安全性解决方案

pjf73177
1 ℃
2019-09-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

MWindowsServer2003資訊安全手冊Microsoft安全性解決方案M目錄1.簡介WindowsServer2003安全性手冊.......................................22.設定網域基礎架構............................................................143.建立成員伺服器基礎..........................................................444.補強網域控制站.............................................................1545.補強基礎架構伺服器........................................................1766.補強檔案伺服器.............................................................1867.補強列印伺服器.............................................................1938.補強IIS伺服器...............................................................2019.補強IAS伺服器..............................................................22410.補強憑證服務伺服器.......................................................22911.補強防禦主機..............................................................24312.結論.........................................................................26223簡介WindowsServer2003安全性手冊1.簡介WindowsServer2003安全性手冊概觀歡迎閱讀這份MicrosoftWindowsServer2003安全性手冊！這份手冊的設計，能提供給您最佳的資訊，以便您評估與了解在系統環境中Microsoft®WindowsServerTM2003所可能產生的安全性風險。這份手冊中各章節都提供詳細的指引，並將重點放在在WindowsServer2003中各種可能的安全性設定組態與功能，使得您能夠處理在環境中所發現的安全性危機。如果您是在WindowsServer2003環境中擔任顧問、設計師，或系統工程師，那麼本手冊可說是相當適合您。這份指引的內容已經過Microsoft工程團隊、顧問、支援工程師，以及顧客和合作伙伴的檢閱與認可，因此它是：經證實的–以實戰經驗為基礎。具權威性–提供可用的最佳意見。具準確性–經過技術確認和測試。可執行的–提供達到成功的步驟。具相關性–提出真實世界的安全性考量。與在各種不同的環境中導入WindowsServer2003、Windows®XP和Windows®2000的顧問及系統工程師一起工作，幫助我們能夠確立最新最佳的實施方針，來保護這些伺服器和用戶端的安全。在這手冊中提供已經很詳細弟提供這些資訊。附上的手冊，《ThreatsandCountermeasures:SecuritySettingsinWindowsServer2003andWindowsXP》，提供了對WindowsServer2003和WindowsXP中，所有主要的安全性設定全面性的看法。本手冊的第二章到第十一章，包括了詳細一步一步安全性處理、程序和建議，提供您將組織中執行WindowsServer2003的電腦的安全狀態，轉換至更高安全性所需的工作清單。如果您需要更多關於這份文件背後觀念的深入討論，請參考以下資源，例如MicrosoftWindows2003ServerResourceKit、MicrosoftWindowsXPResourceKit、MicrosoftWindows2000SecurityResourceKit，和MicrosoftTechNet。23簡介WindowsServer2003安全性手冊執行摘要不論您的環境如何，我們都強烈地建議您認真看待安全性這問題。許多企業組織犯了一個錯誤，就是低估了他們的資訊技術(IT)環境的價值，而這通常是因為他們忽略了重大的間接成本。如果您環境中的伺服器受到的攻擊嚴重程度十分大時，可能整個組織都會受到嚴重傷害。例如，如果您的組織網站受到攻擊而停擺，造成盈餘嚴重損失或客戶的信心受損，也可能導致您公司的獲利率下降。當評估安全成本時，除了要考量IT功能損失的成本以外，也應該包括駭客攻擊所引發的間接成本。本文針對安全性所做的弱點、風險及暴露分析，可讓您了解安全性與可用性間的取捨，是所有網路環境的電腦系統所必須面對的。這份手冊列出WindowsServer2003和WindowsXP中主要可用的安全性對策、他們處理的安全性弱點，以及實作時每一項潛在可能發生的負面影響。接著在這份手冊中，提供了在三個常見的企業環境中，補強這些系統的特定建議。第一個環境，是必須支援舊的作業系統─如Windows98─的環境；第二個是只包含Windows2000或以上的作業系統；第三個則是安全性需求極高，甚至為了達到最高度的安全性，可以犧牲重要的功能性與管理能力作為交換的系統環境。這三個環境在這份手冊中分別以舊版用戶端(LegacyClient)、企業用戶端(EnterpriseClient)、高安全性(HighSecurity)稱之。我們盡力使得這些資訊有很好的組織及讓大家容易取得，讓您可以迅速找出並決定哪種設定值是最適合您的組織電腦的。雖然這份手冊是針對企業級客戶而寫，但大多數內容對任何規模的組織都適用。為了從本文得到最大效益，您需要閱讀整份手冊。您也可以參閱配搭的手冊《ThreatsandCountermeasures:SecuritySettingsinWindowsServer2003andWindowsXP》。它可以從=15159這網址下載。本手冊的製作小組，希望您覺得這份文件所含內容有用、具資訊性、而且是有趣的。45簡介WindowsServer2003安全性手冊誰應該讀這份手冊這份手冊主要是針對那些負責應用程式或基礎架構開發的規劃階段，及部署WindowsServer2003的顧問、安全性專業人員、系統結構師和IT專業人員所撰寫的。這些角色包括了以下這些共同的工作描述：結構師和規劃師，負責驅動他們組織中用戶端結構的事物。IT安全性專業人員，其唯一的重心是在他們組織中提供跨平台的安全性。商業分析師與商業決定者(BDMs)，依賴用戶端支援關鍵性的商業目標與需求。Microsoft服務和其協力廠商的顧問，他們需要掌握相關與有用資訊的詳細資源，以服務企業客戶與協力廠商。45簡介WindowsServer2003安全性手冊取得安全並保持安全在2001年十月，Microsoft發起一個名為「策略科技保護計畫」(StrategicTechnologyProtectionProgram，簡稱為STPP)。這計畫的目標就是整合以安全性為焦點的Microsoft的產品、服務與支援。Microsoft視這個維護安全環境的過程為兩個相關的階段，那就是「取得安全(GetSecure)」與「保持安全(StaySecure)」。取得安全第一階段叫做「取得安全(GetSecure)」。為了幫助您的組織達到適當的安全等級，這份手冊中的建議是幫助您保護現有及未來電腦系統安全而設計的。保持安全第二階段是「保持安全(StaySecure)」。創造最初的安全性環境是一回事；然而，待您的環境建立好並開始運轉，能夠長期保持環境安全，採取預防措施來防禦安全性威脅，以及情況真的發生時如何有效地應對，則完全是另一回事。67簡介WindowsServer2003安全性手冊這份手冊的範圍這份手冊的重點在於如何讓您組織中執行WindowsServer2003的電腦創造並維護具安全性的環境。本文內容解釋在不同階段中要如何保護手冊中所定義的三種環境，以及對每一種環境，根據用戶端的依賴關係，提出伺服器設定值的處方。這邊所指的三種環境是舊版用戶端(LegacyClient)、企業用戶端(EnterpriseClient)、高安全性(HighSecurity)。舊版用戶端的設定值，是設計用在MicrosoftActiveDirectory®的網域和其成員伺服器中，其中網域控制器是執行WindowsServer2003，而用戶端則是執行MicrosoftWindows®98，WindowsNT4.0或以上。企業用戶端的設定值，是設計用在ActiveDirectory網域和其成員伺服器，其中網域控制器是執行WindowsServer2003，而用戶端執行的是Windows2000，WindowsXP或以上。高安全性的設定值，是設計用在ActiveDirectory網域和其成員伺服器，其中網域控制器是執行WindowsServer2003，而用戶端執行的是Windows2000、WindowsXP或以上。但是高安全性的設定值有許多限制，以致於可能很多應用程式不能作用。因此，伺服器的效能將受到一些影響，且管理伺服器也將面臨極大的挑戰性。這份指引是針對一組不同的伺服器角色。文中所提供的對策及工具是假設每一個伺服器只有一個單一角色；如果您需要把環境中一些伺服器角色合併，您可以用這手冊所附的安全範例來修改，來讓服務與安全性選項的組合設定能夠適合擁有多重角色的伺服器。本手冊所涵蓋的角色包括了：網域控制器。基礎架構伺服器。檔案伺服器。列印伺服器。網際網路資訊服務(IIS)伺服器。網際網路驗證服務(IAS)伺服器。憑證服務(CertificateServices)伺服器。防禦(Bastion)主機。本手冊所建議的設定值是經過完整的測試，測試的實驗室環境包含以上所描述的：舊版用戶端，企業用戶端，和高安全性。這些設定值已在實驗室經證實無誤，但是，很重要的是在您自己實驗室中所測試的設定是要能夠精準代表表您的生產環境的。您很有可能需要對手冊中所描述的安全範例和手動程序作一些修改，才能夠讓您所有的商業應用程式能如預期地作用。詳細的資訊提供於配合使用的手冊，《ThreatsandCountermeasures:SecuritySettingsinWindowsServer2003andWindowsXP》。可以從這網址=15159下載，這文件所提供的資訊可讓您能評估每一個對策，並決定哪些是適合您組織的獨特環境和商業需求。67簡介WindowsServer2003安全性手冊內容概觀這份WindowsServer2003安全性手冊包含了十二章。每一章都建立端對端的解決方案過程，這是實作及保護您環境中WindowsServer2003的安全性所必須具備的。前面幾章主要在描述如何建構安全性基礎來補強您組織中的伺服器，其他的章節則針對每一個伺服器角色獨特的程序作說明。第一章：簡介WindowsServer2003安全性手冊本章介紹這份WindowsServer2003安全性手冊，並包含對每一章的簡要概觀。第二章：設定網域基礎架構組態本章解釋網域環境的建構可以作為保護WindowsServer2003基礎架構的基礎。首先，這章內容焦點放在網域等級的安全性設定與對策。對MicrosoftActiveDirectory服務的設計，組織單位(OU)的設計，與網域原則有更深入的描述。