Windows 2000安全Web應用程序設(shè)計

譯者序
序言
前言
第一部分 安全性概述與安全應用程序的設(shè)計
第1章 安全性基礎(chǔ)
1.1 為何要開發(fā)安全應用程序
1.2 安全的定義
1.3 為什么安全性難以實現(xiàn)
1.4 基本原則
1.5 威脅、安全保護措施、弱點與攻擊
1.6 本章小結(jié)
第2章 開發(fā)安全Web應用程序的過程
2.1 安全特性的設(shè)計過程
2.1.1 對業(yè)務和產(chǎn)品的需求
2.1.2 信息需求
2.1.3 威脅與風險
2.1.4 安全策略
2.1.5 安全技術(shù)
2.1.6 安全服務程序
2.2 應用程序的設(shè)計
2.3 應用程序開發(fā)的舉例
2.3.1 建立業(yè)務模型
2.3.2 建立邏輯模型
2.3.3 建立物理模型
第二部分 各種不同的安全技術(shù)及其利弊的權(quán)衡
第3章 Windows 2000的安全特性概述
3.1 Active Directory的作用
3.2 經(jīng)過身份驗證的登錄
3.3 身份驗證
3.4 優(yōu)先權(quán)
3.5 用戶賬戶與用戶組
3.6 域與工作組
3.7 域/賬戶名與用戶主名
3.8 管理賬戶
3.9 安全身份標識符
3.10 令牌
3.11 訪問控制列表
3.11.1 如何確定訪問權(quán)
3.11.2 使用命令行來運行ACL
3.11.3 最低優(yōu)先權(quán)的原則
3.11.4 核查ACE
3.12 身份模仿
3.13 身份委托
3.14 Windows 2000的其他安全特性
3.14.1 Encrypting File System
3.14.2 IP Security協(xié)議
3.14.3 Security Configuration Editor
3.14.4 Windows File Protection
3.15 本章小結(jié)
第4章 Internet Explorer的安全特性概述
4.1 個人信息保密
4.2 代碼安全與帶有惡意的內(nèi)容
4.3 安全區(qū)域
4.3.1 Internet Explorer Administration Kit
4.3.2 其他工具中的安全區(qū)域
4.4 SSL/TLS與證書
4.5 Cookie安全特性
第5章 Internet Information Services安全特性概述
5.1 Internet身份驗證
5.2 配置SSLJ/TLS
5.2.1 對SSL/TLS進行配置的具體操作方法
5.2.2 SSL/TLS與多個Web站點
5.2.3 SSL/TLS與多個Web服務器
5.2.4 設(shè)置SSL/TLS密碼
5.3 IIS授權(quán)檢查：Windows 2000的安全特性與Web相結(jié)合
5.3.1 Web許可權(quán)
5.3.2 根據(jù)IP地址與域名來實施訪問限制
5.3.3 Permissions向?qū)?br />5.4 IIS進程的身份標識
5.4.1 保護等級
5.4.2 為什么必須使用IWAM_machinename賬戶
5.4.3 保護等級、ISAPI應用程序和ISAPI過濾器
5.4.4 保護等級、身份模仿和RevertToSelf
5.5 本章小結(jié)
第6章 SQL Server安全特性概述
6.1 安全模式
6.1.1 集成式安全模式
6.1.2 混合式安全模式
6.1.3 設(shè)置SQL Server的安全模式
6.2 登錄、用戶和訪問許可權(quán)
6.3 網(wǎng)絡安全特性選項
6.3.1 Multi-Protocol網(wǎng)絡庫
6.3.2 Super Socket網(wǎng)絡庫
6.4 SQL Server的登錄
6.4.1 標準安全登錄
6.4.2 集成式Windows登錄
6.4.3 服務器的固定職能組
6.5 SQL Server數(shù)據(jù)庫的用戶
6.5.1 標準安全用戶
6.5.2 Windows組和用戶
6.5.3 dbo用戶
6.5.4 賓客用戶
6.6 SQL Server數(shù)據(jù)庫的職能組
6.6.1 固定數(shù)據(jù)庫職能組
6.6.2 用戶數(shù)據(jù)庫職能組
6.6.3 Public職能組
6.6.4 應用程序職能組
6.7 SQL Server的許可權(quán)
6.7.1 語句許可權(quán)
6.7.2 對象許可權(quán)
6.7.3 grant、revoke和deny
6.7.4 對象所有權(quán)鏈
6.7.5 在SQL Server 2000中執(zhí)行安全性核查功能
6.8 本章小結(jié)
第7章 COM＋的安全特性概述
7.1 COM＋1.0的結(jié)構(gòu)
7.1.1 授權(quán)檢查方式概述
7.1.2 身份驗證方式概述
7.2 COM＋1.0的身份驗證方式
7.2.1 客戶機與應用程序之間的信賴關(guān)系
7.2.2 對身份驗證方式進行配置
7.2.3 應用程序的身份
7.3 COM＋1.0的授權(quán)檢查特性
7.3.1 COM＋1.0的職能組
7.3.2 控制對方法和專用應用程序資源的訪問
7.3.3 三級授權(quán)檢查方案
7.4 故障調(diào)試方法
7.5 在Internet上使用DCOM
7.5.1 COM Internet服務程序
7.5.2 簡單對象訪問協(xié)議
第8章 身份驗證和授權(quán)檢查的實際應用
8.1 在何處執(zhí)行身份驗證和授權(quán)檢查操作
8.2 應用程序與操作系統(tǒng)的身份信息傳遞方式
8.3 各種IIS身份驗證方式的性能的比較
8.4 身份驗證和授權(quán)檢查的實際舉例
8.4.1 完全采用身份委托的運行環(huán)境
8.4.2 將IIS、COM＋和SQL Server用作控制程序
8.4.3 Microsoft Passport
8.5 關(guān)于定制身份驗證方式和口令的注意事項
8.6 本章小結(jié)
第9章 個人信息保密、數(shù)據(jù)完整性保護、核查和不得否認的實用技術(shù)
9.1 個人信息保密和數(shù)據(jù)完整性保護技術(shù)概述
9.2 哪些地方會出現(xiàn)個人信息保密和數(shù)據(jù)完整性保護的問題
9.2.1 客戶計算機上的個人信息保密和數(shù)據(jù)完整性問題
9.2.2 在代理服務器上的個人信息保密和數(shù)據(jù)完整性保護問題
9.2.3 Internet上的個人信息保密和數(shù)據(jù)完整性保護問題
9.2.4 防火墻的個人信息保密和數(shù)據(jù)完整性保護問題
9.2.5 Web服務器上的個人信息保密和數(shù)據(jù)完整性保護問題
9.2.6 數(shù)據(jù)庫中的個人信息保密和數(shù)據(jù)完整性保護問題
9.3 如何減少對個人信息保密和數(shù)據(jù)完整性構(gòu)成的威脅
9.3.1 端對端的安全協(xié)議
9.3.2 永久性數(shù)據(jù)的安全保護
9.4 核查
9.5 關(guān)于不得否認技術(shù)的介紹
9.5.1 關(guān)于不得否認技術(shù)的更加正式的定義
9.5.2 為什么要使用不得否認技術(shù)
9.5.3 使用有關(guān)的技術(shù)來支持不得否認
9.5.4 Web應用程序中的不得否認
9.6 本章小結(jié)
第三部分 實際應用
第10章 建立安全解決方案
10.1 綜合各種因素
10.1.1 配置計算機
10.1.2 對域進行配置
10.1.3 對用戶進行配置
10.1.4 對應用程序進行配置
10.1.5 所有配置已經(jīng)完成
10.2 在速度與安全性之間權(quán)衡利弊
10.2.1 數(shù)據(jù)庫與連接合并功能
10.2.2 標識用戶身份、模仿身份和身份委托的連接速度
10.3 配置值的檢查表
10.3.1 客戶機的設(shè)置
10.3.2 Web服務器的設(shè)置
10.3.3 Middleware服務器的設(shè)置
10.3.4 數(shù)據(jù)庫服務器的設(shè)置
第11章 安全應用程序的故障診斷
11.1 可以使用的工具和日志
11.1.1 充分利用MMC
11.1.2 其他非常有用的工具
11.1.3 人們不太了解的問題診斷工具
11.2 讀取Windows 2000登錄事件的方法
11.3 讀取IIS日志事件的方法
11.4 問題與解決辦法
11.4.1 運行COM＋組件時返回Permission denied：‘CreateObject’
11.4.2 Permission denied：（訪問被拒絕），但是COM＋應用程序的旋轉(zhuǎn)球仍然在轉(zhuǎn)
11.4.3 Login Failed for user ‘NULL’Reason：Not associaated with a trusted SQL Serverconnection（用戶“NULL”登錄失敗，原因：與受信賴的SQL Server連接無關(guān)）
11.4.4 Error：［DBNMPNTW］Access denied.（故障：［DBNMPNTW］訪問被拒絕）80004005 Microsoft OLE-DB Provide for SQL Server
11.4.5 Error：Login failed for user‘EXAIR＼Alice’.（故障：用戶“EXAIR＼Alice”登錄失?。?0040E4D Microsoft OLE DB Provider for SQL Server
11.4.6 Error：Login failed for user‘EXAIR＼AppAccount’（故障：用戶‘EXAIR＼AppAccount’登錄失?。?0040 E4D Microsoft OLE DBProvider for SQL Server
11.4.7 Error：EXECUTE permission denied on object‘spGetCurrentUser’data base‘ExAirHR’，owner‘dbo’（故障：對對象（數(shù)據(jù)庫‘ExAirHR’所有者‘dbo’）執(zhí)行EXECUTE許可權(quán)被拒絕）80040E09Microsoft OLE DB Provider for SQL Server”
11.4.8 Internet Explorer中的客戶證書對話框是空的
11.4.9 SQL Server報告的用戶名與IIS返回的用戶名不一致
11.4.10 當將DNS名字用作Web服務器名字時提示輸入身份憑證
11.4.11 使用SSL/TLS時的安全告警
11.4.12 當你知道你擁有對該資源的訪問權(quán)時，出現(xiàn)401.2-Unauthorized Error（未經(jīng)授權(quán)的錯誤）
11.4.13 401.3-Unauthorized Error或者要求管理員輸入用戶名口令
11.4.14 使用Digest身份驗證方式時出現(xiàn)故障代碼401.4－Authorization Denied
11.4.15 當你知道客戶證書沒有被撤消時，出現(xiàn)故障代碼403.13-Client Certifi－cateRevoked（客戶證書已經(jīng)被撤消）
11.4.16 403.15－Forbidden：client access LicensesExceeded（禁止：客戶訪問許可證的數(shù)量已經(jīng)超過規(guī)定）
第12章 防止攻擊的安全措施
12.1 為什么有人要攻擊Web服務器
12.2 攻擊Web服務器的方法
12.2.1 步驟1：尋找攻擊的主機
12.2.2 步驟2：掃描以便找出打開的端口
12.2.3 步驟3：收集其他信息
12.2.4 步驟4：實施攻擊
12.3 一些常見的攻擊
12.3.1 創(chuàng)建IP數(shù)據(jù)包
12.3.2 LAND（DoS攻擊）
12.3.3 Smurf（DoS攻擊）
12.3.4 SYN泛濫（DoS攻擊）
12.3.5 Teardrop（DoS攻擊）
12.3.6 HTTP“..”（信息泄露的攻擊）
12.3.7 將HTML或者腳本程序發(fā)送給Web服務器（多種形式的攻擊）
12.3.8 HTTP“：：＄DATA”（信息泄露的攻擊）
12.3.9 Windows NULL會話和Windows遠程注冊表訪問（信息泄露的攻擊）
12.3.10 IP數(shù)據(jù)包分段（DoS攻擊）
12.3.11 ping泛濫（DoS攻擊）
12.3.12 路由跟蹤（探測/信息泄露攻擊）
12.3.13 分布式DoS攻擊
12.3.14 關(guān)于攻擊的小結(jié)
12.4 如何確定是否遭到了攻擊
12.4.1 激活核查日志
12.4.2 入侵檢測工具
12.5 用戶輸入的攻擊
12.5.1 將HTML、腳本程序或者專門創(chuàng)建的輸入發(fā)送給服務器
12.5.2 將大量的數(shù)據(jù)發(fā)送給服務器
12.6 當遇到攻擊時應該怎么辦
12.7 掌握最新的安全問題
12.8 最后應該考慮的問題
12.9 本章小結(jié)
第四部分 參考信息
第13章 使用ADSI、WMI和COM＋進行安全管理
13.1 什么是WMI
13.2 什么是ADSI
13.3 管理與安全特性配置的示例代碼
13.3.1 Windows 2000的設(shè)置
13.3.2 Internet Information Services 5的設(shè)置
13.3.3 SQL Server 7和SQL Server 2000的設(shè)置
13.3.4 其他COM＋腳本程序的設(shè)置
13.3.5 與IIS安全性相關(guān)的常用ADSI設(shè)置項
第14章 Windows 2000中的Kerberos身份驗證方式簡介
14.1 什么是Kerberos身份驗證
14.1.1 Kerberos支持互相進行身份驗證
14.1.2 Kerberos支持身份委托特性
14.2 Kerberos身份驗證是如何進行的
14.3 幾種有用的工具
14.3.1 KerbTray和Klitst 
14.3.2 SetSPN
14.4 Kerberos的票券運行流程
14.5 本章小結(jié)
第15章 關(guān)于Windows 2000中的密碼技術(shù)和證書的介紹
15.1 密碼技術(shù)的基礎(chǔ)知識
15.1.1 數(shù)據(jù)的保密
15.1.2 檢查數(shù)據(jù)的完整性
15.1.3 檢驗數(shù)據(jù)的真實性（某種程度上的真實性）
15.1.4 數(shù)字簽名和簽名操作過程
15.1.5 密鑰協(xié)議
15.2 關(guān)于證書的基礎(chǔ)知識
15.3 Windows 2000中的密碼技術(shù)和證書
15.3.1 CryptoAPI
15.3.2 Windows 2000中的證書
15.3.3 Microsoft Office 2000中的證書
15.4 本章小結(jié)
參考文獻