附錄 M︰文件連結與建議閱讀資料

發行項
01/10/2024

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

附錄 M︰文件連結與建議閱讀資料

文件連結

下表包含外部文件和其 URL 的連結清單，讓此文件的紙本閱讀者可以存取這項資訊。連結會依其在文件中的出現順序列出。

連結	URL
安全性系統管理 10 大定律	https://technet.microsoft.com/library/cc722488.aspx
Microsoft Security Compliance Manager	https://technet.microsoft.com/library/cc677002.aspx
Gartner Symposium ITXPO	http://www.gartner.com/technology/symposium/orlando/
2012 年資料外泄調查報告 (DBIR)	http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
安全性十大定律 (2.0 版)	https://technet.microsoft.com/security/hh278941.aspx
使用啟發式掃描	https://technet.microsoft.com/library/bb418939.aspx
啟動下載	/windows/win32/secgloss/security-glossary
Microsoft 支援文章 2526083	https://support.microsoft.com/kb/2526083
Microsoft 支援文章 814777	https://support.microsoft.com/kb/814777
開啟 Web 應用程式安全性專案 (OWASP)	https://www.owasp.org/index.php/Main_Page
Microsoft 安全性開發生命週期	/windows/security/threat-protection/msft-security-dev-lifecycle
減輕傳遞雜湊 (PtH) 攻擊和其他認證竊取技術	https://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques_English.pdf
決定性敵人和目標性攻擊	https://www.microsoft.com/download/details.aspx?id=34793
透過 GPO 管理內建 Administrator 帳戶密碼的解決方案	https://code.msdn.microsoft.com/windowsdesktop/Solution-for-management-of-ae44e789
Microsoft 支援文章 817433	https://support.microsoft.com/?id=817433
Microsoft 支援文章 973840	/microsoft-365/admin/get-help-support
預設會停用 Administrator 帳戶	https://technet.microsoft.com/library/cc753450.aspx
Administrator 帳戶安全性規劃指南	https://technet.microsoft.com/library/cc162797.aspx
Microsoft Windows Security Resource Kit	https://www.microsoft.com/learning/en/us/book.aspx?ID=6815&locale=zh-tw
Windows Server 2008 R2 中 AD DS 的驗證機制保證逐步指南	https://technet.microsoft.com/library/dd378897(WS.10).aspx
Windows Server Update Services	https://technet.microsoft.com/windowsserver/bb332157
個人虛擬桌面	https://technet.microsoft.com/library/dd759174.aspx
唯讀網域控制站規劃和部署指南	https://technet.microsoft.com/library/cc771744(WS.10).aspx
在 Hyper-V 中執行網域控制站	https://technet.microsoft.com/library/dd363553(v=ws.10).aspx
Hyper-V 安全性指南	/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn741280(v=ws.11)
詢問目錄服務小組	https://blogs.technet.com/b/askds/archive/2011/09/12/managing-rid-pool-depletion.aspx
如何設定網域和信任的防火牆	https://support.microsoft.com/kb/179442
2009 年 Verizon 資料外洩報告	http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf
2012 年 Verizon 資料外洩報告	http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
Windows 2008 中的稽核變更簡介	https://blogs.technet.com/b/askds/archive/2007/10/19/introducing-auditing-changes-in-windows-2008.aspx
Vista 和 2008 中的實用稽核技巧	https://blogs.technet.com/b/askds/archive/2007/11/16/cool-auditing-tricks-in-vista-and-2008.aspx
全域物件存取稽核是魔術	https://blogs.technet.com/b/askds/archive/2011/03/10/global-object-access-auditing-is-magic.aspx
Windows Server 2008 和 Windows Vista 中的完整稽核	https://blogs.technet.com/b/askds/archive/2008/03/27/one-stop-shop-for-auditing-in-windows-server-2008-and-windows-vista.aspx
AD DS 稽核逐步指南	https://technet.microsoft.com/library/a9c25483-89e2-4202-881c-ea8e02b4b2a5.aspx
在 Windows 7 和 2008 R2 中取得有效稽核原則	http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
範例指令碼	http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
稽核選項類型	http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
Windows Server 2008 中的稽核和合規性	https://technet.microsoft.com/magazine/2008.03.auditing.aspx
如何使用群組原則，以在 Windows Server 2008 網域、Windows Server 2003 網域或 Windows 2000 Server 網域中設定 Windows Vista 型和 Windows Server 2008 型電腦的詳細安全性稽核設定	/troubleshoot/windows-server/group-policy/configure-group-policies-set-security
進階安全性稽核原則逐步指南	https://technet.microsoft.com/library/dd408940(WS.10).aspx
威脅和對策指南	https://technet.microsoft.com/library/hh125921(v=ws.10).aspx
MaxTokenSize 和 Kerberos 權杖膨脹	https://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize-and-kerberos-token-bloat.aspx
驗證機制保證	https://technet.microsoft.com/library/dd391847(v=WS.10).aspx
Microsoft 資料分類工具組	https://technet.microsoft.com/library/hh204743.aspx
動態存取控制	https://blogs.technet.com/b/windowsserver/archive/2012/05/22/introduction-to-windows-server-2012-dynamic-access-control.aspx
絕對軟體	https://www.absolute.com/company/press-releases/2009/computrace-by-absolute-software-now-supported-in-firmware-of-getac-computers/
絕對管理	https://www.absolute.com/resources/solution-sheets/itam/
絕對管理 MDM	https://www.absolute.com/company/press-releases/2012/absolute-manage-the-first-mdm-solution-with-integrated-secure-document-distribution-and-management-for-ipads/?campaignid=983063266&adgroupid=136612784634&feeditemid=&loc_physical_ms=9003653&matchtype=&network=g&device=c&gclid=CjwKCAjwyryUBhBSEiwAGN5OCHt2V4ncG6tH-QxzCEYK-OV4yQhIOyQp-n51UZZjS87_vrK5qPcE-xoCDL8QAvD_BwE&creative=583299092096&keyword=&adposition=&utm_term=&gclid=CjwKCAjwyryUBhBSEiwAGN5OCHt2V4ncG6tH-QxzCEYK-OV4yQhIOyQp-n51UZZjS87_vrK5qPcE-xoCDL8QAvD_BwE
SolarWinds	https://www.solarwinds.com/
EminentWare WSUS 延伸套件	http://solarwinds-marketing.s3.amazonaws.com/solarwinds/Datasheets/EminentWare-WSUS-Extension-Pack-005-Datasheet2.pdf
EminentWare Configuration Manager 延伸套件	http://solarwinds-marketing.s3.amazonaws.com/solarwinds/Datasheets/EminentWare-Extension-Pack-for-CM-Datasheet-006-Revised.pdf
GFI 軟體	http://www.gfi.com/?adv=952&loc=58&gclid=CLq9y5603rMCFal7QgodMFkAyA
GFI LanGuard	http://www.gfi.com/network-security-vulnerability-scanner/?adv=952&loc=60&gclid=CP2t-7i03rMCFQuCQgodNkAA7g
Secunia	http://secunia.com/
Secunia Corporate Software Inspector (CSI)	http://secunia.com/products/corporate/csi/
弱點情報管理員	http://secunia.com/vulnerability_intelligence/
eEye 數位安全性	http://www.wideeyesecurity.com/?gclid=CK6b0sm13rMCFad_QgodhScAiw
Retina CS 管理	http://www.wideeyesecurity.com/products.asp
Lumension	http://www.lumension.com/?rpLeadSourceId=5009&gclid=CKuai_e13rMCFal7QgodMFkAyA
Lumension 弱點管理	http://www.lumension.com/Solutions/Vulnerability-Management.aspx
威脅和對策指南：使用者權利	https://technet.microsoft.com/library/hh125917(v=ws.10).aspx
威脅和弱點防護	https://technet.microsoft.com/library/cc755181(v=ws.10).aspx
使用者權利	https://technet.microsoft.com/library/dd349804(v=WS.10).aspx
存取認證管理員作為信任的呼叫者	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_2
從網路存取這台電腦	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_1
當成作業系統的一部分	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_3
將工作站新增至網域	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_4
調整處理序的記憶體配額	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_5
允許本機登入	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_6
允許透過終端機服務登入	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_7
備份檔案和目錄	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_8
略過周遊檢查	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_9
變更系統時間	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_10
變更時區	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_11
建立分頁檔	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_12
建立權杖物件	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_13
建立全域物件	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_14
建立永久共用物件	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_15
建立符號連結	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_16
偵錯程式	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_17
拒絕從網路存取這台電腦	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_18
拒絕以批次工作登入	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_18a
拒絕以服務方式登入	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_19
拒絕本機登入	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_20
拒絕透過終端機服務登入	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_21
讓電腦和使用者帳戶受信任以進行委派	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_22
強制從遠端系統關機	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_23
產生安全性稽核	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_24
在驗證後模擬用戶端	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_25
增加程序工作集	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_26
增加排程優先順序	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_27
載入和卸載裝置驅動程式	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_28
鎖定記憶體中的分頁	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_29
以批次工作登入	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_30
登入為服務	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_31
管理稽核和安全性記錄檔	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_32
修改物件標籤	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_33
修改韌體環境值	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_34
執行磁碟區維護工作	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_35
設定檔單一程序	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_36
設定檔系統效能	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_37
從銜接站移除電腦	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_38
取代程序層級權杖	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_39
還原檔案和目錄	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_40
關閉系統	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_41
同步處理目錄服務資料	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_42
取得檔案或其他物件的所有權	https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_43
存取控制	https://msdn.microsoft.com/library/aa374860(v=VS.85).aspx
Microsoft 支援服務	/microsoft-365/admin/get-help-support
rootDSE 修改作業	https://msdn.microsoft.com/library/cc223297.aspx
AD DS 備份和復原逐步指南	https://technet.microsoft.com/library/cc771290(v=ws.10).aspx
Kerberos 所支援加密類型的 Windows 設定	/archive/blogs/openspecification/windows-configurations-for-kerberos-supported-encryption-type
UAC 程序和互動	https://technet.microsoft.com/library/dd835561(v=WS.10).aspx#1
角色型存取控制 (RBAC)	https://www.ibm.com/docs/en/aix/7.3?topic=control-aix-rbac
RBAC 模型	http://docs.oracle.com/cd/E19082-01/819-3321/6n5i4b7ap/index.html
Active Directory 中心存取控制	http://www.centrify.com/solutions/it-security-access-control.asp
Cyber-Ark 的 Privileged Identity Management (PIM) Suite	http://www.cyber-ark.com/digital-vault-products/pim-suite/index.asp
Quest One	https://www.quest.com/products/gpoadmin/
Enterprise Random Password Manager (ERPM)	https://www.beyondtrust.com/blog/entry/bomgar-privileged-identity
NetIQ 特殊權限使用者管理員	https://www.netiq.com/products/privileged-user-manager/
CA IdentityMinder	https://www.scmagazine.com/feature/sc-awards-2007-time-to-be-counted
Windows Vista 和 Windows Server 2008 中的安全性事件描述	/windows/win32/wmisdk/event-security-constants
Windows 7 和 Windows Server 2008 R2 中的安全性事件描述	/windows/win32/win7appqual/security
Windows 7 的安全性稽核事件	https://www.microsoft.com/download/details.aspx?id=21561
Windows Server 2008 R2 以及 Windows 8 和 Windows Server 2012 安全性事件詳細資料	https://www.microsoft.com/download/details.aspx?id=35753
佐治亞理工大學 2013 年新形態網路威脅報告	https://journalistsresource.org/economics/emerging-cyber-threats-report-2013/
Microsoft Security Intelligence Report	/azure/defender-for-cloud/threat-intelligence-reports
澳大利亞政府防禦訊號目錄前 35 名風險降低策略	http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm
雲端運算安全性優點	/azure/defender-for-cloud/enhanced-security-features-overview
在 Windows 上將最低權限原則套用至使用者帳戶	/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models
Administrator 帳戶安全性規劃指南	/sharepoint/security-for-sharepoint-server/plan-for-administrative-and-service-accounts
保護 Active Directory 安裝的最佳做法指南 (針對 Windows Server 2003)	/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn487446(v=ws.11)
委派 Active Directory 系統管理的最佳做法 (針對 Windows Server 2003)	/azure/active-directory/external-identities/b2b-fundamentals
Microsoft 支援生命週期	https://support.microsoft.com/common/international.aspx?RDPATH=%2flifecycle%2fdefault.aspx
Active Directory 技術規格	https://msdn.microsoft.com/library/cc223122(v=prot.20).aspx
已獲委派控制權的非系統管理員使用者嘗試將電腦加入 Windows Server 2003 型或 Windows Server 2008 型網域控制站時的錯誤訊息：「拒絕存取」	https://support.microsoft.com/kb/932455
Windows Server 2008 R2 中 AD DS 的驗證機制保證逐步指南	https://technet.microsoft.com/library/dd378897(WS.10).aspx
嚴格 KDC 驗證	https://www.microsoft.com/download/details.aspx?id=6382

建議閱讀資料

下表包含建議閱讀資料清單，將可協助您增強 Active Directory 系統的安全性。

建議閱讀資料
佐治亞理工大學 2014 年新形態網路威脅報告
Microsoft Security Intelligence Report
減輕傳遞雜湊 (PTH) 攻擊和其他認證竊取技術
澳大利亞政府防禦訊號目錄前 35 名風險降低策略
2012 年資料外泄調查報告 - (Verizon，美國特勤局)
2009 年資料外泄調查報告
雲端運算安全性優點
在 Windows 上將最低權限原則套用至使用者帳戶
Administrator 帳戶安全性規劃指南
保護 Active Directory 安裝的最佳做法指南 (針對 Windows Server 2003)
委派 Active Directory 系統管理的最佳做法 (針對 Windows Server 2003)
Microsoft 支援生命週期
Active Directory 技術規格 - dSHeuristics 資訊
已獲委派控制權的非系統管理員使用者嘗試將電腦加入 Windows Server 2003 型或 Windows Server 2008 型網域控制站時的錯誤訊息：「拒絕存取」
Best Practice Guide for Securing Active Directory Installations.doc
Hyper-V 安全性指南
Windows Server 2008 R2 中 AD DS 的驗證機制保證逐步指南。
嚴格 KDC 驗證

著作權資訊

本文件包含的資訊代表 Microsoft Corporation 對於截至文件發行當日為止探討之問題的最新觀點。由於 Microsoft 必須回應不斷變動的市場狀況，因此您不應該將這些觀點解讀成 Microsoft 所做的承諾，而且 Microsoft 也無法保證發行日期後提出之任何資訊的正確性。

本白皮書僅供參考。在本文件中，Microsoft 不提供任何明示或默示的保證。

遵守所有適用之著作權法係使用者的責任。在不影響著作權法律所賦予權利之情況下，未經 Microsoft Corporation 明示書面許可，不得將本文件任何部分重製、儲存或引進檢索系統，或以任何形式、任何方式 (電子、機械、影印、錄音或其他方式) 或因任何目的進行傳輸。

Microsoft 對本文件所述及之主題可能擁有專利權、申請中專利權、商標權、著作權或其他智慧財產權。除非 Microsoft 書面授權合約中所明示規定者外，提供本文件並不授予貴用戶上述專利權、商標、著作權或其他智慧財產權。

Microsoft、Active Directory、BitLocker、Hyper-V、Internet Explorer、Windows Vista、Windows 和 Windows Server 是 Microsoft Corporation 在美國及 (或) 其他國家/地區的註冊商標或商標。所有其他商標皆為個別擁有者的財產。

此處所描述的範例公司、組織、產品、網域名稱、電子郵件地址、商標、人員、地點與事件均屬虛構。並非影射任何真實的公司、組織、產品、網域名稱、電子郵件地址、商標、人員、地點或事件。

2013 Microsoft Corporation. 著作權所有，並保留一切權利。

共用方式為

附錄 M︰文件連結與建議閱讀資料