優(yōu)秀的接班人——Windows Server 2008
如果你已經對Windows Server 2003家族建立了相當?shù)男湃危踔琳J為2003已經很完美,那么,想想Windows Vista 或Windows 7里強大的可靠性監(jiān)視程序和任務管理器、高級防火墻、以假亂真的Windows XP Mode(僅Windows 7提供)以及固若金湯的BitLocker,你是不是覺得,2003已經老了?
諸多的新功能中,高級安全Windows防火墻、活動目錄審核、只讀域控制器(RODC)、網絡訪問保護(NAP)和可以在服務器上部署的BitLocker這幾項功能,共同為基于Windows Server 2008搭建的網絡保駕護航,它們成就了Windows Server 2008的最佳安全性體驗。
高級安全Windows防火墻
為了保護服務器操作系統(tǒng)和運行于其上的各種服務,我們構建了各種軟、硬件防火墻系統(tǒng),并且不惜犧牲系統(tǒng)性能,在每臺服務器上運行防護軟件。因為即使是強大的ISA,也無法精細到對每臺服務器提供單機保護。而基于Windows 5.0核心的XP、2003操作系統(tǒng)自帶的Windows防火墻,曾經給我們帶來了希望——它們存在于每臺服務器和客戶端上,是否可以給我們提供完美的保護呢?結果是,因為設計架構的限制,Windows防火墻并沒有提供完整的網絡防護,而且這個遺憾一直持續(xù)到Windows Server 2008的發(fā)布。
Windows Server 2008攜帶的高級安全Windows防火墻帶來了一些新的特性和改進,包括允許創(chuàng)建入站和出戰(zhàn)通訊的防火墻規(guī)則,像ISA那樣為程序或數(shù)據包制定入站和出戰(zhàn)策略以及與IPSec的結合的能力。
高級安全Windows防火墻提供了新的圖形化界面。還記得XP和2003中那個Windows防火墻選項卡嗎?現(xiàn)在你可以跟她說再見了,在Windows Server 2008中,你要通過一個管理控制臺單元來配置這個高級防火墻(圖1)
圖1 Windows 高級防火墻管理控制臺界面
在這個界面中,你可以創(chuàng)建、修改和刪除規(guī)則,對規(guī)則進行配置時,可以從各種標準中進行選擇:例如應用程序名稱、系統(tǒng)服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網絡適配器)、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標準疊加在一起;添加的標準越多,高級安全Windows防火墻匹配傳入流量就越精細。比如你可以利用高級安全Windows防火墻來過濾沖擊波病毒包或者是禁止QQ數(shù)據通過。
當傳入數(shù)據包到達計算機時,高級安全Windows防火墻檢查該數(shù)據包,并確定它是否符合防火墻規(guī)則中指 定的標準。如果數(shù)據包與規(guī)則中的標準匹配,則高級安全Windows防火墻執(zhí)行規(guī)則中指定的操作,即阻止連接或允許連接。如果數(shù)據包與規(guī)則中的標準不匹配,則高級安全Windows防火墻丟棄該數(shù)據包,并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。你還可以為域、特定對象或者全部對象分別創(chuàng)建不同的匹配策略。
高級安全Windows防火墻的匹配規(guī)則可以提供雙向的保護,即對出站、入站通信均進行過濾,然后攔截有威脅的數(shù)據包。這樣不但保護計算機自身不被攻擊,也能阻止已受感染的計算機不能輕易的發(fā)起攻擊,避免更大的損失。
高級安全Windows防火墻還將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據保護(完整性和加密)以及身份驗證設置。
順便提一下,因為Windows Server 2008對IPSec做了不少的改進,不僅提供了新的IPv6協(xié)議支持,還支持新的加密方法。并且被集成到系統(tǒng)各個安全部分,諸如剛剛提到的高級安全Windows防火墻、NAP甚至群集服務中。更難得的是,IPSec的配置界面相比之前有了很大的簡化,降低了部署的難度,更利于企業(yè)部署IPSec,降低了企業(yè)的成本,微軟還為IPSec擴展了事件和性能監(jiān)視器的計數(shù)器,管理員可以能夠通過性能監(jiān)視器對IPSec進行相應的監(jiān)控,有效的提高維護效率。
活動目錄審核
在安全性要求較高的場合,我們可以使用組策略中的審核策略,來記錄用戶的各種可能會影響安全性的行為。通過審核策略,我們就可以識別惡意猜解密碼或者攻擊某個服務的嘗試。先前的審核策略包含了對于文件資源、用戶賬戶和目錄訪問的審核記錄(圖2),但這些記錄只能告訴我們什么時候誰來過,卻不知道到訪者究竟做了什么。相對于文件夾和文件對象,用戶在活動目錄對象上能做的事情更多,而且影響也更大,我們需要記錄他們的具體行為。以便在排除故障時,清楚地回溯歷史操作。
圖2 Windows Server 2003的審核策略
Windows Server 2008中實現(xiàn)的活動目錄審核能夠通過對系統(tǒng)訪問控制列表(SACL)的修改。查看用戶對于活動目錄對象的訪問和修改,在Windows Server 2008中是默認就啟用的,審核功能既能夠審核成功的操作,也能夠審核失敗的操作,這樣就能夠最大限度的保障活動目錄的安全性。與在Windows 2000 Server和Windows Server 2003中只有一種審核策略來審核目錄服務訪問不同,用來控制審核目錄服務事件是被啟用或者禁用的單一審核策略在Windows Server 2008中被劃分成四個子類別,它們分別是:
目錄服務訪問(Directory Service Access)
目錄服務更改(Directory Service Changes)
目錄服務復制(Directory Service Replication)
詳細的目錄服務復制(Detailed Directory Service Replication)
在圖3中的位置啟用活動目錄審核后,就會同時打開以上的全部四個子類別。
圖3 打開活動目錄訪問審核策略
正因為新的審核子類——目錄服務更改的出現(xiàn),AD DS對象屬性的更改才能被審核。我們能夠審核的更改類型被細化到創(chuàng)建,修改,移動以及反刪除。這些事件都將被記錄在安全日志中。
在AD DS中新的目錄服務更改審核策略子類增加了以下的功能:
當對對像的屬性修改成功時,AD DS會紀錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個以上的值時,只有作為修改操作結果變化的值才會被記錄。
如果新的對像被創(chuàng)建,屬性被賦予的時間將會被記錄,屬性值也會被記錄,在多數(shù)情景中,AD DS分配缺省屬性給諸如SAMAccountName等系統(tǒng)屬性,這些系統(tǒng)屬性值將不被記錄。
如果一個對像被移動到同一個域中,那么先前的以及新的位置(以distinguished name 形式)將被記錄。當對象被移動到不同域時,一個創(chuàng)建事件將會在目標域的域控制器上生成。
如果一個對象被反刪除,那么這個對象被移動到的位置將會被記錄。另外如果在反刪除操作中屬性被增加,修改或者刪除,那么這些屬性的值也會被記錄。
利用活動目錄審核的目錄服務復制子策略,我們還可以監(jiān)視活動目錄的復制工作,哪些發(fā)生了,哪些未發(fā)生,以及復制了什么等,對于操作主控的管理、復制鏈接的效率調優(yōu),這些審核記錄無疑都具有相當?shù)膮⒖純r值。
只讀域控制器(RODC)
2008年起源于美國的金融危機之所以能如此大規(guī)模如此迅速的擴散至全球,跨國/跨地區(qū)的貿易集團功不可沒。因為業(yè)務需要,企業(yè)對遍布各地的分支機構早已習以為常,而隨著地區(qū)業(yè)務的深入開展,分支機構承擔的工作也在不斷調整深化,越來越多的應用需要在分支機構部署。然而,這些地方也許沒有域控制器,或者他們有域控制器但是沒有足夠的物理安全保障、網絡帶寬以及專門的技術人員來提供支持。這就使得分支機構很可能成為黑客的突破點,進而攻擊整個企業(yè)網絡。
只讀域控制器(RODC)就是針對上述的隱患而設計的。
顧名思義,RODC本身是一臺域控制器,但是存儲于這臺域控制器里的數(shù)據庫是被寫保護的,無法對數(shù)據庫中的數(shù)據做任何更改操作,所有對AD數(shù)據庫的修改操作,只能在可寫的域控上進行,然后這些修改再通過復制拓撲復制到RODC上。而且,在默認情況下,RODC 不保存任何賬戶信息和密碼。這樣的話,即使 RODC 受到安全攻擊,管理員們也無需擔心入侵者更改安全配置或利用服務器上保存的信息訪問整個網絡。
圖4 指定安裝成RODC
RODC使用的復制拓撲是單向的,即只能從可寫域控制器復制到RODC,沒有任何屬性的更改會被直接寫入RODC,所以,任何更改都不會從RODC發(fā)起,作為復制伙伴的可寫域控制器也就不會產生從RODC“拉”數(shù)據的操作。這不僅意味著上述的惡意用戶通過攻擊在分支結構的RODC,在其上進行的操作的結果不會被復制到森林的其余部分,而且這一體制也減少了樞紐站點里的橋頭服務器的工作量,以及為了監(jiān)視復制所產生的數(shù)據量。RODC的單向復制同時應用于AD DS及分布式文件系統(tǒng)(DFS)的復制。
前面提到,RODC上不會保存賬戶信息和密碼,實際上,在默認情況下,RODC上還是會存放少量的賬戶信息,不過RODC只存儲它自己的計算機賬戶和一個用于這臺RODC的特殊的Kerberos 票據授權(KRBTGT)賬戶,此賬戶是被可寫域控制器用來驗證RODC身份的。如果需要在RODC上存儲用戶憑據或者計算機憑據的話,你需要在RODC上允許這些憑據被緩存。因為RODC一般是總是放置在比較小的分支機構,所以被允許憑據緩存的計算機賬戶和用戶賬戶應該都不多。這樣即使RODC被偷了,我們只會丟失那些緩存在RODC上的憑據。如果你連這些賬戶信息也非常在乎,在發(fā)現(xiàn)RODC被偷走之后,你可以立即在可寫域控上將RODC的計算機賬戶刪除,在刪除時還可以對緩存在該RODC上的憑據進行密碼重設,這樣丟失掉的這些憑據就沒有任何作用了。
RODC還支持一種稱為“管理員角色分離”的功能,我們可以使用該功能來指派一個普通的域用戶成為RODC的本地管理員。這樣這個特定的域用戶就擁有了對分支機構的RODC服務器進行一些系統(tǒng)維護或管理操作的權限,例如安裝安全更新或者驅動程序。這個功能的好處在于:此用戶在域中其他機器或者任何可讀寫的域控制器上并沒有用戶權利。而在以前的AD中,所有DC都是可讀寫的,DC上的本機管理事實上是使用域管理員賬戶的。這使得分支機構用戶可以有效的管理RODC而不會影響整個域的安全性。
為了進一步減少對分支機構和總部之間網絡的占用,你還能在RODC上安裝DNS服務。安裝在RODC上的DNS也是只讀的,它能夠復制其他DNS使用的所有程序目錄分區(qū),包括ForestDNSZones以及DomainDNSZones。這樣,就使得用戶能夠像查詢其它DNS服務器一樣進行名稱解析和服務位置查詢。
總之,RODC的實現(xiàn),為需要在分支機構部署域服務的管理員們,提供了即完整又安全的解決方案。
網絡訪問保護(NAP)
要問到Windows Server 2008最吸引眼球的功能,網絡訪問保護(NAP)絕對當之無愧!
現(xiàn)如今,令管理員非常頭痛的事是:如何在一個充斥著家庭計算機、出差用戶、來訪客戶等不在他們控制范圍的各種移動客戶端的網絡中確保安全性?這些計算機很可能存在沒有及時安裝關鍵補丁、沒有啟用防火墻、沒有及時升級病毒庫等非常嚴重的安全隱患,當他們接入公司內網的時候,勢必給企業(yè)內網的安全帶來非常大的考驗。好在NAP及時出現(xiàn)在我們的視線中。
要想描述清楚NAP系統(tǒng)是不容易的,簡單來說NAP是一組服務器的集合,其核心服務器稱為網絡策略服務器(NPS),配合NPS工作的有健康注冊管理機構(HRA)、安全修正服務器以及運行在客戶端的安全狀況收集程序——系統(tǒng)健康代理(SHA)等。一個典型的NAP系統(tǒng)通常有以下幾個部分:
NAP客戶端
若要訪問網絡,首先由NAP代理從運行在NAP客戶端計算機本地的系統(tǒng)健康代理(SHA)收集有關該客戶端健康狀況的信息。NAP代理是一種在本地計算機上運行的服務,能夠收集來自 SHA 的信息。安裝在客戶端計算機上的每SHA都提供當前設置或設計用于監(jiān)視的活動的相關信息。NAP代理服務將匯總該計算機的健康狀態(tài)信息并將此信息傳遞給一個或多個NAP強制客戶端。強制客戶端是與 NAP 強制點交互以便在網絡上進行訪問或通信的軟件。
強制技術
可用于作為判斷依據決定如何匹配NAP策略的五種網絡訪問技術。這五種網絡訪問技術是:
Internet 協(xié)議安全性(IPSec)。
802.1X
VPN
DHCP
遠程桌面網關(RD 網關)
每個NAP策略都可以指定到某一種網絡訪問技術,當客戶端接入網絡后,就會被判斷出其使用了那種網絡訪問技術,從而對應到相應的NAP策略。
NAP 強制點
NAP強制點是一個服務器或硬件設備,它向NAP客戶端計算機提供某個級別的網絡訪問權限。每個NAP強制技術的執(zhí)行都對應使用不同類型的NAP強制點。在使用 802.1X 強制的 NAP 中,NAP 強制點是兼容 IEEE 802.1X 的交換機或無線訪問點。IPSec、DHCP 和 RD 網關強制方法的 NAP 強制服務器也必須運行配置為 RADIUS 代理或 NAP 健康策略服務器的 NPS。使用 VPN 強制的 NAP 不要求在 VPN 服務器上安裝 NPS。可以在某個網絡上使用一種、幾種或者所有執(zhí)行方法。
健康注冊管理機構(HRA)
健康注冊機構(HRA)負責驗證客戶端憑據,然后將證書申請轉發(fā)到代表客戶端的證書機構(CA)。通過檢查網絡策略服務器(NPS),HRA 可驗證證書申請以確定 NAP 客戶端是否與網絡健康要求兼容。如果發(fā)現(xiàn)客戶端兼容,HRA 將從 CA 申請?zhí)厥忸愋偷淖C書(稱為健康證書)。由 NAP 客戶端計算機使用的健康證書用于受 IPSec 保護的網絡上的通信。在此功能中,HRA 將作為 NAP 強制服務器,使用 NAP Internet 協(xié)議安全(IPSec)強制方法。
NAP 健康策略服務器
NAP健康策略服務器是一臺運行 Windows Server 2008 或 Windows Server 2008 R2 的計算機,并且已安裝和配置了NPS角色服務,用于評估NAP客戶端計算機的健康狀況。所有的NAP強制技術至少需要一個健康策略服務器。NAP健康策略服務器使用策略和設置對 NAP客戶端計算機提交的網絡訪問請求進行評估。
NAP修正服務器
NAP 修正服務器能夠向被判斷為不安全的客戶端計算機提供安全更新服務。當然,標識為安全的的客戶端計算機也可以訪問修正服務器。NAP修正服務器的示例包括:
防病毒簽名服務器。如果健康策略要求計算機必須有最新的防病毒簽名,則標識為不安全的計算機必須具有對提供這些更新的服務器的訪問權限。
Windows Server Update Services。如果健康策略要求計算機必須有最新的安全更新或其他軟件更新,可以通過將 WSUS 放置在更新網絡上來提供這些更新。
System Center 組件服務器。System Center Configuration Manager 管理點、軟件更新點和分發(fā)點用于承載使計算機兼容所需的軟件更新。使用配置管理器部署 NAP 時,支持 NAP 的計算機要求訪問運行這些站點系統(tǒng)角色的計算機才能下載其客戶端策略、掃描軟件更新安全性以及下載所需的軟件更新。
域控制器。不安全的計算機可能會要求訪問位于不安全網絡上的域服務以進行身份驗證,以便從組策略下載策略或維護域配置文件設置。
DNS 服務器。不安全的計算機必須具有對DNS的訪問權限才能解析主機名。
DHCP 服務器。當不安全網絡上的客戶端 IP 配置文件更改或 DHCP 租用過期時,不安全的計算機必須具有訪問 DHCP 服務器的權限。
服務器問題疑難解答。配置更新服務器組時,可以選擇提供包含有關如何使計算機符合健康策略的說明的疑難解答 URL。可以為每個網絡策略提供不同的 URL。這些 URL 必須能夠在更新網絡上訪問。
其他服務。可以在更新網絡上提供對 Internet 的訪問權限,使不安全的計算機能夠訪問更新服務,如Internet上的Windows Update和其他Internet資源。
系統(tǒng)健康驗證程序(SHV)
系統(tǒng)健康驗證程序(SHV)用于在NPS服務器上定義健康要求,并和收到的客戶端系統(tǒng)健康代理(SHA)做對比,以檢測客戶端是否滿足健康要求。在NAP上有很多種SHV和SHA類型。Windows Server 2008自帶的SHV(WSHV)可以進行以下方面的健康要求篩選:
防火墻:如果啟用此要求,客戶端計算機必須有已向 Windows 安全中心注冊并為所有網絡連接啟用的防火墻。
病毒防護:如果啟用此要求,客戶端計算機必須滿足下列要求:已安裝防病毒應用程序,已向 Windows 安全中心注冊并已啟用。還必須對客戶端計算機進行檢查,以確保防病毒簽名文件隨時更新。
間諜軟件防護:如果啟用此要求,客戶端計算機必須滿足下列要求:已安裝反間諜軟件應用程序,已向 Windows 安全中心注冊并已啟用。還必須對客戶端計算機進行檢查,以確保反間諜軟件簽名文件隨時更新。間諜軟件防護僅適用于運行 Windows Vista 或 Windows 7 NAP 的客戶端。
自動更新:如果啟用此要求,必須配置客戶端計算機才能檢查來自 Windows Update 的更新。可以選擇是否下載并安裝這些更新。
安全更新保護:如果啟用此要求,客戶端計算機必須基于與 Microsoft 安全響應中心(MSRC)中的安全嚴重性分級匹配的四個可能的值中的一個值來安裝安全更新。客戶端還必須按指定的時間間隔檢查這些更新。可以使用 Windows Server Update Services(WSUS)、Windows Update 或同時使用兩者來獲取安全更新。
NAP 健康要求服務器
健康要求服務器是能夠向一個或多個系統(tǒng)健康驗證程序(SHV)提供健康策略要求和健康評估信息的計算機。如果 NAP 客戶端計算機報告的健康狀態(tài)能夠在不咨詢其他設備的情況下通過 NPS 的驗證,則不需要健康要求服務器。例如,WSUS 在用于 Windows 安全健康驗證程序(WSHV)時被認為不是健康要求服務器。即使管理員能夠使用 WSUS 指定客戶端計算機必須有哪些更新,該客戶端計算機仍會報告自己是否已安裝了這些更新。在這種情況下,WSUS 將作為更新服務器,而不是健康要求服務器。
使用配置管理器SHV部署NAP時也要使用健康要求服務器。配置管理器SHV將聯(lián)系全局編錄服務器,通過檢查向 Active Directory 域服務發(fā)布的健康狀態(tài)參考來驗證客戶端的健康狀態(tài)。因此,部署配置管理器SHV后,域控制器將用作健康要求服務器。其他SHV也可以使用健康要求服務器。
圖5 NAP系統(tǒng)架構示意圖
在圖5所示的NAP系統(tǒng)中,客戶端上的系統(tǒng)健康代理(SHA)創(chuàng)建一些健康聲明(SoH),并將這些聲明發(fā)送給NPS服務器上相應的系統(tǒng)健康驗證程序(SHV);SHV則與策略服務器(NPS)進行通信,確定SoH里面提供的安全狀況是否符合安全策略的要求。如果符合,則允許該計算機全面訪問公司網絡資源。如果不符合,該計算機被連接到受限網絡,通過修正服務器運行狀況更新,直到滿足NPS服務器上的安全策略要求,才能重新進入公司網絡。
BitLocker驅動器加密
我們第一次知道BitLocker驅動器加密這個東西,是在Windows Vista上。通過對硬盤數(shù)據的全卷加密,BitLocker能夠保障個人計算機、企業(yè)計算機上存儲數(shù)據的安全。相比購買硬件的花費,更令企業(yè)擔心的是丟失或被盜計算機上存儲的數(shù)據,只需要把硬盤裝載在另一臺計算機中,就能夠很輕松的讀取硬盤中的數(shù)據,甚至是受EFS保護的數(shù)據,也無法保證萬無一失。誰也不希望看到自己的文件被公開叫賣。
BitLocker可以通過TPM芯片(集成在主板上的安全信息存儲芯片,用于提供該主板的唯一標識)、USB密鑰盤(含有密鑰資料的 USB 閃存驅動器)和PIN碼這三種識別信息的其中一個或多個的組合(多因素身份驗證)來驗證磁盤的工作環(huán)境是否是經過授權的。BitLocker提供的保護,包括以下兩種:
加密整個 Windows 操作系統(tǒng)卷,包括用戶數(shù)據和系統(tǒng)文件、休眠文件、頁面文件以及臨時文件。通過 BitLocker 可以選擇鎖定正常的引導過程,直至用戶提供 PIN碼或插入USB密鑰盤為止。這項安全措施也支持多因素身份驗證,并確保在提供正確的 PIN 碼或 USB密鑰盤之前計算機不會從關機或休眠狀態(tài)中被啟動或恢復。
對于存儲在加密卷上的非Microsoft應用程序和用戶數(shù)據,通過進行全卷加密提供相同級別的防護。BitLocker的加密是卷級別的,因此,即使磁盤被掛接在別的計算機上,通過別的操作系統(tǒng)進行訪問也無法獲取磁盤內被加密的資料。我認為,此項安全措施對于因資產管理的原因報廢或回收的存儲設備具有非常實際的保護意義,被BitLocker加密的磁盤,不需要進行數(shù)據擦除就可以做回收處理,不用擔心數(shù)據會被惡意讀取。
BitLocker 的易用性并沒有因為它堅固的安全性受到影響,微軟提供了一個用于設置和管理的向導(圖6),并通過Windows 管理規(guī)范(WMI)界面提供了用腳本實現(xiàn)的可擴展性和可管理性。另外,由于BitLocker明顯加速了對磁盤的安全清理過程,實際上簡化了計算機的重復利用。
圖6 BitLocker配置向導
由 BitLocker 所保護的計算機的日常使用對用戶來說是完全透明的。而且,即使發(fā)生很少可能出現(xiàn)的系統(tǒng)鎖定(也許是由硬件故障或直接攻擊而引起的),BitLocker也會提供一個簡單而有效的恢復過程。此類情況包括許多事件,例如將含有加密的操作系統(tǒng)卷的硬盤驅動器移動到另一臺計算機或更換系統(tǒng)主板。此時,恢復向導會自動啟動,并向你索要恢復密鑰,恢復密鑰是一組字母和數(shù)字的組合,在啟用BitLocker時,由向導程序自動生成,因此,需要妥善保管這組密鑰。
總之,使用 Windows Server 2008 BitLocker 驅動器加密功能顯著增強了公司的數(shù)據保護策略,通過保護休眠數(shù)據幫助組織達到日益嚴格的保密要求,并且在對設備進行淘汰處理時提升了安全性并節(jié)省了成本。
擁有強大的安全保障,還不足以成就Windows Server 2008的絕對優(yōu)勢,管理員們都希望自己面對的是一部聰明的機器,她界面簡潔,易學易用。畢竟,被要求從本來就很有限的時間里騰出大量的時間來學習和部署新的功能和服務,是不會令人愉快的。
Windows系統(tǒng)的易用性一直是有目共睹的,除了經過優(yōu)化的新風格系統(tǒng)界面和高集成度的管理工具,以及舉世矚目的Hyper-V,Windows Server 2008還提供了相當多的新功能和新工具,這些新的特性可以帶給管理員前所未有的輕松體驗。
PMC(Print Management Console,打印管理控制臺)。
這個功能最先是在 Windows Server 2003 R2中發(fā)布的。但是與在Windows Server 2003 R2版本中不同的是,Windows Server 2008中,PMC成為了一個原生的功能,且每個用戶都可以使用。PMC被添加為微軟管理控制臺(MMC)的一部分,可以允許每個管理員從一個單一的控制臺監(jiān)測到整個企業(yè)內的每一臺打印機。此外,管理員還可以利用組策略來將打印機映射到特定的用戶群組,從而使得該組無需實際安裝打印機即可使用。
WinRS(Windows Remote Shell,Windows遠程Shell)。
還記得Telnet嗎?為了在 Windows Server 2003中連接到遠程計算機上的命令行界面,管理員必須使用Terminal服務。而所謂的Terminal服務很好,但是可擴展性并不是很好,需要連接到每一臺遠程計算機上的控制臺。WinRS則可以創(chuàng)建到任何遠程計算機的安全連接,并且只需要從單個控制臺進行這一切操作。這將給管理員帶來顯著的時間成本的降低。
事件推進。
這個特性對在客戶端運行Windows Vista/Windows 7的企業(yè)用戶有意義。事件推進功能將一些被選中的計算機的日志聚合起來并且推進到中央控制臺,從而使得管理員的管理更加高效。比如說,管理員收到了客戶端用戶的求救,用戶說他看見了一個代號為“事件51”的報錯信息顯示在其屏幕上,這就表明這個用戶遇到了登錄問題。
與此前在局域網中應用嗅探技術以便偵測安全等問題不同,管理員只需要簡單地在服務端的控制臺中“訂閱”客戶端計算機的事件信息即可,這樣那些客戶端機器就會自動發(fā)送管理員所需求的信息到控制臺中。
新的粒度密碼策略。
在活動目錄中,域是一個安全分界線。作為Windows Server的先期版本,Windows Server 2003的安全分界線被限定為每個域擁有一個密碼策略。這是一個比較受限的措施,因此在Windows Server 2008中已經被取消。現(xiàn)在管理員無需通過創(chuàng)建新域來獲得一個新的密碼策略,只需要為特定的群組或者用戶設定密碼策略即可。如果CEO或者CIO們需要更為嚴格的密碼策略,就為他們分配獨立的用戶組,并在其上新建一個更嚴格的密碼策略,這在Windows Server 2008中很容易達成。
群組策略的改進。
在Windows Server 2008中,群組策略有兩處改進,這都是管理員們關注的問題。第一個改進是用于群組策略設置的可搜索的數(shù)據庫。很多管理員都曾使用過Excel表來追蹤其群組策略的設置。設若有數(shù)千條類似的設置,那么顯然通過Excel表的方式將會帶來很大的麻煩。現(xiàn)在,通過群組策略管理控制臺,管理員能夠搜索策略,無需Excel 幫忙,從而顯著提升效率。
第二個對群組策略的升級是在群組策略設置中添加注解的能力。在設置中添加注解將不僅幫助當前的管理員,也能幫助未來的管理員進行有關群組策略的故障檢測。比如說,在管理員配置群組策略時,管理員能夠添加注解,為什么需要配置如此特別的策略。今后,如果需要進行故障檢測或者重新配置該策略時,那么該管理員或者其繼任者能夠明白配置該策略的來龍去脈。此外,當管理員進行群組策略建模時,為策略模型添加注解,指出不同的策略的不同含義,那些注解將來能夠在報表中顯示出來,簡化群組策略的管理。
潛在的網絡速度提升。
網絡承載著傳遞更多數(shù)據的重任。自1995年以來,能夠在一個包中被發(fā)送出去的網絡數(shù)據包大小都維持在64KB,其數(shù)據傳輸流量大概在 5MB大小。這就好像一個大卡車里面只裝了一個很小的箱子在到處行駛,盡管車很大,但是根本沒有提高運輸能力。今天的網絡也是如此,如果網絡的傳輸能力很強,但是數(shù)據包的大小依然很小,那么也沒有太大的意義。在Windows Server 2008中幾乎重寫的網絡堆棧包活了一些全新的技術,比如說允許更大的數(shù)據包進入網絡等。同時,它也可以即時改變網絡傳輸中的數(shù)據包的大小,使得其在傳輸時更具效率。數(shù)據包大小的上限被修改為512KB,這一改動能夠轉化為大概40MB的吞吐量。換句話說,如果網絡被正確地配置和調優(yōu)之后,最快能夠以相當于此前8倍的速度運行。這的確是一項令人激動的改進!
當然,如果你仍然癡迷于基于命令行界面的管理方式,Windows Server 2008還提供了全命令行界面的Server Core版本供你選擇,你可以用非常低的配置來搭建Server Core版的Windows Server 2008,而其功能和互操作性與圖形界面版本的Window Server 2008沒有區(qū)別。
優(yōu)秀的接班人——Windows Server 2008
前不久,微軟發(fā)布了即將終止包括Windows 2000、Windows XP和Windows Vista幾個版本在內的歷史版本技術支持工作的通知。而作為新時期的當家花旦,Windows Server 2008已經迎來了他的升級版本——Windows Server 2008 R2。
如果你已經對Windows Server 2003家族建立了相當?shù)男湃危踔琳J為2003已經很完美,那么,想想Windows Vista 或Windows 7里強大的可靠性監(jiān)視程序和任務管理器、高級防火墻、以假亂真的Windows XP Mode(僅Windows 7提供)以及固若金湯的BitLocker,你是不是覺得,2003已經老了?
諸多的新功能中,高級安全Windows防火墻、活動目錄審核、只讀域控制器(RODC)、網絡訪問保護(NAP)和可以在服務器上部署的BitLocker這幾項功能,共同為基于Windows Server 2008搭建的網絡保駕護航,它們成就了Windows Server 2008的最佳安全性體驗。
高級安全Windows防火墻
為了保護服務器操作系統(tǒng)和運行于其上的各種服務,我們構建了各種軟、硬件防火墻系統(tǒng),并且不惜犧牲系統(tǒng)性能,在每臺服務器上運行防護軟件。因為即使是強大的ISA,也無法精細到對每臺服務器提供單機保護。而基于Windows 5.0核心的XP、2003操作系統(tǒng)自帶的Windows防火墻,曾經給我們帶來了希望——它們存在于每臺服務器和客戶端上,是否可以給我們提供完美的保護呢?結果是,因為設計架構的限制,Windows防火墻并沒有提供完整的網絡防護,而且這個遺憾一直持續(xù)到Windows Server 2008的發(fā)布。
Windows Server 2008攜帶的高級安全Windows防火墻帶來了一些新的特性和改進,包括允許創(chuàng)建入站和出戰(zhàn)通訊的防火墻規(guī)則,像ISA那樣為程序或數(shù)據包制定入站和出戰(zhàn)策略以及與IPSec的結合的能力。
高級安全Windows防火墻提供了新的圖形化界面。還記得XP和2003中那個Windows防火墻選項卡嗎?現(xiàn)在你可以跟她說再見了,在Windows Server 2008中,你要通過一個管理控制臺單元來配置這個高級防火墻。
在這個界面中,你可以創(chuàng)建、修改和刪除規(guī)則,對規(guī)則進行配置時,可以從各種標準中進行選擇:例如應用程序名稱、系統(tǒng)服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網絡適配器)、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標準疊加在一起;添加的標準越多,高級安全Windows防火墻匹配傳入流量就越精細。比如你可以利用高級安全Windows防火墻來過濾沖擊波病毒包或者是禁止QQ數(shù)據通過。
當傳入數(shù)據包到達計算機時,高級安全Windows防火墻檢查該數(shù)據包,并確定它是否符合防火墻規(guī)則中指 定的標準。如果數(shù)據包與規(guī)則中的標準匹配,則高級安全Windows防火墻執(zhí)行規(guī)則中指定的操作,即阻止連接或允許連接。如果數(shù)據包與規(guī)則中的標準不匹配,則高級安全Windows防火墻丟棄該數(shù)據包,并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。你還可以為域、特定對象或者全部對象分別創(chuàng)建不同的匹配策略。
高級安全Windows防火墻的匹配規(guī)則可以提供雙向的保護,即對出站、入站通信均進行過濾,然后攔截有威脅的數(shù)據包。這樣不但保護計算機自身不被攻擊,也能阻止已受感染的計算機不能輕易的發(fā)起攻擊,避免更大的損失。
高級安全Windows防火墻還將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據保護(完整性和加密)以及身份驗證設置。
順便提一下,因為Windows Server 2008對IPSec做了不少的改進,不僅提供了新的IPv6協(xié)議支持,還支持新的加密方法。并且被集成到系統(tǒng)各個安全部分,諸如剛剛提到的高級安全Windows防火墻、NAP甚至群集服務中。更難得的是,IPSec的配置界面相比之前有了很大的簡化,降低了部署的難度,更利于企業(yè)部署IPSec,降低了企業(yè)的成本,微軟還為IPSec擴展了事件和性能監(jiān)視器的計數(shù)器,管理員可以能夠通過性能監(jiān)視器對IPSec進行相應的監(jiān)控,有效的提高維護效率。
活動目錄審核
在安全性要求較高的場合,我們可以使用組策略中的審核策略,來記錄用戶的各種可能會影響安全性的行為。通過審核策略,我們就可以識別惡意猜解密碼或者攻擊某個服務的嘗試。先前的審核策略包含了對于文件資源、用戶賬戶和目錄訪問的審核記錄(圖2),但這些記錄只能告訴我們什么時候誰來過,卻不知道到訪者究竟做了什么。相對于文件夾和文件對象,用戶在活動目錄對象上能做的事情更多,而且影響也更大,我們需要記錄他們的具體行為。以便在排除故障時,清楚地回溯歷史操作。
Windows Server 2008中實現(xiàn)的活動目錄審核能夠通過對系統(tǒng)訪問控制列表(SACL)的修改。查看用戶對于活動目錄對象的訪問和修改,在Windows Server 2008中是默認就啟用的,審核功能既能夠審核成功的操作,也能夠審核失敗的操作,這樣就能夠最大限度的保障活動目錄的安全性。與在Windows 2000 Server和Windows Server 2003中只有一種審核策略來審核目錄服務訪問不同,用來控制審核目錄服務事件是被啟用或者禁用的單一審核策略在Windows Server 2008中被劃分成四個子類別,它們分別是:
目錄服務訪問(Directory Service Access)
目錄服務更改(Directory Service Changes)
目錄服務復制(Directory Service Replication)
詳細的目錄服務復制(Detailed Directory Service Replication)
正因為新的審核子類——目錄服務更改的出現(xiàn),AD DS對象屬性的更改才能被審核。我們能夠審核的更改類型被細化到創(chuàng)建,修改,移動以及反刪除。這些事件都將被記錄在安全日志中。
在AD DS中新的目錄服務更改審核策略子類增加了以下的功能:
當對對像的屬性修改成功時,AD DS會紀錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個以上的值時,只有作為修改操作結果變化的值才會被記錄。
如果新的對像被創(chuàng)建,屬性被賦予的時間將會被記錄,屬性值也會被記錄,在多數(shù)情景中,AD DS分配缺省屬性給諸如SAMAccountName等系統(tǒng)屬性,這些系統(tǒng)屬性值將不被記錄。
如果一個對像被移動到同一個域中,那么先前的以及新的位置(以distinguished name 形式)將被記錄。當對象被移動到不同域時,一個創(chuàng)建事件將會在目標域的域控制器上生成。
如果一個對象被反刪除,那么這個對象被移動到的位置將會被記錄。另外如果在反刪除操作中屬性被增加,修改或者刪除,那么這些屬性的值也會被記錄。
利用活動目錄審核的目錄服務復制子策略,我們還可以監(jiān)視活動目錄的復制工作,哪些發(fā)生了,哪些未發(fā)生,以及復制了什么等,對于操作主控的管理、復制鏈接的效率調優(yōu),這些審核記錄無疑都具有相當?shù)膮⒖純r值。
只讀域控制器(RODC)
2008年起源于美國的金融危機之所以能如此大規(guī)模如此迅速的擴散至全球,跨國/跨地區(qū)的貿易集團功不可沒。因為業(yè)務需要,企業(yè)對遍布各地的分支機構早已習以為常,而隨著地區(qū)業(yè)務的深入開展,分支機構承擔的工作也在不斷調整深化,越來越多的應用需要在分支機構部署。然而,這些地方也許沒有域控制器,或者他們有域控制器但是沒有足夠的物理安全保障、網絡帶寬以及專門的技術人員來提供支持。這就使得分支機構很可能成為黑客的突破點,進而攻擊整個企業(yè)網絡。
只讀域控制器(RODC)就是針對上述的隱患而設計的。
顧名思義,RODC本身是一臺域控制器,但是存儲于這臺域控制器里的數(shù)據庫是被寫保護的,無法對數(shù)據庫中的數(shù)據做任何更改操作,所有對AD數(shù)據庫的修改操作,只能在可寫的域控上進行,然后這些修改再通過復制拓撲復制到RODC上。而且,在默認情況下,RODC 不保存任何賬戶信息和密碼。這樣的話,即使 RODC 受到安全攻擊,管理員們也無需擔心入侵者更改安全配置或利用服務器上保存的信息訪問整個網絡。
RODC使用的復制拓撲是單向的,即只能從可寫域控制器復制到RODC,沒有任何屬性的更改會被直接寫入RODC,所以,任何更改都不會從RODC發(fā)起,作為復制伙伴的可寫域控制器也就不會產生從RODC“拉”數(shù)據的操作。這不僅意味著上述的惡意用戶通過攻擊在分支結構的RODC,在其上進行的操作的結果不會被復制到森林的其余部分,而且這一體制也減少了樞紐站點里的橋頭服務器的工作量,以及為了監(jiān)視復制所產生的數(shù)據量。RODC的單向復制同時應用于AD DS及分布式文件系統(tǒng)(DFS)的復制。
前面提到,RODC上不會保存賬戶信息和密碼,實際上,在默認情況下,RODC上還是會存放少量的賬戶信息,不過RODC只存儲它自己的計算機賬戶和一個用于這臺RODC的特殊的Kerberos 票據授權(KRBTGT)賬戶,此賬戶是被可寫域控制器用來驗證RODC身份的。如果需要在RODC上存儲用戶憑據或者計算機憑據的話,你需要在RODC上允許這些憑據被緩存。因為RODC一般是總是放置在比較小的分支機構,所以被允許憑據緩存的計算機賬戶和用戶賬戶應該都不多。這樣即使RODC被偷了,我們只會丟失那些緩存在RODC上的憑據。如果你連這些賬戶信息也非常在乎,在發(fā)現(xiàn)RODC被偷走之后,你可以立即在可寫域控上將RODC的計算機賬戶刪除,在刪除時還可以對緩存在該RODC上的憑據進行密碼重設,這樣丟失掉的這些憑據就沒有任何作用了。
RODC還支持一種稱為“管理員角色分離”的功能,我們可以使用該功能來指派一個普通的域用戶成為RODC的本地管理員。這樣這個特定的域用戶就擁有了對分支機構的RODC服務器進行一些系統(tǒng)維護或管理操作的權限,例如安裝安全更新或者驅動程序。這個功能的好處在于:此用戶在域中其他機器或者任何可讀寫的域控制器上并沒有用戶權利。而在以前的AD中,所有DC都是可讀寫的,DC上的本機管理事實上是使用域管理員賬戶的。這使得分支機構用戶可以有效的管理RODC而不會影響整個域的安全性。
為了進一步減少對分支機構和總部之間網絡的占用,你還能在RODC上安裝DNS服務。安裝在RODC上的DNS也是只讀的,它能夠復制其他DNS使用的所有程序目錄分區(qū),包括ForestDNSZones以及DomainDNSZones。這樣,就使得用戶能夠像查詢其它DNS服務器一樣進行名稱解析和服務位置查詢。
總之,RODC的實現(xiàn),為需要在分支機構部署域服務的管理員們,提供了即完整又安全的解決方案。
網絡訪問保護(NAP)
要問到Windows Server 2008最吸引眼球的功能,網絡訪問保護(NAP)絕對當之無愧!
現(xiàn)如今,令管理員非常頭痛的事是:如何在一個充斥著家庭計算機、出差用戶、來訪客戶等不在他們控制范圍的各種移動客戶端的網絡中確保安全性?這些計算機很可能存在沒有及時安裝關鍵補丁、沒有啟用防火墻、沒有及時升級病毒庫等非常嚴重的安全隱患,當他們接入公司內網的時候,勢必給企業(yè)內網的安全帶來非常大的考驗。好在NAP及時出現(xiàn)在我們的視線中。
要想描述清楚NAP系統(tǒng)是不容易的,簡單來說NAP是一組服務器的集合,其核心服務器稱為網絡策略服務器(NPS),配合NPS工作的有健康注冊管理機構(HRA)、安全修正服務器以及運行在客戶端的安全狀況收集程序——系統(tǒng)健康代理(SHA)等。一個典型的NAP系統(tǒng)通常有以下幾個部分:
NAP客戶端
若要訪問網絡,首先由NAP代理從運行在NAP客戶端計算機本地的系統(tǒng)健康代理(SHA)收集有關該客戶端健康狀況的信息。NAP代理是一種在本地計算機上運行的服務,能夠收集來自 SHA 的信息。安裝在客戶端計算機上的每SHA都提供當前設置或設計用于監(jiān)視的活動的相關信息。NAP代理服務將匯總該計算機的健康狀態(tài)信息并將此信息傳遞給一個或多個NAP強制客戶端。強制客戶端是與 NAP 強制點交互以便在網絡上進行訪問或通信的軟件。
強制技術
可用于作為判斷依據決定如何匹配NAP策略的五種網絡訪問技術。這五種網絡訪問技術是:
Internet 協(xié)議安全性(IPSec)。
802.1X
VPN
DHCP
遠程桌面網關(RD 網關)
每個NAP策略都可以指定到某一種網絡訪問技術,當客戶端接入網絡后,就會被判斷出其使用了那種網絡訪問技術,從而對應到相應的NAP策略。
NAP 強制點
NAP強制點是一個服務器或硬件設備,它向NAP客戶端計算機提供某個級別的網絡訪問權限。每個NAP強制技術的執(zhí)行都對應使用不同類型的NAP強制點。在使用 802.1X 強制的 NAP 中,NAP 強制點是兼容 IEEE 802.1X 的交換機或無線訪問點。IPSec、DHCP 和 RD 網關強制方法的 NAP 強制服務器也必須運行配置為 RADIUS 代理或 NAP 健康策略服務器的 NPS。使用 VPN 強制的 NAP 不要求在 VPN 服務器上安裝 NPS。可以在某個網絡上使用一種、幾種或者所有執(zhí)行方法。
健康注冊管理機構(HRA)
健康注冊機構(HRA)負責驗證客戶端憑據,然后將證書申請轉發(fā)到代表客戶端的證書機構(CA)。通過檢查網絡策略服務器(NPS),HRA 可驗證證書申請以確定 NAP 客戶端是否與網絡健康要求兼容。如果發(fā)現(xiàn)客戶端兼容,HRA 將從 CA 申請?zhí)厥忸愋偷淖C書(稱為健康證書)。由 NAP 客戶端計算機使用的健康證書用于受 IPSec 保護的網絡上的通信。在此功能中,HRA 將作為 NAP 強制服務器,使用 NAP Internet 協(xié)議安全(IPSec)強制方法。
NAP 健康策略服務器
NAP健康策略服務器是一臺運行 Windows Server 2008 或 Windows Server 2008 R2 的計算機,并且已安裝和配置了NPS角色服務,用于評估NAP客戶端計算機的健康狀況。所有的NAP強制技術至少需要一個健康策略服務器。NAP健康策略服務器使用策略和設置對 NAP客戶端計算機提交的網絡訪問請求進行評估。
NAP修正服務器
NAP 修正服務器能夠向被判斷為不安全的客戶端計算機提供安全更新服務。當然,標識為安全的的客戶端計算機也可以訪問修正服務器。NAP修正服務器的示例包括:
防病毒簽名服務器。如果健康策略要求計算機必須有最新的防病毒簽名,則標識為不安全的計算機必須具有對提供這些更新的服務器的訪問權限。
Windows Server Update Services。如果健康策略要求計算機必須有最新的安全更新或其他軟件更新,可以通過將 WSUS 放置在更新網絡上來提供這些更新。
System Center 組件服務器。System Center Configuration Manager 管理點、軟件更新點和分發(fā)點用于承載使計算機兼容所需的軟件更新。使用配置管理器部署 NAP 時,支持 NAP 的計算機要求訪問運行這些站點系統(tǒng)角色的計算機才能下載其客戶端策略、掃描軟件更新安全性以及下載所需的軟件更新。
域控制器。不安全的計算機可能會要求訪問位于不安全網絡上的域服務以進行身份驗證,以便從組策略下載策略或維護域配置文件設置。
DNS 服務器。不安全的計算機必須具有對DNS的訪問權限才能解析主機名。
DHCP 服務器。當不安全網絡上的客戶端 IP 配置文件更改或 DHCP 租用過期時,不安全的計算機必須具有訪問 DHCP 服務器的權限。
服務器問題疑難解答。配置更新服務器組時,可以選擇提供包含有關如何使計算機符合健康策略的說明的疑難解答 URL。可以為每個網絡策略提供不同的 URL。這些 URL 必須能夠在更新網絡上訪問。
其他服務。可以在更新網絡上提供對 Internet 的訪問權限,使不安全的計算機能夠訪問更新服務,如Internet上的Windows Update和其他Internet資源。
系統(tǒng)健康驗證程序(SHV)
系統(tǒng)健康驗證程序(SHV)用于在NPS服務器上定義健康要求,并和收到的客戶端系統(tǒng)健康代理(SHA)做對比,以檢測客戶端是否滿足健康要求。在NAP上有很多種SHV和SHA類型。Windows Server 2008自帶的SHV(WSHV)可以進行以下方面的健康要求篩選:
防火墻:如果啟用此要求,客戶端計算機必須有已向 Windows 安全中心注冊并為所有網絡連接啟用的防火墻。
病毒防護:如果啟用此要求,客戶端計算機必須滿足下列要求:已安裝防病毒應用程序,已向 Windows 安全中心注冊并已啟用。還必須對客戶端計算機進行檢查,以確保防病毒簽名文件隨時更新。
間諜軟件防護:如果啟用此要求,客戶端計算機必須滿足下列要求:已安裝反間諜軟件應用程序,已向 Windows 安全中心注冊并已啟用。還必須對客戶端計算機進行檢查,以確保反間諜軟件簽名文件隨時更新。間諜軟件防護僅適用于運行 Windows Vista 或 Windows 7 NAP 的客戶端。
自動更新:如果啟用此要求,必須配置客戶端計算機才能檢查來自 Windows Update 的更新。可以選擇是否下載并安裝這些更新。
安全更新保護:如果啟用此要求,客戶端計算機必須基于與 Microsoft 安全響應中心(MSRC)中的安全嚴重性分級匹配的四個可能的值中的一個值來安裝安全更新。客戶端還必須按指定的時間間隔檢查這些更新。可以使用 Windows Server Update Services(WSUS)、Windows Update 或同時使用兩者來獲取安全更新。
NAP 健康要求服務器
健康要求服務器是能夠向一個或多個系統(tǒng)健康驗證程序(SHV)提供健康策略要求和健康評估信息的計算機。如果 NAP 客戶端計算機報告的健康狀態(tài)能夠在不咨詢其他設備的情況下通過 NPS 的驗證,則不需要健康要求服務器。例如,WSUS 在用于 Windows 安全健康驗證程序(WSHV)時被認為不是健康要求服務器。即使管理員能夠使用 WSUS 指定客戶端計算機必須有哪些更新,該客戶端計算機仍會報告自己是否已安裝了這些更新。在這種情況下,WSUS 將作為更新服務器,而不是健康要求服務器。
使用配置管理器SHV部署NAP時也要使用健康要求服務器。配置管理器SHV將聯(lián)系全局編錄服務器,通過檢查向 Active Directory 域服務發(fā)布的健康狀態(tài)參考來驗證客戶端的健康狀態(tài)。因此,部署配置管理器SHV后,域控制器將用作健康要求服務器。其他SHV也可以使用健康要求服務器。
客戶端上的系統(tǒng)健康代理(SHA)創(chuàng)建一些健康聲明(SoH),并將這些聲明發(fā)送給NPS服務器上相應的系統(tǒng)健康驗證程序(SHV);SHV則與策略服務器(NPS)進行通信,確定SoH里面提供的安全狀況是否符合安全策略的要求。如果符合,則允許該計算機全面訪問公司網絡資源。如果不符合,該計算機被連接到受限網絡,通過修正服務器運行狀況更新,直到滿足NPS服務器上的安全策略要求,才能重新進入公司網絡。
BitLocker驅動器加密
我們第一次知道BitLocker驅動器加密這個東西,是在Windows Vista上。通過對硬盤數(shù)據的全卷加密,BitLocker能夠保障個人計算機、企業(yè)計算機上存儲數(shù)據的安全。相比購買硬件的花費,更令企業(yè)擔心的是丟失或被盜計算機上存儲的數(shù)據,只需要把硬盤裝載在另一臺計算機中,就能夠很輕松的讀取硬盤中的數(shù)據,甚至是受EFS保護的數(shù)據,也無法保證萬無一失。誰也不希望看到自己的文件被公開叫賣。
BitLocker可以通過TPM芯片(集成在主板上的安全信息存儲芯片,用于提供該主板的唯一標識)、USB密鑰盤(含有密鑰資料的 USB 閃存驅動器)和PIN碼這三種識別信息的其中一個或多個的組合(多因素身份驗證)來驗證磁盤的工作環(huán)境是否是經過授權的。BitLocker提供的保護,包括以下兩種:
加密整個 Windows 操作系統(tǒng)卷,包括用戶數(shù)據和系統(tǒng)文件、休眠文件、頁面文件以及臨時文件。通過 BitLocker 可以選擇鎖定正常的引導過程,直至用戶提供 PIN碼或插入USB密鑰盤為止。這項安全措施也支持多因素身份驗證,并確保在提供正確的 PIN 碼或 USB密鑰盤之前計算機不會從關機或休眠狀態(tài)中被啟動或恢復。
對于存儲在加密卷上的非Microsoft應用程序和用戶數(shù)據,通過進行全卷加密提供相同級別的防護。BitLocker的加密是卷級別的,因此,即使磁盤被掛接在別的計算機上,通過別的操作系統(tǒng)進行訪問也無法獲取磁盤內被加密的資料。我認為,此項安全措施對于因資產管理的原因報廢或回收的存儲設備具有非常實際的保護意義,被BitLocker加密的磁盤,不需要進行數(shù)據擦除就可以做回收處理,不用擔心數(shù)據會被惡意讀取。
BitLocker 的易用性并沒有因為它堅固的安全性受到影響,微軟提供了一個用于設置和管理的向導(圖6),并通過Windows 管理規(guī)范(WMI)界面提供了用腳本實現(xiàn)的可擴展性和可管理性。另外,由于BitLocker明顯加速了對磁盤的安全清理過程,實際上簡化了計算機的重復利用。
由 BitLocker 所保護的計算機的日常使用對用戶來說是完全透明的。而且,即使發(fā)生很少可能出現(xiàn)的系統(tǒng)鎖定(也許是由硬件故障或直接攻擊而引起的),BitLocker也會提供一個簡單而有效的恢復過程。此類情況包括許多事件,例如將含有加密的操作系統(tǒng)卷的硬盤驅動器移動到另一臺計算機或更換系統(tǒng)主板。此時,恢復向導會自動啟動,并向你索要恢復密鑰,恢復密鑰是一組字母和數(shù)字的組合,在啟用BitLocker時,由向導程序自動生成,因此,需要妥善保管這組密鑰。
總之,使用 Windows Server 2008 BitLocker 驅動器加密功能顯著增強了公司的數(shù)據保護策略,通過保護休眠數(shù)據幫助組織達到日益嚴格的保密要求,并且在對設備進行淘汰處理時提升了安全性并節(jié)省了成本。
擁有強大的安全保障,還不足以成就Windows Server 2008的絕對優(yōu)勢,管理員們都希望自己面對的是一部聰明的機器,她界面簡潔,易學易用。畢竟,被要求從本來就很有限的時間里騰出大量的時間來學習和部署新的功能和服務,是不會令人愉快的。
Windows系統(tǒng)的易用性一直是有目共睹的,除了經過優(yōu)化的新風格系統(tǒng)界面和高集成度的管理工具,以及舉世矚目的Hyper-V,Windows Server 2008還提供了相當多的新功能和新工具,這些新的特性可以帶給管理員前所未有的輕松體驗。
PMC(Print Management Console,打印管理控制臺)。
這個功能最先是在 Windows Server 2003 R2中發(fā)布的。但是與在Windows Server 2003 R2版本中不同的是,Windows Server 2008中,PMC成為了一個原生的功能,且每個用戶都可以使用。PMC被添加為微軟管理控制臺(MMC)的一部分,可以允許每個管理員從一個單一的控制臺監(jiān)測到整個企業(yè)內的每一臺打印機。此外,管理員還可以利用組策略來將打印機映射到特定的用戶群組,從而使得該組無需實際安裝打印機即可使用。
WinRS(Windows Remote Shell,Windows遠程Shell)。
還記得Telnet嗎?為了在 Windows Server 2003中連接到遠程計算機上的命令行界面,管理員必須使用Terminal服務。而所謂的Terminal服務很好,但是可擴展性并不是很好,需要連接到每一臺遠程計算機上的控制臺。WinRS則可以創(chuàng)建到任何遠程計算機的安全連接,并且只需要從單個控制臺進行這一切操作。這將給管理員帶來顯著的時間成本的降低。
事件推進。
這個特性對在客戶端運行Windows Vista/Windows 7的企業(yè)用戶有意義。事件推進功能將一些被選中的計算機的日志聚合起來并且推進到中央控制臺,從而使得管理員的管理更加高效。比如說,管理員收到了客戶端用戶的求救,用戶說他看見了一個代號為“事件51”的報錯信息顯示在其屏幕上,這就表明這個用戶遇到了登錄問題。
與此前在局域網中應用嗅探技術以便偵測安全等問題不同,管理員只需要簡單地在服務端的控制臺中“訂閱”客戶端計算機的事件信息即可,這樣那些客戶端機器就會自動發(fā)送管理員所需求的信息到控制臺中。
新的粒度密碼策略。
在活動目錄中,域是一個安全分界線。作為Windows Server的先期版本,Windows Server 2003的安全分界線被限定為每個域擁有一個密碼策略。這是一個比較受限的措施,因此在Windows Server 2008中已經被取消。現(xiàn)在管理員無需通過創(chuàng)建新域來獲得一個新的密碼策略,只需要為特定的群組或者用戶設定密碼策略即可。如果CEO或者CIO們需要更為嚴格的密碼策略,就為他們分配獨立的用戶組,并在其上新建一個更嚴格的密碼策略,這在Windows Server 2008中很容易達成。
群組策略的改進。
在Windows Server 2008中,群組策略有兩處改進,這都是管理員們關注的問題。第一個改進是用于群組策略設置的可搜索的數(shù)據庫。很多管理員都曾使用過Excel表來追蹤其群組策略的設置。設若有數(shù)千條類似的設置,那么顯然通過Excel表的方式將會帶來很大的麻煩。現(xiàn)在,通過群組策略管理控制臺,管理員能夠搜索策略,無需Excel 幫忙,從而顯著提升效率。
第二個對群組策略的升級是在群組策略設置中添加注解的能力。在設置中添加注解將不僅幫助當前的管理員,也能幫助未來的管理員進行有關群組策略的故障檢測。比如說,在管理員配置群組策略時,管理員能夠添加注解,為什么需要配置如此特別的策略。今后,如果需要進行故障檢測或者重新配置該策略時,那么該管理員或者其繼任者能夠明白配置該策略的來龍去脈。此外,當管理員進行群組策略建模時,為策略模型添加注解,指出不同的策略的不同含義,那些注解將來能夠在報表中顯示出來,簡化群組策略的管理。
潛在的網絡速度提升。
網絡承載著傳遞更多數(shù)據的重任。自1995年以來,能夠在一個包中被發(fā)送出去的網絡數(shù)據包大小都維持在64KB,其數(shù)據傳輸流量大概在 5MB大小。這就好像一個大卡車里面只裝了一個很小的箱子在到處行駛,盡管車很大,但是根本沒有提高運輸能力。今天的網絡也是如此,如果網絡的傳輸能力很強,但是數(shù)據包的大小依然很小,那么也沒有太大的意義。在Windows Server 2008中幾乎重寫的網絡堆棧包活了一些全新的技術,比如說允許更大的數(shù)據包進入網絡等。同時,它也可以即時改變網絡傳輸中的數(shù)據包的大小,使得其在傳輸時更具效率。數(shù)據包大小的上限被修改為512KB,這一改動能夠轉化為大概40MB的吞吐量。換句話說,如果網絡被正確地配置和調優(yōu)之后,最快能夠以相當于此前8倍的速度運行。這的確是一項令人激動的改進!
當然,如果你仍然癡迷于基于命令行界面的管理方式,Windows Server 2008還提供了全命令行界面的Server Core版本供你選擇,你可以用非常低的配置來搭建Server Core版的Windows Server 2008,而其功能和互操作性與圖形界面版本的Window Server 2008沒有區(qū)別。
【編輯推薦】
