Windows 2000安全Web應(yīng)用程序設(shè)計

譯者序
序言
前言
第一部分 安全性概述與安全應(yīng)用程序的設(shè)計
第1章 安全性基礎(chǔ)
1.1 為何要開發(fā)安全應(yīng)用程序
1.2 安全的定義
1.3 為什么安全性難以實(shí)現(xiàn)
1.4 基本原則
1.5 威脅、安全保護(hù)措施、弱點(diǎn)與攻擊
1.6 本章小結(jié)
第2章 開發(fā)安全Web應(yīng)用程序的過程
2.1 安全特性的設(shè)計過程
2.1.1 對業(yè)務(wù)和產(chǎn)品的需求
2.1.2 信息需求
2.1.3 威脅與風(fēng)險
2.1.4 安全策略
2.1.5 安全技術(shù)
2.1.6 安全服務(wù)程序
2.2 應(yīng)用程序的設(shè)計
2.3 應(yīng)用程序開發(fā)的舉例
2.3.1 建立業(yè)務(wù)模型
2.3.2 建立邏輯模型
2.3.3 建立物理模型
第二部分 各種不同的安全技術(shù)及其利弊的權(quán)衡
第3章 Windows 2000的安全特性概述
3.1 Active Directory的作用
3.2 經(jīng)過身份驗(yàn)證的登錄
3.3 身份驗(yàn)證
3.4 優(yōu)先權(quán)
3.5 用戶賬戶與用戶組
3.6 域與工作組
3.7 域/賬戶名與用戶主名
3.8 管理賬戶
3.9 安全身份標(biāo)識符
3.10 令牌
3.11 訪問控制列表
3.11.1 如何確定訪問權(quán)
3.11.2 使用命令行來運(yùn)行ACL
3.11.3 最低優(yōu)先權(quán)的原則
3.11.4 核查ACE
3.12 身份模仿
3.13 身份委托
3.14 Windows 2000的其他安全特性
3.14.1 Encrypting File System
3.14.2 IP Security協(xié)議
3.14.3 Security Configuration Editor
3.14.4 Windows File Protection
3.15 本章小結(jié)
第4章 Internet Explorer的安全特性概述
4.1 個人信息保密
4.2 代碼安全與帶有惡意的內(nèi)容
4.3 安全區(qū)域
4.3.1 Internet Explorer Administration Kit
4.3.2 其他工具中的安全區(qū)域
4.4 SSL/TLS與證書
4.5 Cookie安全特性
第5章 Internet Information Services安全特性概述
5.1 Internet身份驗(yàn)證
5.2 配置SSLJ/TLS
5.2.1 對SSL/TLS進(jìn)行配置的具體操作方法
5.2.2 SSL/TLS與多個Web站點(diǎn)
5.2.3 SSL/TLS與多個Web服務(wù)器
5.2.4 設(shè)置SSL/TLS密碼
5.3 IIS授權(quán)檢查：Windows 2000的安全特性與Web相結(jié)合
5.3.1 Web許可權(quán)
5.3.2 根據(jù)IP地址與域名來實(shí)施訪問限制
5.3.3 Permissions向?qū)?br />5.4 IIS進(jìn)程的身份標(biāo)識
5.4.1 保護(hù)等級
5.4.2 為什么必須使用IWAM_machinename賬戶
5.4.3 保護(hù)等級、ISAPI應(yīng)用程序和ISAPI過濾器
5.4.4 保護(hù)等級、身份模仿和RevertToSelf
5.5 本章小結(jié)
第6章 SQL Server安全特性概述
6.1 安全模式
6.1.1 集成式安全模式
6.1.2 混合式安全模式
6.1.3 設(shè)置SQL Server的安全模式
6.2 登錄、用戶和訪問許可權(quán)
6.3 網(wǎng)絡(luò)安全特性選項(xiàng)
6.3.1 Multi-Protocol網(wǎng)絡(luò)庫
6.3.2 Super Socket網(wǎng)絡(luò)庫
6.4 SQL Server的登錄
6.4.1 標(biāo)準(zhǔn)安全登錄
6.4.2 集成式Windows登錄
6.4.3 服務(wù)器的固定職能組
6.5 SQL Server數(shù)據(jù)庫的用戶
6.5.1 標(biāo)準(zhǔn)安全用戶
6.5.2 Windows組和用戶
6.5.3 dbo用戶
6.5.4 賓客用戶
6.6 SQL Server數(shù)據(jù)庫的職能組
6.6.1 固定數(shù)據(jù)庫職能組
6.6.2 用戶數(shù)據(jù)庫職能組
6.6.3 Public職能組
6.6.4 應(yīng)用程序職能組
6.7 SQL Server的許可權(quán)
6.7.1 語句許可權(quán)
6.7.2 對象許可權(quán)
6.7.3 grant、revoke和deny
6.7.4 對象所有權(quán)鏈
6.7.5 在SQL Server 2000中執(zhí)行安全性核查功能
6.8 本章小結(jié)
第7章 COM＋的安全特性概述
7.1 COM＋1.0的結(jié)構(gòu)
7.1.1 授權(quán)檢查方式概述
7.1.2 身份驗(yàn)證方式概述
7.2 COM＋1.0的身份驗(yàn)證方式
7.2.1 客戶機(jī)與應(yīng)用程序之間的信賴關(guān)系
7.2.2 對身份驗(yàn)證方式進(jìn)行配置
7.2.3 應(yīng)用程序的身份
7.3 COM＋1.0的授權(quán)檢查特性
7.3.1 COM＋1.0的職能組
7.3.2 控制對方法和專用應(yīng)用程序資源的訪問
7.3.3 三級授權(quán)檢查方案
7.4 故障調(diào)試方法
7.5 在Internet上使用DCOM
7.5.1 COM Internet服務(wù)程序
7.5.2 簡單對象訪問協(xié)議
第8章 身份驗(yàn)證和授權(quán)檢查的實(shí)際應(yīng)用
8.1 在何處執(zhí)行身份驗(yàn)證和授權(quán)檢查操作
8.2 應(yīng)用程序與操作系統(tǒng)的身份信息傳遞方式
8.3 各種IIS身份驗(yàn)證方式的性能的比較
8.4 身份驗(yàn)證和授權(quán)檢查的實(shí)際舉例
8.4.1 完全采用身份委托的運(yùn)行環(huán)境
8.4.2 將IIS、COM＋和SQL Server用作控制程序
8.4.3 Microsoft Passport
8.5 關(guān)于定制身份驗(yàn)證方式和口令的注意事項(xiàng)
8.6 本章小結(jié)
第9章 個人信息保密、數(shù)據(jù)完整性保護(hù)、核查和不得否認(rèn)的實(shí)用技術(shù)
9.1 個人信息保密和數(shù)據(jù)完整性保護(hù)技術(shù)概述
9.2 哪些地方會出現(xiàn)個人信息保密和數(shù)據(jù)完整性保護(hù)的問題
9.2.1 客戶計算機(jī)上的個人信息保密和數(shù)據(jù)完整性問題
9.2.2 在代理服務(wù)器上的個人信息保密和數(shù)據(jù)完整性保護(hù)問題
9.2.3 Internet上的個人信息保密和數(shù)據(jù)完整性保護(hù)問題
9.2.4 防火墻的個人信息保密和數(shù)據(jù)完整性保護(hù)問題
9.2.5 Web服務(wù)器上的個人信息保密和數(shù)據(jù)完整性保護(hù)問題
9.2.6 數(shù)據(jù)庫中的個人信息保密和數(shù)據(jù)完整性保護(hù)問題
9.3 如何減少對個人信息保密和數(shù)據(jù)完整性構(gòu)成的威脅
9.3.1 端對端的安全協(xié)議
9.3.2 永久性數(shù)據(jù)的安全保護(hù)
9.4 核查
9.5 關(guān)于不得否認(rèn)技術(shù)的介紹
9.5.1 關(guān)于不得否認(rèn)技術(shù)的更加正式的定義
9.5.2 為什么要使用不得否認(rèn)技術(shù)
9.5.3 使用有關(guān)的技術(shù)來支持不得否認(rèn)
9.5.4 Web應(yīng)用程序中的不得否認(rèn)
9.6 本章小結(jié)
第三部分 實(shí)際應(yīng)用
第10章 建立安全解決方案
10.1 綜合各種因素
10.1.1 配置計算機(jī)
10.1.2 對域進(jìn)行配置
10.1.3 對用戶進(jìn)行配置
10.1.4 對應(yīng)用程序進(jìn)行配置
10.1.5 所有配置已經(jīng)完成
10.2 在速度與安全性之間權(quán)衡利弊
10.2.1 數(shù)據(jù)庫與連接合并功能
10.2.2 標(biāo)識用戶身份、模仿身份和身份委托的連接速度
10.3 配置值的檢查表
10.3.1 客戶機(jī)的設(shè)置
10.3.2 Web服務(wù)器的設(shè)置
10.3.3 Middleware服務(wù)器的設(shè)置
10.3.4 數(shù)據(jù)庫服務(wù)器的設(shè)置
第11章 安全應(yīng)用程序的故障診斷
11.1 可以使用的工具和日志
11.1.1 充分利用MMC
11.1.2 其他非常有用的工具
11.1.3 人們不太了解的問題診斷工具
11.2 讀取Windows 2000登錄事件的方法
11.3 讀取IIS日志事件的方法
11.4 問題與解決辦法
11.4.1 運(yùn)行COM＋組件時返回Permission denied：‘CreateObject’
11.4.2 Permission denied：（訪問被拒絕），但是COM＋應(yīng)用程序的旋轉(zhuǎn)球仍然在轉(zhuǎn)
11.4.3 Login Failed for user ‘NULL’Reason：Not associaated with a trusted SQL Serverconnection（用戶“NULL”登錄失敗，原因：與受信賴的SQL Server連接無關(guān)）
11.4.4 Error：［DBNMPNTW］Access denied.（故障：［DBNMPNTW］訪問被拒絕）80004005 Microsoft OLE-DB Provide for SQL Server
11.4.5 Error：Login failed for user‘EXAIR＼Alice’.（故障：用戶“EXAIR＼Alice”登錄失敗）80040E4D Microsoft OLE DB Provider for SQL Server
11.4.6 Error：Login failed for user‘EXAIR＼AppAccount’（故障：用戶‘EXAIR＼AppAccount’登錄失?。?0040 E4D Microsoft OLE DBProvider for SQL Server
11.4.7 Error：EXECUTE permission denied on object‘spGetCurrentUser’data base‘ExAirHR’，owner‘dbo’（故障：對對象（數(shù)據(jù)庫‘ExAirHR’所有者‘dbo’）執(zhí)行EXECUTE許可權(quán)被拒絕）80040E09Microsoft OLE DB Provider for SQL Server”
11.4.8 Internet Explorer中的客戶證書對話框是空的
11.4.9 SQL Server報告的用戶名與IIS返回的用戶名不一致
11.4.10 當(dāng)將DNS名字用作Web服務(wù)器名字時提示輸入身份憑證
11.4.11 使用SSL/TLS時的安全告警
11.4.12 當(dāng)你知道你擁有對該資源的訪問權(quán)時，出現(xiàn)401.2-Unauthorized Error（未經(jīng)授權(quán)的錯誤）
11.4.13 401.3-Unauthorized Error或者要求管理員輸入用戶名口令
11.4.14 使用Digest身份驗(yàn)證方式時出現(xiàn)故障代碼401.4－Authorization Denied
11.4.15 當(dāng)你知道客戶證書沒有被撤消時，出現(xiàn)故障代碼403.13-Client Certifi－cateRevoked（客戶證書已經(jīng)被撤消）
11.4.16 403.15－Forbidden：client access LicensesExceeded（禁止：客戶訪問許可證的數(shù)量已經(jīng)超過規(guī)定）
第12章 防止攻擊的安全措施
12.1 為什么有人要攻擊Web服務(wù)器
12.2 攻擊Web服務(wù)器的方法
12.2.1 步驟1：尋找攻擊的主機(jī)
12.2.2 步驟2：掃描以便找出打開的端口
12.2.3 步驟3：收集其他信息
12.2.4 步驟4：實(shí)施攻擊
12.3 一些常見的攻擊
12.3.1 創(chuàng)建IP數(shù)據(jù)包
12.3.2 LAND（DoS攻擊）
12.3.3 Smurf（DoS攻擊）
12.3.4 SYN泛濫（DoS攻擊）
12.3.5 Teardrop（DoS攻擊）
12.3.6 HTTP“..”（信息泄露的攻擊）
12.3.7 將HTML或者腳本程序發(fā)送給Web服務(wù)器（多種形式的攻擊）
12.3.8 HTTP“：：＄DATA”（信息泄露的攻擊）
12.3.9 Windows NULL會話和Windows遠(yuǎn)程注冊表訪問（信息泄露的攻擊）
12.3.10 IP數(shù)據(jù)包分段（DoS攻擊）
12.3.11 ping泛濫（DoS攻擊）
12.3.12 路由跟蹤（探測/信息泄露攻擊）
12.3.13 分布式DoS攻擊
12.3.14 關(guān)于攻擊的小結(jié)
12.4 如何確定是否遭到了攻擊
12.4.1 激活核查日志
12.4.2 入侵檢測工具
12.5 用戶輸入的攻擊
12.5.1 將HTML、腳本程序或者專門創(chuàng)建的輸入發(fā)送給服務(wù)器
12.5.2 將大量的數(shù)據(jù)發(fā)送給服務(wù)器
12.6 當(dāng)遇到攻擊時應(yīng)該怎么辦
12.7 掌握最新的安全問題
12.8 最后應(yīng)該考慮的問題
12.9 本章小結(jié)
第四部分 參考信息
第13章 使用ADSI、WMI和COM＋進(jìn)行安全管理
13.1 什么是WMI
13.2 什么是ADSI
13.3 管理與安全特性配置的示例代碼
13.3.1 Windows 2000的設(shè)置
13.3.2 Internet Information Services 5的設(shè)置
13.3.3 SQL Server 7和SQL Server 2000的設(shè)置
13.3.4 其他COM＋腳本程序的設(shè)置
13.3.5 與IIS安全性相關(guān)的常用ADSI設(shè)置項(xiàng)
第14章 Windows 2000中的Kerberos身份驗(yàn)證方式簡介
14.1 什么是Kerberos身份驗(yàn)證
14.1.1 Kerberos支持互相進(jìn)行身份驗(yàn)證
14.1.2 Kerberos支持身份委托特性
14.2 Kerberos身份驗(yàn)證是如何進(jìn)行的
14.3 幾種有用的工具
14.3.1 KerbTray和Klitst 
14.3.2 SetSPN
14.4 Kerberos的票券運(yùn)行流程
14.5 本章小結(jié)
第15章 關(guān)于Windows 2000中的密碼技術(shù)和證書的介紹
15.1 密碼技術(shù)的基礎(chǔ)知識
15.1.1 數(shù)據(jù)的保密
15.1.2 檢查數(shù)據(jù)的完整性
15.1.3 檢驗(yàn)數(shù)據(jù)的真實(shí)性（某種程度上的真實(shí)性）
15.1.4 數(shù)字簽名和簽名操作過程
15.1.5 密鑰協(xié)議
15.2 關(guān)于證書的基礎(chǔ)知識
15.3 Windows 2000中的密碼技術(shù)和證書
15.3.1 CryptoAPI
15.3.2 Windows 2000中的證書
15.3.3 Microsoft Office 2000中的證書
15.4 本章小結(jié)
參考文獻(xiàn)