这些工具还应当可以分析组策略,一直下行至用户级。可以使用其它工具来分析监视过程中收集到的全部数据。这些工具通常特别依赖于统计技术。 使用 Windows 2000 的 ASP 管理员可用“Windows 2000 安全配置工具集”的下列组件来配置上述部分或全部的安全方面。 “安全模板”管理单元。“安全模板”管理单元是独立的 Microsoft 管理控制台 (MMC) 管理单元,它可以创建基于文本的模板文件,该文件包含所有安全方面的安全设置。 “安全配置和分析”管理单元。“安全配置和分析”管理单元是独立的 MMC 管理单元,它可以配置或分析 Windows 2000 操作系统的安全性。其操作基于使用“安全模板”管理单元创建的安全模板的内容。 Secedit.exe。Secedit.exe 是“安全配置和分析”管理单元的命令行版本。它可以使安全配置和分析在没有图形用户界面 (GUI) 的情况下执行。 对组策略的安全设置扩展。“安全配置工具集”还包括一个对组策略编辑器的扩展管理单元,用来配置本地安全策略以及域或组织单元 (OU) 的安全策略。本地安全策略只包括上述“帐号策略”和“本地策略”的安全范围。为域或 OU 定义的安全策略可包括所有的安全性范围。 ASP 安全任务和方法介绍
创建网络安全时,会用到许多策略、任务和方法。下面是对它们的简要介绍。 安全通信和概念 介绍和解释在 ASP 的策略规划中针对风险的安全策略 提供安全概念和词汇的背景材料,使读者熟悉安全规划 确定 ASP 网络的安全风险。在安全规划中将其列出并加以解释 执行所有必要的安全措施(不要忘记物理方法) 严密监视安全性 审核、评估、改进和培训所有的步骤和策略
定义访问控制 确定 ASP 的组织目前如何使用组和建立组名称的规范,以及如何使用组类型 介绍用于对 ASP 范围内资源进行广泛安全访问的顶层安全组。它们可能是客户通用组 介绍访问控制策略,特别是关于如何以一致的方式使用安全组 确定创建新组的步骤以及由谁负责管理组成员 确定代表管理员控制特定任务的条件,介绍什么是客户管理员的任务以及什么是 ASP 管理员的任务 规定 ASP 策略以保护管理员帐户和管理控制台 审核、评估、改进和培训所有步骤及策略
远程客户或用户访问 描述支持客户或用户远程访问的 ASP 策略 建立一个规划来传递远程访问步骤,包括连接方法 建立通过专用连接连接到客户网络的策略 审核、评估、改进和培训所有步骤及策略
身份验证访问 确保对网络资源的所有访问都需要使用域帐户进行身份验证 确定用户群(ASP 内部和客户用户)的哪一部分需要对交互式或远程访问登录使用有效的身份验证 如果需要有效的身份验证,则确定部署公钥安全以及(或)进行智能卡登录的规划 定义用户帐户的密码长度、更改间隔以及复杂性要求 确定一个 ASP 策略来消除在任何网络上纯文本密码的传输,并制定出支持一次性登录或保护密码传输的策略 审核、评估、改进和培训所有步骤及策略
代码签名和软件签名 规定下载的代码所需要的安全级别 部署内部的 ASP 步骤,对所有公开分发的内部开发软件实施代码签名 审核、评估、改进和培训所有步骤及策略
部署“安全应用程序”策略 建立测试规划和单独的测试环境 来确认 ASP 应用程序是否在适当配置的安全系统下正常运行 确定还需要什么样的附加应用程序来加强安全功能以达到 ASP 的安全目标 进行适当的更改管理,包括在发布之前对更改的认可和安全验证 审核、评估、改进和培训所有步骤及策略
启用数据保护 确定对敏感或保密客户和内部信息进行识别和管理的 ASP 策略,并确定保护这些敏感数据的条件 确定存放敏感客户(或内部)数据的 ASP 服务器,这些数据可能需要附加的数据保护以防止窃取 建立一个使用 IPSec 的部署规划,以保护远程访问数据或访问敏感的 ASP 数据服务器 审核、评估、改进和培训所有步骤及策略