第1章 Microsoft Windows 2000安全简介
1.1 个案研究:Lucerne出版社
1.1.1 现有网络
1.1.2 账户管理
1.1.3 扩充计划
1.1.4 在线定购
1.1.5 安全问题
1.2 Microsoft Windows 2000安全功能总览
1.2.1 安全子系统组件
1.2.2 LSA的功能
1.2.3 Windows 2000安全协议
1.2.4 安全支持提供程序接口(SSPI)
1.2.5 本节小结
1.3 设计安全商务要求
1.3.1 确定商务要求
1.3.2 本节小结
1.4 设计满足技术要求的安全性
1.4.1 确定技术要求
1.4.2 本节小结
1.5 本章复习
第2章 设计Active Directory安全性
2.1 个案研究:Wide World Importers公司
2.1.1 现有网络
2.1.2 使用账户管理
2.1.3 应用程序支持
2.1.4 客户端台式机
2.2 设计树林结构
2.2.1 Active Directory设计基础
2.2.2 部署单个树林
2.2.3 部署多个树林
2.2.4 本节小结
2.3 设置域结构
2.3.1 部署单个域
2.3.2 部署多个域
2.3.3 本节小结
2.4 设计OU结构
2.4.1 管理授权的设置
2.4.2 对管理单元的授权控制
2.4.3 组策略部署设计
2.4.4 本节小结
2.5 设计审核策略
2.5.1 配置审核设置
2.5.2 本节小结
2.6 课后问答:设计审核策略
2.7 实验设计Active Directory安全性
2.7.1 实验目的
2.7.2 实验简介
2.7.3 先决条件
2.7.4 场景介绍:Contoso有限公司
2.7.5 练习1:确定树林数量
2.7.6 练习2:确定域的数量
2.7.7 练习3:确定OU结构
2.8 本章复习
第3章 设计Microsoft Windows 2000网络的身份验证
3.1 个案研究:Market Florist公司
3.1.1 现有网络
3.1.2 Market Florist公司的Active Directory设计
3.1.3 Markt Florist公司的服务器配置
3.2 设置Microsoft Windows 2000网络的身份验证
3.2.1 确定商务和技术要求
3.2.2 本节小结
3.3 设计Kerberos身份验证
3.3.1 设置Kerberos身份验证
3.3.2 理解Kerberos信息交换
3.3.3 分析Kerberos身份验证
3.3.4 本节小结
3.4 NTLM身份验证
3.4.1 设计NTLM身份验证
3.4.2 本节小结
3.5 验证下层客户端
3.5.1 分析标准身份验证
3.5.2 分析目录服务客户端
3.5.3 本节小结
3.6 服务器布局的验证设置
3.6.1 确定身份验证服务器的布局
3.6.2 设置DNS服务器布局
3.6.3 规划DC布局
3.6.4 规划全局编录服务器布局
3.6.5 规划PDC模拟器布局
3.6.6 本节小结
3.7 课后问答:分析验证网络基础结构
3.8 实验:设计网络的身份验证
3.8.1 实验目的
3.8.2 实验简介
3.8.3 先决条件
3.8.4 场景介绍:Contoso有限公司
3.8.5 练习1:设置Windows 2000客户端身份验证
3.8.6 练习2:设置下层客户端身份验证
3.9 本章复习
第4章 设计Microsoft Windows 2000管理结构
4.1 个案研究:Hanson Brothers公司
4.1.1 现有网络
4.1.2 Hanson Brothers公司的Active Directory设计
4.1.3 Hanson Brothers公司的管理需求
4.1.4 中央管理小组
4.1.5 Hanson Brothers公司当前的问题
4.2 计划管理组成员资格
4.2.1 设计默认的管理组成员资格
4.2.2 设计自定义管理组
4.2.3 本节小结
4.3 保证对网络进行管理时访问的安全性
4.3.1 设计安全性管理访问
4.3.2 设计辅助访问
4.3.3 设计Telnet管理
4.3.4 设计Terminal Services管理
4.3.5 本节小结
4.4 课后问答:管理网络
4.5 实验:Microsoft Windows 2000网络管理的设计
4.5.1 实验目的
4.5.2 实验简介
4.5.3 先决条件
4.5.4 场景介绍:Contoso有限公司
4.5.5 练习1:设计预先存在的管理组
4.5.6 练习2:设计管理访问
4.6 本章复习
第5章 设计组安全
5.1 个案研究:Hanson Brothers公司
5.1.1 Microsoft Exchange 2000 Server部署
5.1.2 部署Microsoft Outlook 2000
5.1.3 用户权利的需求
5.2 设计Microsoft Windows 2000安全组
5.2.1 Windows 2000组
5.2.2 访问组
5.2.3 本节小结
5.3 课后问答:评估组成员关系
5.3.1 草案1
5.3.2 草案2
5.3.3 草案3
5.3.4 草案4
5.3.5 问题
5.4 设计用户权利
5.4.1 使用组策略定义用户权利
5.4.2 在Windows 2000中的用户权利
5.4.3 评估在何处应用用户权利
5.4.4 本节小结
5.5 实验:设计安全组和用户权利
5.5.1 实验目的
5.5.2 实验简介
5.5.3 先决条件
5.5.4 场景介绍:Contoso有限公司
5.5.5 Human Resoures应用程序
5.5.6 练习1:设计安全组
5.5.7 练习2:设计用户权利
5.6 本章复习
第6章 保护文件资源
6.1 个案研究:Wide World Importers公司
6.1.1 设置软件部署的安全性能
6.1.2 打印的安全性能
6.1.3 保护机密数据的设置
6.2 保护文件资源的访问
6.2.1 设计共享安全
6.2.2 设计NTFS的安全性能
6.2.3 合并共享与NTFS的安全性能
6.2.4 本节小结
6.3 课后问答:权限的评估
6.4 保护对打印资源的访问
6.4.1 检测打印机的安全性能
6.4.2 本节小结
6.5 设计EFS安全性能
6.5.1 EFS过程总览
6.5.2 指定EFS恢复代理
6.5.3 恢复已经加密的文件
6.5.4 本节小结
6.6 实验:保护文件以及打印资源
6.6.1 实验目的
6.6.2 实验简介
6.6.3 先决条件
6.6.4 实验场景:Contoso Ltd公司
6.6.5 练习1:设计文件的安全性
6.6.6 练习2:设计打印安全
6.6.7 练习3:为掌上电脑设计EFS安全
6.7 本章复习
第7章 设计组策略
7.1 个案研究:Wide World Importers公司
7.1.1 推荐的OU结构
7.1.2 现有站点的设置
7.1.3 应用程序安装要求
7.1.4 Engineering部门的需求要求
7.1.5 新员工
7.2 设计组策略的部署
7.2.1 组策略总览
7.2.2 设计组策略的继承性
7.2.3 使用安全组来筛选组策略
7.2.4 本节小结
7.3 组策略中故障的排除
7.3.1 评价组策略中故障的解决
7.3.2 本节小结
7.4 课后问答:排除组策略应用的疑难故障
7.5 实验:计划组策略的部署
7.5.1 实验目的
7.5.2 实验简介
7.5.3 先决条件
7.5.4 个案研究:Contoso有限公司
7.5.5 练习1:应用组策略
7.5.6 练习2:设计组策略过滤
7.5.7 练习3:排除组策略的应用过程中的疑难故障
7.5.8 确定有效的组策略设置
7.5.9 确定Blocking Policy Inheritance和No Override属性的影响
7.6 本章复习
第8章 保护基于Microsoft Windows 2000的计算机
8.1 个案研究:Market Florist公司
8.1.1 Market Florist公司的域结构
8.1.2 Market Florist公司的计算机
8.1.3 计算机角色
8.1.4 安全要求
8.1.5 Flower Power应用程序
8.1.6 内部网络的安全要求
8.2 计划Microsoft Windows 2000安全模板
8.2.1 Windows 2000安全模板简介
8.2.2 确定常用安全要求
8.2.3 分析Windows 2000中默认的安全性能
8.2.4 使用增强的安全模板
8.2.5 创建自定义的安全模板
8.2.6 扩展Security Configuration Tool Set
8.2.7 本节小结
8.3 课后问答:评估安全模板
8.4 用Security Configuration And Analysis分析安全设置
8.4.1 安全设置与安全模板的比较
8.4.2 执行分析操作
8.4.3 本节小结
8.5 使用安全模板设计安全性能的部署
8.5.1 在工作组中部署安全模板
8.5.2 在Windows 2000域中部署安全模板
8.5.3 本节小结
8.6 实验:设计安全模板
8.6.1 实验目的
8.6.2 实验简介
8.6.3 先决条件
8.6.4 场景介绍:Contoso公司
8.6.5 练习1:确定计算机类型
8.6.6 练习2:开发自定义安全模板
8.6.7 练习3:设计安全模板的部署
8.7 本章复习
第9章 设计Microsoft Windows 2000服务安全
9.1 个案研究:Lucerne Publishing公司
9.1.1 Lucerne Publishing的Active Directory设计
9.1.2 Lucerne Publishing的Active Directory
9.1.3 DNS服务
9.1.4 DHCP服务
9.1.5 远程安装服务(RJS)
9.1.6 简单网络管理协议(SNMP)
9.1.7 终端服务
9.2 DNS安全设计
9.2.1 评估DNS服务的安全风险
9.2.2 本节小结
9.3 课后问答:为内部和外部的使用设计DNS
9.4 设计DHCP安全
9.4.1 评估DHCP服务的安全风险
9.4.2 本节小结
9.5 RIS安全设计
9.5.1 设计RIS安全
9.5.2 本节小结
9.6 SNMP安全设计
9.6.1 设计SNMP安全
9.6.2 评估SNMP的安全风险
9.6.3 本节小结
9.7 终端服务安全设计
9.7.1 设计终端服务安全
9.7.2 评估终端服务的安全风险
9.7.3 本节小结
9.8 实验:为网络服务进行安全计划
9.8.1 实验目的
9.8.2 实验简介
9.8.3 先决条件
9.8.4 场景介绍:Contoso有限公司
9.8.5 练习1:设计DNS安全
9.8.6 练习2:设计DHCP安全
9.8.7 练习3:设计RJS安全
9.8.8 练习4:设计SNMP安全
9.8.9 练习5:设计终端服务
9.9 本章复习
第10章 设计公钥基础结构
10.1 个案研究:Blue Yonder Airlines航空公司
10.1.1 Blue Yonder Airlines航空公司的目的
10.1.2 机票定购Web站点
10.1.3 创建顾客账户
10.1.4 证书管理
10.1.5 使用智能卡
10.1.6 Blue Yonder Airlines航空公司PKI的其他用途
10.2 计划证书颁发机构层次
10.2.1 浏览PKI组件
10.2.2 确定使用私有CA或公共CA
10.2.3 确定证书颁发机构结构
10.2.4 计划CA的范围
10.2.5 计划脱线CA
10.2.6 设计证书颁发机构结构
10.2.7 计划CA的灾难恢复
10.2.8 本节小结
10.3 管理证书授权
10.3.1 计划证书颁发
10.3.2 计划证书吊销
10.3.3 计划证书更新
10.3.4 本节小结
10.4 课后问答:计划证书更新设置
10.5 使用证书进行身份验证
10.5.1 设计智能卡登录
10.5.2 设计基于证书的Web身份验证
10.5.3 本节小结
10.6 实验:计划PKI部署
10.6.1 实验目的
10.6.2 实验简介
10.6.3 先决条件
10.6.4 场景介绍:Contoso Ltd.有限公司
10.6.5 练习1:为Contoso Ltd.有限公司设计CA结构
10.6.6 练习2:为基于Web的杂志订阅计划安全性
10.6.7 练习3:计划伙伴访问
10.7 本章复习
第11章 保护应用层的数据
11.1 个案研究:Fabrikam Inc.公司
11.1.1 客户端操作系统
11.1.2 国防部
11.1.3 正在进行的工程
11.2 计划传输数据的真实性和完整性
11.2.1 提供传输数据的真实性和完整性
11.2.2 计划SMB签名
11.2.3 计划数字签名
11.2.4 本节小结
11.3 计划传输数据的加密
11.3.1 计划安全电子邮件加密
11.3.2 计划用SSL/TLS进行应用级加密
11.4 课后问答:确定密钥的用法
11.5 实验:为Contoso Ltd有限公司提供应用层安全性
11.5.1 实验目的
11.5.2 实验简介
11.5.3 先决条件
11.5.4 场景介绍:Contoso Ltd.有限公司
11.5.5 练习1:计划Contoso Ltd.有限公司的SMB签名
11.5.6 练习2:设计Contoso公司的安全电子邮件
11.5.7 练习3:计划安全Web站点
11.6 本章复习
第12章 使用网际协议安全性保护数据
12.1 个案研究:Fabrikam Inc.有限公司
12.1.1 网络
12.1.2 连接到A.Datum Corporation公司
12.1.3 数据收集包
12.2 设计IPSec策略
12.2.1 IPSec通信简介
12.2.2 计划IPSec协议
12.2.3 计划IPSec模式
12.2.4 设计IPSec过滤器
12.2.5 设计IPSec过滤器行为
12.2.6 设计IPSec加密和完整性算法
12.2.7 设计IPSec身份验证
12.2.8 本节小结
12.3 课后问答:评估IPSec场景
12.4 计划IPSec配置
12.4.1 评估预配置的IPSec策略
12.4.2 在工作组环境中部署IPSec策略
12.4.3 在域环境中部署IPSec策略
12.4.4 自动部署计算机证书
12.4.5 查找IPSec中的问题
12.4.6 本节小结
12.5 实验:设计IPSec安全性
12.5.1 实验目的
12.5.2 实验简介
12.5.3 先决条件
12.5.4 场景介绍:Contoso Ltd.有限公司
12.5.5 练习1:为Contoso Ltd.有限公司设计IPSec策略
12.5.6 练习2:计划IPSec策略的部署
12.6 本章复习
第13章 保护远程用户和网络的访问
13.1 个案研究:Hanson Brothes公司
13.1.1 提供家庭用户访问
13.1.2 提供对伙伴组织的访问
13.1.3 连接Montreal办事处
13.2 设计远程访问安全
13.2.1 拨号和VPN解决方案之间的选择
13.2.2 设计远程访问身份验证
13.2.3 配置拨号上网协议
13.2.4 设计VPN协议
13.2.5 设计与Windows NT 4.0远程访问服务(RAS)服务器的集成
13.2.6 本节小结
13.3 为用户设计远程访问安全
13.3.1 为拨号网络安全计划用户设置
13.3.2 授权拨号连接
13.3.3 保护客户端配置
13.3.4 本节小结
13.4 为网络设计远程访问安全
13.4.1 选择远程办事处连接方案
13.4.2 保护专用WAN连接
13.4.3 设计VPN方案
13.4.4 本节小结
13.5 设计远程访问策略
13.5.1 设计远程访问策略条件属性
13.5.2 设计远程访问策略配置文件
13.5.3 计划远程访问策略应用
13.5.4 本节小结
13.6 课后问答:设计远程访问策略
13.7 计划RADIUS安全
13.7.1 RADIUS身份验证简介
13.7.2 设计RADIUS配置
13.7.3 计划集中的远程访问策略应用
13.7.4 本节小结
13.8 实验:设计远程访问用户的安全性
13.8.1 实验目的
13.8.2 实验简介
13.8.3 先决条件
13.8.4 场景介绍:Contoso有限公司
13.8.5 练习1:对远程销售组的安全访问
13.8.6 练习2:对巴塞罗那办事处的安全连接
13.9 本章复习
第14章 保护企业外部网
14.1 个案研究
14.1.1 Market Florist的DNs服务
14.1.2 Market Florist的FTP服务器
14.1.3 Market Florist的Internet可访问资源
14.1.4 外部DNS资源记录
14.1.5 Flower Power应用程序
14.2 确定普通防火墙的策略
14.2.1 识别保护企业外部网的防火墙的性质
14.2.2 比较各种DMZ配置
14.2.3 本节小结
14.2.4 课后问答:识别防火墙特性
14.3 保护DMZ内的Internet可访问资源
14.3.1 保护IIS
14.3.2 在DMZ内保护其他服务
14.3.3 本节小结
14.4 通过DMZ保护数据流
14.4.1 确定一个防火墙的方案
14.4.2 保护DNS方案的通信
14.4.3 保护Web通信
14.4.4 保护FTP通信
14.4.5 保护邮件通信
14.4.6 保护应用程序通信
14.4.7 保护终端服务器通信
14.4.8 保护VPN通信
14.4.9 本节小结
14.5 实验:防火墙设计规则
14.5.1 实验目的
14.5.2 实验简介
14.5.3 先决条件
14.5.4 场景简介:Contoso有限公司
14.5.5 练习1:设计DMZ结构
14.5.6 练习2:设计DMZ的数据包筛选器
14.6 本章复习
第15章 保护对Internet的访问
15.1 个案研究:WWI公司
15.1.1 WWI公司的域模型
15.1.2 允许访问Internet的计算机
15.1.3 WWI公司的计算机和应用程序
15.1.4 WWI公司的Internet使用策略
15.1.5 WWI公司的Internet使用规定
15.1.6 WWI公司的安全问题
15.2 设计Internet接受的使用策略
15.2.1 确定策略的内容
15.2.2 本节小结
15.3 保护专用网络用户对Internet的访问
15.3.1 识别专用网络用户连接到Internet的风险
15.3.2 将Internet访问限于特定计算机
15.3.3 将Internet访问限制于特定用户
15.3.4 将Internet访问仅限于特定协议
15.3.5 在Web Proxy中限制访问的协议
15.3.6 在WinSock Proxy中限制对协议的访问
15.3.7 本节小结
15.4 课后问答:判断安全设计存在的隐患
15.4.1 将代理服务器放置在专用网络中
15.4.2 将代理服务器放置在DMZ中
15.5 限制对Internet内容的访问
15.5.1 防止对特定Web站点的访问
15.5.2 使用Internet Explorer Administration Kit预先配置设置
15.5.3 管理内容下载
15.5.4 防止对特定类型内容的访问
15.5.5 本节小结
15.6 对Internet访问进行审核
15.6.1 设计代理服务器审核功能
15.6.2 本节小结
15.7 实验:设计对Internet的安全访问
15.7.1 实验目的
15.7.2 实验简介
15.7.3 先决条件
15.7.4 场景介绍:Contoso有限公司
15.7.5 练习1:评估Internet可接受的使用策略
15.7.6 练习2:为安全访问Internet设计防火墙数据包过滤器
15.7.7 练习3:限制访问的内容
15.8 本章复习
第16章 保护异构网络环境的访问
16.1 个案研究:Blue Yonder Airlines公司
16.1.1 在Blue Yonder Airlines公司中部署Macintosh操作系统
16.1.2 在Blue Yonder Airlines公司中部署UNIX操作系统
16.1.3 最近的一次兼并
16.2 提供Windows 2000和异构网络之间的互操作性
16.2.1 AppleTalk网络集成服务
16.2.2 Microsoft Services for NetWare 5.0
16.2.3 Microsoft Services for UNIX 2.0
16.2.4 本节小结
16.3 保证在异构环境中身份验证的安全性
16.3.1 保证Macintosh客户端的身份验证
16.3.2 保证Novell客户端的身份验证
16.3.3 保护UNIX客户端的身份验证
16.3.4 本节小结
16.4 课后问答:识别异构网络环境中的身份验证风险
16.5 设计目录同步和集成
16.5.1 同步Active Directory和Novell目录
16.5.2 安全同步多种目录
16.5.3 集成Active Directory和Kerberos领域
16.5.4 本节小结
16.6 保护对Windows 2000资源的访问
16.6.1 Macintosh对Windows 2000资源的安全访问
16.6.2 保护对Windows 2000资源的NetWare访问
16.6.3 保护对Windows 2000资源的UNIX访问
16.6.4 本节小结
16.7 保护Windows 2000用户对异构网络的访问
16.7.1 对NetWare资源的安全访问
16.7.2 保护对UNIX资源的访问
16.7.3 本节小结
16.8 实验:保护异构客户端
16.8.1 实验目的
16.8.2 实验简介
16.8.3 先决条件
16.8.4 场景介绍:Contoso有限公司
16.8.5 练习1:保护Macintosh用户的访问
16.8.6 练习2:保护对NetWare资源的访问
16.8.7 练习3:保护UNIX用户的访问
16.9 本章复习
第17章 设计安全方案
17.1 个案研究:Fabrikam有限公司
17.1.1 内部审核
17.1.2 雷达系统工程
17.1.3 工程小组
17.2 设置安全策略
17.2.1 制定决策
17.2.2 应用决策
17.2.3 本节小结
17.3 制订安全方案
17.3.1 制定决策
17.3.2 应用决策
17.3.3 本节小结
17.4 维护安全方案
17.4.1 制定决策
17.4.2 应用决策
17.4.3 本节小结
17.5 本章复习
附录A 答案
附录B 术语表