Windows Server 2003 Security Guide学习笔记

Windows Server 2003 Security Guide是微软专家团队,为指导windows 2003的安全配置而撰写的一部免费guide,内容比较深,最好的是大部分内容不是枯燥的理论而是how to,并且提供了配置好的安全模板,检查清单等,适合企业级IT管理的流程文档,非常不错.

Chapter 1: Introduction to the Windows Server 2003 Security Guide

介绍了一下知识背景,全书结构,等琐碎内容,过......

Chapter 2: Configuring the Domain Infrastructure

书里把不同的应用服务器分类,来针对不同的类别,应用不同的安全模板.

对于域结构服务器,书中这样定义

Infrastructure servers include all of the nondomain controllers that are running basic network services,
including servers running WINS and DHCP services.因为DNS在活动目录结构下和DC整合了,所以不归到域结构服务器中.

如上图,微软推荐的做法是,为所有成员服务器,建立一个父OU,在父OU下,按用途分子OU,把服务器对象放置其中,并建立结构管理员组,来委派控制.

值得注意的是,在infrastructure子OU应用的组策略,应该设置no override,属性.

成功应用了组策略在event的系统事件中会有记录

Type: Information
Source ID: SceCli
Event ID: 1704
Description: Security policy in the Group policy objects has been applied
successfully.

gpupdate.exe 和重启服务器都能马上应用新的策略(计算机策略在机器重启时应用,用户策略在登陆域时应用,要应用用户策略只需要注销)

默认的,一般客户端服务器,每90分钟刷新一次策略,DC是每5分钟

Time Configuration

W32TM服务用来同步和DC同步时间,同步时间需要kerberos v5和NTLM v2,如果时间不能同步,Kerberos讲拒绝用户访问登陆.

同步时间还有助于分析时间发生的准确时间

W32TM使用NTP协议来同步时间,在一个windows 2003森林中,按照一下步骤同步时间

具有PDC角色的DC作为森林里的权威时间源.    其他DC和PDC做时间同步.   其他客户机在和各自联系的DC同步时间

(家中的电脑可以连上网,双击时间,选择internet时间,来同步时间)

附带的模版定义了相关的服务器建议采用的安全选项。
上图是推荐的OU结构和模版应用.

上图是推荐的管理组配置
Domain Engineering需要应用受限制的组的策略
修改各个GPO的安全属性，设置为仅仅Domain Engineering有权限去修改GPO

BEST PRACTICE PROCESS