Windows 2000安全技術

第1部分 概念與定義
第1章 安全的基本概念
1.1 安全的三個“A”
1.1.1 認證
1.1.2 授權
1.1.3 審核
1.2 安全策略
1.3 計算機安全的目標
1.3.1 完整性
1.3.2 控制
1.3.3 可用性
1.4 其他安全術語
1.5 更多的信息
1.6 小結
第2章 密碼學介紹
2.1 歷史背景
2.2 現(xiàn)代的加密算法
2.2.1 對稱密鑰密碼系統(tǒng)
2.2.2 非對稱密鑰密碼系統(tǒng)
2.2.3 公鑰體系
2.2.4 數(shù)字簽名
2.2.5 數(shù)字編碼
2.3 常用加密算法
2.3.1 DES
2.3.2 已被提議用來替代DES的算法
2.3.3 Ron Rivest算法
2.3.4 CAST-128
2.3.5 Diffie-Hellman
2.3.6 RSA
2.3.7 散列函數(shù)
2.3.8 將來的希望：橢圓曲線密碼系統(tǒng)
2.4 攻擊方法
2.5 更多的信息
2.6 小結
第3章 新的協(xié)議、產(chǎn)品及API
3.1 與Web相關的協(xié)議
3.1.1 安全套接字層和HTTPS
3.1.2 傳輸層安全協(xié)議（RFC 2246）
3.2 遠程訪問協(xié)議
3.2.1 串行線路Internet協(xié)議（RFC 1055）
3.2.2 點到點協(xié)議（RFC 1661）
3.2.3 口令認證協(xié)議
3.2.4 質(zhì)詢－握手認證協(xié)議（RFC 1994）
3.2.5 Microsoft-CHAP版本1（RFC 2433）和版本2（RFC 2759）
3.2.6 點到點隧道協(xié)議（RFC 2637）
3.2.7 Microsoft點到點加密機制（MPPE）
3.2.8 第二層隧道協(xié)議（RFC 2661）
3.3 IPSec
3.3.1 密鑰管理
3.3.2 安全策略數(shù)據(jù)庫
3.3.3 IP棧實現(xiàn)
3.3.4 通信安全協(xié)議：AH與ESP
3.3.5 SA束 
3.3.6 性能問題
3.4 DHCP與動態(tài)DNS之間的安全通信（RFC 2535，2136，2137）
3.4.1 公鑰／私鑰的實現(xiàn)（RFC 2535）
3.4.2 通過Kerberos 5的DHCP認證和使用DHCP的DNS安全更新
3.5 Microsoft獨有的API和安全協(xié)議
3.5.1 服務器控制的加密系統(tǒng)
3.5.2 CryptoAPI
3.5.3 認證碼
3.5.4 安全支持提供者接口（SSPI）
3.5.5 LM、NTLM、NTLMv2
3.6 更多的信息
3.7 小結
第4章 公鑰體系（PKI）
4.1 證書頒發(fā)機構
4.2 注冊頒發(fā)機構
4.3 證書與密鑰
4.3.1 X.509證書
4.3.2 簡單公鑰體系
4.3.3 PGP
4.3.4 證書驗證
4.4 證書倉庫
4.5 證書吊銷列表
4.5.1 吊銷列表的選項
4.6 證書信任模型
4.6.1 層次型信任模型
4.6.2 分布式信任
4.6.3 Web信任
4.6.4 用戶信任
4.6.5 交叉證明
4.7 客戶與客戶軟件
4.8 PKI過程
4.8.1 時間問題
4.8.2 密鑰／證書生存周期
4.8.3 產(chǎn)生
4.9 更多的怕息
4.10 小結
第5章 Kerberos基礎
5.1 Kerberos基礎
5.1.1 登錄認證：認證服務交換
5.1.2 獲得一個票證：票證授予服務交換
5.1.3 訪問資源：客戶／服務器認證交換
5.2 Kerberos組成和算法
5.2.1 組件
5.2.2 Kerberos算法
5.3 Kerberos信任路徑
5.4 加密和校驗和
5.5 更多的信息
5.6 小結
第2部分 保護操作系統(tǒng)的安全
第6章 從頭開始考慮安全
6.1 用戶和組
6.1.1 獨立系統(tǒng)上的用戶和組
6.1.2 隱式的用戶權限
6.2 活動目錄介紹
6.2.1 活動目錄結構
6.2.2 域模式
6.2.3 組作用域
6.2.4 域中默認的組
6.2.5 隱式組或系統(tǒng)組
6.3 權限和特權
6.3.1 用戶和組管理工具
6.4 Windows 2000 NTFS
6.4.1 文件權限
6.4.2 默認安全設置
6.4.3 資源訪問
6.4.4 特殊權限
6.4.5 與以前NTFS版本的區(qū)別
6.4.6 共享文件夾的發(fā)布：模糊中會有安全性嗎？
6.5 默認注冊表權限
6.6 軟保護和Windows文件保護
6.6.1 軟保護
6.6.2 Windows文件保護
6.7 Windows 2000加密文件系統(tǒng)
6.7.1 EFS基礎
6.7.2 加密文件系統(tǒng)如何工作
6.7.3 提供證書頒發(fā)機構的好處
6.7.4 Cipher命令
6.7.5 恢復策略和EFS管理
6.8 最佳操作
6.9 更多的信息
6.10 小結
第7章 用戶認證
7.1 LM與NTLM認證
7.2 Windows 2000中的Kerberos
7.2.1 Kerberos對Windows 2000的益處
7.2.2 活動目錄的作用
7.2.3 認證的第1步：獲取登錄會話密鑰
7.2.4 認證的第2步：TGS交換——獲取特定服務器的票證
7.2.5 認證的第3步：使用會話票證來獲準進入——CS交換
7.2.6 票證
7.2.7 DNS名字解析
7.2.8 域間的活動
7.2.9 Kerberos與WinLogon服務的集成
7.2.10 使用Kerberos票證來得到訪問控制信息
7.2.11 Kerberos與服務賬號的集成
7.2.12 公鑰的Kerberos擴展
7.3 網(wǎng)絡登錄的過程
7.4 在Windows 2000中使用智能卡
7.4.1 Microsoft的方法
7.4.2 基本組件
7.4.3 安裝與使用智能卡
7.4.4 使用智能卡進行Windows 2000登錄
7.4.5 智能卡與遠程訪問
7.5 更多的信息
7.6 小結
第8章 生存周期選擇
8.1 為了改進安全性而在安裝時的注意事項
8.1.1 升級與全新安裝之間的區(qū)別
8.1.2 保護升級安裝的安全
8.1.3 已升級的Windows NT主域控制器（PDC）上的活動目錄
8.2 維護
8.2.1 選擇安全的應用程序：Windows 2000應用程序標志的標準
8.2.2 使用和維護安全策略
8.2.3 備份
8.3 系統(tǒng)恢復：修復概述
8.3.1 在安全模式中啟動
8.3.2 緊急修復過程
8.3.3 使用最后一次正確配置
8.3.4 使用Windows 2000修復控制臺
8.3.5 系統(tǒng)文件檢查器
8.4 死亡與分解
8.5 最佳操作
8.6 更多的信息
8.7 小結
第9章 安全工具
9.1 使用安全配置和分析工具集
9.1.1 安全模板
9.1.2 安全配置和分析
9.1.3 使用secedit工具
9.1.4 使用安全配置工具集進行審核
9.2 組策略
9.2.1 組策略工具
9.2.2 GPO組件
9.2.3 與組策略編輯器一起使用安全配置和分析
9.3 支持工具
9.4 Resource Kit工具
9.4.1 與審核相關的工具
9.4.2 組策略工具
9.4.3 用戶管理工具
9.4.4 管理工具
9.4.5 注冊表工具
9.4.6 DACL
9.5 選擇要使用的工具
9.6 最佳操作
9.7 更多的信息
9.8 小結
第10章 保護Windows 2000 Professional的安全
10.1 建立和保護用戶和組數(shù)據(jù)庫
10.1.1 安全模型
10.1.2 管理本地賬號數(shù)據(jù)庫中的賬號和組
10.1.3 保護賬號數(shù)據(jù)庫
10.2 Windows NT 4.0域中的Windows 2000 Professional
10.2.1 Windows NT 4.0域中的認證
10.2.2 Windows NT域中的授權
10.3 使用組策略管理本地安全設置
10.3.1 賬號策略
10.3.2 本地策略
10.3.3 策略設置
10.4 使安全設置與用戶能力匹配
10.5 策略的實現(xiàn)和實施
10.5.1 密碼策略
10.5.2 賬號鎖定
10.5.3 審核策略
10.5.4 用戶權限
10.5.5 安全選項
10.5.6 事件日志設置
10.6 保護無線連接的安全
10.6.1 無線連接：計算機與計算機
10.6.2 無線連接：紅外網(wǎng)絡連接
10.7 安全數(shù)據(jù)和應用程序訪問的協(xié)議與進程
10.8 使用Windows 2000 Professional管理Windows 2000域
10.8.1 可用的工具
10.9 最佳操作
10.10 更多的信息
10.11 小結
第11章 保護Windows 2000 Server的安全
11.1 Server的角色
11.1.1 Server的關系
11.1.2 Server的作用
11.2 安裝默認的安全項
11.2.1 用戶和組
11.2.2 本地安全策略
11.3 策略設置
11.4 Server安全模板
11.5 使用和保護終端服務
11.5.1 登錄權限
11.5.2 應用程序問題
11.5.3 終端服務配置工具
11.5.4 數(shù)據(jù)加密
11.6 保護互操作服務
11.6.1 Macintosh服務
11.6.2 Unix服務
11.7 最佳操作
11.8 更多的信息
11.9 小結
第3部分 保護Microsoft本地局域網(wǎng)的安全
第12章 域級安全
12.1 活動目錄概念介紹
12.1.1 活動目錄層次
12.1.2 全局編錄
12.1.3 信任關系
12.1.4 數(shù)據(jù)存儲和復制
12.1.5 混合模式，本機模式
12.1.6 LDAP
12.2 動態(tài)DNS
12.2.1 動態(tài)DNS是怎樣工作的
12.2.2 保護動態(tài)DNS
12.3 分布式安全服務介紹
12.3.1 IPSec策略
12.3.2 Kerberos策略
12.4 網(wǎng)絡認證服務的比較：Kerberos和NTLM
12.5 最佳操作
12.6 更多的信息
12.7 小結
第13章 保護傳統(tǒng)Windows客戶的安全
13.1 改善認證措施
13.1.1 下級客戶的登錄
13.1.2 實現(xiàn)NTLMv2：第一步——下級客戶
13.1.3 實現(xiàn)NTLMv2：第二步——在Windows 2000域控制器上要求使用NTLMv2
13.2 保護網(wǎng)絡通信
13.2.1 SMB簽名
13.2.2 使用經(jīng)協(xié)商的NTLMv2會話安全
13.3 改善基本的系統(tǒng)安全
13.3.1 系統(tǒng)策略編輯器
13.3.2 安全配置管理器
13.4 最佳操作
13.5 更多的信息
13.6 小結
第14章 保護分布式文件系統(tǒng)的安全
14.1 理解DFS
14.1.1 定義、組件和概念
14.1.2 DFS的工作方式
14.1.3 DFS的使用
14.1.4 DFS客戶端
14.2 理解文件復制服務
14.2.1 定義FRS功能
14.2.2 在DFS中使用FRS
14.2.3 管理DFS復制計劃
14.3 保護DFS的安全
14.3.1 保護DFS拓撲結構
14.3.2 保護文件和文件夾
14.3.3 保護文件復制策略
14.3.4 規(guī)劃安全的DFS架構
14.3.5 實現(xiàn)和維護
14.3.6 審核DFS的安全性
14.4 最佳操作
14.5 小結
第4部分 保護現(xiàn)實世界網(wǎng)絡的安全
第15章 安全遠程訪問選項
15.1 路由和遠程訪問服務
15.1.1 網(wǎng)絡地址轉(zhuǎn)換和Internet連接共享
15.1.2 遠程訪問服務（RAS）
15.1.3 虛擬專用網(wǎng)絡
15.2 Internet認證服務
15.2.1 Internet認證服務的配置和放置
15.2.2 IAS策略
15.2.3 和IAS一起使用VPN
15.2.4 什么時候使用IAS，什么時候使用RRAS
15.3 終端服務
15.3.1 向用戶提供遠程訪問
15.3.2 為管理員提供遠程訪問
15.4 保護遠程管理訪問的安全
15.4.1 使用策略控制訪問
15.4.2 使用telnet
15.5 最佳操作
15.6 更多的信息
15.7 小結
第16章 使用分布式安全服務保護網(wǎng)絡的安全
16.1 活動目錄操作
16.1.1 活動目錄復制
16.1.2 保護活動目錄
16.1.3 恢復活動目錄
16.2 使用組策略對象控制計算機和用戶
16.2.1 組策略處理
16.2.2 組策略繼承
16.2.3 組策略管理的其他項目
16.2.4 組策略對象的復制和管理
16.2.5 策略應用
16.2.6 混合的Windows操作系統(tǒng)網(wǎng)絡中的策略
16.2.7 組策略對象的權限委派
16.3 更多的信息
16.4 小結
第17章 企業(yè)公鑰體系
17.1 Windows 2000證書服務結構
17.1.1 證書頒發(fā)機構
17.1.2 證書層次
17.1.3 證書和證書模板
17.1.4 證書吊銷列表
17.1.5 鑰策略
17.1.6 證書存儲
17.1.7 加密服務提供者
17.1.8 證書信任列表
17.2 證書生存期
17.2.1 當安裝根CA時，頒發(fā)一份根CA證書
17.2.2 如果受到請求，根CA可以為從屬CA頒發(fā)證書
17.2.3 從屬CA可以為別的從屬CA頒發(fā)證書
17.2.4 周期性的發(fā)布證書吊銷列表
17.2.5 根CA證書必須在過期之前或者整個證書服務結構失效之前重新頒發(fā)
17.2.6 從屬CA證書在過期之前或者它頒發(fā)的任何證書失效之前重新頒發(fā)
17.2.7 證書請求放置在隊列中等待管理員同意／拒絕
17.2.8 基于公鑰體系的應用程序使用的證書
17.2.9 證書可以被吊銷
17.2.10 證書可以被更新
17.2.11 證書可以失效
17.3 公鑰體系的組策略
17.3.1 企業(yè)信任（用戶和計算機配置）
17.3.2 加密數(shù)據(jù)恢復代理
17.3.3 自動的證書請求設置
17.3.4 受信任的根CA
17.4 證書服務的其他安全實踐
17.4.1 創(chuàng)建安全的CA層次
17.4.2 CA自由訪問控制列表
17.4.3 第三方信任
17.4.4 備份和恢復過程和建議
17.4.5 允許Netscape兼容的基于Web的吊銷檢查
17.4.6 修改默認的證書模板自由訪問控制列表
17.5 基于證書／公鑰體系的應用程序
17.6 最佳操作
17.7 更多的信息
17.8 小結
第18章 協(xié)同工作
18.1 與UNIX協(xié)同工作
18.1.1 原有功能
18.1.2 Services for Unix 2.0
18.1.3 Kerberos互操作性
18.2 PKI互操作性
18.2.1 共存
18.2.2 商業(yè)合作伙伴訪問
18.2.3 只使用第三方PKI
18.2.4 基于第三方PKI的應用程序
18.3 Macintosh
18.3.1 文件共享
18.3.2 控制打印機訪問
18.3.3 Microsoft提供的用戶認證模塊（MS－UAM）
18.4 Novell
18.4.1 Windows 2000和NetWare網(wǎng)絡間協(xié)同工作
18.4.2 在NetWare網(wǎng)絡中集成Windows 2000 Professional系統(tǒng)
18.5 IBM Mainframe和AS400
18.6 單一登錄
18.6.1 擴展環(huán)境
18.6.2 詳細情況
18.6.3 不使用SSO的情況
18.7 目錄集成：元目錄
18.8 最佳操作
18.9 更多的信息
18.10 小結
第19章 Web安全
19.1 保護Windows 2000 Server
19.1.1 配置硬件
19.1.2 升級操作系統(tǒng)
19.1.3 刪除或禁用不必要的組件
19.1.4 檢查和設置組策略
19.1.5 理解并限制登錄和用戶權限
19.1.6 增強文件系統(tǒng)的安全性
19.2 保證Web站點的安全
19.2.1 基本屬性和站點配置
19.2.2 匿名用戶賬號
19.2.3 認證
19.2.4 虛擬目錄安全
19.2.5 文件訪問
19.2.6 安全憑據(jù)委派
19.2.7 使用SSL
19.3 工具
19.3.1 隨產(chǎn)品一起發(fā)布的安全工具和服務
19.3.2 Internet服務器安全配置工具
19.3.3 Web安全模板
19.4 監(jiān)視，測量和維護
19.4.1 安全開銷
19.4.2 什么是可疑的活動
19.5 最佳操作
19.6 更多的信息
19.7 小結
第20章 案例研究：分布式合作伙伴
20.1 商業(yè)模型
20.1.1 根本原因
20.1.2 服務
20.2 網(wǎng)絡基本設施的安全
20.2.1 邏輯綜述
20.2.2 物理網(wǎng)絡
20.3 活動目錄架構主干
20.4 認證和授權
20.4.1 公鑰體系（PKI）
20.4.2 商業(yè)功能網(wǎng)絡的認證
20.4.3 授權
20.5 公共和私有接口處理
20.6 小結
附錄 資源
參考書 
Microsoft站點信息
其他Web站點
白皮書