Windows Server 2008 中4項(xiàng)改進(jìn)的安全功能

作者：pine 2010-06-03 14:09:35

Windows Server 2008作為Windows server 2003的繼任者（雖然之前有Windows NT server和Windows 2000 server，但由于技術(shù)進(jìn)步較大，因此比較安全方面的提高實(shí)際意義不大），我認(rèn)為其是符合大家的期望的。

作為新一代Windows Server。Windows Server 2008通過加強(qiáng)操作系統(tǒng)和保護(hù)網(wǎng)絡(luò)環(huán)境提高了安全性。通過加快IT系統(tǒng)的部署與維護(hù)、使服務(wù)器和應(yīng)用程序的合并與虛擬化更加簡單、提供直觀管理工具，Windows Server 2008還為IT專業(yè)人員提供了靈活性。Windows Server 2008為任何組織的服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)奠定了最好的基礎(chǔ)。

Microsoft Windows Server2008用于在虛擬化工作負(fù)載、支持應(yīng)用程序和保護(hù)網(wǎng)絡(luò)方面向組織提供最高效的平臺。它為開發(fā)和可靠地承載Web應(yīng)用程序和服務(wù)提供了一個(gè)安全、易于管理的平臺。從工作組到數(shù)據(jù)中心，Windows Server2008都提供了令人興奮且很有價(jià)值的新功能，對基本操作系統(tǒng)做出了重大改進(jìn)。

使用 Windows Server 2008，IT 專業(yè)人員能夠更好地控制服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，從而可以將精力集中在處理關(guān)鍵業(yè)務(wù)需求上。增強(qiáng)的腳本編寫功能和任務(wù)自動化功能（例如，Windows PowerShell）可幫助 IT 專業(yè)人員自動執(zhí)行常見 IT 任務(wù)。通過服務(wù)器管理器進(jìn)行的基于角色的安裝和管理簡化了在企業(yè)中管理與保護(hù)多個(gè)服務(wù)器角色的任務(wù)。服務(wù)器的配置和系統(tǒng)信息是從新的服務(wù)器管理器控制臺這一集中位置來管理的。IT 人員可以僅安裝需要的角色和功能，向?qū)詣油瓿稍S多費(fèi)時(shí)的系統(tǒng)部署任務(wù)。增強(qiáng)的系統(tǒng)管理工具（例如，性能和可靠性監(jiān)視器）提供有關(guān)系統(tǒng)的信息，在潛在問題發(fā)生之前向 IT 人員發(fā)出警告。

作為其客戶端的Windows Vista和Windows 7，Windows server 2008提供比以往更加增強(qiáng)的安全功能。包括，改進(jìn)的防火墻，硬盤加密，擴(kuò)展活動目錄控制，網(wǎng)絡(luò)訪問控制和ISV安全編程能力等等許多其他更新和改進(jìn)的安全技術(shù)。

1．全新及改進(jìn)的Windows防火墻和高級安全特色

Server 2008包括了一個(gè)新的增強(qiáng)版本的Windows防火墻，相比最初隨Windows XP SP2發(fā)布的版本其具有更多提高的組件。微軟提供給管理員一個(gè)基于主機(jī)狀態(tài)全功能的防火墻解決方案，以便進(jìn)行高級配置。傳入和傳出過濾器可以配置為跨過高級規(guī)則過濾源地址和目標(biāo)地址、端口、服務(wù)、協(xié)議甚至接口。防火墻被預(yù)配置為拒絕所有來自外部網(wǎng)絡(luò)的非源請求但允許所有對外通訊。盡管你可以像之前的Windows防火墻一樣通過控制面板配置基本設(shè)置，但你無法訪問高級配置。
高級配置任務(wù)必須通過使用微軟管理控制臺中的“高級安全Windows 防火墻“來完成。
IPsec集成也是Windows防火墻的新特色。其使IPsec配置更為簡單并且避免與防火墻規(guī)則發(fā)生沖突，因?yàn)閮烧呤墙?jīng)由相同的接口編程的。

2．BitLocker-安全與保護(hù)的探索

Windows server 2008包含BitLocker驅(qū)動器加密工具，其具有兩個(gè)關(guān)鍵技術(shù)來保護(hù)敏感數(shù)據(jù)，驅(qū)動器加密和引導(dǎo)完整性檢查。雖然服務(wù)器不像筆記本電腦那樣容易被偷竊，但是仍有很多硬件丟失和數(shù)據(jù)盜竊的情況發(fā)生，像硬件維修或更換工作地點(diǎn)發(fā)生的丟失等。Bitlocker允許管理員像加密當(dāng)前服務(wù)器上的任何數(shù)據(jù)卷一樣加密整個(gè)操作系統(tǒng)卷，這包括Windows操作系統(tǒng)，休眠和頁面文件，應(yīng)用程序和應(yīng)用程序使用的數(shù)據(jù)。但是操作系統(tǒng)卷和數(shù)據(jù)卷不能分開解密，如果操作系統(tǒng)卷解密了，數(shù)據(jù)卷也同時(shí)被解密。并且在此需要說明的是，Bitlocker只能加密邏輯驅(qū)動器，無法加密物理驅(qū)動器。而且Bitlocker不隨Windows server 2008默認(rèn)安裝，在某些服務(wù)器環(huán)境中也不需要，其也不支持群集配置。Bitlocker整合了TPM規(guī)格，提供硬件級別上的脫機(jī)篡改完整性證明。Bitlocker配置提供了一個(gè)簡單易用的向?qū)А９芾韱T也可以使用WMI接口，其支持腳本。
恢復(fù)控制臺允許個(gè)人輕松使用正確的密鑰或PIN碼訪問加密系統(tǒng)。

3．NAP-保持健康網(wǎng)絡(luò)的挑戰(zhàn)

今天，在連接和移動環(huán)境中阻止不安全電腦的訪問和可能的商業(yè)內(nèi)部網(wǎng)絡(luò)感染是一項(xiàng)持續(xù)的挑戰(zhàn)。網(wǎng)絡(luò)訪問保護(hù)（NAP）是一個(gè)新的平臺允許管理員通過一套管理員定義的系統(tǒng)健康規(guī)則動態(tài)的控制計(jì)算機(jī)網(wǎng)絡(luò)訪問。
NAP提供了三個(gè)方法：
健康狀態(tài)驗(yàn)證–通過為所有計(jì)算機(jī)連接入網(wǎng)絡(luò)進(jìn)行定義和驗(yàn)證
健康策略允許– 通過提供資源以允許計(jì)算機(jī)滿足健康要求
限制訪問– 通過提供給非允許的和無法升級以滿足要求的電腦限制的網(wǎng)絡(luò)資源
NAP極大地減少了保持機(jī)構(gòu)內(nèi)部計(jì)算機(jī)升級到最新安全應(yīng)用的負(fù)載，它還在減少可能由于未知健康狀態(tài)的外部或偶爾的計(jì)算機(jī)訪問造成的安全破壞的同時(shí)允許遠(yuǎn)程計(jì)算機(jī)訪問網(wǎng)絡(luò)資源。

4．ASLR技術(shù)和其它增強(qiáng)的安全功能

地址空間格局的隨機(jī)化 (ASLR)是一種安全設(shè)計(jì)機(jī)制。在Windows server 2008中引入了ASLR安全特性。它的原理就是在當(dāng)一個(gè)應(yīng)用程序或動態(tài)鏈接庫，如kernel32.dll，被加載時(shí)，如果其選擇了被ASLR保護(hù)，那么系統(tǒng)就會將其加載的基址隨機(jī)設(shè)定。這樣，攻擊者就無法事先預(yù)知動態(tài)庫，如kernel32.dll的基址，也就無法事先確定特定函數(shù)，如VirtualProtect的入口地址了。在Windows XP或Windows 2000上，這些函數(shù)的入口地址是固定的，即攻擊者事先可以確定的。ASLR是系統(tǒng)一級的特性。系統(tǒng)動態(tài)庫，如kernel32.dll，加載地址，是在系統(tǒng)每次啟動的時(shí)候被隨機(jī)設(shè)定的。

其他Windows server 2008中集成的安全增強(qiáng)功能包括增強(qiáng)的活動目錄，其改善了身份，認(rèn)證和權(quán)限管理，和遠(yuǎn)程域服務(wù)器的域控制模式。還有改進(jìn)的終端服務(wù)，其能夠共享單個(gè)應(yīng)用程序而不是整個(gè)桌面并且允許經(jīng)由https的安全遠(yuǎn)程連接。還包括改進(jìn)的IIS安全功能和支持256位AES加密的Kerberos身份驗(yàn)證協(xié)議。Read-Only Domain Controller (RODC)：這是 Windows Server 2008 操作系統(tǒng)中的一種新型域控制器配置，使組織能夠在域控制器安全性無法保證的位置輕松部署域控制器。

RODC 維護(hù)給定域中 Active Directory 目錄服務(wù)數(shù)據(jù)庫的只讀副本。在此版本之前，當(dāng)用戶必須使用域控制器進(jìn)行身份驗(yàn)證，但其所在的分支辦公室無法為域控制器提供足夠物理安全性時(shí)，必須通過廣域網(wǎng) (WAN) 進(jìn)行身份驗(yàn)證。在很多情況下，這不是一個(gè)有效的解決方案。通過將只讀 Active Directory 數(shù)據(jù)庫副本放置在更接近分支辦公室用戶的地方，這些用戶可以更快地登錄，并能更有效地訪問網(wǎng)絡(luò)上的身份驗(yàn)證資源，即使身處沒有足夠物理安全性來部署傳統(tǒng)域控制器的環(huán)境。

Failover Clustering：這些改進(jìn)旨在更輕松地配置服務(wù)器群集，同時(shí)對數(shù)據(jù)和應(yīng)用程序提供保護(hù)并保證其可用性。通過在故障轉(zhuǎn)移群集中使用新的驗(yàn)證工具，您可以測試系統(tǒng)、存儲和網(wǎng)絡(luò)配置是否適用于群集。憑借 Windows Server 2008 中的故障轉(zhuǎn)移群集，管理員可以更輕松地執(zhí)行安裝和遷移任務(wù)，以及管理和操作任務(wù)。群集基礎(chǔ)結(jié)構(gòu)的改進(jìn)可幫助管理員最大限度地提高提供給用戶的服務(wù)的可用性，可獲得更好的存儲和網(wǎng)絡(luò)性能，并能提高安全性。

總的來說，微軟的新的操作系統(tǒng)提供了急需的增強(qiáng)的安全功能。

【編輯推薦】