微软(中国)安全服务计划介绍会WINDOWS平台的安全管理.pptVIP

部署防火墙不影响远程网络连接

ISA和VPN在远程网络的部署Internet远程客户端VPN服务器远程网络ISA服务器Web服务器可以选择让VPN效劳器和ISA安装在同一台机器上或分开Exchange,SQLServerInternet集中管理总结

ActiveDirectory是核心，组策略是根本L2TP/IPSecPPTPTunnelsISAProxyWebServerISAVPNNASPartnersFileServerBizTalkServerEnterpriseCAMachineCertsAutoenrollGPIPSecPolicyDC远程访问策略IASRADIUSSSL集中管理效劳包和Hotfixes效劳包使用SMS效劳器实施使用组策略通过登录脚本和.msi包HotfixesHFNetChkToolQChainWindows2000Server基准平安本卷须知验证所有磁盘分区是否都用NTFS格式化验证管理员帐户是否有强密码

禁用不必要的效劳

禁用或删除不必要的帐户

保护文件和目录

确保禁用来宾帐户

防止注册表被匿名访问HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg应用适当的注册表ACL

Windows2000Server基准平安本卷须知(2)限制对公用本地平安机构(LSA)信息进行访问HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Control\LSARestrictAnonymous设置较强的密码策略设置帐户锁定策略配置管理员帐户删除所有不必要的文件共享对所有必要的文件共享设置适当的ACL安装防病毒软件和更新安装最新的ServicePack安装适当的ServicePack后的平安修补程序备份二、效劳器端平安MicrosoftWeb效劳器平安平安的MicrosoftExchange效劳器配置效劳器管理备份与恢复灾难恢复方案Windows2000根本配置—IIS5在安装前阻止所有到效劳器的通信如果可能,在独立的域内或成员效劳器上安装IISserver在与系统不同的分区上创立一个新的Inetpub根目录使用与Inetpub不同的名字将每个支持的效劳(WWW,FTP,etc.)的内容存放在各自的分区Windows2000根本配置—IIS5(cont’d)禁止NetBIOSoverTCP/IP去掉IP路由除了TCP/IP，删除所有其他的协议堆栈，除非必须保存如果不用，停止TaskScheduler效劳如果不用，停止FTP效劳如果不用，停止Telnet效劳如果使用Telnet,创立一个TelnetClients组限制使用的用户使用内制的Windows2000端口过滤器拒绝所有TCP通信除了80端口Windows2000根本配置—IIS5(cont’d)禁止IUSR_ComputerName和IWAM_ComputerName访问以下文件Scrrun.dllXcopy.exeCmd.exeRegedit.exeRegedt32.exeAT.exeCscript.exeRegsvr32.exeDebug.exeFtp.exeTftp.exeRegsvr32.exeDebug.exeNbtstat.exeNet.exeNetsh.exeTskill.exePoledit.exeRexec.exeEdlin.exeRunas.exeRunonce.exeIISSync.exeIISReset.exeWscript.exeTelnet.exeRcp.exeIUSR_Computername帐户IIS缺省的匿名访问模仿帐号IUSR_Computername帐号根本权限选择用户不能更改密码选择密码永远不过期用户权限当使用“允许IIS控制密码〞登录类型不同如果使用,网络登录(type3)Thisisasignificantsecuritybenefitbecauseuserscannotgainaccesstoremotenetworkresources如果禁用,本地登录(type2)如果不需要匿名访问,禁止IUS