全管理

出版時間： 2009-3-1

頁　數：356頁

開　本： 16開

I S B N ：9787121081392

所屬分類： 圖書 >> 計算機>>系統安全

定價：45.00元

內容簡介

INSPC認證叢書介紹

隨著全球科學技術的迅猛發展和信息技術的廣泛套用，信息網路系統的安全性問題已經成為全社會關注的焦點，並且已成為涉及國家政治、軍事、經濟和文教等諸多領域的重要課題。在國內，隨著中國國民經濟和社會信息化建設進程全面加快，網路與信息系統的基礎性、全局性作用日益增強，迫切要求加強信息安全保障工作。

為貫徹落實《國家信息化領導小組關於加強信息安全保障工作的意見》（中辦發[2003]27 號），《國務院關於大力發展職業教育的決定》（國發[2005]35 號），進一步加強信息網路安全專業人員隊伍建設，培養和建設一支政治可靠、技術過硬的信息網路安全專業人員隊伍。國家公安部第三研究所、國家反計算機入侵和防病毒研究中心首先發起，聯合國內信息安全專業教育和研究服務機構、國際知名信息安全廠商企業、國家重點行業代表性用戶單位，按照優勢互補、資源共享原則，以聯盟合作的形式共同推動中立、專業、實用的信息網路安全專業人員認證培訓體系（Information Network Security Professional Certification，簡稱INSPC），建設以國家信息化產業政策為指導，適應中國信息安全產業發展的信息安全職業技能認證體系，INSPC體系的建設以人才市場需求為導向，以培養和鍛鍊職業技能為核心，將推動INSPC認證體系逐漸獲得政府職能部門、行業協會、信息安全產業和人才市場的認同，成為信息網路安全從業人員資格認證、技能鑑定、企事業單位聘用信息網路安全專業人才的測評標準，同時為中國的信息安全保障工作建立信息網路安全專業人才庫。

INSPC認證體系分為公共基礎認證和安全專業人員認證。其中安全專業人員認證根據不同的安全領域或產品分為不同的認證模組。

一、公共基礎認證（Common Basal Certification，CBC）

認證對象

高中（含中專）以上學歷，使用PC進行辦公、學習和生活娛樂的個人電腦用戶；

專業人員進階認證的基礎。

認證目標

普及信息安全基本知識和政策法規，提高信息網路安全防範意識；

形成個人電腦操作良好規範，提高電腦使用效率；

掌握個人電腦安全防護技能，防止病毒、木馬等惡意程式對系統的破壞；

掌握個人電腦網路安全防範技能，防止常見的網路攻擊手段對系統的侵害；

掌握系統和用戶數據備份技能，保護個人電腦用戶數據安全。

二、安全專業人員認證（Security Professional Certification，SPC）

認證對象

企事業單位中從事技術崗位的專業人員，如網路管理員、系統管理員、資料庫管理員等專業人員；

信息安全企事業單位售前和售後技術支持人員。

認證目標

掌握信息安全工程和管理所必需的專業理論知識；

掌握信息系統的安全管理、評估和攻防技術；

掌握主流網路和信息安全產品的配置管理；

培養信息安全解決方案設計和工程實施能力。

根據INSPC認證培訓教學的需要，由公安部第三研究所和電子工業出版社聯合組織國內信息安全領域的專家和工程實踐人員、通過對用戶單位在信息安全知識需求方面進行的針對性調研，組織編寫和出版了該套INSPC認證叢書，從書包括以下書目：

編 號 名 稱 認證類別 計畫出版日期

CBC01信息安全之個人防護公共基礎 2008/4

SPC01 Windows 2003 Server系統安全管理 系統安全 2009/1

SPC02 UNIX系統安全管理實踐 系統安全 2009/6

SPC03 資料庫系統安全 數據安全 2009/10

SPC04網路安全攻防實戰網路安全 2008/4

SPC05 計算機病毒防禦技術 網路安全 2009/6

SPC06 防火牆配置實踐 網路安全 2009/12

SPC07路由與交換設備安全配置實踐 網路安全 2009/6

SPC08 密碼套用PKI技術密碼技術 2009/10

SPC09 安全審計與計算機取證技術 安全管理 2009/8

SPC10 信息安全管理實踐 安全管理 2009/10

該叢書的出版，本著“出精品”的原則，成熟一本，出版一本，並建立了完善的教材修訂機制，及時更新教材內容。

作為一套用於認證培訓的叢書，它具備以下特點。

實用性

本套叢書從信息系統用戶的安全知識和技能需求出發，組織相關內容，同時與教程配套，由教學和工程實踐經驗豐富的專家精心設計了若干針對性實驗，理論結合實踐，可有效提高用戶的專業知識和實踐技能，有“立竿見影”之效。

趣味性

本套叢書結合了用戶在信息系統使用中遇到的很多實際問題，文檔風格生動活潑，有機地結合了知識性和趣味性，讓學員或讀者共同走進書中內容，與教師或編者分享經驗心得。

開放性

為保證教程內容的時效性和針對性，INSPC認證管理網站專門開設了教程交流學習論壇，讀者和學員用戶可把自己遇到的問題和內容建議交流反饋，我們將由專人負責整理和解答，並把其中精彩的內容體現在修訂教程中。

INSPC認證教材編審委員會

2008年1月

作者簡介

劉曉輝，男，江蘇淮陰人，南京大學經濟學博士。現執教於西南財經大學中國金融研究中心，碩士生導師。研究方向：匯率經濟學、開放經濟總量經濟學。在《世界經濟》等學術期刊發表論文，譯文20篇。

目錄

第1章 Windows Server 2003系統安全概述 1

1.1 安全威脅 1

1.1.1 病毒 1

1.1.2 非法訪問和破壞 2

1.1.3 管理漏洞 2

1.1.4 惡意代碼 3

1.1.5 不滿的員工 3

1.1.6 系統漏洞 4

1.2 安全建議 4

1.2.1 安全策略 4

1.2.2 安全目標 5

1.3 部署安全的Windows

1.3 Server 2003 5

1.3.1 合理安裝 5

1.3.2 限制用戶 5

1.3.3 善用許可權 6

1.3.4 善用策略 6

1.3.5 系統監控 6

1.3.6 備份與恢復 6

小結 7

習題 7

第2章 Windows Server 2003安裝配置安全 9

2.1NTFS檔案系統9

2.1.1 檔案系統類型 9

2.1.2 NTFS特性 10

2.1.3 創建NTFS分區 13

2.2 安裝注意事項 13

2.2.1 安裝注意事項 13

2.2.2 安裝補丁注意事項 14

2.3 部署防禦系統 19

2.3.1 部署防病毒系統 20

2.3.2 部署防惡意軟體 20

2.3.3 部署防火牆 22

2.4 系統管理員安全設定 25

2.4.1 默認組許可權 25

2.4.2 更改Administrator賬戶名稱 27

2.4.3 創建陷阱賬號 30

2.5 磁碟訪問許可權 31

2.5.1許可權類型 31

2.5.2 設定磁碟訪問許可權 32

2.5.3 查看磁碟許可權 35

2.6 鎖定計算機 38

2.6.1 “Windows +L”組合鍵鎖定計算機 38

2.6.2 螢幕保護程式鎖定 38

小結 39

習題 39

第3章 用戶賬號安全 41

3.1 密碼安全設定原則 41

3.1.1 不可讓賬號與密碼相同 42

3.1.2 不可使用自己的姓名 42

3.1.3 不可使用英文詞組 42

3.1.4 不可使用特定意義的日期 42

3.1.5 不可使用簡單的密碼 42

3.2 賬戶策略 43

3.2.1 密碼策略 43

3.2.2 賬戶鎖定策略 48

3.2.3 推薦的賬戶策略設定 51

3.3 系統管理員設定原則 51

3.3.1 更改管理員賬戶名 51

3.3.2 禁用Administrator賬戶 52

3.3.3強密碼設定 52

3.4 用戶安全管理 52

3.4.1 創建用戶賬戶 52

3.4.2 重設用戶密碼 55

3.4.3 禁用用戶賬戶 57

3.4.4 限制用戶登錄工作站 58

3.4.5 限制用戶登錄時間 59

3.5 系統賬戶資料庫的保護 60

3.6 用戶訪問許可權 62

3.6.1 已分享檔案夾許可權 62

3.6.2 配置用戶許可權 64

3.7 用戶許可權委派 69

3.7.1 委派概述 69

3.7.2 許可權委派 70

3.8 限制域管理員的許可權 74

3.8.1 刪除Domain Admins組 75

3.8.2 限制單個域管理員的許可權 76

3.8.3 限制多個域組的許可權 79

小結 81

習題 81

第4章 檔案訪問安全 83

4.1 檔案服務的部署 83

4.2 NTFS許可權基礎 88

4.2.1 NTFS許可權概述 88

4.2.2 訪問控制列表 90

4.2.3 多重NTFS許可權 91

4.2.4 NTFS許可權繼承 92

4.3 NTFS許可權設定 94

4.3.1 設定NTFS許可權基本策略和原則 94

4.3.2 取消“Everyone”完全控制許可權 95

4.4 特殊訪問許可權 95

4.4.1 指定特殊訪問許可權 96

4.4.2 複製和移動資料夾對許可權的影響 97

4.5 檔案審核設定 98

4.5.1 設定審核對象 98

4.5.2 審核項的套用範圍 99

4.5.3 設定審核 100

4.5.4 NTFS許可權審核 101

4.6 已分享檔案夾許可權 102

4.6.1 已分享檔案夾的許可權設定 102

4.6.2 已分享檔案夾許可權與NTFS許可權 104

4.6.3 設定資源共享和Web共享 104

4.7 資料夾保護 111

4.7.1 創建檔案組 112

4.7.2 檔案禁止模板 113

4.7.3 部署資料夾保護功能 116

4.8 磁碟空間保護 118

4.8.1 磁碟配額概述 118

4.8.2 配額模板 118

4.8.3 配額 120

4.9 EFS檔案保護 124

4.9.1 EFS資料夾加密 124

4.9.2 EFS資料夾解密 125

4.9.3 證書備份與恢復 126

小結 131

習題 131

第5章 網路通信安全 133

5.1 網路連線埠安全133

5.1.1 連線埠分類 133

5.1.2 應用程式和服務連線埠 135

5.1.3 連線埠攻擊 136

5.1.4 查看正在使用的連線埠 136

5.1.5 連線埠的開啟與關閉 138

5.1.6 連線埠的禁止 140

5.2 IPSec安全策略 142

5.2.1 IPSec服務 143

5.2.2 IPSec防火牆 144

小結 157

習題 157

第6章 應用程式與服務安全 159

6.1 IIS安全結構 159

6.1.1 用戶許可權安全 159

6.1.2 IIS訪問安全 160

6.1.3 NTFS訪問安全 161

6.1.4 IIS安裝安全 162

6.2 Web安全 162

6.2.1 用戶控制安全 162

6.2.2 訪問許可權控制 164

6.2.3 IP位址控制 167

6.2.4 連線埠安全 169

6.2.5 IP轉發安全 169

6.2.6 SSL安全 170

6.2.7 審核IIS日誌記錄 176

6.2.8 設定內容過期 179

6.2.9 內容分級設定 180

6.2.10 註冊MIME類型 181

6.3 FTP安全 183

6.3.1 設定TCP連線埠 183

6.3.2 連線數量限制 184

6.3.3 用戶訪問安全 184

6.3.4 檔案訪問安全 186

6.4 Internet Explorer瀏覽器安全 186

6.4.1 Cookie安全 187

6.4.2 清理IE臨時檔案 187

6.4.3 設定安全級別 188

6.4.4 分級審查 189

6.5 Windows服務安全 190

6.5.1 服務概述 191

6.5.2 服務控制台 194

6.5.3 刪除服務 198

6.6 運行方式（runas）安全 202

6.6.1 啟動“Secondary Logon”服務 203

6.6.2 RunAS保護Internet Explorer安全 204

小結 205

習題 206

第7章 軟體限制安全 207

7.1 軟體限制策略概述 207

7.2 部署軟體限制策略 208

7.2.1 創建組織單位 208

7.2.2 啟用限制策略 210

7.2.3 設定安全級別 211

7.3 軟體限制策略 212

7.3.1 基本軟體限制策略 212

7.3.2 哈希規則安全策略 215

7.3.3 證書規則安全策略 216

7.3.4 路徑規則安全策略 218

小結 224

習題 224

第8章 安全配置和分析 226

8.1 安全配置嚮導 226

8.1.1 安裝SCW 226

8.1.2 配置安全服務 227

8.2 安全配置和分析 237

8.2.1 預定義的安全模板 238

8.2.2 安全配置和分析 238

小結 246

習題 246

第9章 註冊表安全 248

9.1 註冊表檔案的位置 248

9.2 禁止註冊表編輯器運行 249

9.2.1 禁止註冊表編輯器運行方法一 250

9.2.2 禁止註冊表編輯器運行方法二 252

9.2.3 解禁註冊表 255

9.3 訪問授權和啟用審核 256

9.4 關閉Windows註冊表的遠程訪問 260

9.5 註冊表備份和恢復 261

9.5.1 備份註冊表 261

9.5.2 恢復註冊表 262

小結 263

習題 263

第10章 系統監控審核 265

10.1 日誌與事件 265

10.1.1 系統日誌類型 265

10.1.2 事件參數 266

10.1.3 事件類型 267

10.1.4 查看日誌 267

10.2 安全日誌 270

10.2.1 啟用審核策略271

10.2.2 日誌分析 273

10.2.3 審核日誌 273

10.2.4 審核事件ID 275

10.3 性能日誌和警報 282

10.3.1 監控磁碟空間 282

10.3.2 監控暴力破解密碼 285

10.3.3 監視檔案授權訪問 286

小結 289

習題 289

第11章 備份與恢復 291

11.1 備份 291

11.1.1 備份定義 291

11.1.2 備份模式 291

11.1.3 備份類型 292

11.1.4 備份策略 294

11.2 恢復 296

11.2.1 恢復定義 296

11.2.2 恢複數據庫 297

11.2.3 恢復作業系統 298

11.2.4 恢復檔案 298

11.3 作業系統備份與恢復 299

11.3.1Acronis True Image概述 299

11.3.2 安裝acronisTrue

11.3.2 Image Server 300

11.3.3 Acronis True Image Server備份作業系統 304

11.3.4 Acronis True Image Server恢復作業系統 308

11.4 活動目錄的備份與恢復 314

11.4.1 備份和恢復模式 315

11.4.2 完整備份活動目錄 316

11.4.3 完整恢復活動目錄 319

11.5 網路基礎服務的備份

11.5 與恢復 325

11.5.1 網路配置參數 325

11.5.2 DHCP服務 328

11.5.3 WINS服務 331

11.5.4 DNS服務 335

小結 341

習題 341

書摘

前言

Windows Server 2003作業系統是一套成熟的作業系統，擁有較高的使用率。所有系統管理員都已經認識到系統安全是網路管理工作中非常重要的，同時也是最基礎的組成部分，無論看似簡單的基本操作，如強密碼設定、啟用Windows防火牆、啟用安全策略，還是組策略設定，都是安全管理的一部分，系統安全涉及的內容太多，而每個安全漏洞都有可能導致安全問題。

系統安全是網路安全的基礎防線，作業系統安裝完成後，已經通過默認的安全模板進行了安全設定，但是要使該系統更加安全必須對其進行加固。除了必要的漏洞修復、補丁安裝之外，密碼管理和NTFS許可權套用將是保護系統安全的基本措施。因此，系統管理員非常需要一本圖書來全面指導其系統安全設定工作。

本書特點

本書從基礎入手，全面、深入、系統地介紹如何加固系統，書中涉及的內容均是作者在實際工作中的寫照，目的性和針對性都很強，最大限度地介紹了Windows Server 2003系統有關安全的因素，歸納和總結了作者多年的安全工作經驗和管理技巧，部分以案例的方式提供給讀者，希望讀者能夠舉一反三，根據自己的實際工作環境制定詳細的安全策略，加固系統安全，全面提升安全水平，迅速成長為合格的系統管理員。

本書中介紹的關於系統安全方面的知識，不僅適用於Windows Server 2003作業系統，同時適用於其他Windows作業系統，部分章節的內容也適用於Linux作業系統。

本書內容

本書內容共分為11章，內容安排如下：

章 名 內容介紹

第1章 Windows Server 2003系統安全概述 簡要介紹了網路安全威脅，提出了基本的網路安全建議，並概要介紹了Windows Server 2003安全系統架構

第2章 Windows Server 2003安裝配置安全 從Windows Server 2003系統安全安裝開始，全面介紹了用戶的安全管理，包括如何設定密碼，以及基本密碼設定原則

章 名 內容介紹

第3章 用戶賬號安全 介紹如何管理系統管理員，以及域系統管理員的許可權、用戶訪問許可權的設定

第4章 檔案訪問安全 介紹了檔案許可權與訪問安全，包括如何部署基於NTFS的許可權管理，如何啟用檔案審核管理，如何能更安全部署已分享檔案夾，如何限制用戶空間使用，以及在寫入數據時對數據的寫入限制，如何使用EFS保護數據

第5章 網路通信安全 介紹了計算機之間的通信安全，如何限制、查看、關閉、禁止、啟用連線埠，如何使用IPSec策略部署安全的訪問策略

第6章 應用程式與服務安全 介紹了Windows Server 2003系統中的基礎服務安全，以及部分應用程式如何安全地使用，讀者可以以該部分內容為基礎，合理地規劃應用程式的使用，著重介紹了IIS服務、FTP服務、Windows內置服務、Internet Explorer瀏覽器，以及Runas服務的安全套用

第7章 軟體限制安全 介紹了軟體限制策略在系統中的套用，該部分的內容有很大的拓展空間，通過組策略的部署可以限制病毒、木馬及遊戲等應用程式在客戶端計算機上的運行，間接地提高系統安全

第8章 安全配置和分析 介紹了Windows Server 2003安全配置嚮導的使用，以及如何使用預定義的安全模板通過“安全配置分析工具”對系統進行分析，根據匹配的結果部署更加安全的策略

第9章 註冊表安全 介紹了Windows Server 2003的核心資料庫註冊表的安全配置及安全使用

第10章 系統監控審核 介紹了日誌、事件、性能日誌和警報在系統中的監控機制，做到提前發現問題，將問題解決在萌芽之中

第11章 備份與恢復 介紹了備份和恢復在Windows Server 2003中的套用，不僅要備份數據同時要備份作業系統、Active Directory資料庫、網路基礎信息等，如果關聯其他的套用，則根據套用類型制定不同的備份策略等方面的內容

本書涉及系統安全的方方面面，相信一定會得到廣大系統管理員的認同和歡迎。

本書由王淑江、張奎亭、劉曉輝編著，上海交通大學信息安全工程學院的王軼駿老師進行了審稿，趙衛東、劉淑梅、馬倩、楊伏龍、李文俊、王同明、石長征、郭騰、李海寧、田俊樂、陳志成、王春海等也參與了部分章節的編寫工作。作者均長期從事系統維護和網路管理工作，具有較高的理論水平和豐富的實踐經驗，出版過多本計算機類圖書，均以易讀、易學、實用的特點，受到眾多讀者的一致好評。本書是筆者的又一嘔心瀝血之作，希望能對大家的系統管理工作有所幫助。本書能夠得以出版，有賴於畢寧先生和張奎亭先生的精心策劃，以及許多寶貴的意見和建議，在此深致謝意！

第1章　Windows Server 2003系統安全概述

Windows Server 2003作業系統是成熟的網路伺服器運營平台，但安裝和部署一套安全的伺服器作業系統難度較高。安全配置是一項具有較高難度的網路技術，如果許可權配置得太嚴格，那么許多應用程式不能正常運行；而如果許可權配置得太松，又很容易遭受入侵者的侵入。Windows作業系統本身平台的安全無疑是構建伺服器安全的基礎，涉及作業系統和應用程式的安裝安全、系統服務安全、系統設定安全和用戶賬戶安全等諸多方面。我們需要對作業系統平台的安全進行關注和細緻設定，就能在很大程度上杜絕安全漏洞，確保網路服務和數據訪問的安全。

1.1　安全威脅

隨著網路套用的深入、網路規模的擴大和數據存儲量的增加，以及網路蠕蟲、惡意攻擊的目益猖獗，網路信息系統對安全的要求也就越來越高。網路攻擊事件之所以頻頻發生，最根本的原因還在於作業系統、網路設備甚至網路協定本身，都存在著嚴重的安全漏洞。只要稍有疏忽和防範不及，災難便如影而至。由此不難看出，對於網路信息系統管理員而言，網路信息系統的安全工作最為重要。對許多用戶而言，知道面臨著一定的威脅，但這種威脅來自哪裡、究竟有什麼後果，並不十分清楚。～般來說，對於普通用戶來說，面臨的安全問題主要有以下幾個方面。