Windows Server 2008安全技術(shù)詳解

前言

在本書面市之際，相信讀者和筆者一樣，也是激動不已的。當(dāng)然，這并不是僅僅因為這本書，而是在于其所展現(xiàn)的一片廣闊天地。Windows Server 2008是Microsoft服務(wù)器操作系統(tǒng)旗艦產(chǎn)品的升級版。研發(fā)人員做了大量工作，確保Windows Server 2008不僅具備優(yōu)異的特性，并且部署起來更加安全。本書可以作為用戶探索Windows Server 2008新特性的指南，使工作更加得心應(yīng)手。本書同樣針對IT專業(yè)人士，介紹了Windows Server 2008某些鮮為人知的功能。本書包含所有工具包中的應(yīng)有技術(shù)細(xì)節(jié)，這是12位頂級IT專家的心血結(jié)晶，值得一提的是，每位參與撰寫的專家都是其所在領(lǐng)域的佼佼者，他們的著作總數(shù)已經(jīng)超過了20本。

內(nèi)容概要

Windows Server 2008是Microsoft服務(wù)器操作系統(tǒng)旗艦產(chǎn)品的升級版，不僅具備優(yōu)異的特性，并且部署起來更加安全。　　本書是12位頂級IT專家的心血結(jié)晶，結(jié)合彼此在各領(lǐng)域中的專長，為讀者打造了這本W(wǎng)indows Server 2008安全指南。本書包括3篇：Windows安全基礎(chǔ)、實現(xiàn)身份與訪問(IDA)控制和常用的安全方案?！　”緯Y(jié)構(gòu)嚴(yán)謹(jǐn)、組織清晰，包含大量專家的實際經(jīng)驗，是大中型企業(yè)中IT安全專業(yè)人員的必備參考書。

作者簡介

作者：（美國）約翰遜（Jesper M.Johansson） 等 譯者：劉曉輝 陳袆磊 注釋 解說詞：馬倩約翰遜（Jesper M.Johansson），是本書的主要作者，他設(shè)計了本書的架構(gòu)，并且組織了作者團(tuán)隊。如果本書有拍案叫絕之處，應(yīng)當(dāng)歸功于其他合著者的汗水和智慧，倘若本書有某些遺漏的地方，Jesper M.Johansson才是當(dāng)之無愧的罪魁禍?zhǔn)?。在信息安全和Windows安全方面，Jesper M.Johansson是知名作者，他現(xiàn)在是首席軟件安全設(shè)計師，負(fù)責(zé)設(shè)計軟件的基礎(chǔ)結(jié)構(gòu)。Jesper曾經(jīng)專注于微軟的安全問題，從入侵網(wǎng)絡(luò)到設(shè)計安全軟件都有涉及。Jesper在信息安全方面有很多成就，他出席了許多重要安全會議，并撰寫了很多安全方面的文章，甚至還是微軟安全MVP（Most Valuable Professional，最有價值專家）。Jesper擁有管理信息系統(tǒng)的博士學(xué)位，他是一名CISSP（CerifiedInformation Systems Security Professional，國際信息安全認(rèn)證專家），并且是ISSAP（Information Systems SecurityArchitecture Professional，信息系統(tǒng)安全架構(gòu)專家）。在業(yè)余時間，Jesper則是一名佩戴水肺的潛水教練。

書籍目錄

第1部分　Windows安全基礎(chǔ) 　第1章 主體、用戶以及其他角色　 　　1.1　主體、對象和元組　 　　1.2　安全主體的類型　 　　　1.2.1　用戶　 　　　1.2.2　計算機　 　　　1.2.3　組　 　　　1.2.4　抽象概念(登錄組)　 　　　1.2.5　服務(wù)　 　　1.3　安全標(biāo)識符　 　　　1.3.1　安全標(biāo)識符的組成　 　　　1.3.2　安全標(biāo)識符的頒發(fā)機構(gòu)　 　　　1.3.3　服務(wù)安全標(biāo)識符　 　　　1.3.4　內(nèi)置安全標(biāo)識符　 　　小結(jié)　 　　相關(guān)資源　 　第2章 認(rèn)證系統(tǒng)和認(rèn)證協(xié)議　 　　2.1　用戶已知和已有的憑證　 　　　2.1.1　用戶已知道的憑證　 　　　2.1.2　用戶所有的憑證　 　　　2.1.3　用戶的生物特征　 　　2.2　認(rèn)證符存儲　 　　　2.2.1　LM哈希運算　 　　　2.2.2　NT哈希運算　 　　　2.2.3　密碼驗證　 　　　2.2.4　存儲器　 　　　2.2.5　反轉(zhuǎn)加密　 　　2.3　認(rèn)證協(xié)議　 　　　2.3.1　基本身份認(rèn)證　 　　　2.3.2　質(zhì)詢-響應(yīng)協(xié)議　 　　2.4　智能卡認(rèn)證　 　　　2.4.1　智能卡和密碼　 　　2.5　密碼攻擊　 　　　2.5.1　獲得密碼　 　　　2.5.2　利用截獲的信息　 　　　2.5.3　保護(hù)密碼　 　　2.6　管理密碼　 　　　2.6.1　使用其他認(rèn)證系統(tǒng)　 　　　2.6.2　安全地記錄密碼　 　　　2.6.3　使用密碼短語　 　　　2.6.4　制定密碼策略　 　　　2.6.5　細(xì)化密碼策略　 　　小結(jié)　 　　相關(guān)資源　 　第3章 管理對象　 　　3.1　訪問控制術(shù)語　 　　　3.1.1　安全對象　 　　　3.1.2　安全描述符　 　　　3.1.3　訪問控制列表　 　　　3.1.4　訪問控制列表項(ACE)　 　　　3.1.5　訪問掩碼　 　　　3.1.6　訪問列表結(jié)構(gòu)間的聯(lián)系　 　　　3.1.7　繼承　 　　　3.1.8　安全令牌　 　　　3.1.9　訪問審核進(jìn)程　 　　　3.1.10　完整性標(biāo)記　 　　　3.1.11　空和NULL DACL　 　　　3.1.12　安全描述定義語言(SDDL)　 　　3.2　權(quán)限管理工具　 　　　3.2.1　cacls和icacls　 　　　3.2.2　SC　 　　　3.2.3　subinacl　 　　3.3　Windows Server 2008中訪問控制的改變　 　　　3.3.1　TrustedInstaller權(quán)限　 　　　3.3.2　網(wǎng)絡(luò)位置SID　 　　　3.3.3　文件系統(tǒng)名稱空間的改變　 　　　3.3.4　Power User權(quán)限移除　 　　　3.3.5　OWNER_RIGHT和所有權(quán)　 　　3.4　用戶權(quán)利和特權(quán)　 　　3.5　RBAC和AZMAN　 　　小結(jié)　 　　相關(guān)資源　 　第4章 用戶賬戶控制(UAC)　 　　4.1　用戶賬戶控制概述　 　　4.2　令牌篩選　 　　4.3　UAC組件　 　　　4.3.1　UAC提升用戶體驗　 　　　4.3.2　應(yīng)用程序信息服務(wù)(AIS)　 　　　4.3.3　文件和注冊表虛擬化　 　　　4.3.4　應(yīng)用程序清單與執(zhí)行請求級別　 　　　4.3.5　安裝程序檢測技術(shù)　 　　　4.3.6　用戶界面特權(quán)隔離　 　　　4.3.7　安全桌面　 　　　4.3.8　使用遠(yuǎn)程協(xié)助　 　　　4.3.9　UAC遠(yuǎn)程管理限制　 　　　4.3.10　在管理批準(zhǔn)模式下映射網(wǎng)絡(luò)驅(qū)動程序　 　　　4.3.11　登錄時阻止應(yīng)用程序　 　　　4.3.12　用UAC配置應(yīng)用程序的兼容性　 　　4.4　UAC組策略設(shè)置　 　　　4.4.1　在安全選項下創(chuàng)建UAC組策略　 　　　4.4.2　UAC相關(guān)策略　 　　4.5　Windows Server 2008和Windows Vista SP1中的UAC新特性　 　　4.6　UAC最佳實踐　 　　　4.6.1　不錯的解決方案　 　　　4.6.2　更好的解決方案　 　　　4.6.3　最好的解決方案　 　　小結(jié)　 　　相關(guān)資源　 　第5章 防火墻和網(wǎng)絡(luò)訪問保護(hù)　 　第6章 服務(wù)　 　第7章 組策略　 　第8章 審核　 第2部分　使用活動目錄實現(xiàn)身份與訪問控制 　第9章 活動目錄域服務(wù)安全性設(shè)計　 　第10章 活動目錄證書服務(wù)　 第3部分　常用的安全方案 　第11章 服務(wù)器角色安全　 　第12章 補丁管理　 　第13章 保障網(wǎng)絡(luò)安全　 　第14章 分支機構(gòu)的安全　 　第15章 中小企業(yè)解決方案　 　第16章 應(yīng)用服務(wù)器安全　

章節(jié)摘錄

插圖：在某些系統(tǒng)中使用的認(rèn)證方式是生物特征，也就是通過用戶的某些生物特征作為認(rèn)證要素。比如視網(wǎng)膜掃描、指紋、血樣和聲音識別等，甚至連敲擊鍵盤的輸入習(xí)慣都可以用來認(rèn)證。不過，這些認(rèn)證方法是存在爭議的，由于它們只是基于“只有使用者會知道的事物”來進(jìn)行認(rèn)證的，不能提供雙重認(rèn)證，因此是不可靠的。生物特征認(rèn)證的不準(zhǔn)確是有原因的。雖然DNA能夠提供準(zhǔn)確的認(rèn)證，但大多數(shù)用戶并不接受這種認(rèn)證方式，因為需要提供血樣。而其他生物特征因素并不能如DNA一樣準(zhǔn)確，比如指紋識別，指紋是人體獨一無二的特征，但如果在計算機系統(tǒng)中重復(fù)記錄同一指紋，卻很難確保能產(chǎn)生完全一樣的印痕，也不能保證計算機能夠?qū)ν恢讣y做出完全相同的解釋。因此，生物特征認(rèn)證系統(tǒng)是在一定的范圍內(nèi)進(jìn)行操作的，而且用戶必須要將生物特征要素存儲很多次，自動生成一個能夠被系統(tǒng)識別的范圍，在經(jīng)過多次試驗后才能進(jìn)行準(zhǔn)確的認(rèn)證。生物特征識別系統(tǒng)還有很多其他的缺陷。首先，除輸入習(xí)慣方式外，其他方式都要求客戶機要有一個專用的硬件設(shè)施，而且有些方式很難為人所接受。在用戶所有的憑證系統(tǒng)中也是如此，比如智能卡。其次，使用生物特征認(rèn)證時，必須要精確的匹配才能進(jìn)行準(zhǔn)確的認(rèn)證。這將是致命的弱點，因為如果用戶的生物特征由于某些原因而發(fā)生了變化，就會導(dǎo)致認(rèn)證失敗。例如如果使用聲音識別認(rèn)證，那么當(dāng)用戶生病或疲勞時，聲音發(fā)生了變化，就無法進(jìn)入該系統(tǒng)。再次，很多人認(rèn)為生物特征認(rèn)證侵犯了人的隱私，他們不愿意將指紋等隱私信息存儲于計算機系統(tǒng)中。

編輯推薦

《Windows Server 2008安全技術(shù)詳解》包含計劃、實施和管理Wind噢萎縮 Server 2008安全功能所需要的信息，非常深入和全面。讀者可以從領(lǐng)先的行業(yè)專家和微軟安全團(tuán)隊這些掌握最佳技術(shù)的人那里獲得權(quán)威的技術(shù)指導(dǎo)。除此之外，還有重要腳本、工具和其他資源可以在線下載。專家的指導(dǎo)包括：使用新型組策略特性，配置堅固安全的系統(tǒng)借助用戶訪問控制（UAC）確保最小訪問權(quán)限借助高級安全、IPsec和NAP配置Wiridows防火墻部署新的活動目錄服務(wù)和功能網(wǎng)絡(luò)威脅模型理解服務(wù)攻擊載體與最小暴露管理服務(wù)器角色，創(chuàng)建服務(wù)器隔離策略為應(yīng)用服務(wù)器配置IIS 7.0安全特性實施粒度審計策略確定軟件升級策略在分支機構(gòu)中使用只讀域控制器實現(xiàn)安全管理

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    Windows Server 2008安全技術(shù)詳解 PDF格式下載

---