內容簡介
計算機終端安全配置是一種解決終端安全問題的非常重要且有效的方法。本書配合2014 年正式頒布實施的國家標準《
信息安全技術政務計算機終端核心配置規範》(GB/T30278-2013),從實踐角度出發,全面系統地介紹了
Windows作業系統的安全機制和安全配置方法,並對終端核心配置基本概念、技術實現方法、實施管理流程和實際套用案例進行了詳細解讀。本書對於幫助單位安全管理人員或個人計算機用戶實施安全配置管理,提高計算機抵抗安全風險的能力具有重要的參考價值。
圖書著作權
Windows 安全配置指南
李新友 劉蓓 許濤 等 編著
ISBN 978-7-121-23994-6
2014年10月出版
定價:69.00元
316頁
16開
目錄
1 計算機安全概述 1
1.1 計算機安全風險分析 ............................................................................... 1
1.1.1 系統漏洞 ....................................................................................... 2
1.1.2 外部攻擊 ....................................................................................... 3
1.1.3 安全管理不到位 ........................................................................... 4
1.2 計算機安全防護措施 ............................................................................... 5
1.2.1 安裝個人防火牆 ........................................................................... 6
1.2.2 查殺病毒 ....................................................................................... 9
1.2.3 打補丁......................................................................................... 14
1.2.4 系統最佳化 ..................................................................................... 18
1.2.5 安全狀態監控 ............................................................................. 22
1.3 計算機安全配置管理 ............................................................................. 24
1.3.1 核心配置的概念及作用 ............................................................. 25
1.3.2 外國政府桌面核心配置實踐 ..................................................... 26
1.3.3 我國政務終端安全配置研究進展 ............................................. 30
1.3.4 Windows 安全配置引讀 ............................................................ 31
2 Windows 安全機制 33
2.1 賬戶管理 ................................................................................................. 33
2.1.1 用戶賬戶創建 ............................................................................. 33
2.1.2 用戶賬戶登錄 ............................................................................. 37
2.2 訪問控制 ................................................................................................. 38
2.2.1 ACL ............................................................................................ 38
2.2.2 UAC ............................................................................................ 40
2.3 設備控制 ................................................................................................. 43
2.4 入侵防範 ................................................................................................. 44
2.4.1 瀏覽器保護模式 ......................................................................... 44
2.4.2 DEP ............................................................................................. 45
2.5 安全審計 ................................................................................................. 46
2.5.1 什麼是日誌檔案 ......................................................................... 46
2.5.2 怎樣查看日誌檔案 ..................................................................... 47
2.5.3 如何修改日誌檔案 ..................................................................... 47
3 安全配置基本原理 49
3.1 安全配置項基本類型 ............................................................................. 49
3.1.1 開關型配置項 ............................................................................. 49
3.1.2 區間型配置項 ............................................................................. 50
3.1.3 枚舉型配置項 ............................................................................. 50
3.1.4 複合型配置項 ............................................................................. 50
3.2 手動賦值的方法 ..................................................................................... 51
3.2.1 註冊表手動賦值 ......................................................................... 51
3.2.2 組策略手動賦值 ......................................................................... 55
3.3 自動化配置方法 ..................................................................................... 61
3.3.1 域控環境下的自動化配置 ......................................................... 61
3.3.2 非域控環境下的自動化配置 ..................................................... 69
4 安全配置基本要求 71
4.1 概述 ......................................................................................................... 71
4.2 賬戶配置要求 ......................................................................................... 75
4.3 口令配置要求 ......................................................................................... 76
4.4 用戶許可權配置要求 ................................................................................. 79
4.5 審核及日誌配置要求 ............................................................................. 85
4.6 安全選項配置要求 ................................................................................. 89
4.7 組件配置要求 ......................................................................................... 95
4.7.1 IE 管理 ........................................................................................ 95
4.7.2 附屬檔案管理 ..................................................................................... 99
4.7.3 電源管理 ..................................................................................... 99
4.7.4 顯示管理 ................................................................................... 100
4.7.5 會話服務 ................................................................................... 101
4.7.6 系統服務 ................................................................................... 102
4.7.7 網路服務 ................................................................................... 105
5 安全配置數據檔案 106
5.1 安全配置清單 ....................................................................................... 106
5.1.1 配置清單結構 ........................................................................... 106
5.1.2 配置項屬性 ............................................................................... 108
5.2 安全配置基線包 ................................................................................... 110
5.2.1 安全配置基線包格式 ............................................................... 110
5.2.2 安全配置基線標記 .................................................................... 111
5.2.3 格式版本標記 ........................................................................... 112
5.2.4 基線標記 ................................................................................... 113
5.2.5 適用產品標記 ........................................................................... 124
6 安全配置基線包的生成 127
6.1 概述 ....................................................................................................... 127
6.2 基線包生成器 ....................................................................................... 128
6.3 基線包編輯器 ....................................................................................... 142
6.4 基線驗證工具 ....................................................................................... 147
6.4.1 基線驗證方法 ........................................................................... 147
6.4.2 基線驗證工具的使用 ............................................................... 149
7 自動化部署及監測 153
7.1 自動化部署及監測平台基本架構 ....................................................... 153
7.2 基線分發部署工具 ............................................................................... 155
7.2.1 功能 .......................................................................................... 155
7.2.2 使用方法 ................................................................................... 157
7.3 安全配置狀態監測及報告工具 ........................................................... 162
7.3.1 功能 .......................................................................................... 162
7.3.2 使用方法 ................................................................................... 164
7.4 安全配置符合性檢查工具 ................................................................... 166
7.4.1 工具功能 ................................................................................... 166
7.4.2 工具使用方法 ........................................................................... 168
8 安全配置實施管理 172
8.1 概述 ....................................................................................................... 172
8.2 安全配置實施流程 ............................................................................... 173
8.3 實施準備 ............................................................................................... 175
8.3.1 準備階段的工作內容 ............................................................... 175
8.3.2 需求調研 ................................................................................... 175
8.3.3 制定總體方案 ........................................................................... 179
8.3.4 制定管理制度 ........................................................................... 180
8.3.5 組織保障 ................................................................................... 180
8.4 基線制定 ............................................................................................... 181
8.4.1 基線制定階段的工作內容 ....................................................... 181
8.4.2 確定安全配置基本要求 ........................................................... 181
8.4.3 制定安全配置清單 ................................................................... 184
8.4.4 生成安全配置基線包 ............................................................... 190
8.5 測試驗證 ............................................................................................... 190
8.5.1 基線測試驗證階段的工作內容 ............................................... 190
8.5.2 搭建測試驗證環境 ................................................................... 190
8.5.3 開展測試驗證 ........................................................................... 191
8.5.4 安全配置調整 ........................................................................... 192
8.6 部署及監測 ........................................................................................... 192
8.6.1 安全配置部署階段的工作內容 ............................................... 192
8.6.2 搭建自動化部署及監測平台 ................................................... 193
8.6.3 基線分發 ................................................................................... 195
8.6.4 安全配置執行 ........................................................................... 195
8.6.5 安全配置監測 ........................................................................... 196
8.7 合規性檢查 ........................................................................................... 197
8.7.1 安全配置合規性檢查階段的工作內容 ................................... 197
8.7.2 合規性檢查 ............................................................................... 197
8.7.3 糾正安全配置偏差 ................................................................... 198
8.8 例外處理 ............................................................................................... 198
8.8.1 例外處理階段的工作內容 ....................................................... 198
8.8.2 審批備案 ................................................................................... 198
8.8.3 整改計畫 ................................................................................... 199
9 安全配置套用實踐 200
9.1 安全配置套用支撐平台 ....................................................................... 200
9.2 政務終端安全護理系統 ....................................................................... 201
9.3 政務安全虛擬桌面系統 ....................................................................... 206
9.4 終端安全配置線上服務平台 ............................................................... 211
附錄 安全配置清單詳細分類列表 216
前言
序
本書經過一年多的寫作、討論、修改和完善,終於要與廣大讀者見面了,我們感到非常高興。我們是長期從事信息安全技術研究的專業人員,應該說是國內計算機終端安全配置研究領域的開拓者和首批實踐者。
終端安全風險來源於系統漏洞,病毒木馬等惡意軟體的入侵是利用系統漏洞實現的,因此有效封堵和修復漏洞,提高終端自身的免疫力,是解決終端安全問題的根本之道。除了打補丁之外,另一件必須要做的事情是對作業系統進行合理的安全配置。通過安全配置,可以限制或禁止存在安全隱患的漏洞發揮作用,可以啟用或加強系統的安全保護功能,增強計算機抵抗安全風險的能力。
終端安全配置方法的重要性還體現在,這是一種從被動“防”到主動“控”的思維方式的轉變。主動針對終端系統的脆弱性進行安全配置和加固,可以做到防患於未然,起到事半功倍的作用。目前美國、澳大利亞等國家已經全面套用這項技術,並取得了顯著的套用效果。我國也非常重視和支持這一技術的推廣套用。
我們從2007 年開始研究終端安全防護和管理技術,2009 年借鑑美國聯邦政府實施的桌面核心配置(FDCC,Federal Desktop Core Configuration),重點研究符合我國信息系統安全保護要求的CGDCC 方法。2010 年受全國信息安全標準化技術委員會委託,我們承擔了國家標準《信息安全技術 政務計算機終端核心配置規範》的研製任務。同時,“政務終端核心配置標準研製及其驗證、套用平台建設項目”得到國家發改委的支持,列入2010 年國家高技術產業化發展項目計畫。
經過幾年的不懈努力,我們順利完成上述項目的建設任務,獲得了豐富的研究成果。我們共研製完成14 項終端核心配置標準,其中兩項成為國家標準。研發了一系列與之相配套的實施管理工具,用於終端核心配置的生成、驗證、分發部署、狀態監測及符合性檢查等。建成了覆蓋全國31 個省市的政務終端安全配置套用支撐平台,開展了標準試點和套用推廣工作,組織十餘次全國性宣傳、培訓和推廣活動,並在各省區市信息中心、地方政府部門、行業機構、軍工及科研單位成功示範套用。基於上述成果,我們將凝聚了我們多年實踐經驗的工具產品和最佳方案進行封裝,形成面向企業級套用的終端安全配置管理系統(CGDCC),面向垂直行業多級管理的終端安全護理系統(PCcare),面向雲計算虛擬化環境的政務安全虛擬桌面系統(GDesk),以及面向社會公眾的終端安全配置線上服務平台等,以期提供更全面、更簡捷和更有效的終端安全配置服務。
本書正是在總結上述建設成果的基礎上寫成的。2014 年初,國家標準《信息安全技術 政務計算機終端核心配置規範》(GB/T 30278-2013)正式頒布實施,本書可以作為培訓教材,幫助各政府機構更好地理解標準內容,做好終端安全配置管理工作。本書針對標準中提出的終端核心配置的基本概念、基本要求、自動化實現方法和實施管理流程等內容進行了全面而詳盡的解讀,讀者可以對照學習。
終端安全配置方法的專業性比較強,需要信息技術人員更多地去了解作業系統的安全機理和相關配置策略,才能用好這項技術。因此,從普及和實用角度出發,我們寫了這本專門介紹Windows 安全配置方法的書,讓廣大同行和讀者了解本領域最新的技術成果。配合這本書,我們在網站上,提供了安全配置學習、終端安全配置體檢和安全配置基線生成等線上服務功能供大家體驗。希望進一步學習和實踐的讀者可以從這個網站上下載相關免費工具和技術文檔。
作為全球第一本系統、全面地介紹Windows 安全配置方法的新著,它首次為廣大讀者深入揭示Windows 作業系統的安全機制,完整描述了安全配置基線和自動化支撐平台的技術細節。如果本書能夠幫助IT 管理人員提高機構的終端安全管理水平,我們將感到由衷的欣慰。
在緊張的科研工作之餘,我們齊心協力,終於完成了這本專業著作。本書的寫作由李新友統籌、審稿,劉蓓審核修改,許濤統稿。寫作分工如下:第1 章由蔡軍霞執筆;第2 章~第5 章、第9 章由許濤執筆;第6 章和第7 章由張海昆、袁志強執筆;第8 章由劉蓓執筆;附錄部分由王嘯天執筆。付宏燕協助對第1 章進行修改,劉帥參與了第9章的編寫。
我們還要特別感謝微軟公司對本書出版的支持,以及一直以來對我們計算機終端安全配置研究工作的支持。最後感謝電子工業出版社對本書出版提供的幫助!
為了能把全部內容及時展現給讀者,成書難免倉促,如有遺漏和不足之處,請大家批評指正。希望廣大讀者能夠從書中獲益。
作 者