在允許用戶使用自己的設(shè)備并將其接入到內(nèi)部網(wǎng)絡(luò)進(jìn)行工作方面，企業(yè)收到了立竿見影的效果。“攜帶個人設(shè)備(BYOD)”的提議確實(shí)已經(jīng)開啟，不過，這在很多情況下會讓W(xué)indows 服務(wù)器管理員們有點(diǎn)措手不及。

傳統(tǒng)的工作模式中，服務(wù)器工程師的任務(wù)是保護(hù)其環(huán)境免受惡意攻擊、數(shù)據(jù)丟失、入侵和基于服務(wù)器主機(jī)的危險。而現(xiàn)在，管理員則必須處理一些外來設(shè)備，并允許它們訪問內(nèi)部資源。無論用戶使用什么樣的終端設(shè)備，它都需要放在Windows服務(wù)器上。

調(diào)整現(xiàn)有的Windows 服務(wù)器安全實(shí)踐

即使在企業(yè)環(huán)境中接入了一些新型的終端設(shè)備，工程師們?nèi)匀荒軌虺晒Φ乇Ｗo(hù)環(huán)境的安全并有效地管理。下面是一些管理和加強(qiáng)BYOD環(huán)境安全的提示和最佳做法。

使用組策略(GPO)和活動目錄(AD)：在服務(wù)器管理方面，AD安全組在管理BYOD 環(huán)境時將會有很大作為。工程師們能夠控制將哪些應(yīng)用程序、桌面和工作負(fù)載傳遞到最終用戶。管理員使用GPO也可以部署相應(yīng)的客戶端到最終用戶。這對于無縫連接用戶設(shè)備和保持一致的客戶端工作體驗(yàn)非常重要。正確地使用GPO和AD安全組是有效管理BYOD 環(huán)境的第一步。

細(xì)致的權(quán)限監(jiān)控：當(dāng)用戶登錄到他們的環(huán)境時，可能會有文件夾映射和重定向。在 BYOD環(huán)境中用戶可能仍需要一組要使用的文件夾。切記，在這種集中管理的環(huán)境中，任何終端設(shè)備都不能保存任何實(shí)際數(shù)據(jù)。盡管如此，適當(dāng)?shù)奈募A和共享管理非常重要。通過監(jiān)控和管理現(xiàn)有文件夾的權(quán)限，可以最大限度地避免用戶在使用自己的終端設(shè)備訪問網(wǎng)絡(luò)資源時犯錯或意外地刪除共享。

使用訪問控制列表(ACL)：訪問控制是指授權(quán)用戶、 組或計算機(jī)使用權(quán)利、 用戶權(quán)限和審核對象訪問網(wǎng)絡(luò)對象的過程。ACL 可以迅速地成為服務(wù)器管理員監(jiān)控和管理BYOD 環(huán)境的最有用工具之一。請記住，在Windows Server 2008中，包括來賓用戶在內(nèi)的每個人都可以讀取和執(zhí)行根目錄中的文件。只有經(jīng)過身份驗(yàn)證的用戶才可以創(chuàng)建新的文件和文件夾，當(dāng)用戶創(chuàng)建好自己的文件或文件夾時，他們同時也獲得了對它們的修改權(quán)限。在Windows Server 2008環(huán)境中靈活使用ACL可以真正幫助鎖定來自 BYOD 硬件的訪問。

此外，Windows Server 2008為管理員和開發(fā)人員提供了很多好用的工具來管理終端用戶。相對于Windows Server 2003，Windows Server 2008的文件系統(tǒng)名稱空間已被大幅修改。現(xiàn)在的用戶數(shù)據(jù)保存在C:\Users目錄中，而以前位于C:\Documents and Setting\ \中的其它文件和文件夾已經(jīng)移走了。這有助于將文檔文件和數(shù)據(jù)文件分隔開。現(xiàn)在開發(fā)人員可以在自己的配置文件中創(chuàng)建自己的文件夾，而不用將所有的數(shù)據(jù)文件全部保存在“我的文檔”中。在Windows Server 2003環(huán)境中，針對所有用戶應(yīng)用程序的數(shù)據(jù)文件位于目錄Documents and Settings\All Users\Application Data中，而到了Windows Server 2008，它被移到了一個名為%systemroot%\ProgramData的隱藏文件夾中。這些文件夾可以進(jìn)一步對權(quán)限進(jìn)行監(jiān)控。這有助于防止用戶配置文件意外刪除或不必要的修改。

更新和管理：在虛擬化的環(huán)境中，需要時刻保持服務(wù)器補(bǔ)丁的更新。更新的方法有很多，例如WSUS，第三方軟件、主鏡像等等。保持Windows服務(wù)器的安全可以阻止BYOD設(shè)備產(chǎn)生的安全風(fēng)險。即使用戶使用自己的設(shè)備，他們?nèi)匀豢梢栽L問Windows服務(wù)器上的數(shù)據(jù)資源。所以這些服務(wù)器必須保持更新和備份。

鏡像管理：許多管理員在虛擬化Windows服務(wù)器時都會創(chuàng)建主鏡像的快照。然后，將其克隆成虛擬機(jī)，并在測試環(huán)境中對它應(yīng)用修補(bǔ)程序和更新。這時更新可以在隔離的服務(wù)器上測試是否有任何不兼容問題。在生產(chǎn)環(huán)境中，如果補(bǔ)丁更新失敗或有生產(chǎn)管理缺陷，服務(wù)器管理員可以將Windows環(huán)境回滾到上一個最近的版本。

終端訪問和管理：除了應(yīng)用或Web服務(wù)需要訪問Windows服務(wù)器的情況外，保持Windows服務(wù)器前置有防火墻或訪問網(wǎng)關(guān)很重要。在BYOD環(huán)境中用戶能夠從任何位置，在任何設(shè)備上，隨時訪問他們的工作環(huán)境。所以有必要創(chuàng)建一個連接策略，僅接受那些安裝有最新客戶端的某些類型設(shè)備的連接。這種管理有助于防止安全漏洞和改善用戶體驗(yàn)。對服務(wù)器連接情況和資源使用狀況的監(jiān)控既適用于物理服務(wù)器，同樣也適用于虛擬服務(wù)器。在BYOD環(huán)境的服務(wù)器管理方面，服務(wù)器負(fù)載的不均衡將會浪費(fèi)Windows服務(wù)器環(huán)境的資源。管理員需要24小時的監(jiān)控其環(huán)境中所有和特定服務(wù)器資源的使用情況。通過尋找瓶頸，然后隔離，工程師將能在故障影響到用戶之前快速地發(fā)現(xiàn)并解決它們。

每個企業(yè)的環(huán)境都不一樣，所以對BYOD活動的管理將會取決于環(huán)境中服務(wù)器的基礎(chǔ)架構(gòu)。然而，如果管理員主動仔細(xì)的規(guī)劃并確保Windows服務(wù)器環(huán)境補(bǔ)丁的更新，相信他們在使用現(xiàn)有服務(wù)器工具的基礎(chǔ)上一定能夠提供一個強(qiáng)大的終端解決方案。

【編輯推薦】

1. 系統(tǒng)管理員必備的十個Windows服務(wù)器管理工具
2. Windows服務(wù)器管理經(jīng)驗(yàn)技巧
3. Windows Server 2008 R2資源監(jiān)控工具亮點(diǎn)在何處?
4. 如何借助Windows Server 2008實(shí)施BYOD