ASP 的安全配置工具

ASP 管理員應(yīng)當(dāng)對安全配置工具非常熟悉，因?yàn)橐�獲得系統(tǒng)中與安全相關(guān)的所有方面的信息，這是必不可少的。
這些工具應(yīng)當(dāng)使您非常容易地回答以下問題：“我的計(jì)算機(jī)安全嗎？”，或者“我的網(wǎng)絡(luò)安全嗎？”。這些工具應(yīng)當(dāng)允許對已定義的安全策略所包含的所有方面進(jìn)行配置和分析，例如：
帳號策略。 設(shè)置或更改訪問策略，包括域或本地密碼策略、域或本地帳戶鎖定策略以及域 Kerberos 策略（在適用情況下）。
本地策略。 配置本地審核策略、用戶權(quán)限分配和各式各樣的安全選項(xiàng)，例如對軟盤、CD-ROM 等的控制。
受限制的組。 對內(nèi)置的組以及要進(jìn)行配置的任何其它特定組指定或更改組成員（如 Administrators、Server Operators、Backup Operators、Power Users 等）。這不應(yīng)作為一般的成員管理工具來使用 — 只用來控制特定組（具有指定給他們的敏感功能）的成員。
系統(tǒng)服務(wù)。 配置安裝在系統(tǒng)上不同服務(wù)（包括網(wǎng)絡(luò)傳輸服務(wù)如 TCP/IP、NetBIOS、CIFS 文件共享、打印等）的安全性。如果不使用，則會停止 TCP/IP 之外的服務(wù)。有關(guān)詳細(xì)信息，請參見 http://www.microsoft.com/technet/
文件或文件夾共享。 配置文件系統(tǒng)和重定向器服務(wù)的設(shè)置。這包括訪問各種網(wǎng)絡(luò)文件共享時關(guān)閉匿名訪問以及啟用數(shù)據(jù)包簽名和安全性的選項(xiàng)。
系統(tǒng)注冊表。 設(shè)置或更改有關(guān)系統(tǒng)注冊表項(xiàng)的安全性。
系統(tǒng)存儲。 設(shè)置或更改本地系統(tǒng)文件卷和目錄樹的安全性。
準(zhǔn)備。 為客戶和 ASP 準(zhǔn)備一個安全的環(huán)境，以便安全地創(chuàng)建用戶、文件等。

這些工具還應(yīng)當(dāng)有助于監(jiān)視安全策略中已定義的所有方面，例如：
帳號策略 — 密碼、鎖定以及 Kerberos 設(shè)置。
本地策略 — 審核、用戶權(quán)限和安全選項(xiàng)。（“安全選項(xiàng)”主要包括與安全相關(guān)的注冊表值。）
事件日志 — 系統(tǒng)、應(yīng)用程序、安全和目錄服務(wù)日志的設(shè)置。
受限制的組 — 有關(guān)組成員的策略。
系統(tǒng)服務(wù) — 系統(tǒng)服務(wù)的啟動模式和訪問控制。
注冊表 — 注冊表項(xiàng)的訪問控制。
文件系統(tǒng) — 文件夾和文件的訪問控制。
物理訪問系統(tǒng) — 對設(shè)備的訪問、卡式鑰匙的使用、閉環(huán)視頻等。

這些工具還應(yīng)當(dāng)可以分析組策略，一直下行至用戶級。可以使用其它工具來分析監(jiān)視過程中收集到的全部數(shù)據(jù)。這些工具通常特別依賴于統(tǒng)計(jì)技術(shù)。
使用 Windows 2000 的 ASP 管理員可用“Windows 2000 安全配置工具集”的下列組件來配置上述部分或全部的安全方面。
“安全模板”管理單元�！鞍踩�模板”管理單元是獨(dú)立的 Microsoft 管理控制臺 (MMC) 管理單元，它可以創(chuàng)建基于文本的模板文件，該文件包含所有安全方面的安全設(shè)置。
“安全配置和分析”管理單元。“安全配置和分析”管理單元是獨(dú)立的 MMC 管理單元，它可以配置或分析 Windows 2000 操作系統(tǒng)的安全性。其操作基于使用“安全模板”管理單元創(chuàng)建的安全模板的內(nèi)容。
Secedit.exe。Secedit.exe 是“安全配置和分析”管理單元的命令行版本。它可以使安全配置和分析在沒有圖形用戶界面 (GUI) 的情況下執(zhí)行。
對組策略的安全設(shè)置擴(kuò)展�！鞍踩�配置工具集”還包括一個對組策略編輯器的擴(kuò)展管理單元，用來配置本地安全策略以及域或組織單元 (OU) 的安全策略。本地安全策略只包括上述“帳號策略”和“本地策略”的安全范圍。為域或 OU 定義的安全策略可包括所有的安全性范圍。
ASP 安全任務(wù)和方法介紹

創(chuàng)建網(wǎng)絡(luò)安全時，會用到許多策略、任務(wù)和方法。下面是對它們的簡要介紹。
安全通信和概念
介紹和解釋在 ASP 的策略規(guī)劃中針對風(fēng)險的安全策略
提供安全概念和詞匯的背景材料，使讀者熟悉安全規(guī)劃
確定 ASP 網(wǎng)絡(luò)的安全風(fēng)險。在安全規(guī)劃中將其列出并加以解釋
執(zhí)行所有必要的安全措施（不要忘記物理方法）
嚴(yán)密監(jiān)視安全性
審核、評估、改進(jìn)和培訓(xùn)所有的步驟和策略

定義訪問控制
確定 ASP 的組織目前如何使用組和建立組名稱的規(guī)范，以及如何使用組類型
介紹用于對 ASP 范圍內(nèi)資源進(jìn)行廣泛安全訪問的頂層安全組。它們可能是客戶通用組
介紹訪問控制策略，特別是關(guān)于如何以一致的方式使用安全組
確定創(chuàng)建新組的步驟以及由誰負(fù)責(zé)管理組成員
確定代表管理員控制特定任務(wù)的條件，介紹什么是客戶管理員的任務(wù)以及什么是 ASP 管理員的任務(wù)
規(guī)定 ASP 策略以保護(hù)管理員帳戶和管理控制臺
審核、評估、改進(jìn)和培訓(xùn)所有步驟及策略

遠(yuǎn)程客戶或用戶訪問
描述支持客戶或用戶遠(yuǎn)程訪問的 ASP 策略
建立一個規(guī)劃來傳遞遠(yuǎn)程訪問步驟，包括連接方法
建立通過專用連接連接到客戶網(wǎng)絡(luò)的策略
審核、評估、改進(jìn)和培訓(xùn)所有步驟及策略

身份驗(yàn)證訪問
確保對網(wǎng)絡(luò)資源的所有訪問都需要使用域帳戶進(jìn)行身份驗(yàn)證
確定用戶群（ASP 內(nèi)部和客戶用戶）的哪一部分需要對交互式或遠(yuǎn)程訪問登錄使用有效的身份驗(yàn)證
如果需要有效的身份驗(yàn)證，則確定部署公鑰安全以及（或）進(jìn)行智能卡登錄的規(guī)劃
定義用戶帳戶的密碼長度、更改間隔以及復(fù)雜性要求
確定一個 ASP 策略來消除在任何網(wǎng)絡(luò)上純文本密碼的傳輸，并制定出支持一次性登錄或保護(hù)密碼傳輸?shù)牟呗?
審核、評估、改進(jìn)和培訓(xùn)所有步驟及策略

代碼簽名和軟件簽名
規(guī)定下載的代碼所需要的安全級別
部署內(nèi)部的 ASP 步驟，對所有公開分發(fā)的內(nèi)部開發(fā)軟件實(shí)施代碼簽名
審核、評估、改進(jìn)和培訓(xùn)所有步驟及策略

部署“安全應(yīng)用程序”策略
建立測試規(guī)劃和單獨(dú)的測試環(huán)境 來確認(rèn) ASP 應(yīng)用程序是否在適當(dāng)配置的安全系統(tǒng)下正常運(yùn)行
確定還需要什么樣的附加應(yīng)用程序來加強(qiáng)安全功能以達(dá)到 ASP 的安全目標(biāo)
進(jìn)行適當(dāng)?shù)母�改管理，包括在發(fā)布之前對更改的認(rèn)可和安全驗(yàn)證
審核、評估、改進(jìn)和培訓(xùn)所有步驟及策略

啟用數(shù)據(jù)保護(hù)
確定對敏感或保密客戶和內(nèi)部信息進(jìn)行識別和管理的 ASP 策略，并確定保護(hù)這些敏感數(shù)據(jù)的條件
確定存放敏感客戶（或內(nèi)部）數(shù)據(jù)的 ASP 服務(wù)器，這些數(shù)據(jù)可能需要附加的數(shù)據(jù)保護(hù)以防止竊取
建立一個使用 IPSec 的部署規(guī)劃，以保護(hù)遠(yuǎn)程訪問數(shù)據(jù)或訪問敏感的 ASP 數(shù)據(jù)服務(wù)器
審核、評估、改進(jìn)和培訓(xùn)所有步驟及策略

加密文件系統(tǒng)
介紹“數(shù)據(jù)恢復(fù)策略”，包括“恢復(fù)代理”的角色
介紹用來實(shí)施數(shù)據(jù)恢復(fù)過程并驗(yàn)證該過程有效的步驟
審核、評估、改進(jìn)和培訓(xùn)所有步驟及策略

建立信任關(guān)系
介紹 ASP 域、域目錄樹和目錄林并明確規(guī)定它們之間的信任關(guān)系
確定對信任的客戶和廠商以及其它外部域的策略（信任其它域意味著也信任由該域的所有者確定的安全策略）
審核、評估、改進(jìn)和培訓(xùn)所有步驟及策略

設(shè)置統(tǒng)一的安全策略
使用安全模板的方法來介紹對不同的計(jì)算機(jī)類實(shí)施的安全級別
確定域范圍內(nèi)的帳號策略并將這些策略和指導(dǎo)方針傳遞給客戶和用戶群
確定對網(wǎng)絡(luò)上不同類系統(tǒng)（例如桌面、文件和打印服務(wù)器、以及電子郵件服務(wù)器）的本地安全策略要求。確定對應(yīng)于每個類別的組策略安全設(shè)置
確定這樣的應(yīng)用程序服務(wù)器，在其中可用特定的安全模板來管理安全設(shè)置以及在整個組策略中考慮對它們的管理