WindowsServer2008系统安全管理实战指南"
本书系统全面地介绍了Windows Server 2008安全管理新特性,重点是在局域网络中的安全管理与设置技术。内容包括:Windows Server 2008系统安全概述、Windows Server 2008用户环境安全设置、修补系统漏洞、活动目录安全、用户帐户安全、组策略安全、数据存储安全、文件访问安全、服务器信息备份与还原、电子证书和认证服务、系统服务安全、端口安全、审核策略与事件日志、Internet信息服务安全、Windows防火墙、Windows网络访问保护、SQL Server数据库安全和Windows Server 2008系统安全新技术等。
前 言
Windows Server 2008操作系统最突出的改进就是安全性的提升。从理论角度对系统安全进行定义,Windows Server 2008系统安全概述、Windows Server 2008用户环境安全设置、修补系统漏洞、活动目录安全、用户帐户安全、组策略安全、数据存储安全、文件访问安全、服务器信息备份与还原、电子证书和认证服务、系统服务安全、端口安全、审核策略与事件日志、Internet信息服务安全、Windows防火墙、Windows网络访问保护和SQL Server数据库安全,针对系统中涉及的安全问题,有目的和针对性地给出了相应的解决方案,最大限度地介绍了系统中所有有关安全的因素以及局域网的安全管理体系。
本书从Windows Server 2008提供的基础服务入手,完全以Windows操作系统安全的实际应用为基础,阐述了操作系统安全配置和管理在网络安全中起到的决定性作用,使读者能够全面提升网络的安全水平,迅速成长为合格的安全管理员。
本书共分18章,从Windows Server 2008安装到每种服务器的安装和配置,全面阐述了系统安全在实际应用中的部署方法。
第1章 Windows Server 2008系统安全概述:介绍系统安全的定义以及系统可能遇到的威胁。
第2章 Windows Server 2008用户环境安全设置:介绍如何安装并设置一个安全的操作系统。
第3章 修补系统漏洞:介绍漏洞的定义以及漏洞扫描、预警和修补等。
第4章 活动目录安全:介绍Active Directory相关安全措施。
第5章 用户帐户安全:介绍如何安全地设置帐户。
第6章 组策略安全:介绍使用组策略发布安全策略。
第7章 数据存储安全:讲解如何保护系统中磁盘的安全以及磁盘的备份和还原。
第8章 文件访问安全:讲解如何保护系统中的文件以及数据的安全共享设置。
第9章 服务器信息备份与还原:介绍服务器角色、注册表、网络配置和磁盘配额的备份与还原。
第10章 电子证书和认证服务:介绍电子证书和认证服务的基本知识,及其 安装、备份和管理应用。
第11章 系统服务安全:介绍了合理配置系统服务,保持计算机的安全性。
第12章 端口安全:介绍了常用端口的安全配置,开启、禁用以及扫描等。
第13章 审核策略与事件日志:介绍审核、事件和日志概述,及相关的安全
设置。
第14章 Internet信息服务安全:介绍了基于IIS组件的Web服务器、FTP服
务器以及站点的安全配置。
第15章 Windows防火墙:介绍了使用Windows防火墙保护系统安全的设置。
第16章 Windows网络访问保护:介绍了服务器操作系统访问网络的安全设置。
第17章 SQL Server数据库安全:介绍了数据库的安全设置以及数据库的备
份与恢复。
第18章 Windows Server 2008系统安全新技术:介绍系统新增安全功能、
升级的安全特性以及应用服务器角色安全新特性。
本书由刘晓辉、李利军编著,李书满、吴琪菊、余素芬、吴海燕、赵敏捷、费一峰、毛向城、朱志明、朱春英、彭文芳、陈飞、傅维佳、张建、李海宁、陈志成、田俊乐、刘国增、王延杰、刘红等也参与了本书部分章节的编写工作。虽然作者在写作过程中已经高度注意到书中相关细节问题,但疏漏和不足之处恐难避免,敬请广大读者批评指正。
编 者
2010年01月
目 录
第1章 Windows Server 2008系统安全概述 1
1.1 Windows Server 2008概述 2
1.1.1 Windows Server 2008的版本 2
1.1.2 Windows Server 2008的新特性 3
1.1.3 Windows Server 2008的硬件需求 6
1.1.4 Windows Server 2008安装前的准备 6
1.1.5 Windows Server 2008的安装方式 7
1.2 Windows Server 2008的初始配置 8
1.2.1 启用Windows防火墙 8
1.2.2 配置自动更新 9
1.3 Windows Server 2008系统安全 10
1.3.1 安全配置向导 10
1.3.2 配置Windows Defender 17
1.3.3 注册表安全 21
1.3.4 实现系统服务安全 25
小 结 27
习 题 28
实 验:Windows Server 2008基本安全配置 28
第2章 Windows Server 2008用户环境安全设置 29
2.1 用户环境设置 30
2.1.1 用户配置文件设置 30
2.1.2 登录脚本设置 34
2.1.3 主文件夹设置 35
2.1.4 重定向用户配置文件设置 37
2.2 Internet Explorer浏览器安全设置 39
2.2.1 安全配置功能 39
2.2.2 开启仿冒网站筛选 40
2.2.3 管理加载项 41
小 结 42
习 题 42
实 验:配置用户工作环境 43
第3章 修补系统漏洞 44
3.1 什么是系统漏洞 45
3.1.1 漏洞的特性 45
3.1.2 漏洞生命周期 46
3.1.3 漏洞管理流程 47
3.1.4 漏洞修补方略 48
3.2 扫描隐藏的漏洞 49
3.2.1 漏洞扫描概述 50
3.2.2 漏洞扫描的必要性 50
3.2.3 扫描工具的技术性能 50
3.3 漏洞扫描工具MBSA 51
3.3.1 扫描模式 51
3.3.2 扫描类型 51
3.3.3 查看安全报表 52
3.3.4 网络扫描 52
3.3.5 操作系统检查 52
3.3.6 IIS漏洞检查 55
3.3.7 SQL检查 56
3.3.8 桌面应用程序检查 59
3.4 修补系统漏洞的原则 60
3.4.1 备份相关数据 61
3.4.2 核对补丁信息 61
3.4.3 选择安装模式 61
3.5 微软免费修补漏洞工具 62
3.5.1 用Microsoft Update安装补丁 62
3.5.2 系统更新服务 63
小 结 78
习 题 78
实 验:使用MBSA扫描IIS漏洞 78
第4章 活动安全 79
4.1 AD DS安全概述 80
4.1.1 AD DS安全基本原理 80
4.1.2 只读域控制器 83
4.1.3 可以重启的AD DS 85
4.1.4 AD DS审核 86
4.1.5 活动数据库装载工具 87
4.1.6 AD DS部署安全 88
4.1.7 活动轻型服务 89
4.2 有效权限的计算与检索 90
4.2.1 有效权限计算规则 90
4.2.2 检索有效权限 91
4.3 创建信任关系 92
4.3.1 信任关系概述 92
4.3.2 创建域间信任关系 95
4.4 权限委派 99
4.4.1 权限委派概述 99
4.4.2 委派操作权限 100
4.4.3 RODC的部署与应用 103
4.5 活动的备份与恢复 106
4.5.1 安装Windows Server Backup 106
4.5.2 备份活动数据库 107
4.5.3 恢复活动数据库 108
小 结 109
习 题 109
实 验:应用RODC缓存用户信息 110
第5章 用户帐户安全 111
5.1 系统管理员帐户管理 112
5.1.1 系统管理员密码设置 112
5.1.2 系统管理员帐户管理 114
5.1.3 备份和还原系统帐户 116
5.2 用户帐户管理 118
5.2.1 启用、禁用、删除用户帐户 119
5.2.2 限制用户可以登录的时间 120
5.2.3 限制用户可以登录的工作站 121
5.2.4 恢复误删除的域用户 121
5.3 管理密码 122
5.3.1 设置密码策略 122
5.3.2 重设用户密码 123
5.4 用户权限安全 125
5.4.1 用户特权 126
5.4.2 用户登录权利 130
5.4.3 将用户权利指派到组 131
5.5 用户帐户控制 132
5.5.1 用户帐户控制概述 133
5.5.2 UAC提升用户体验 133
5.5.3 创建UAC组策略 135
5.5.4 UAC相关策略 140
小 结 142
习 题 142
实 验:管理员帐户安全 142
第6章 组策略安全 143
6.1 组策略概述 144
6.1.1 组策略的功能 144
6.1.2 组策略的组件 144
6.2 组策略模板 145
6.2.1 Windows Server 2008中组策略的新特性 146
6.2.2 ADMX和ADM文件 146
6.2.3 编辑ADMX模板 148
6.3 安全策略 148
6.3.1 帐户策略 149
6.3.2 审核策略 153
6.3.3 证书规则限制策略 158
6.4 软件限制策略 159
6.4.1 软件限制策略概述 159
6.4.2 部署基本策略 160
6.4.3 哈希规则策略 162
6.5 硬件限制策略 163
小 结 165
习 题 165
实 验:配置用户帐户锁定策略 165
第7章 数据存储安全 166
7.1 磁盘配额 167
7.1.1 磁盘配额的功能 167
7.1.2 磁盘配额管理 167
7.1.3 监控每个用户的磁盘配额使用情况 170
7.2 数据备份与恢复 170
7.2.1 Windows Server Backup 170
7.2.2 磁盘备份 171
7.2.3 使用Windows Server Backup恢复磁盘数据 172
7.2.4 使用卷影副本实现磁盘数据恢复 174
7.3 软件RAID 177
7.3.1 初步认识磁盘 177
7.3.2 准备动态磁盘 179
7.3.3 实现软RAID 180
小 结 182
习 题 182
实 验:恢复磁盘数据 182
第8章 文件访问安全 183
8.1 NTFS访问权限安全 184
8.1.1 NTFS基本认识 184
8.1.2 NTFS文件夹权限和NTFS文件权限 185
8.1.3 多重NTFS权限 186
8.1.4 NTFS权限的继承性 187
8.1.5 设置磁盘根访问权限 188
8.1.6 取消Everyone组所有权限 189
8.2 文件夹共享安全 190
8.2.1 创建共享文件夹 190
8.2.2 共享文件夹的权限 193
8.2.3 停止默认共享文件夹 194
8.2.4 设置隐藏共享 197
8.3 权限管理服务 197
8.3.1 安装AD RMS前的准备 197
8.3.2 安装AD RMS服务器 198
8.3.3 配置AD RMS服务器 202
8.3.4 AD RMS客户端部署及应用 209
小 结 214
习 题 214
实 验:配置共享资源安全 214
第9章 服务器信息备份与还原 215
9.1 服务角色的备份与还原 216
9.1.1 Active Directory数据库 216
9.1.2 DHCP服务器 220
9.1.3 DNS服务器 221
9.1.4 WINS服务器 223
9.2 注册表的备份与还原 224
9.2.1 备份注册表 224
9.2.2 还原注册表 224
9.3 网络配置的备份与还原 225
9.3.1 备份服务器的网络设置 225
9.3.2 还原服务器的网络设置 226
9.4 磁盘配额的备份与还原 226
9.4.1 备份磁盘配额 226
9.4.2 还原磁盘配额 226
小 结 227
习 题 227
实 验:备份和还原服务器网络配置信息 227
第10章 电子证书和认证服务 228
10.1 电子证书和认证服务概述 229
10.1.1 数字证书简介 229
10.1.2 认证服务简介 229
10.2 证书服务的安装 230
10.2.1 企业CA的安装 230
10.2.2 独立根CA的安装 232
10.3 企业证书服务器的应用 233
10.3.1 使用Web方式申请与安装证书 233
10.3.2 使用“证书申请向导”申请证书 237
10.3.3 导出与导入证书 238
10.4 独立证书服务器的应用 240
10.4.1 申请证书 240
10.4.2 颁发证书 242
10.4.3 在客户端安装证书 243
10.5 证书服务器的备份与还原 243
10.5.1 证书的备份 244
10.5.2 证书的还原 244
10.6 证书服务的管理 245
10.6.1 吊销证书 245
10.6.2 解除吊销的证书 246
10.6.3 证书续订 246
10.7 证书服务安全现状 247
10.7.1 CA密钥对丢失 248
10.7.2 修改证书模板 248
10.7.3 修改CA设置 249
10.7.4 阻止证书吊销 249
10.7.5 授权的用户密钥还原 250
10.7.6 附加不可信任的CA到信任的根CA存储 250
10.7.7 注册代理发布非授权证书 252
10.7.8 独立管理员的CA问题 252
小 结 252
习 题 253
实 验:配置和应用证书服务器 253
第11章 系统服务安全 254
11.1 服务概述 255
11.1.1 服务登录帐户 255
11.1.2 服务监听端口 256
11.1.3 配置服务 257
11.2 针对服务的攻击 260
11.2.1 Blaster蠕虫 260
11.2.2 普通服务攻击媒介 261
11.3 服务强化 262
11.3.1 最小特权 263
11.3.2 服务SID 265
11.4 服务安全 270
11.4.1 服务清单 270
11.4.2 最小化运行服务 271
11.4.3 使用最小化特权安全模型 272
11.4.4 及时更新 272
11.4.5 创建和使用自定义服务帐户 272
小 结 273
习 题 273
实 验:配置系统服务安全 274
第12章 端口安全 275
12.1 端口介绍 276
12.1.1 端口概述 276
12.1.2 端口的分类 276
12.1.3 应用程序和服务端口 278
12.2 端口扫描 279
12.2.1 端口扫描原理 279
12.2.2 端口扫描应用 279
12.2.3 端口扫描技术 279
12.3 查看端口 282
12.3.1 使用netstat命令查看端口 282
12.3.2 端口查询工具——PortQry 285
12.3.3 借助第三方软件查看端口 298
12.3.4 借助第三方软件扫描端口 299
12.4 关闭端口 301
12.4.1 关闭常用端口 301
12.4.2 IPSec禁用端口 305
12.4.3 关闭服务 307
12.5 重定向默认端口 308
小 结 309
习 题 310
实 验:查询和配置端口 310
第13章 审核策略与事件日志 311
13.1 审核策略 312
13.1.1 审核策略概述 312
13.1.2 设置审核策略 315
13.1.3 启用审核策略 318
13.1.4 审核事件ID 319
13.1.5 优化审核策略 331
13.2 系统事件和事件查看器 332
13.2.1 Windows Server 2008安全事件新特点 332
13.2.2 系统事件类型 333
13.2.3 事件查看器的应用 333
13.3 系统日志 339
13.3.1 事件日志基本信息 339
13.3.2 系统日志概述 340
13.3.3 系统日志设置 341
小 结 344
习 题 344
实 验:使用自定义视图收集审核事件 344
第14章 Internet信息服务安全 345
14.1 IIS 7.0安全特性 346
14.1.1 IIS 7.0的新特性 346
14.1.2 IIS 7.0访问控制安全 346
14.1.3 NTFS访问安全 347
14.1.4 IIS 7.0安装安全 348
14.2 Web数据安全 349
14.2.1 IIS 7.0配置备份和还原 349
14.2.2 IIS 7.0日志记录 349
14.3 Web访问安全 351
14.3.1 设置NTFS访问权限 351
14.3.2 设置身份验证方式 352
14.3.3 授权规则设置 354
14.4 Web服务器常规安全设置 355
14.4.1 自定义错误 355
14.4.2 设置内容过期 357
14.4.3 禁止浏览 357
14.4.4 IPv4地址控制 358
14.4.5 内容分级设置 359
14.5 使用SSL证书配置安全Web站点 360
14.5.1 SSL安全协议概述 360
14.5.2 申请服务器证书 361
14.5.3 创建HTTPS安全站点 362
14.5.4 浏览HTTPS网站 363
14.5.5 SSL证书安全漏洞及防范措施 365
14.6 FTP服务安全 366
14.6.1 禁止匿名访问 367
14.6.2 TCP端口和连接数设置 368
14.6.3 TCP/IP地址访问限制设置 368
14.6.4 设置NTFS访问权限 369
14.6.5 使用磁盘配额限制可用空间 370
小 结 371
习 题 371
实 验:保护Web服务器安全 371
第15章 Windows防火墙 372
15.1 Windows防火墙 373
15.1.1 Windows防火墙概述 373
15.1.2 允许/限制端口访问 375
15.1.3 允许/限制程序访问 376
15.2 高级安全Windows防火墙基本配置 377
15.2.1 高级安全Windows防火墙概述 378
15.2.2 配置防火墙规则 380
15.2.3 配置IPSec连接安全规则 385
15.3 使用组策略配置Windows防火墙 392
15.3.1 创建组策略 393
15.3.2 设置Windows防火墙:允许通过验证的IPSec旁路 393
15.3.3 标准配置文件/域配置文件 394
15.3.4 合理部署标准配置文件/域配置文件示例 396
15.4 使用命令行配置Windows防火墙 399
15.4.1 常用命令介绍 400
15.4.2 命令行配置示例 402
15.4.3 netsh firewall>命令环境 404
15.5 Windows防火墙事件审核配置 406
15.5.1 启用审核设置 406
15.5.2 查看审核功能记录 409
15.5.3 筛选Windows防火墙事件 410
15.5.4 配置Windows防火墙日志文件 411
小 结 412
习 题 412
实 验:阻止用户登录MSN 413
第16章 Windows网络访问保护 414
16.1 NAP简介 415
16.1.1 NAP组件 415
16.1.2 NAP系统工作机制 415
16.1.3 强制方式 416
16.1.4 NAP的应用环境 417
16.1.5 部署NAP的意义 418
16.2 部署NAP的准备工作 422
16.2.1 评价当前网络基础结构 422
16.2.2 相关服务组件的安装 424
16.2.3 更新服务器 426
16.3 安装NPS 427
16.4 配置IPSec强制 428
16.4.1 IPSec概述 428
16.4.2 配置CA 429
16.4.3 配置域控制器默认策略 432
16.4.4 配置NPS 433
16.4.5 配置IPSec强制客户端 438
16.4.6 应用IPSec策略设置 441
16.5 配置DHCP强制 444
16.5.1 修改DHCP相关选项 444
16.5.2 配置NPS策略 447
16.5.3 配置DHCP强制客户端 452
16.5.4 测试DHCP强制 452
16.6 配置VPN强制 453
16.6.1 远程访问VPN服务器的配置 454
16.6.2 配置NPS 457
16.6.3 配置VPN强制客户端 462
16.6.4 客户端访问受保护的VPN服务器 462
小 结 466
习 题 467
实 验:配置802.1X强制 467
第17章 SQL Server数据库安全 468
17.1 数据库安全设置 469
17.1.1 文件夹访问权限 469
17.1.2 数据库访问权限 470
17.1.3 系统管理员设置 474
17.2 MBSA数据库扫描 475
17.3 数据备份与安全 476
17.3.1 数据库的完全备份与恢复 477
17.3.2 数据库的差异备份与恢复 479
17.3.3 事务日志备份与还原 481
17.3.4 文件和文件组备份与还原 483
17.3.5 镜像备份 485
17.3.6 密码备份 486
17.3.7 用快照恢复数据库 487
17.4 系统补丁 488
17.4.1 操作系统补丁 488
17.4.2 数据库补丁 489
小 结 490
习 题 490
实 验:禁止对数据库的写入和修改 490
第18章 Windows Server 2008系统安全新技术 491
18.1 系统新增安全功能 492
18.1.1 BitLocker驱动加密 492
18.1.2 网络访问保护 500
18.1.3 用户帐户控制 502
18.1.4 高级安全Windows防火墙 502
18.1.5 其他新增安全特性 504
18.2 升级的安全特性 505
18.2.1 组策略管理 505
18.2.2 服务器安全配置向导 505
18.2.3 安全配置和分析 506
18.2.4 Windows事件订阅与收集 509
18.2.5 可靠性和性能监视器 515
18.3 应用服务器角色安全新特性 517
18.3.1 活动域服务 517
18.3.2 AD DS审核 518
18.3.3 Active Directory权限管理服务 519
