返回
网管员必读-网络安全(第2版)第十章

网管员必读-网络安全(第2版)第十章

ID:37445114

大小:211.00 KB

页数:21页

时间:2019-05-12

网管员必读-网络安全(第2版)第十章_第1页
网管员必读-网络安全(第2版)第十章_第2页
网管员必读-网络安全(第2版)第十章_第3页
网管员必读-网络安全(第2版)第十章_第4页
网管员必读-网络安全(第2版)第十章_第5页
资源描述:

《网管员必读-网络安全(第2版)第十章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第10章WindowsServer2003基准安全策略本章要向大家介绍的是WindowsServer2003系统中的这些基准的安全策略配置方法。如WindowsServer2003系统的一般强化机制(主要是通过SCW、活动目录和组策略等几个方面共同作用)、域安全策略、成员服务器和域控制器基准安全策略的配置。本章重点SCW的配置方法利用SCW强化WindowsServer系统的配置方法利用ActiveDirectory强化WindowsServer系统的配置方法利用组策略强化WindowsServer系统的配置方法域基准安全策略配置成员服务器的基准安全策略配置域控制

2、器的基准安全策略配置10.1适用环境概述安全策略是一组可配置的规则。公共语言运行库在决定允许代码执行的操作时遵循此规则。安全策略由管理员设置,并由运行库强制。 本章将集中介绍如何为组织中运行WindowsServer2003SP1的计算机创建和维护安全环境。确保以下3类环境安全的各个阶段,以及根据客户端依赖性如何处理定义的服务器设置。旧客户端(LC)环境企业客户端(EC)环境专用安全—限制功能(SSLF)环境10.2基于SCW的强化机制Windows Server 2003SP1和R2版本提供了安全配置向导(SCW),它是一种可用于使服务器更安全的基于角色的新工具

3、。与组策略对象(GPO)结合使用时,SCW能使强化过程获得更大的控制、更高的灵活性和更强的一致性。10.2.1SCW概述SCW只能安装在运行带SP1或R2的WindowsServer2003家族成员的计算机上。此外,要配置的服务器也必须运行带SP1的WindowsServer2003家族成员。1.SCW的组成SCW由下列部分组成:基于角色的服务配置、网络安全、注册表设置、审核策略和Internet信息服务(IIS)。2.SCW策略SCW策略是可以包含服务、Windows防火墙、Internet协议安全(IPSec)、注册表值、审核策略、IIS的设置,以及从现有安全

4、模板导入的其他设置的XML文件。3.安全配置向导命令行工具 安全配置向导(SCW)包括Scwcmd.exe命令行工具。可以使用Scwcmd完成下列任务。使用由SCW生成的策略配置一台或多台服务器。使用由SCW生成的策略分析一台或多台服务器。查看HTML格式的分析结果。回滚SCW策略。将由SCW生成的策略转换为受组策略支持的本机文件。使用SCW注册安全配置数据库扩展。4.回滚安全策略 在应用了安全策略后,可以使用安全配置向导(SCW)将其回滚,也就是通常意义上的还原。理论上,可以进行多次回滚,但是为避免管理开销,应避免不必要的策略回滚。 以上具体内容参见书中介绍。1

5、0.2.2SCW的主要功能SCW是一个功能全面的工具,有助于实现下列任务。确定哪些服务必须激活,哪些服务在必要时应运行,以及哪些服务可被禁用。结合Windows防火墙管理网络端口筛选。控制哪些IISWeb扩展可用于Web服务器。避免协议暴露于基于服务器消息块(SMB)的协议、NetBIOS、通用Internet文件系统(CIFS)以及轻型目录访问协议(LDAP)。创建可以捕获感兴趣事件的有用审核策略。10.2.3使用SCWSCW虽然是向导模式,但它与一般的向导在配置难度上存在较大区别。SCW的配置需要比较专业的水平,特别是在网络安全管理中。一定要从全局角度考虑,否

6、则所取得的效果不会令人如意。 具体配置方法参见书中介绍。10.2.4SCW策略部署方法有3种不同的选项可用于部署策略。使用SCW向导应用策略。使用Scwcmd命令行工具应用策略。将SCW策略转换为组策略对象,然后将其链接到域或OU。 具体内容参见书中介绍。10.3基于ActiveDirectory组策略强化机制10.3.1ActiveDirectory边界ActiveDirectory中有几种不同的边界类型。这些边界定义了林、域、站点拓扑结构以及权限委派,当安装ActiveDirectory时,它们会自动建立。但是,必须确保在权限边界中加入组织要求和策略。1.安全

7、边界 安全边界可帮助定义组织内部不同组的自主或隔离。林是用户的网络环境的真正安全边界。域是ActiveDirectory的管理边界,而不是安全边界。 在域中,组织单位(OU)提供了另一级别的管理边界。OU提供了一种灵活方法对相关资源进行分组,并将管理访问权限委派给合适的人员,但不向他们提供管理整个域的能力。但类似域,OU并非真正的安全边界。2.管理边界 除了为用户的组织执行特有服务的管理员之外,还建议考虑以下类型的管理员:服务管理员、数据管理员。 具体内容参见书中介绍。10.3.2ActiveDirectory和组策略1.委派管理和应用组策略OU是域目录结构之中的

8、容器。虽然

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。