39、Windows Server安全配置与管理全解析

Windows Server安全配置与管理全解析

1. ESAE森林设计

ESAE森林设计应具备以下特性：
- 功能限制 ：ESAE森林的功能仅限于托管生产森林的管理用户账户。
- 资源部署 ：除非部署如Microsoft Identity Manager等用于增强特权访问管理（PAM）安全性的技术，否则不在ESAE森林中部署应用程序或额外资源。
- 单域结构 ：ESAE森林应为单域Active Directory森林。
- 账户数量 ：仅托管少量需要应用严格安全策略的账户。
- 单向信任 ：仅使用单向信任，配置生产森林信任ESAE森林，即ESAE森林的账户可在生产森林中使用，反之则不行。用于生产森林管理任务的账户在ESAE森林中应为标准用户账户，防止生产森林中的账户泄露后提升ESAE森林的权限。

ESAE森林服务器的配置方式如下：
- 验证安装介质 ：使用可用的校验和验证介质是否被修改。
- 操作系统版本 ：所有服务器运行最新版本的Windows Server操作系统。
- 安全更新 ：服务器自动进行安全更新。
- 安全配置基线 ：以安全配置工具包基线作为服务器配置的起点。
- 安全功能配置 ：配置服务器的安全启动、BitLo