Windows NT 4.0 Windows 2000安全管理指南

第1部分 系統(tǒng)安全概述
第1章 安全概念介紹
1.1 簡介
1.2 采用分層方法實現網絡安全
1.3 物理上的安全策略
1.3.1 安全的位置
1.3.2 使用可移動的介質
1.3.3 去掉不必要的硬件
1.4 拒絕服務
1.5 IT安全控制目標
1.5.1 機密性
1.5.2 完整性
1.5.3 可用性
1.6 登錄時的法律聲明
1.7 一個安全系統(tǒng)的各種指標
1.7.1 有選擇的訪問控制
1.7.2 審計能力
1.7.3 強制身份標識和鑒別
1.7.4 內存管理與對象重用
1.7.5 加密的數據傳送
1.7.6 加密的文件系統(tǒng)
1.8 本章小結
第2章 NT 4.0安全結構概述
2.1 簡介
2.2 Windows NT 4.0安全性的設計目標
2.3 NT 4.0安全結構的組成模塊
2.3.1 圖形標識和身份認證（GINA）DLL
2.3.2 受信任系統(tǒng)
2.3.3 對象
2.3.4 訪問控制列表（ACL）
2.3.5 訪問控制項（ACE）
2.3.6 系統(tǒng)標識符（SID）
2.3.7 本地安全授權（LSA）
2.3.8 訪問令牌
2.3.9 安全性引用監(jiān)視器（SRM）
2.3.10 安全性賬號管理器（SAM）
2.3.11 文件和目錄許可
2.3.12 強制登錄處理
2.3.13 單一登錄
2.3.14 安全支持提供者接口（SSPI）
2.4 域內和域間通信
2.4.1 身份認證的RPC和DCOM
2.4.2 NTLM身份認證
2.4.3 扮演
2.5 安全性實現概述
2.5.1 安裝安全性時應關心的內容
2.5.2 登錄和身份認證過程
2.5.3 Administrator賬號
2.5.4 文件和目錄安全性
2.5.5 Registry安全性
2.5.6 用戶配置文件
2.5.7 系統(tǒng)策略
2.5.8 審計功能
2.6 新的安全管理工具
2.6.1 Microsoft Management Console
2.6.2 Security Configuration Manager for NT
2.7 Microsoft Proxy Server
第2部分 Windows NT 4.0安全性組件
第3章 文件和目錄安全性
3.1 簡介
3.2 磁盤分區(qū)
3.2.1 FAT
3.2.2 CDFS
3.2.3 共享許可
3.2.4 NTFS
3.3 文件和目錄許可
3.3.1 文件許可
3.3.2 目錄許可
3.3.3 查看文件和目錄許可
3.3.4 設置文件和目錄許可
3.3.5 “No Access”許可
3.4 實現文件和目錄安全性
3.4.1 安全保護新的文件卷
3.4.2 目錄結構
3.4.3 授予已有文件卷安全性
3.4.4 沖突的許可
3.4.5 NTFS權限和Administrator
3.4.6 默認的系統(tǒng)許可
3.4.7 獲得文件和目錄的擁有權
3.5 共享許可
3.5.1 同時使用NTFS和共享許可
3.5.2 默認的共享內容
3.5.3 應用共享許可
3.6 是NTFS安全性還是共享安全性
第4章 用戶配置文件
4.1 簡介
4.2 用戶配置文件概述
4.2.1 什么是用戶配置文件
4.2.2 用戶配置文件的類型
4.2.3 用戶配置文件的位置
4.2.4 創(chuàng)建一個適用于NT 4.0的用戶配置文件
4.2.5 定義位置
4.2.6 創(chuàng)建一個網絡共享
4.2.7 創(chuàng)建一個模板用戶賬號
4.2.8 創(chuàng)建一個基礎配置文件
4.2.9 分發(fā)基礎配置文件
4.2.10 用戶設置
4.2.11 修正漫游型配置文件
4.2.12 形成強制性配置文件
4.3 配置文件許可
4.4 使用Regedt32修訂配置文件
4.4.1 ntuser.xxx注冊表許可的修改
4.5 默認的用戶配置文件
4.6 Windows NT 3.5x配置文件升級
4.7 創(chuàng)建一個Windows 95的漫游型配置文件
4.7.1 客戶端工作站設置
4.7.2 域用戶設置
4.7.3 創(chuàng)建配置文件
4.7.4 形成Windows 95強制性配置文件
第5章 系統(tǒng)策略
5.1 簡介
5.2 Policy Editor的安裝
5.2.1 Windows NT Server
5.2.2 Windows NT Workstation
5.2.3 Windows 95
5.3 System Policy Editor的工作模式
5.3.1 Registry模式
5.3.2 File模式
5.3.3 Registry模式與File模式的比較
5.4 可用的設置值組
5.4.1 計算機設置值
5.4.2 用戶設置值
5.5 Windows NT 4.0 Policy Editor的界面
5.5.1 類別
5.5.2 策略設置值
5.5.3 模板文件
5.5.4 策略文件
5.6 默認的計算機策略
5.6.1 Network
5.6.2 System
5.6.3 Windows NT Network
5.6.4 Windows NT Printers
5.6.5 Windows NT Remote Access
5.6.6 Windows NT Shell
5.6.7 Windows NT System
5.6.8 Windows NT User Profiles
5.7 單臺計算機策略
5.8 默認的用戶策略
5.8.1 Control Panel
5.8.2 Desktop
5.8.3 Shell
5.8.4 System Restrictions
5.8.5 Windows NT Shell
5.8.6 Windows NT System
5.9 單個用戶和組策略
5.9.1 單個用戶
5.9.2 組
5.9.3 組優(yōu)先權
5.10 保留策略
5.10.1 自動更新模式
5.10.2 手工更新模式
5.11 策略實現原則
5.12 策略沖突解析
5.12.1 計算機策略沖突
5.12.2 用戶策略沖突
5.12.3 沖突的危險性
5.13 策略模板文件
5.13.1 模板文件結構
5.13.2 構造自定義模板文件的提示
5.13.3 小結
第6章 密碼學
6.1 什么是密碼學
6.2 加密和解密
6.2.1 不對稱（公共密鑰）密碼學
6.2.2 對稱（共享密鑰）密碼學
6.2.3 共享密鑰與公共密鑰的比較
6.2.4 加密算法
6.2.5 單向函數
6.2.6 RC4
6.2.7 數據加密標準（DES）
6.2.8 RSA
6.3 身份認證
6.3.1 NT LAN Manager（NTLM）
6.3.2 分布式密碼身份認證（DPA）
6.3.3 Kerberos v5
6.3.4 X.509標準
6.3.5 靈智卡（Smart Cards）
6.4 Windows 2000中的Kerberos
6.4.1 Kerberos與NTLM的比較
6.5 驗證
6.5.1 散列函數
6.5.2 數字簽名
6.5.3 數字信封
6.5.4 數字（公共密鑰）證書
6.6 安全信道眼務（SCS）
6.6.1 安全套接字層（SSL）
6.6.2 私有通信技術（PCT）
第7章 Proxy Server
7.1 簡介
7.2 服務概述
7.3 Proxy Server的優(yōu)點
7.3.1 單個外部接觸點
7.3.2 隱藏內部IP地址
7.3.3 包過濾
7.3.4 保護發(fā)布的數據
7.4 管理Proxy Server
7.5 許可
7.5.1 Web Proxy
7.5.2 Winsock Proxy
7.5.3 Socks Proxy
7.6 包過濾
7.6.1 啟用包過濾器
7.6.2 添加一個預定義的例外規(guī)則
7.6.3 創(chuàng)建一個自定義的例外規(guī)則
7.6.4 編輯已有的例外規(guī)則
7.6.5 刪除意外規(guī)則
7.6.6 重置默認值
7.7 域過濾器
7.7.1 準許訪問：Web服務和Winsock服務
7.7.2 禁止訪問：Web服務和Winsock服務
7.7.3 帶Socks Proxy的域過濾器
7.8 警告
7.8.1 拒絕包
7.8.2 協(xié)議違反
7.8.3 磁盤滿
7.8.4 關閉警告
7.8.5 配置電子郵件
7.9 服務日志
7.9.1 Windows NT事件日志
7.9.2 文本文件日志
7.9.3 數據庫日志
7.10 包過濾器日志
7.10.1 文本文件日志
7.10.2 數據庫日志
7.11 Proxy Server通用原則
第8章 注冊表
8.1 簡介
8.2 注冊表結構
8.2.1 文件
8.2.2 句柄鍵
8.2.3 子鍵
8.2.4 值
8.3 注冊表樹許可
8.4 注冊表編輯工具
8.4.1 regedit.exe
8.4.2 regdt32.exe
8.5 直接設置和查看注冊表許可
8.6 審計一個注冊表鍵的活動
8.7 獲得一個注冊表鍵的擁有權
8.8 與安全性有關的注冊表設置值
8.8.1 登錄時的合法提示
8.8.2 未授權用戶的事件日志訪問
8.8.3 禁用注冊表編輯器
8.8.4 遠程注冊表編輯
8.8.5 防止安裝打印驅動程序
8.8.6 密碼限制
8.8.7 刪除POSIX和OS／2子系統(tǒng)
8.8.8 限制對軟盤和CD-ROM的訪問
8.8.9 最近登錄的用戶名提示
8.9 NTuser.dat注冊表文件
第9章 NT審計
9.1 簡介
9.2 Windows NT審計基礎知識
9.2.1 系統(tǒng)審計
9.2.2 應用程序審計
9.2.3 安全性審計
9.2.4 Windows NT安全性審計功能
9.3 審計策略設計
9.3.1 審計什么
9.3.2 審計誰
9.3.3 何時審計
9.3.4 何時清除審計日志
9.3.5 樣本審計方案
9.4 事件查看器
9.4.1 限制Guest訪問
9.4.2 檢查注冊表安全性
9.5 審計策略設置
9.5.1 事件日志設置值
9.5.2 事件日志分發(fā)
9.5.3 啟用審計策略
9.6 查看事件數據
9.7 本章小結
第10章 Microsoft Management Console
10.1 簡介
10.2 MMC窗格
10.3 控制臺
10.4 創(chuàng)建你自己的控制臺
10.4.1 Windows NT 4.0 SP4
10.4.2 Windows 2000
10.5 控制臺布局設計
10.6 保存你的控制臺
10.7 訪問保存的控制臺
10.8 控制臺安全性設置
10.9 本章小結
第11章 用于NT 4.0的安全性配置管理器
11.1 簡介
11.2 SCM的危險之處
11.3 安裝和配置
11.4 SCM－NT功能概述
11.4.1 模板文件定義
11.4.2 安全性配置
11.4.3 安全性分析
11.4.4 安全性配置區(qū)域
11.5 SECEDIT命令行實用工具
11.6 未配置系統(tǒng)分析
11.7 比較分析結果
11.8 應用一個標準的安全性配置文件
11.9 保存新的配置
11.10 模板文件
11.10.1 自定義模板文件設置
11.10.2 創(chuàng)建一個空白模板
11.10.3 創(chuàng)建自定義模板
11.10.4 模板描述
11.11 已配置系統(tǒng)分析
11.12 安全性區(qū)域
11.12.1 靜態(tài)定義
11.12.2 賬號策略
11.12.3 本地策略
11.12.4 事件日志
11.12.5 動態(tài)定義
11.12.6 Restricted Groups
11.12.7 系統(tǒng)服務
11.12.8 注冊表
11.12.9 文件系統(tǒng)
11.13 ACL Editor
11.13.1 子對象的保護
11.13.2 可繼承的許可
11.13.3 高級屬性
11.14 更新基線模板
11.15 本章小結
第3部分 Windows 2000安全特性介紹
第12章 Windows 2000概述
12.1 Windows 2000內部結構介紹
12.1.1 客戶／眼務器技術的實情
12.1.2 客戶／服務器進展
12.1.3 特性
12.2 Active Directory介紹
12.2.1 層次化的名字空間
12.2.2 對象組織
12.2.3 復制Active Directory
12.2.4 可擴展性
12.2.5 一種完整的目錄解決方案
12.3 管理員賬號使用過濫
第13章 Active Directory
13.1 什么是目錄服務
13.1.1 目錄術語
13.2 Windows 2000 Active Directory概述
13.2.1 集中管理
13.2.2 單個統(tǒng)一目錄
13.3 域結構
13.3.1 組織單元（OU）
13.4 Active Directory結構
13.4.1 命名支持
13.4.2 分區(qū)
13.4.3 多主機復制
13.5 Active Directory安全性
13.5.1 管理
13.5.2 二級登錄
13.5.3 信任的管理應用程序
13.5.4 管理權限和過程的授權
13.6 Windows 2000身份認證過程
13.6.1 本地身份認證
13.6.2 應用服務器身份認證
13.7 域和信任關系
13.7.1 繼承
13.7.2 指定信任
13.8 目錄系統(tǒng)的優(yōu)點
13.8.1 對象組織
13.8.2 可擴展性
13.8.3 復制
13.8.4 組
13.8.5 訪問控制的粒度
13.8.6 管理界面
13.9 本章小結
第14章 安全性配置工具集
14.1 簡介
14.2 構造安全性管理控制臺
14.2.1 保存控制臺的優(yōu)點
14.2.2 新控制臺的創(chuàng)建
14.2.3 Security Configuration Server服務
14.2.4 Security Configuration Editor（SCE）
14.2.5 Security Configuration Manager（SCM）
14.2.6 組策略編輯器
14.3 安全性策略介紹
14.3.1 Security Configuration Editor（SCE）
14.3.2 預安裝的安全性策略模板
14.3.3 Security Configuration Manager（SCM）
14.4 安全性實現樣本：本地機器
14.4.1 構造一個新的模板
14.4.2 實現新模板
14.4.3 安全策略違反和分析
14.4.4 Group Policy Editor（GPE）
14.5 Security Configuration Manager：命令行
第15章 組策略
15.1 簡介
15.1.1 組策略
15.1.2 組策略的優(yōu)點
15.1.3 組策略的分類
15.2 使用組策略
15.2.1 用戶和計算機設置值
15.2.2 安全性組
15.2.3 軟件策略
15.2.4 軟件管理
15.2.5 腳本描述
15.2.6 用戶文件和文件夾
15.3 組策略與本地策略
15.3.1 組策略存儲
15.4 向后兼容性
15.5 組策略管理需求
15.6 組策略遷移方式
15.7 組策略實現
15.8 本章小結
第16章 文件系統(tǒng)
16.1 分布式文件系統(tǒng)
16.2 在DFS中保證你的數據安全
16.2.1 裝入平衡
16.2.2 分離文件系統(tǒng)
16.2.3 ACL
16.3 加密文件系統(tǒng)（EFS）結構
16.3.1 NTFS集成
16.3.2 低的管理開銷
16.4 文件加密、解密和恢復機制
16.4.1 文件加密
16.4.2 訪問加密的文件
16.4.3 文件解密
16.4.4 文件恢復
16.4.5 文件共享
16.5 加密和解密過程
16.5.1 實現文件和文件夾加密
16.5.2 實現文件和文件夾解密
16.5.3 復制加密的文件和文件夾
16.5.4 備份加密的文件和文件夾
16.5.5 還原加密的文件和文件夾
16.6 加密文件恢復過程
16.6.1 定義恢復代理
16.6.2 添加恢復代理
16.7 EFS的前景
附錄A 系統(tǒng)策略文件清單
A.1 Common.adm
A.2 Winnt.adm
附錄B Proxy Server日志信息
B.1 服務日志信息
B.1.1 面向服務器的字段
B.1.2 面向客戶的字段
B.1.3 面向連接的字段
B.1.4 面向對象的字段
B.2 包過濾器日志信息
B.2.1 服務信息字段
B.2.2 遠程信息字段
B.2.3 本地信息字段
B.2.4 過濾器信息字段
B.2.5 包信息字段
附錄C 安全核對清單