WindowsServer2003系統安全管理

《WindowsServer2003系統安全管理》以Windows Server 2003作業系統為背景，詳細地闡述了Windows Server 2003系統本身，以及基於該系統套用的安全設定，並給出了相應的完全解決方案，從而最大限度地確保系統能夠安全、穩定、高效地運行。本書語言流暢、通俗易懂、深入淺出、可操作性強，注重讀者實戰能力的培養和技術水平的提高。本書適合系統管理人員、安全管理人員和網路管理人員，以及對計算機系統維護和網路管理感興趣的電腦愛好者閱讀，並可作為大專院校計算機專業的教材或課後輔導資料。

INSPC認證叢書介紹

隨著全球科學技術的迅猛發展和信息技術的廣泛套用，信息網路系統的安全性問題已經成為全社會關注的焦點，並且已成為涉及國家政治、軍事、經濟和文教等諸多領域的重要課題。在國內，隨著中國國民經濟和社會信息化建設進程全面加快，網路與信息系統的基礎性、全局性作用日益增強，迫切要求加強信息安全保障工作。

為貫徹落實《國家信息化領導小組關於加強信息安全保障工作的意見》（中辦發[2003]27 號），《國務院關於大力發展職業教育的決定》（國發[2005]35 號），進一步加強信息網路安全專業人員隊伍建設，培養和建設一支政治可靠、技術過硬的信息網路安全專業人員隊伍。國家公安部第三研究所、國家反計算機入侵和防病毒研究中心首先發起，聯合國內信息安全專業教育和研究服務機構、國際知名信息安全廠商企業、國家重點行業代表性用戶單位，按照優勢互補、資源共享原則，以聯盟合作的形式共同推動中立、專業、實用的信息網路安全專業人員認證培訓體系（Information Network Security Professional Certification，簡稱INSPC），建設以國家信息化產業政策為指導，適應中國信息安全產業發展的信息安全職業技能認證體系，INSPC體系的建設以人才市場需求為導向，以培養和鍛鍊職業技能為核心，將推動INSPC認證體系逐漸獲得政府職能部門、行業協會、信息安全產業和人才市場的認同，成為信息網路安全從業人員資格認證、技能鑑定、企事業單位聘用信息網路安全專業人才的測評標準，同時為中國的信息安全保障工作建立信息網路安全專業人才庫。

INSPC認證體系分為公共基礎認證和安全專業人員認證。其中安全專業人員認證根據不同的安全領域或產品分為不同的認證模組。

一、公共基礎認證（Common Basal Certification，CBC）

認證對象

高中（含中專）以上學歷，使用PC進行辦公、學習和生活娛樂的個人電腦用戶；

專業人員進階認證的基礎。

認證目標

普及信息安全基本知識和政策法規，提高信息網路安全防範意識；

形成個人電腦操作良好規範，提高電腦使用效率；

掌握個人電腦安全防護技能，防止病毒、木馬等惡意程式對系統的破壞；

掌握個人電腦網路安全防範技能，防止常見的網路攻擊手段對系統的侵害；

掌握系統和用戶數據備份技能，保護個人電腦用戶數據安全。

二、安全專業人員認證（Security Professional Certification，SPC）

認證對象

企事業單位中從事技術崗位的專業人員，如網路管理員、系統管理員、資料庫管理員等專業人員；

信息安全企事業單位售前和售後技術支持人員。

認證目標

掌握信息安全工程和管理所必需的專業理論知識；

掌握信息系統的安全管理、評估和攻防技術；

掌握主流網路和信息安全產品的配置管理；

培養信息安全解決方案設計和工程實施能力。

根據INSPC認證培訓教學的需要，由公安部第三研究所和電子工業出版社聯合組織國內信息安全領域的專家和工程實踐人員、通過對用戶單位在信息安全知識需求方面進行的針對性調研，組織編寫和出版了該套INSPC認證叢書，從書包括以下書目：

編 號 名 稱 認證類別 計畫出版日期

CBC01 信息安全之個人防護 公共基礎 2008/4

SPC01 Windows 2003 Server系統安全管理 系統安全 2009/1

SPC02 UNIX系統安全管理實踐 系統安全 2009/6

SPC03 資料庫系統安全 數據安全 2009/10

SPC04 網路安全攻防實戰 網路安全 2008/4

SPC05 計算機病毒防禦技術 網路安全 2009/6

SPC06 防火牆配置實踐 網路安全 2009/12

SPC07 路由與交換設備安全配置實踐 網路安全 2009/6

SPC08 密碼套用PKI技術 密碼技術 2009/10

SPC09 安全審計與計算機取證技術 安全管理 2009/8

SPC10 信息安全管理實踐 安全管理 2009/10

該叢書的出版，本著“出精品”的原則，成熟一本，出版一本，並建立了完善的教材修訂機制，及時更新教材內容。

作為一套用於認證培訓的叢書，它具備以下特點。

實用性

本套叢書從信息系統用戶的安全知識和技能需求出發，組織相關內容，同時與教程配套，由教學和工程實踐經驗豐富的專家精心設計了若干針對性實驗，理論結合實踐，可有效提高用戶的專業知識和實踐技能，有“立竿見影”之效。

趣味性

本套叢書結合了用戶在信息系統使用中遇到的很多實際問題，文檔風格生動活潑，有機地結合了知識性和趣味性，讓學員或讀者共同走進書中內容，與教師或編者分享經驗心得。

開放性

為保證教程內容的時效性和針對性，INSPC認證管理網站專門開設了教程交流學習論壇，讀者和學員用戶可把自己遇到的問題和內容建議交流反饋，我們將由專人負責整理和解答，並把其中精彩的內容體現在修訂教程中。

INSPC認證教材編審委員會

2008年1月

劉曉輝，男，江蘇淮陰人，南京大學經濟學博士。現執教於西南財經大學中國金融研究中心，碩士生導師。研究方向：匯率經濟學、開放經濟總量經濟學。在《世界經濟》等學術期刊發表論文，譯文20篇。

第1章 Windows Server 2003系統安全概述 1

1.1 安全威脅 1

1.1.1 病毒 1

1.1.2 非法訪問和破壞 2

1.1.3 管理漏洞 2

1.1.4 惡意代碼 3

1.1.5 不滿的員工 3

1.1.6 系統漏洞 4

1.2 安全建議 4

1.2.1 安全策略 4

1.2.2 安全目標 5

1.3 部署安全的Windows

1.3 Server 2003 5

1.3.1 合理安裝 5

1.3.2 限制用戶 5

1.3.3 善用許可權 6

1.3.4 善用策略 6

1.3.5 系統監控 6

1.3.6 備份與恢復 6

小結 7

習題 7

第2章 Windows Server 2003安裝配置安全 9

2.1 NTFS檔案系統 9

2.1.1 檔案系統類型 9

2.1.2 NTFS特性 10

2.1.3 創建NTFS分區 13

2.2 安裝注意事項 13

2.2.1 安裝注意事項 13

2.2.2 安裝補丁注意事項 14

2.3 部署防禦系統 19

2.3.1 部署防病毒系統 20

2.3.2 部署防惡意軟體 20

2.3.3 部署防火牆 22

2.4 系統管理員安全設定 25

2.4.1 默認組許可權 25

2.4.2 更改Administrator賬戶名稱 27

2.4.3 創建陷阱賬號 30

2.5 磁碟訪問許可權 31

2.5.1 許可權類型 31

2.5.2 設定磁碟訪問許可權 32

2.5.3 查看磁碟許可權 35

2.6 鎖定計算機 38

2.6.1 “Windows +L”組合鍵鎖定計算機 38

2.6.2 螢幕保護程式鎖定 38

小結 39

習題 39

第3章 用戶賬號安全 41

3.1 密碼安全設定原則 41

3.1.1 不可讓賬號與密碼相同 42

3.1.2 不可使用自己的姓名 42

3.1.3 不可使用英文詞組 42

3.1.4 不可使用特定意義的日期 42

3.1.5 不可使用簡單的密碼 42

3.2 賬戶策略 43

3.2.1 密碼策略 43

3.2.2 賬戶鎖定策略 48

3.2.3 推薦的賬戶策略設定 51

3.3 系統管理員設定原則 51

3.3.1 更改管理員賬戶名 51

3.3.2 禁用Administrator賬戶 52

3.3.3 強密碼設定 52

3.4 用戶安全管理 52

3.4.1 創建用戶賬戶 52

3.4.2 重設用戶密碼 55

3.4.3 禁用用戶賬戶 57

3.4.4 限制用戶登錄工作站 58

3.4.5 限制用戶登錄時間 59

3.5 系統賬戶資料庫的保護 60

3.6 用戶訪問許可權 62

3.6.1 已分享檔案夾許可權 62

3.6.2 配置用戶許可權 64

3.7 用戶許可權委派 69

3.7.1 委派概述 69

3.7.2 許可權委派 70

3.8 限制域管理員的許可權 74

3.8.1 刪除Domain Admins組 75

3.8.2 限制單個域管理員的許可權 76

3.8.3 限制多個域組的許可權 79

小結 81

習題 81

第4章 檔案訪問安全 83

4.1 檔案服務的部署 83

4.2 NTFS許可權基礎 88

4.2.1 NTFS許可權概述 88

4.2.2 訪問控制列表 90

4.2.3 多重NTFS許可權 91

4.2.4 NTFS許可權繼承 92

4.3 NTFS許可權設定 94

4.3.1 設定NTFS許可權基本策略和原則 94

4.3.2 取消“Everyone”完全控制許可權 95

4.4 特殊訪問許可權 95

4.4.1 指定特殊訪問許可權 96

4.4.2 複製和移動資料夾對許可權的影響 97

4.5 檔案審核設定 98

4.5.1 設定審核對象 98

4.5.2 審核項的套用範圍 99

4.5.3 設定審核 100

4.5.4 NTFS許可權審核 101

4.6 已分享檔案夾許可權 102

4.6.1 已分享檔案夾的許可權設定 102

4.6.2 已分享檔案夾許可權與NTFS許可權 104

4.6.3 設定資源共享和Web共享 104

4.7 資料夾保護 111

4.7.1 創建檔案組 112

4.7.2 檔案禁止模板 113

4.7.3 部署資料夾保護功能 116

4.8 磁碟空間保護 118

4.8.1 磁碟配額概述 118

4.8.2 配額模板 118

4.8.3 配額 120

4.9 EFS檔案保護 124

4.9.1 EFS資料夾加密 124

4.9.2 EFS資料夾解密 125

4.9.3 證書備份與恢復 126

小結 131

習題 131

第5章 網路通信安全 133

5.1 網路連線埠安全 133

5.1.1 連線埠分類 133

5.1.2 應用程式和服務連線埠 135

5.1.3 連線埠攻擊 136

5.1.4 查看正在使用的連線埠 136

5.1.5 連線埠的開啟與關閉 138

5.1.6 連線埠的禁止 140

5.2 IPSec安全策略 142

5.2.1 IPSec服務 143

5.2.2 IPSec防火牆 144

小結 157

習題 157

第6章 應用程式與服務安全 159

6.1 IIS安全結構 159

6.1.1 用戶許可權安全 159

6.1.2 IIS訪問安全 160

6.1.3 NTFS訪問安全 161

6.1.4 IIS安裝安全 162

6.2 Web安全 162

6.2.1 用戶控制安全 162

6.2.2 訪問許可權控制 164

6.2.3 IP位址控制 167

6.2.4 連線埠安全 169

6.2.5 IP轉發安全 169

6.2.6 SSL安全 170

6.2.7 審核IIS日誌記錄 176

6.2.8 設定內容過期 179

6.2.9 內容分級設定 180

6.2.10 註冊MIME類型 181

6.3 FTP安全 183

6.3.1 設定TCP連線埠 183

6.3.2 連線數量限制 184

6.3.3 用戶訪問安全 184

6.3.4 檔案訪問安全 186

6.4 Internet Explorer瀏覽器安全 186

6.4.1 Cookie安全 187

6.4.2 清理IE臨時檔案 187

6.4.3 設定安全級別 188

6.4.4 分級審查 189

6.5 Windows服務安全 190

6.5.1 服務概述 191

6.5.2 服務控制台 194

6.5.3 刪除服務 198

6.6 運行方式（RunAS）安全 202

6.6.1 啟動“Secondary Logon”服務 203

6.6.2 RunAS保護Internet Explorer安全 204

小結 205

習題 206

第7章 軟體限制安全 207

7.1 軟體限制策略概述 207

7.2 部署軟體限制策略 208

7.2.1 創建組織單位 208

7.2.2 啟用限制策略 210

7.2.3 設定安全級別 211

7.3 軟體限制策略 212

7.3.1 基本軟體限制策略 212

7.3.2 哈希規則安全策略 215

7.3.3 證書規則安全策略 216

7.3.4 路徑規則安全策略 218

小結 224

習題 224

第8章 安全配置和分析 226

8.1 安全配置嚮導 226

8.1.1 安裝SCW 226

8.1.2 配置安全服務 227

8.2 安全配置和分析 237

8.2.1 預定義的安全模板 238

8.2.2 安全配置和分析 238

小結 246

習題 246

第9章 註冊表安全 248

9.1 註冊表檔案的位置 248

9.2 禁止註冊表編輯器運行 249

9.2.1 禁止註冊表編輯器運行方法一 250

9.2.2 禁止註冊表編輯器運行方法二 252

9.2.3 解禁註冊表 255

9.3 訪問授權和啟用審核 256

9.4 關閉Windows註冊表的遠程訪問 260

9.5 註冊表備份和恢復 261

9.5.1 備份註冊表 261

9.5.2 恢復註冊表 262

小結 263

習題 263

第10章 系統監控審核 265

10.1 日誌與事件 265

10.1.1 系統日誌類型 265

10.1.2 事件參數 266

10.1.3 事件類型 267

10.1.4 查看日誌 267

10.2 安全日誌 270

10.2.1 啟用審核策略 271

10.2.2 日誌分析 273

10.2.3 審核日誌 273

10.2.4 審核事件ID 275

10.3 性能日誌和警報 282

10.3.1 監控磁碟空間 282

10.3.2 監控暴力破解密碼 285

10.3.3 監視檔案授權訪問 286

小結 289

習題 289

第11章 備份與恢復 291

11.1 備份 291

11.1.1 備份定義 291

11.1.2 備份模式 291

11.1.3 備份類型 292

11.1.4 備份策略 294

11.2 恢復 296

11.2.1 恢復定義 296

11.2.2 恢複數據庫 297

11.2.3 恢復作業系統 298

11.2.4 恢復檔案 298

11.3 作業系統備份與恢復 299

11.3.1 Acronis True Image概述 299

11.3.2 安裝Acronis True

11.3.2 Image Server 300

11.3.3 Acronis True Image Server備份作業系統 304

11.3.4 Acronis True Image Server恢復作業系統 308

11.4 活動目錄的備份與恢復 314

11.4.1 備份和恢復模式 315

11.4.2 完整備份活動目錄 316

11.4.3 完整恢復活動目錄 319

11.5 網路基礎服務的備份

11.5 與恢復 325

11.5.1 網路配置參數 325

11.5.2 DHCP服務 328

11.5.3 WINS服務 331

11.5.4 DNS服務 335

小結 341

習題 341