MCSE制勝寶典：Microsoft Windows 2000網(wǎng)絡安全設計

第1章 Microsoft Windows 2000安全簡介
1.1 個案研究：Lucerne出版社
1.1.1 現(xiàn)有網(wǎng)絡
1.1.2 賬戶管理
1.1.3 擴充計劃
1.1.4 在線定購
1.1.5 安全問題
1.2 Microsoft Windows 2000安全功能總覽
1.2.1 安全子系統(tǒng)組件
1.2.2 LSA的功能
1.2.3 Windows 2000安全協(xié)議
1.2.4 安全支持提供程序接口（SSPI）
1.2.5 本節(jié)小結
1.3 設計安全商務要求
1.3.1 確定商務要求
1.3.2 本節(jié)小結
1.4 設計滿足技術要求的安全性
1.4.1 確定技術要求
1.4.2 本節(jié)小結
1.5 本章復習
第2章 設計Active Directory安全性
2.1 個案研究：Wide World Importers公司
2.1.1 現(xiàn)有網(wǎng)絡
2.1.2 使用賬戶管理
2.1.3 應用程序支持
2.1.4 客戶端臺式機
2.2 設計樹林結構
2.2.1 Active Directory設計基礎
2.2.2 部署單個樹林
2.2.3 部署多個樹林
2.2.4 本節(jié)小結
2.3 設置域結構
2.3.1 部署單個域
2.3.2 部署多個域
2.3.3 本節(jié)小結
2.4 設計OU結構
2.4.1 管理授權的設置
2.4.2 對管理單元的授權控制
2.4.3 組策略部署設計
2.4.4 本節(jié)小結
2.5 設計審核策略
2.5.1 配置審核設置
2.5.2 本節(jié)小結
2.6 課后問答：設計審核策略
2.7 實驗設計Active Directory安全性
2.7.1 實驗目的
2.7.2 實驗簡介
2.7.3 先決條件
2.7.4 場景介紹：Contoso有限公司
2.7.5 練習1：確定樹林數(shù)量
2.7.6 練習2：確定域的數(shù)量
2.7.7 練習3：確定OU結構
2.8 本章復習
第3章 設計Microsoft Windows 2000網(wǎng)絡的身份驗證
3.1 個案研究：Market Florist公司
3.1.1 現(xiàn)有網(wǎng)絡
3.1.2 Market Florist公司的Active Directory設計
3.1.3 Markt Florist公司的服務器配置
3.2 設置Microsoft Windows 2000網(wǎng)絡的身份驗證
3.2.1 確定商務和技術要求
3.2.2 本節(jié)小結
3.3 設計Kerberos身份驗證
3.3.1 設置Kerberos身份驗證
3.3.2 理解Kerberos信息交換
3.3.3 分析Kerberos身份驗證
3.3.4 本節(jié)小結
3.4 NTLM身份驗證
3.4.1 設計NTLM身份驗證
3.4.2 本節(jié)小結
3.5 驗證下層客戶端
3.5.1 分析標準身份驗證
3.5.2 分析目錄服務客戶端
3.5.3 本節(jié)小結
3.6 服務器布局的驗證設置
3.6.1 確定身份驗證服務器的布局
3.6.2 設置DNS服務器布局
3.6.3 規(guī)劃DC布局
3.6.4 規(guī)劃全局編錄服務器布局
3.6.5 規(guī)劃PDC模擬器布局
3.6.6 本節(jié)小結
3.7 課后問答：分析驗證網(wǎng)絡基礎結構
3.8 實驗：設計網(wǎng)絡的身份驗證
3.8.1 實驗目的
3.8.2 實驗簡介
3.8.3 先決條件
3.8.4 場景介紹：Contoso有限公司
3.8.5 練習1：設置Windows 2000客戶端身份驗證
3.8.6 練習2：設置下層客戶端身份驗證
3.9 本章復習
第4章 設計Microsoft Windows 2000管理結構
4.1 個案研究：Hanson Brothers公司
4.1.1 現(xiàn)有網(wǎng)絡
4.1.2 Hanson Brothers公司的Active Directory設計
4.1.3 Hanson Brothers公司的管理需求
4.1.4 中央管理小組
4.1.5 Hanson Brothers公司當前的問題
4.2 計劃管理組成員資格
4.2.1 設計默認的管理組成員資格
4.2.2 設計自定義管理組
4.2.3 本節(jié)小結
4.3 保證對網(wǎng)絡進行管理時訪問的安全性
4.3.1 設計安全性管理訪問
4.3.2 設計輔助訪問
4.3.3 設計Telnet管理
4.3.4 設計Terminal Services管理
4.3.5 本節(jié)小結
4.4 課后問答：管理網(wǎng)絡
4.5 實驗：Microsoft Windows 2000網(wǎng)絡管理的設計
4.5.1 實驗目的
4.5.2 實驗簡介
4.5.3 先決條件
4.5.4 場景介紹：Contoso有限公司
4.5.5 練習1：設計預先存在的管理組
4.5.6 練習2：設計管理訪問
4.6 本章復習
第5章 設計組安全
5.1 個案研究：Hanson Brothers公司
5.1.1 Microsoft Exchange 2000 Server部署
5.1.2 部署Microsoft Outlook 2000
5.1.3 用戶權利的需求
5.2 設計Microsoft Windows 2000安全組
5.2.1 Windows 2000組
5.2.2 訪問組
5.2.3 本節(jié)小結
5.3 課后問答：評估組成員關系
5.3.1 草案1
5.3.2 草案2
5.3.3 草案3
5.3.4 草案4
5.3.5 問題
5.4 設計用戶權利
5.4.1 使用組策略定義用戶權利
5.4.2 在Windows 2000中的用戶權利
5.4.3 評估在何處應用用戶權利
5.4.4 本節(jié)小結
5.5 實驗：設計安全組和用戶權利
5.5.1 實驗目的
5.5.2 實驗簡介
5.5.3 先決條件
5.5.4 場景介紹：Contoso有限公司
5.5.5 Human Resoures應用程序
5.5.6 練習1：設計安全組
5.5.7 練習2：設計用戶權利
5.6 本章復習
第6章 保護文件資源
6.1 個案研究：Wide World Importers公司
6.1.1 設置軟件部署的安全性能
6.1.2 打印的安全性能
6.1.3 保護機密數(shù)據(jù)的設置
6.2 保護文件資源的訪問
6.2.1 設計共享安全
6.2.2 設計NTFS的安全性能
6.2.3 合并共享與NTFS的安全性能
6.2.4 本節(jié)小結
6.3 課后問答：權限的評估
6.4 保護對打印資源的訪問
6.4.1 檢測打印機的安全性能
6.4.2 本節(jié)小結
6.5 設計EFS安全性能
6.5.1 EFS過程總覽
6.5.2 指定EFS恢復代理
6.5.3 恢復已經(jīng)加密的文件
6.5.4 本節(jié)小結
6.6 實驗：保護文件以及打印資源
6.6.1 實驗目的
6.6.2 實驗簡介
6.6.3 先決條件
6.6.4 實驗場景：Contoso Ltd公司
6.6.5 練習1：設計文件的安全性
6.6.6 練習2：設計打印安全
6.6.7 練習3：為掌上電腦設計EFS安全
6.7 本章復習
第7章 設計組策略
7.1 個案研究：Wide World Importers公司
7.1.1 推薦的OU結構
7.1.2 現(xiàn)有站點的設置
7.1.3 應用程序安裝要求
7.1.4 Engineering部門的需求要求
7.1.5 新員工
7.2 設計組策略的部署
7.2.1 組策略總覽
7.2.2 設計組策略的繼承性
7.2.3 使用安全組來篩選組策略
7.2.4 本節(jié)小結
7.3 組策略中故障的排除
7.3.1 評價組策略中故障的解決
7.3.2 本節(jié)小結
7.4 課后問答：排除組策略應用的疑難故障
7.5 實驗：計劃組策略的部署
7.5.1 實驗目的
7.5.2 實驗簡介
7.5.3 先決條件
7.5.4 個案研究：Contoso有限公司
7.5.5 練習1：應用組策略
7.5.6 練習2：設計組策略過濾
7.5.7 練習3：排除組策略的應用過程中的疑難故障
7.5.8 確定有效的組策略設置
7.5.9 確定Blocking Policy Inheritance和No Override屬性的影響
7.6 本章復習
第8章 保護基于Microsoft Windows 2000的計算機
8.1 個案研究：Market Florist公司
8.1.1 Market Florist公司的域結構
8.1.2 Market Florist公司的計算機
8.1.3 計算機角色
8.1.4 安全要求
8.1.5 Flower Power應用程序
8.1.6 內(nèi)部網(wǎng)絡的安全要求
8.2 計劃Microsoft Windows 2000安全模板
8.2.1 Windows 2000安全模板簡介
8.2.2 確定常用安全要求
8.2.3 分析Windows 2000中默認的安全性能
8.2.4 使用增強的安全模板
8.2.5 創(chuàng)建自定義的安全模板
8.2.6 擴展Security Configuration Tool Set
8.2.7 本節(jié)小結
8.3 課后問答：評估安全模板
8.4 用Security Configuration And Analysis分析安全設置
8.4.1 安全設置與安全模板的比較
8.4.2 執(zhí)行分析操作
8.4.3 本節(jié)小結
8.5 使用安全模板設計安全性能的部署
8.5.1 在工作組中部署安全模板
8.5.2 在Windows 2000域中部署安全模板
8.5.3 本節(jié)小結
8.6 實驗：設計安全模板
8.6.1 實驗目的
8.6.2 實驗簡介
8.6.3 先決條件
8.6.4 場景介紹：Contoso公司
8.6.5 練習1：確定計算機類型
8.6.6 練習2：開發(fā)自定義安全模板
8.6.7 練習3：設計安全模板的部署
8.7 本章復習
第9章 設計Microsoft Windows 2000服務安全
9.1 個案研究：Lucerne Publishing公司
9.1.1 Lucerne Publishing的Active Directory設計
9.1.2 Lucerne Publishing的Active Directory
9.1.3 DNS服務
9.1.4 DHCP服務
9.1.5 遠程安裝服務（RJS）
9.1.6 簡單網(wǎng)絡管理協(xié)議（SNMP）
9.1.7 終端服務
9.2 DNS安全設計
9.2.1 評估DNS服務的安全風險
9.2.2 本節(jié)小結
9.3 課后問答：為內(nèi)部和外部的使用設計DNS
9.4 設計DHCP安全
9.4.1 評估DHCP服務的安全風險
9.4.2 本節(jié)小結
9.5 RIS安全設計
9.5.1 設計RIS安全
9.5.2 本節(jié)小結
9.6 SNMP安全設計
9.6.1 設計SNMP安全
9.6.2 評估SNMP的安全風險
9.6.3 本節(jié)小結
9.7 終端服務安全設計
9.7.1 設計終端服務安全
9.7.2 評估終端服務的安全風險
9.7.3 本節(jié)小結
9.8 實驗：為網(wǎng)絡服務進行安全計劃
9.8.1 實驗目的
9.8.2 實驗簡介
9.8.3 先決條件
9.8.4 場景介紹：Contoso有限公司
9.8.5 練習1：設計DNS安全
9.8.6 練習2：設計DHCP安全
9.8.7 練習3：設計RJS安全
9.8.8 練習4：設計SNMP安全
9.8.9 練習5：設計終端服務
9.9 本章復習
第10章 設計公鑰基礎結構
10.1 個案研究：Blue Yonder Airlines航空公司
10.1.1 Blue Yonder Airlines航空公司的目的
10.1.2 機票定購Web站點
10.1.3 創(chuàng)建顧客賬戶
10.1.4 證書管理
10.1.5 使用智能卡
10.1.6 Blue Yonder Airlines航空公司PKI的其他用途
10.2 計劃證書頒發(fā)機構層次
10.2.1 瀏覽PKI組件
10.2.2 確定使用私有CA或公共CA
10.2.3 確定證書頒發(fā)機構結構
10.2.4 計劃CA的范圍
10.2.5 計劃脫線CA
10.2.6 設計證書頒發(fā)機構結構
10.2.7 計劃CA的災難恢復
10.2.8 本節(jié)小結
10.3 管理證書授權
10.3.1 計劃證書頒發(fā)
10.3.2 計劃證書吊銷
10.3.3 計劃證書更新
10.3.4 本節(jié)小結
10.4 課后問答：計劃證書更新設置
10.5 使用證書進行身份驗證
10.5.1 設計智能卡登錄
10.5.2 設計基于證書的Web身份驗證
10.5.3 本節(jié)小結
10.6 實驗：計劃PKI部署
10.6.1 實驗目的
10.6.2 實驗簡介
10.6.3 先決條件
10.6.4 場景介紹：Contoso Ltd.有限公司
10.6.5 練習1：為Contoso Ltd.有限公司設計CA結構
10.6.6 練習2：為基于Web的雜志訂閱計劃安全性
10.6.7 練習3：計劃伙伴訪問
10.7 本章復習
第11章 保護應用層的數(shù)據(jù)
11.1 個案研究：Fabrikam Inc.公司
11.1.1 客戶端操作系統(tǒng)
11.1.2 國防部
11.1.3 正在進行的工程
11.2 計劃傳輸數(shù)據(jù)的真實性和完整性
11.2.1 提供傳輸數(shù)據(jù)的真實性和完整性
11.2.2 計劃SMB簽名
11.2.3 計劃數(shù)字簽名
11.2.4 本節(jié)小結
11.3 計劃傳輸數(shù)據(jù)的加密
11.3.1 計劃安全電子郵件加密
11.3.2 計劃用SSL/TLS進行應用級加密
11.4 課后問答：確定密鑰的用法
11.5 實驗：為Contoso Ltd有限公司提供應用層安全性
11.5.1 實驗目的
11.5.2 實驗簡介
11.5.3 先決條件
11.5.4 場景介紹：Contoso Ltd.有限公司
11.5.5 練習1：計劃Contoso Ltd.有限公司的SMB簽名
11.5.6 練習2：設計Contoso公司的安全電子郵件
11.5.7 練習3：計劃安全Web站點
11.6 本章復習
第12章 使用網(wǎng)際協(xié)議安全性保護數(shù)據(jù)
12.1 個案研究：Fabrikam Inc.有限公司
12.1.1 網(wǎng)絡
12.1.2 連接到A.Datum Corporation公司
12.1.3 數(shù)據(jù)收集包
12.2 設計IPSec策略
12.2.1 IPSec通信簡介
12.2.2 計劃IPSec協(xié)議
12.2.3 計劃IPSec模式
12.2.4 設計IPSec過濾器
12.2.5 設計IPSec過濾器行為
12.2.6 設計IPSec加密和完整性算法
12.2.7 設計IPSec身份驗證
12.2.8 本節(jié)小結
12.3 課后問答：評估IPSec場景
12.4 計劃IPSec配置
12.4.1 評估預配置的IPSec策略
12.4.2 在工作組環(huán)境中部署IPSec策略
12.4.3 在域環(huán)境中部署IPSec策略
12.4.4 自動部署計算機證書
12.4.5 查找IPSec中的問題
12.4.6 本節(jié)小結
12.5 實驗：設計IPSec安全性
12.5.1 實驗目的
12.5.2 實驗簡介
12.5.3 先決條件
12.5.4 場景介紹：Contoso Ltd.有限公司
12.5.5 練習1：為Contoso Ltd.有限公司設計IPSec策略
12.5.6 練習2：計劃IPSec策略的部署
12.6 本章復習
第13章 保護遠程用戶和網(wǎng)絡的訪問
13.1 個案研究：Hanson Brothes公司
13.1.1 提供家庭用戶訪問
13.1.2 提供對伙伴組織的訪問
13.1.3 連接Montreal辦事處
13.2 設計遠程訪問安全
13.2.1 撥號和VPN解決方案之間的選擇
13.2.2 設計遠程訪問身份驗證
13.2.3 配置撥號上網(wǎng)協(xié)議
13.2.4 設計VPN協(xié)議
13.2.5 設計與Windows NT 4.0遠程訪問服務（RAS）服務器的集成
13.2.6 本節(jié)小結
13.3 為用戶設計遠程訪問安全
13.3.1 為撥號網(wǎng)絡安全計劃用戶設置
13.3.2 授權撥號連接
13.3.3 保護客戶端配置
13.3.4 本節(jié)小結
13.4 為網(wǎng)絡設計遠程訪問安全
13.4.1 選擇遠程辦事處連接方案
13.4.2 保護專用WAN連接
13.4.3 設計VPN方案
13.4.4 本節(jié)小結
13.5 設計遠程訪問策略
13.5.1 設計遠程訪問策略條件屬性
13.5.2 設計遠程訪問策略配置文件
13.5.3 計劃遠程訪問策略應用
13.5.4 本節(jié)小結
13.6 課后問答：設計遠程訪問策略
13.7 計劃RADIUS安全
13.7.1 RADIUS身份驗證簡介
13.7.2 設計RADIUS配置
13.7.3 計劃集中的遠程訪問策略應用
13.7.4 本節(jié)小結
13.8 實驗：設計遠程訪問用戶的安全性
13.8.1 實驗目的
13.8.2 實驗簡介
13.8.3 先決條件
13.8.4 場景介紹：Contoso有限公司
13.8.5 練習1：對遠程銷售組的安全訪問
13.8.6 練習2：對巴塞羅那辦事處的安全連接
13.9 本章復習
第14章 保護企業(yè)外部網(wǎng)
14.1 個案研究
14.1.1 Market Florist的DNs服務
14.1.2 Market Florist的FTP服務器
14.1.3 Market Florist的Internet可訪問資源
14.1.4 外部DNS資源記錄
14.1.5 Flower Power應用程序
14.2 確定普通防火墻的策略
14.2.1 識別保護企業(yè)外部網(wǎng)的防火墻的性質
14.2.2 比較各種DMZ配置
14.2.3 本節(jié)小結
14.2.4 課后問答：識別防火墻特性
14.3 保護DMZ內(nèi)的Internet可訪問資源
14.3.1 保護IIS
14.3.2 在DMZ內(nèi)保護其他服務
14.3.3 本節(jié)小結
14.4 通過DMZ保護數(shù)據(jù)流
14.4.1 確定一個防火墻的方案
14.4.2 保護DNS方案的通信
14.4.3 保護Web通信
14.4.4 保護FTP通信
14.4.5 保護郵件通信
14.4.6 保護應用程序通信
14.4.7 保護終端服務器通信
14.4.8 保護VPN通信
14.4.9 本節(jié)小結
14.5 實驗：防火墻設計規(guī)則
14.5.1 實驗目的
14.5.2 實驗簡介
14.5.3 先決條件
14.5.4 場景簡介：Contoso有限公司
14.5.5 練習1：設計DMZ結構
14.5.6 練習2：設計DMZ的數(shù)據(jù)包篩選器
14.6 本章復習
第15章 保護對Internet的訪問
15.1 個案研究：WWI公司
15.1.1 WWI公司的域模型
15.1.2 允許訪問Internet的計算機
15.1.3 WWI公司的計算機和應用程序
15.1.4 WWI公司的Internet使用策略
15.1.5 WWI公司的Internet使用規(guī)定
15.1.6 WWI公司的安全問題
15.2 設計Internet接受的使用策略
15.2.1 確定策略的內(nèi)容
15.2.2 本節(jié)小結
15.3 保護專用網(wǎng)絡用戶對Internet的訪問
15.3.1 識別專用網(wǎng)絡用戶連接到Internet的風險
15.3.2 將Internet訪問限于特定計算機
15.3.3 將Internet訪問限制于特定用戶
15.3.4 將Internet訪問僅限于特定協(xié)議
15.3.5 在Web Proxy中限制訪問的協(xié)議
15.3.6 在WinSock Proxy中限制對協(xié)議的訪問
15.3.7 本節(jié)小結
15.4 課后問答：判斷安全設計存在的隱患
15.4.1 將代理服務器放置在專用網(wǎng)絡中
15.4.2 將代理服務器放置在DMZ中
15.5 限制對Internet內(nèi)容的訪問
15.5.1 防止對特定Web站點的訪問
15.5.2 使用Internet Explorer Administration Kit預先配置設置
15.5.3 管理內(nèi)容下載
15.5.4 防止對特定類型內(nèi)容的訪問
15.5.5 本節(jié)小結
15.6 對Internet訪問進行審核
15.6.1 設計代理服務器審核功能
15.6.2 本節(jié)小結
15.7 實驗：設計對Internet的安全訪問
15.7.1 實驗目的
15.7.2 實驗簡介
15.7.3 先決條件
15.7.4 場景介紹：Contoso有限公司
15.7.5 練習1：評估Internet可接受的使用策略
15.7.6 練習2：為安全訪問Internet設計防火墻數(shù)據(jù)包過濾器
15.7.7 練習3：限制訪問的內(nèi)容
15.8 本章復習
第16章 保護異構網(wǎng)絡環(huán)境的訪問
16.1 個案研究：Blue Yonder Airlines公司
16.1.1 在Blue Yonder Airlines公司中部署Macintosh操作系統(tǒng)
16.1.2 在Blue Yonder Airlines公司中部署UNIX操作系統(tǒng)
16.1.3 最近的一次兼并
16.2 提供Windows 2000和異構網(wǎng)絡之間的互操作性
16.2.1 AppleTalk網(wǎng)絡集成服務
16.2.2 Microsoft Services for NetWare 5.0
16.2.3 Microsoft Services for UNIX 2.0
16.2.4 本節(jié)小結
16.3 保證在異構環(huán)境中身份驗證的安全性
16.3.1 保證Macintosh客戶端的身份驗證
16.3.2 保證Novell客戶端的身份驗證
16.3.3 保護UNIX客戶端的身份驗證
16.3.4 本節(jié)小結
16.4 課后問答：識別異構網(wǎng)絡環(huán)境中的身份驗證風險
16.5 設計目錄同步和集成
16.5.1 同步Active Directory和Novell目錄
16.5.2 安全同步多種目錄
16.5.3 集成Active Directory和Kerberos領域
16.5.4 本節(jié)小結
16.6 保護對Windows 2000資源的訪問
16.6.1 Macintosh對Windows 2000資源的安全訪問
16.6.2 保護對Windows 2000資源的NetWare訪問
16.6.3 保護對Windows 2000資源的UNIX訪問
16.6.4 本節(jié)小結
16.7 保護Windows 2000用戶對異構網(wǎng)絡的訪問
16.7.1 對NetWare資源的安全訪問
16.7.2 保護對UNIX資源的訪問
16.7.3 本節(jié)小結
16.8 實驗：保護異構客戶端
16.8.1 實驗目的
16.8.2 實驗簡介
16.8.3 先決條件
16.8.4 場景介紹：Contoso有限公司
16.8.5 練習1：保護Macintosh用戶的訪問
16.8.6 練習2：保護對NetWare資源的訪問
16.8.7 練習3：保護UNIX用戶的訪問
16.9 本章復習
第17章 設計安全方案
17.1 個案研究：Fabrikam有限公司
17.1.1 內(nèi)部審核
17.1.2 雷達系統(tǒng)工程
17.1.3 工程小組
17.2 設置安全策略
17.2.1 制定決策
17.2.2 應用決策
17.2.3 本節(jié)小結
17.3 制訂安全方案
17.3.1 制定決策
17.3.2 應用決策
17.3.3 本節(jié)小結
17.4 維護安全方案
17.4.1 制定決策
17.4.2 應用決策
17.4.3 本節(jié)小結
17.5 本章復習
附錄A 答案
附錄B 術語表