Asp的安全管理(11)

安全

附录 B:访问策略最佳方案
ASP 的组策略对象 (GPO) 的最佳配置方案
在基于 Windows 2000 Active Directory 的 ASP 企业环境中工作时,认真设计策略非常重要,它可以最大程度地减少冗余和重新定义,并最大程度地增加可管理性。遗憾的是,这两个目标可能发生矛盾。要减少冗余和重新定义,ASP 应当设法定义非常详尽的 GPO。而增加可管理性,ASP 的 GPO 数目应当少。减少与各种范畴相关的 GPO 数对性能也很关键。要达到平衡,需花费一定的时间来设计 ASP 的基本结构中的策略规划。

完成一个有组织规划的步骤包括:

将策略进行逻辑分组。例如,帐号策略组成一个逻辑组。
用包含可能的策略值的不同策略设置,为每个逻辑分组定义一个或多个 GPO。例如,可以有一个包含不同域的帐号策略的 GPO 和另一个针对服务器和桌面上本地帐户的 GPO。
使用组织单元 (OU) 将计算机分到层次树结构中。这种划分应当依据角色 — 即各台计算机的目的和功能。例如,默认情况下,所有域控制器应放在域控制器 OU 中,以使它们具有一致的策略。
通常,每个 OU 应当映射到对整个 OU 中所有计算机都适用的某个策略。这可能非常棘手,因为 OU 可定义 ASP 的管理层次以及 ASP 的地理分布。但是,ASP 的策略定义时常会覆盖公司和地理分布。

当 ASP 想要将策略应用到整个 ASP 组织的计算机子集时,ASP 可执行下列操作:

在 ASP 的不同部分创建子 OU,以便将特定的策略分配给这些子 OU 中的每一个。
如果 ASP 不想创建纵深的 OU,他可用 GPO 的基于权限的筛选机制来确定在给定的 OU 中特定的 GPO 适用于哪些计算机。
安全策略的优先顺序
了解与 Active Directory 域和 OU 相关的安全策略的优先顺序非常重要,因为它们优先于本地级别建立的策略。与 Active Directory 域和 OU 相关的 ASP 安全策略的默认优先顺序通常和组策略相同。从最低到最高的优先顺序如下:

本地策略
域策略
OU 策略
本地策略(对计算机本身定义的策略)优先级最低,而与直接包含计算机的 OU 相关策略的优先级最高。

因此,域的策略优先于本地定义的策略。了解这一点很重要,因为它所导致的结果与以前版本 Windows NT 中所看到的现象大不相同。例如,配置域 OU 的密码策略时(如同默认情况),对该域中的每台计算机都配置了这些密码策略。这意味着域中的本地帐户数据库(个别工作站上)具有和域本身一样的密码策略。在 Windows NT 4.0 中,为域定义的密码策略不影响成员工作站和服务器上的本地帐户数据库的密码策略。

访问控制
Active Directory 可大大简化在容器、组、用户、计算机和其它资源对象的整个树层次内分配权限和特权的分发工作。

要想充分利用这一点,需按下列常用规范操作:

在组的基础上分配用户权限。
依赖于组分配的继承性。由于直接维护用户帐户效率不高,因而一般不在用户的基础上分配权限。
尽量在容器数的高处指定权限。这样可以用最少的工作量获得最好的效果。建立的权限应当适合多数安全规则。
应用继承性在整个容器树中传播权限。就像在树的较高级别应用访问控制可提供范围广度一样,继承可提供深度访问。ASP 可快速有效地将访问控制应用到父对象的所有子对象。
将容器的管理委派给管理这些容器所在计算机的 ASP 和客户管理员。通过委派授权来管理容器的权限,ASP 可分散管理操作和问题。这样,通过分配离服务点更近的管理,可以降低总拥有成本。
在 ASP 中部署 Windows 2000 时,它们必须针对正在使用的默认安全级别。
Windows 2000 对全新安装的系统定义三种安全级别 — Users、Power Users 和 Administrators。默认情况下,所有最终用户(内部和客户)都是“Users”组的成员,如果 ASP 只打算运行认证的 Windows 2000 的应用程序,这是可行的。但是,如果 ASP 需要支持未经 Windows 2000 认证的应用程序,则他们必须进行下列操作:
使所有最终用户都成为“Power Users”而不是“Users”。
修改默认的安全设置来增加授予“Users”的权限。
这些步骤中的任何一个都可作为整个 ASP 安全策略的一部分来实施,或作为安装过程的一部分应用于个别计算机。与 Windows 2000 Server 一起提供了一个安全模板,它为用户“设立”适当的安全级别。

该模板位于:systemroot\security\templates\compatws.inf

对于从 Windows NT 升级到 Windows 2000 的计算机,还有其它方面的问题。

在升级期间不修改安全性,因此升级后,未经 Windows 2000 鉴定的应用程序无需修改即可继续运行。
如果 ASP 想升级计算机来使用新的 Windows 2000 安全默认值,则在下列目录中提供 Windows 2000 默认的安全设置:systemroot\security\templates\basicwk.inf.

时间: 2024-08-03 18:59:26

Asp的安全管理(11)的相关文章

Asp的安全管理(3)

安全 <img src=/uploadpic/2007-2/20072522292777.GIF>型 在 MOF 模型的所有层面中都嵌入了安全管理.每个层面必须遵守设立的安全策略,包括 ASP 内部安全策略以及在 SLA 中与客户约定的安全策略.对于每个层面,安全性必须涉及: 机密性 完整性 可用性 安全性的维护对 ASP 而言是一笔巨大的开销,但是若没有好的安全性,将会付出更大的代价,因为这样将使客户失去信心.安全管理的目的是确保业务的连续性以及将破坏 ASP 安全的损害减至最小. 有关 M

ASP连接数据库的11种方法及相关语法

连接数据库|语法 编辑注:学会了这些东西,您将基本可以独立完成ASP对数据库的所有操作. ASP连接数据库的11种方法--本文总结了使用ASP链接各种数据库的方法: 1.Access数据库的DSN-less连接方法: set adocon=Server.Createobject("adodb.connection") adoconn.Open"Driver={Microsoft Access Driver(*.mdb)};DBQ="& _ Server.Ma

动态网页设计:ASP连接数据库的11种方法

动态|连接数据库|设计|网页|网页设计 ASP连接的11种方法--本文总结了使用ASP链接各种的方法: 1.Access的DSN-less连接方法: setadocon=Server.Createobject("adodb.connection")adoconn.Open"Driver={MicrosoftAccessDriver(*.mdb)};DBQ="&_Server.MapPath("所在路径") 2.AccessOLEDB连接方

返璞归真 asp.net mvc (11) - asp.net mvc 4.0 新特性之自宿主 Web API, 在 WebForm 中提供 Web API, 通过 Web API 上传文件, .net 4.5 带来的更方便的异步操作

原文:返璞归真 asp.net mvc (11) - asp.net mvc 4.0 新特性之自宿主 Web API, 在 WebForm 中提供 Web API, 通过 Web API 上传文件, .net 4.5 带来的更方便的异步操作 [索引页][源码下载] 返璞归真 asp.net mvc (11) - asp.net mvc 4.0 新特性之自宿主 Web API, 在 WebForm 中提供 Web API, 通过 Web API 上传文件, .net 4.5 带来的更方便的异步操作

Asp的安全管理(4)

安全 有关本章中论及的所有主题的详细信息,请参见 ITIL Library 的"Security Management"部分: http://www.itil.co.uk/ 或 ITIL Security Management 一书 (ISBN 0 11 330014 X). 与其它 MOF 层面的关系安全管理功能与涉及安全问题的其它 MOF 层面关系密切.这些问题包括数据的机密性.完整性和可用性,以及硬件和软件组件.文档和步骤的安全性.主要的联系描述如下. MOF 优化阶段 可用性管

Asp的安全管理(10)

安全 小结 保护客户和 ASP 的数据不受到恶意攻击(有意的或无意的)的损害是"安全管理"的全部内容.对安全管理是什么以及 ASP 及其客户可以采取的方法有一个清晰的了解非常关键,其中包括什么是安全策略以及需要达到什么样的安全级别.需要确定 SLA 本身以及它提供的安全级别,并需要采取相应的安全措施.安全措施包括人员.过程和技术.过程涉及到沟通.升级以及围绕安全管理的过程和步骤.人员需要进行培训,并能够理解和执行所有的安全措施以及与之伴随的不断变化的技术. 要对所有的方面进行综合考虑以

Asp的安全管理(1)

安全 Microsoft 企业服务白皮书 发布日期:2000 年 9 月 1.0 版 摘要 本白皮书系有关 Microsoft 企业服务 (ES) 框架的系列文章之一.要了解该系列出版物的完整清单,请访问 ES Web 站点:http://www.microsoft.com/enterpriseservices/. 该白皮书介绍应用程序服务提供方 (ASP) 环境中安全管理的功能和关键问题.凡是阅读本白皮书的人,均应首先阅读"Microsoft Operations Framework Exec

Asp的安全管理(5)

安全 ASP 的安全策略ASP 为什么需要安全策略? 在 ASP 的安全管理过程中,必须有一个通道来及时地传递任何一个给定点的现有状态.安全策略充当了这一角色.它们是对 ASP 一贯使用的当前安全要求和指导方针以及步骤的书面表示.一致的策略将使 ASP 内部清楚在安全方面必须做什么.如果 ASP 要看到在安全状态上的迅速改进,则建立安全策略是评估之后的逻辑步骤,并且应当启动而作为安全规划的一个辅助因素. 当安全管理的规划展开时,环境中的特定因素将会改变.出现变化时,策略将被检查并修改,以确保它们

Asp的安全管理(7)

安全 ASP 的最佳安全做法 引言安全管理的主要目标是保证 SLA 中规定的 ASP 和客户之间的机密性.完整性和可用性的级别.最佳做法可向 ASP 展示如何确保实现安全目标. Active Directory 的主要安全优势使用 Active Directory 服务,ASP 可更好地为内部用户和外部客户提供适当的安全性.从根本上说,Active Directory 是 ASP 安全策略和帐户信息的中心位置. ASP 可用 Active Directory 安全功能来自定义 ASP 的安全策略