2005年10月28日

WINDOWS系统可以做文件服务器,我们在服务器上建立了好多的共享目录.也设置了必要的权限.可是在客户端,没有权限访问目录的用户仍然可以看到目录的存在,这不仅给用户提供了破解目录密码或权限的可能,也不利于管理.现在好了,在WIN 2003 SP1里,MS提供了一个新的东西,叫ABE(Access-based Enumeration),它可以帮助你隐藏那些用户无权访问的目录了.

下载地址:


http://www.microsoft.com/downloads/details.aspx?FamilyID=04a563d9-78d9-4342-a485-b030ac442084&DisplayLang=en


在WIN2003 SP1里,MS在共享文件的control flag上增加了一个全新的属性,我们可以利用文件共享的NetshareSetinfo API来将该属性设置为SHI1005_FLAGS_ENFORCE_NAMESPACE_ACCESS,设置完成后,用户无权访问文件目录,就看不到它了.

安装过程:
1、将下载的安装文件包安装到需要设置ABE的计算机上(注意下载的文件有版本区别,分别是IA64、X64和I386)
归类于: Windows 2003 — yinjie[Exchange MVP] @ 3:51 pm 评论(4)

版权:本文版权属作者,转载请注明出处

很久之前就答应devilman要写一个关于KRA的文章,无奈由于大连的课程一直很多,一直也没有环境和时间去研究,今天课程快结束了,我搭建了完整的实验环境,终于有时间研究了一下WIN2003 EE的CA里的新功能–KRA(密钥恢复代理)的使用,写了这个文章,还将继续完成从EXCHANGE 2000 KMS到WIN 2003 CA的迁移。本打算只写一个的,看来不能了,因为内容太多了,只好改成连载了,呵呵……,另外,本文不讨论过多的KRA技术的原理,有对技术原理感兴趣的,可以仔细阅读下面的参考文章,本文只对KRA在实际操作中的实战做分析,请谅解。

首先给出原文的参考文章:Key Archival and Management in Windows Server 2003

这篇文章是英文的,且很难看明白(可能是我的水平不够吧),郁闷……

一、KRA证书的申请
申请证书之前,首先需要建立和安装企业根CA(独立根CA不能建立KRA证书),怎么安装这个不用说了吧。呵呵。。
安装CA后,你需要在证书模板中要选择上密钥恢复代理。否则不能申请该证书。
1、通过证书管理单元申请
归类于: Active Directory, Security, Windows 2003 — yinjie[Exchange MVP] @ 3:35 pm 评论(0)

原文:http://www.msexchange.org/tutorials/Protecting-Exchange-2003-Windows-Firewall.html



介绍
为了增加操作系统的安全性,微软在XP SP2里首次发布了新的主机防护产品–WINDOWS防火墙。该产品不仅可以取代原来的ICF给网络带来更大的保护,同时可以象真正意义上的防火墙那样,设置多种策略并可以统一管理。为我们的网络安全(尤其是单机安全)带来了方便。从这一点来说,WINDOWS防火墙可以说是一个全新意义的产品,它不仅改变了WINDOWS操作系统长期来的不安全因素,同时更在操作系统核心层对系统加以了安全防护,比起那些外挂的防火墙产品,更有亲和力和兼容性。

在经过了很长时间的期待后,终于我们在WINDOWS 2003的SP1里也看到了和XP SP2一样的安全更新,其中最突出的当然要属WINDOWS防火墙和SCW(安全配置向导)了。关于这方面的东西,我想介绍的很多了。我就不详细的描述它了。在这里我将把SP1的优越安全特性应用到保护EXCDHANGE服务器上,请看。

WINDOWS防火墙结构

http://support.microsoft.com/?id=896742
为了更加安全,你还可以对端口开放的区域做出限制,如只限制在内部网络。

http://support.microsoft.com/kb/270836/zh-cn

归类于: Exchange 2003, Windows 2003 — yinjie[Exchange MVP] @ 3:11 pm 评论(0)