Windows Server 2008 新增功能淺談
許多人認為Windows操作系統是不安全的,其實并非如此。客觀地講,沒有絕對安全的操作系統,任何操作系統的安全都是相對的。Linux和UNIX也并非固若金湯,也同樣會有系統漏洞,也同樣會遭遇各種攻擊。“樹大招風”的古訓大家都知道,呵呵。
Windows Server 2008誕生已有兩個年頭,尤其是在安全性、可靠性及可操作性上與Windows 以往的家族成員相比都有顯著的提高。以下針對Windows Server 2008幾個新增功能淺談下我個人在實際工作中應用的體會。
1、 TS RemoteApp
Terminal Services RemoteApp (TS RemoteApp)將給企業分支機構、移動辦公人員提高辦公效率,保障企業數據安全成為可能。
RemoteApp 程序是通過終端服務遠程訪問的程序,它們看來就像運行在最終用戶的本地計算機上一樣。用戶可以將 RemoteApp 程序與本地程序并排運行。用戶可以最小化、最大化以及調整程序窗口的大小,還可以輕松地同時啟動多個程序。如果用戶在同一臺終端服務器上運行多個 RemoteApp 程序,RemoteApp 程序將共享同一個終端服務會話。
用戶可以從終端服務器運行程序,并且擁有的體驗就像程序在最終用戶的本地計算機上運行的一樣,包括可以調整大小的窗口、多臺監視器之間的拖放支持以及通知區域中的通知圖標。RemoteApp 程序與客戶端的桌面集成在一起,借助任務欄中它自己的條目,運行在它自己的可調整大小的窗口中,而不是在遠程終端服務器的桌面中呈現給用戶。如果程序使用通知區域圖標,則該圖標出現在客戶端的通知區域中。彈出窗口被重定向到本地桌面。可以對本地驅動器和打印機進行重定向以使它們出現在 RemoteApp 程序中。許多用戶可能沒有注意到 RemoteApp 程序與本地程序的任何差異。
與Linux中SSH相比,TS RemoteApp功能更具有堡壘主機之功效。
這一功能尤其適用于金融行業,因證券基金類組織的行業特點,辦公人員均需使用柜臺查詢業務數據。使用TS RemoteApp后,可以將柜臺客戶端集中部署在終端服務器中,這樣在終端對柜臺應用程序進行掃描、破解、反向工程等攻擊基本不可能,提高了安全性。
2、 Server Core
與前任Windows Server2003相比,在 Windows Server 2008 操作系統中,管理員可以選擇安裝可避免額外開銷的最小環境。盡管此選項限制了服務器可執行的角色,但可以提高安全性并減少管理工作。服務器核心安裝是運行 Active Directory 域服務、AD LDS、DHCP 服務器、DNS 服務器、文件服務、打印服務器和流媒體服務服務器角色的最小安裝。
服務器核心安裝提供以下優勢:
減少維護工作量。由于服務器核心安裝僅安裝指定服務器角色所需的設備,因此與 Windows Server 2008 的完整安裝相比,需要的服務更少。
減小受攻擊面。因為服務器核心安裝是最小安裝,所以服務器上運行的應用程序較少,從而可減小受攻擊面。
減少管理工作量。因為運行服務器核心安裝的服務器上安裝的應用程序和服務較少,所以需要的管理工作更少。
需要更少的磁盤空間。服務器核心安裝僅需要大約 1GB 磁盤空間即可進行安裝,安裝完成后,僅需要大約 2 GB 磁盤空間即可運行。
這一功能尤其適用于需要以Active Directory 域服務管理企業資源,可以做到最小化的安裝企業所需的服務,減少補丁需求,提高服務器的安全架構。
與Linux的命令行相比,兼容性更具優勢。
3、網絡訪問保護
網絡訪問保護 (NAP) 是 Windows Server 2008 和 Windows Vista 操作系統附帶的一組新的操作系統組件,它提供一個平臺以幫助確保專用網絡上的客戶端計算機符合管理員定義的系統健康要求。NAP 策略為客戶端計算機的操作系統和關鍵軟件定義所需的配置和更新狀態。例如,可能要求計算機安裝具有最新簽名的防病毒軟件,安裝當前操作系統的更新并且啟用基于主機的防火墻。
通過強制符合健康要求,NAP 可以幫助網絡管理員降低因客戶端計算機配置不當所導致的一些風險,這些不當配置可使計算機暴露給病毒和其他惡意軟件。當客戶端計算機嘗試連接網絡或在網絡上通信時,NAP 通過監視和評估客戶端計算機的健康狀況來強制實施健康要求。如果確定客戶端計算機不符合健康要求,則可以將其置于包含資源的受限網絡上,以幫助更新客戶端系統使其符合健康策略。該功能非常類似于ISA Server中的VPN訪問隔離策略控制。
與Linux中ACL相比,NAP更能滿足企業靈活定制需求功能。
這一功能尤其適用于企業對網絡安全性有較高要求,企業員工經常出差又必須訪問公司辦公網絡,保障企業網絡安全。
4、只讀域控制器
只讀域控制器 (RODC) 是 Windows Server 2008 操作系統中的一種新類型的域控制器。借助 RODC,組織可以在無法保證物理安全性的位置中輕松部署域控制器。RODC 承載 Active Directory 域服務 (AD DS) 數據庫的只讀分區。
物理安全性不足是考慮部署 RODC 的最常見原因。RODC 提供了一種在要求快速、可靠的身份驗證服務但不能確保可寫域控制器的物理安全性的位置中更安全地部署域控制器的方法。 但是,您的組織也可選擇根據特殊管理要求部署 RODC。例如,行業 (LOB) 應用程序只有在安裝在域控制器上的情況下,才可以成功運行。或者,域控制器可能是分支機構中唯一的服務器,并且可能必須承載服務器應用程序。 在這種情況下,LOB 應用程序的所有者必須經常以交互方式登錄到域控制器,或使用終端服務配置和管理應用程序。
此情況產生了在可寫域控制器上可能無法接受的安全風險。 RODC 為在此方案中部署域控制器提供了更安全的機制。您可以向非管理域用戶授予登錄到 RODC 的權限,同時最小化 Active Directory 林的安全風險。 還可以在其他方案中部署 RODC,例如,Extranet 或面向應用程序的角色中,其中本地存儲的所有域用戶密碼是主要威脅。
RODC 解決了分支機構中的一些常見問題。這些位置可能沒有域控制器。或者,這些位置可能具有可寫域控制器,但是不具備支持它的物理安全性、網絡帶寬或本地專業知識。除帳戶密碼之外,RODC 保存了可寫域控制器所保留的所有 Active Directory 對象和屬性。但是,不能對存儲在 RODC 上的數據庫進行更改。更改必須在可寫域控制器上進行,然后復制回 RODC。該功能類似于DNS中的輔助區域。
在 Windows Server 2008 發布之前,如果用戶必須通過廣域網 (WAN) 對域控制器進行身份驗證,則沒有合適的替代方案。在許多情況下,這不是一個有效的解決方案。分支機構通常不能為可寫域控制器提供所需的充分的物理安全性。此外,當分支機構連接到中心站點時,其網絡帶寬狀況通常較差。這可能增加登錄所需的時間。它還可能妨礙對網絡資源的訪問。因此Windows Server 2008的發布給企業基礎架構提供了更優的解決方案。
與Linux中LDAP相比,功能更為完善。
5、虛擬化角色
借助虛擬化角色,您可以使用作為 Windows Server 2008 操作系統一部分的技術創建一個虛擬化的服務器計算環境。該解決方案通過 Hyper-V 提供。可以使用虛擬化計算環境,利用多個硬件資源來提高計算資源的效率。
Hyper-V 提供 Windows Server 2008 中的軟件基礎結構和基本管理工具,可用于創建和管理虛擬化服務器計算環境。此虛擬化環境可用來實現旨在提高效率和降低成本的各種商業目標。例如,虛擬化服務器環境可以幫助您:
通過增加硬件的利用率降低運行和維護物理服務器的成本。可以減少運行服務器工作負載所需的硬件數量。
通過減少設置硬件和軟件以及再現測試環境所需的時間提高開發和測試效率。
提高服務器可用性,而無需使用僅使用物理計算機的故障轉移配置中所需數量的物理計算機。
增加或減少服務器資源以響應所需的更改。
這一功能尤其適用于為金融行業開發柜臺的軟件公司。因其需要搭建業務平臺,進行大量的業務測試,此時需要為數較多的服務器來滿足測試需求,使用Windows Server 2008虛擬化技術可以幫助企業降低硬件成本。
相比Xen而言,Xen需要與系統共同協作(客戶操作系統需要修改), 只有打過補丁的系統才能使用Xen. 從Linux角度來看, Linux本身是開源的, 結果是Xen的性能要好于全虛擬化技術. 但是從系統支持(比如支持其它非開源的操作系統)的角度來看, 這顯然是一個不足之處。
【編輯推薦】
