Windows Server 2008為企業的信息安全保駕護航
我們可以通過以下幾個方面來驗證Windows Server 2008如何為企業保障信息安全。
一、 權限管理服務
熟悉Windows Server 2003的朋友,相信對RMS(權限管理服務)都不會陌生,它能夠有效的保護我們的數字資產在相應授權范圍之外不會泄露。在Windows Server 2008中,這一重要特性得以改進和提升,微軟把它稱之為AD RMS(Active Directory Rights Management Services),即活動目錄權限管理服務。相對于2003下的RMS有了較大的改進與提升,例如:不需要單獨下載即可安裝等等。
AD RMS 系統包括基于 Windows Server 2008 的服務器(運行用于處理證書和授權的 Active Directory 權限管理服務 (AD RMS) 服務器角色)、數據庫服務器以及 AD RMS 客戶端。AD RMS 系統的部署為組織提供以下優勢:
1) 保護敏感信息。如字處理器、電子郵件客戶端和行業應用程序等應用程序可以啟用 AD RMS,從而幫助保護敏感信息。用戶可以定義打開、修改、打印、轉發該信息或對該信息執行其他操作的人員。組織可以創建子自定義的使用策略模板(如"機密 - 只讀"),這些模板可直接應用于上述信息。
2) ***性保護。AD RMS 可以增強現有的基于外圍的安全解決方案(如防火墻和訪問控制列表 (ACL)),通過在文檔本身內部鎖定使用權限、控制如何使用信息(即使在目標收件人打開信息后)來更好地保護信息。
3) 靈活且可自定義的技術。獨立軟件供應商 (ISV) 和開發人員可以使用啟用了 AD RMS 的任何應用程序或啟用其他服務器(如在 Windows 或其他操作系統上運行的內容管理系統或門戶服務器),與 AD RMS 結合使用來幫助保護敏感信息。啟用 ISV 的目的是為了將信息保護集成到基于服務器的解決方案(如文檔和記錄管理、電子郵件網關和存檔系統、自動工作流以及內容檢查)中
AD RMS 中的功能:
在Windows Server 2008中,通過使用 服務器管理器,可以設置 AD RMS 的以下組件:
- Active Directory Rights Management Services。Active Directory 權限管理服務 (AD RMS) 角色服務是一項必需的角色服務,用于安裝發布和使用受權限保護的內容所用的 AD RMS 組件。
- 聯合身份驗證支持。聯合身份驗證支持角色服務是一項可選的角色服務,允許聯合身份借助 Active Directory 聯合身份驗證服務來使用受權限保護的內容。
簡要部署AD RMS
(一)硬件和軟件注意事項
安裝 AD RMS 服務器角色時,系統會同時安裝必需的服務,其中的一項就是 Internet 信息服務 (IIS)。AD RMS 還需要一個數據庫(如 Microsoft SQL Server),該數據庫可與 AD RMS 在同一服務器上運行,也可以在遠程服務器和 Active Directory 域服務林中運行。
下表介紹了運行具有 AD RMS 服務器角色的基于 Windows Server 2008 服務器的***硬件要求和建議。
下表介紹了運行具有 AD RMS 服務器角色的基于 Windows Server 2008 服務器的軟件要求。對于通過啟用操作系統上的功能可以滿足的要求,可通過安裝 AD RMS 服務器角色根據需要配置這些功能。
(二)正式部署AD RMS
接下來,開始正式配置安裝AD RMS服務器。
1. 安裝一臺Windows Server 2008,計算機名稱為"WS2008-ADRMS"。
2. 配置TCP/IP屬性登錄系統后,單擊"開始",單擊"控制面板",雙擊"網絡和共享中心",單擊"查看狀態"。單擊"屬性"。在"本地連接 屬性"窗口中雙擊"Internet協議版本4(TCP/IPv4)"。輸入相關信息。
3. 將WS2008-ADRMS加入到域。單擊"開始",右鍵點擊"我的電腦",單擊"屬性"。單擊"改變設置"。在"系統屬性"窗口中單擊"更改"。輸入要加入的域名,單擊"確定"。輸入一個有權限加入域的用戶和密碼。***進行確認并重啟計算機即可。
4. 將用戶"ADRMS-admin"添加到本地Administrators(管理員)組中。
5. 添加 AD RMS Server 角色使用" ADRMS-admin "登錄到"ADRMS"服務器上。單擊"開始",點擊"管理工具",單擊"服務器管理器"。在"用戶帳戶控制"窗口單擊"繼續"。單擊"添加角色";在"添加角色向導"中單擊"下一步";
6.勾選"Active Directory Rights Management Services"后單擊"添加必需的角色服務"。系統自動勾選相關的服務,單擊"下一步",出現"Active Directory Rights Management Services簡介",單擊"下一步"。選擇安裝的角色服務,默認為"Active Directory僅限管理服務器",單擊"下一步"。選擇"新建AD RMS群集",單擊"下一步"。
7. 在"配置數據庫"頁面,選擇"使用其他數據庫服務器",單擊"選擇",輸入數據庫服務器名稱后單擊"確定"。在"數據庫實例"中選擇"默認",并單擊"驗證"。***單擊"下一步"。在"服務帳戶"頁面中,單擊"指定"。在"添加角色向導"窗口輸入前面創建的用戶和密碼。單擊"確定"。
8.在"群集鍵存儲"頁面,保持默認選擇"使用AD RMS集中管理的密鑰存儲",單擊"下一步"。在"群集密鑰密碼"頁面輸入一個密碼。在"群集網站"頁面,選擇"默認網站",單擊"下一步"。在"群集地址"頁面,選中"使用未加密的連接(https://)", "端口"采用默認的"80",單擊"驗證"。***單擊"下一步"。
9.在"許可證證書名稱"頁面輸入一個名稱。在"SCP注冊"頁面,保持默認的"立即注冊AD RMS服務連接點"。出現"Web服務器簡介(IIS)"頁面,單擊"下一步"。系統列出相關的web服務器的角色服務。單擊"下一步"。在"確認"頁面對相關信息進行總覽,沒問題的話就單擊"安裝"。系統會顯示正在進行安裝的過程。成功后會顯示一個信息頁面,其中要求必須注銷后再重新登錄才可以管理AD RMS。單擊"關閉"并注銷系統。
重新登錄后,單擊"開始",單擊"管理工具",單擊"Active Directory Rights Management Services"。在"用戶帳戶控制"窗口單擊"繼續"。打開AD RMS管理器。在此可對AD RMS進行相關的管理操作。
管理 AD RMS
在Windows Server 2008中,由于有了服務器管理器的存在,眾多任務的管理已經變得相當簡單。服務器角色使用 Microsoft 管理控制臺 (MMC) 管理單元來進行管理。使用 Active Directory Rights Management Services 控制臺可以管理 AD RMS。具體打開方式為:單擊"開始",指向"管理工具",然后單擊"Active Directory Rights Management Services"即可。
二、 防火墻
與以前Windows版本中的防火墻相比,Windows Server 2008中的高級安全防火墻(WFAS)有了較大的改進,首先它支持雙向保護,可以對出站、入站通信進行過濾。
其次它將Windows防火墻功能和Internet 協議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環境所需的方式配置密鑰交換、數據保護(完整性和加密)以及身份驗證設置。而且WFAS還可以實現更高級的規則配置,你可以針對Windows Server上的各種對象創建防火墻規則,配置防火墻規則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。
傳入數據包到達計算機時,具有高級安全性的Windows防火墻檢查該數據包,并確定它是否符合防火墻規則中指定的標準。如果數據包與規則中的標準匹配,則具有高級安全性的Windows防火墻執行規則中指定的操作,即阻止連接或允許連接。如果數據包與規則中的標準不匹配,則具有高級安全性的Windows防火墻丟棄該數據包,并在防火墻日志文件中創建條目(如果啟用了日志記錄)。
對規則進行配置時,可以從各種標準中進行選擇:例如應用程序名稱、系統服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網絡適配器)、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規則中的標準添加在一起;添加的標準越多,具有高級安全性的Windows防火墻匹配傳入流量就越精細。
下面我們一起來了解一下如何來配置Window Server 2008的防火墻。
利用MMC單元進行管理
這種方式可以讓你在一個界面中同時配置防火墻設置和IPSec設置,還可以在監視節點中查看當前應用的策略、規則和其它信息。
從啟動菜單的管理工具中找到高級安全Windows防火墻,點擊打開MMC管理單元。Windows 2008的高級安全Windows防火墻使用出站和入站兩組規則來配置其如何響應傳入和傳出的流量;通過連接安全規則來確定如何保護計算機和其它計算機之間的流量,而且可以監視防火墻活動和規則。
下面我們來通過實際例子查看一下如何配置這幾個規則。
首先從入站規則開始,假如我們在Windows Server 2008上安裝了一個Apache Web服務器,默認情況下,從遠端是無法訪問這個服務器的,因為在入站規則中沒有配置來確認對這些流量“放行”,下面我們就為它增加一條規則。
打開高級安全Windows防火墻,點擊入站規則后從右邊的入站規則列表中我們可以看到Windows Server 2008自帶的一些安全規則,在這兒可以看到,我們可以基于具體的程序、端口、預定義或自定義來創建入站規則,其中每個類型的步驟會有細微的差別。第三步指定對符合條件的流量進行什么操作,接下來選擇應用規則的配置文件和為規則指定名稱后,規則就創建好了。
連接安全包括在兩臺計算機開始通信之前對它們進行身份驗證,并確保在兩臺計算機之間正在發送的信息的安全性。具有高級安全性的 Windows 防火墻包含了 Internet 協議安全 (IPSec) 技術,通過使用密鑰交換、身份驗證、數據完整性和數據加密(可選)來實現連接安全。
對于單個服務器來說,可以使用高級安全Windows防火墻管理控制單元來對防火墻進行設置,以上的方法還算適用。但是如果在你的企業網絡中有大量計算機需要設置,就應該使用下面這種更高效的方法。
在一個使用活動目錄(AD)的企業網絡中,為了實現對大量計算機的集中管理,你可以使用組策略來應用高級安全Windows防火墻的配置。組策略提供了高級安全Windows防火墻的完全功能的訪問,包括配置文件、防火墻規則和計算機安全連接規則。
實際上,在組策略管理控制臺中為高級安全Windows防火墻配置組策略的時候是打開的同一個控制單元。值得注意的是,如果你使用組策略來在一個企業網絡中配置高級安全Windows防火墻的話,本地系統管理員是無法修改這個規則的屬性的。通過創建組策略對象,可以配置一個域中所有計算機使用相同的防火墻設置。
使用Netsh advfirewall命令行工具,雖然圖形化配置界面比較簡單直觀,但是對于一些有經驗的系統管理員來說,則往往更喜歡使用命令行方式來完成它們的配置工作,因為后者一旦熟練掌握的話,可以更靈活更準確更迅速的實現配置任務。
Netsh是可以用于配置網絡組件設置的命令行工具。具有高級安全性的Windows防火墻提供netsh advfirewall工具,可以使用它配置具有高級安全性的Windows防火墻設置。使用netsh advfirewall可以創建腳本,以便自動同時為IPv4和IPv6流量配置一組具有高級安全性的Windows 防火墻設置。還可以使用netsh advfirewall命令顯示具有高級安全性的Windows防火墻的配置和狀態。
通過以上Windows Server 2008功能及管理工具,能夠方便為企業信息的安全與信息管理,為企業高速發展保駕護航。
【編輯推薦】
