Handening Windows Systems中文版：为你的系统构筑坚固的安全堡垒

.2.2 认证的证书（credentials）选择20
2.3 强化用户登录21
2.3.1 登录类型22
2.3.2 强化账户23
2.3.3 强化账户策略24
2.3.4 强化湿件36
2.3.5 禁止自动登录38
2.3.6 限制匿名访问39
2.3.7 保护windows 2000系统的密码安全40
2.4 强化网络认证41
2.4.1 lm，ntlm，ntlmv241
2.4.2 kerberos协议44
2.4.3 远程访问认证协议45
2.4.4 web服务器认证选择47
2.4.5 加强无线认证48
2.5 强化计算机和服务的认证过程48
2.5.1 为服务账号制定强密码以及不允许用户使用服务账号登录49
2.5.2 使用本地服务账号并不允许通过网络访问服务账号50
2.5.3 使用服务账号的低特权账号50
2.5.4 强化计算机账户50
第3章 强化物理网络基础设施51
3.1 网络分段52
3.1.1 示例52
3.1.2 决定合适网络分段的最好方法55
3.2 在分段边界安装防护性措施和检测性措施57
3.2.1 防范性的控制措施57
3.2.2 检测性的控制措施64
3.2.3 边界控制的最好措施65
3.3 保护重要通信76
3.3.1 保护活动目录和其他域之间的通信76
3.3.2 web通信保护86
3.3.3 e-mail保护86
3.4 保护重要服务器86
3.4.1 保护域控制器86
3.4.2 保护基础设施服务器89
3.5 保护网络基础设施89
3.6 保护对客户端系统的访问90
3.6.1 使用常驻计算机的防火墙90
3.6.2 客户端物理安全选项91
第4章 强化逻辑网络基础设施93
4.1 工作组计算机安全基础94
4.1.1 工作组基本要点95
4.1.2 工作组用户账号95
4.1.3 工作组网络资源95
4.1.4 强化工作组97
4.2 windows nt 4.0类型的域的安全基础99
4.2.1 中央管理100
4.2.2 安全边界100
4.2.3 nt 4.0类型的信任101
4.2.4 强化windows nt 4.0域103
4.3 活动目录林安全基础104
4.3.1 中央集权管理的优点105
4.3.2 自治和隔离：域不是一个安全边界107
4.3.3 建立基于安全需要的域108
4.3.4 建立基于安全和管理需要的组织单元108
4.3.5 将域控制器和全局目录服务器只放在需要的地方109
4.3.6 配置远程windows server 2003域控制器以使用通用组高速缓存109
4.3.7 创建最小数目的异常域信任110
4.3.8 提升域和林功能级别到windows server 2003113
4.3.9 使用选择性认证116
4.3.10 如何建立一个外部信任（external trust）118
4.4 强化逻辑网络基础设施的备忘录122
第5章 强化网络基础设施角色124
5.1 开发安全基线126
5.2 限制用户权限127
5.2.1 用户权限基线的修改127
5.2.2 使用本地安全策略修改用户权限129
5.2.3 使用nt 4.0用户管理器修改用户权限129
5.3 禁用可选择的子系统130
5.4 禁用或删除不必要的服务131
5.5 应用混合安全配置138
5.5.1 不显示上次登录用户名139
5.5.2 添加登录提示139
5.6 开发增量安全步骤（incremental security steps）140
5.6.1 强化基础设施组（infrastructure group）140
5.6.2 强化dhcp140
5.6.3 强化dns144
5.6.4 强化wins152
5.7 选择安全部署的方法和模型153
5.7.1 用工具在windows nt 4.0系统进行常规安全设置154
5.7.2 用安全模板定义安全设置157
5.7.3 使用安全配置和分析或安全管理器162
5.7.4 使用secedit163
第6章 保护windows目录信息及其操作164
6.1 保护dns166
6.2 将ad数据库和sysvol放在独立的磁盘上167
6.3 物理保护域控制器168
6.4 监视和保护活动目录状态170
6.4.1 监视dns170
6.4.2 监视复制177
6.4.3 监视组策略操作184
6.4.4 强化域以及域控制器安全策略189
6.4.5 保护活动目录通信193
6.4.6 管理“管理权限”（administrative authority）194
6.5 保护活动目录数据——理解活动目录对象权限195
第7章 强化管理权限和操作196
7.1 委托和控制管理权限197
7.1.1 定义用户角色198
7.1.2 定义技术控制209
7.2 定义安全管理措施217
7.2.1 非常高风险管理217
7.2.2 高风险数据中心管理..226
7.2.3 高风险非数据中心管理229
7.2.4 中等风险管理229
7.2.5 低风险管理232
第8章 按角色分别强化服务器和客户端计算机233
8.1 基于角色的强化过程234
8.2 决定计算机角色235
8.2.1 顶级计算机角色236
8.2.2 二级或三级计算机角色236
8.3 设计基于角色的强化基础设施237
8.3.1 用脚本自动使用多模板237
8.3.2 使用活动目录体系和组策略方法239
8.3.3 使用windows nt 4.0系统策略243
8.4 改编安全模板250
8.4.1 检查及修改基线模板251
8.4.2 检查以及修改基于角色的模板254
8.5 用组策略执行强化计划255
8.5.1 创建一个撤销计划（back-out plan）256
8.5.2 将模板导入合适的gpo256
第9章 强化应用程序访问和使用260
9.1 通过管理模板限制访问261
9.1.1 强化操作系统配置263
9.1.2 强化用户设置268
9.1.3 使用其他.adm文件272
9.1.4 强化应用程序273
9.2 通过软件限制策略限制访问283
9.2.1 安全等级设置为disallowed283
9.2.2 设置策略选项284
9.2.3 编写规则来允许和限制软件287
9.3 开发与实施台式机与用户角色289
9.4 使用组策略管理控制台复制gpo291
第10章 强化数据访问292
10.1 使用ntfs文件系统293
10.2 使用dacl保护数据294
10.2.1 使用继承管理权限295
10.2.2 基于用户角色分配权限297
10.2.3 维护合适权限301
10.2.4 保护文件系统和数据301
10.2.5 强化文件系统共享305
10.2.6 保护打印机309
10.2.7 保护注册表项310
10.2.8 保护目录对象312
10.2.9 保护服务313
10.3 使用efs保护数据314
10.3.1 禁用efs除非可被安全地使用314
10.3.2 强化efs规则317
第11章 强化通信322
11.1 保护lan信息通信323
11.1.1 为ntlm使用smb消息签名和会话安全323
11.1.2 使用ipsec策略325
11.2 保护wan信息通信333
11.2.1 强化远程访问服务器333
11.2.2 强化nt 4.0远程访问服务器配置336
11.2.3 强化windows server 2000和windows server 2003 rras配置338
11.2.4 使用l2tp/ipsec vpn342
11.2.5 使用远程访问策略343
11.2.6 强化远程访问客户端345
11.2.7 使用ias集中认证、账户和授权345
11.2.8 保护无线访问346
11.3 用ssl保护web通信351
第12章 使用pki强化windows及强化pki自身352
12.1 使用pki强化windows353
12.1.1 使用pki强化认证353
12.1.2 用证书保护数据359
12.2 强化pki360
12.2.1 强化证书授权计算机360
12.2.2 实施ca分级结构360
12.2.3 保护根ca360
12.2.4 使用中间ca增加可靠性366
12.2.5 在多个发行ca之间划分证书功能368
12.2.6 为从属ca提供物理保护368
12.2.7 要求证书批准368
12.2.8 限制证书颁发370
12.2.9 建立角色分离372
12.2.10 强制角色分离373
12.2.11 配置自动登记374
12.2.12 培训用户证书请求程序376
12.2.13 强化pki策略、程序和规则377
第3部分 一劳不能永逸
第13章 强化安全周期381
13.1 创建业务连续性计划382
13.1.1 确定计划范围383
13.1.2 进行业务影响评估383
13.1.3 进行风险分析384
13.1.4 制定计划385
13.1.5 测试386
13.1.6 计划实施386
13.1.7 计划维护386
13.2 制定安全策略386
13.3 强化操作系统安装386
13.3.1 准备默认安全模板387
13.3.2 使用slipstreaming387
13.3.3 安装过程中用ris添加服务包387
13.3.4 安装过程中安装hotfix补丁388
13.4 强化操作系统、应用程序和数据保护390
13.5 用正规的变更管理程序管理变更391
13.5.1 升级、人员变动、变更和新的安装392
13.5.2 安全配置更改392
13.5.3 补丁392
13.6 准备灾难恢复403
13.6.1 使用容错配置403
13.6.2 计划备份以及执行备份404
13.6.3 计划并进行特殊备份操作407
13.6.4 实践恢复操作408
13.7 监控与审计410
13.7.1 配置系统审计411
13.7.2 配置审计日志414
13.7.3 保存审计日志文件415
13.7.4 使用安全事件进行入侵检测与辩论分析416
13.7.5 审计安全配置418
13.7.6 审计补丁状态420
第4部分 如何成功地强化windows系统的安全性
第14章 强化湿件（wetware）425
14.1 诊断与改善安全策略426
14.1.1 决定目前信息系统安全策略427
14.1.2 评价策略427
14.1.3 参与安全策略的构建与维护428
14.2 学会商务谈吐430
14.3 采取的第一个措施431
14.4 通晓现行法律431
14.4.1 所依赖的规则432
14.4.2 现行立法掠影433
14.5 了解windows和其他操作系统的漏洞436
14.6 了解并具体实施自愿性标准437
14.6.1 iso 17799437
14.6.2 国家网络安全战略计划438
14.7 启动或参与安全意识教育438
14.7.1 安全意识目标438
14.7.2 运作439
附录 资源...440