Windows Server 2008 中4項改進的安全功能
Windows Server 2008作為Windows server 2003的繼任者(雖然之前有Windows NT server和Windows 2000 server,但由于技術進步較大,因此比較安全方面的提高實際意義不大),我認為其是符合大家的期望的。
作為新一代Windows Server。Windows Server 2008通過加強操作系統和保護網絡環境提高了安全性。通過加快IT系統的部署與維護、使服務器和應用程序的合并與虛擬化更加簡單、提供直觀管理工具,Windows Server 2008還為IT專業人員提供了靈活性。Windows Server 2008為任何組織的服務器和網絡基礎結構奠定了最好的基礎。
Microsoft Windows Server2008用于在虛擬化工作負載、支持應用程序和保護網絡方面向組織提供最高效的平臺。它為開發和可靠地承載Web應用程序和服務提供了一個安全、易于管理的平臺。從工作組到數據中心,Windows Server2008都提供了令人興奮且很有價值的新功能,對基本操作系統做出了重大改進。
使用 Windows Server 2008,IT 專業人員能夠更好地控制服務器和網絡基礎結構,從而可以將精力集中在處理關鍵業務需求上。增強的腳本編寫功能和任務自動化功能(例如,Windows PowerShell)可幫助 IT 專業人員自動執行常見 IT 任務。通過服務器管理器進行的基于角色的安裝和管理簡化了在企業中管理與保護多個服務器角色的任務。服務器的配置和系統信息是從新的服務器管理器控制臺這一集中位置來管理的。IT 人員可以僅安裝需要的角色和功能,向導會自動完成許多費時的系統部署任務。增強的系統管理工具(例如,性能和可靠性監視器)提供有關系統的信息,在潛在問題發生之前向 IT 人員發出警告。
作為其客戶端的Windows Vista和Windows 7,Windows server 2008提供比以往更加增強的安全功能。包括,改進的防火墻,硬盤加密,擴展活動目錄控制,網絡訪問控制和ISV安全編程能力等等許多其他更新和改進的安全技術。
1.全新及改進的Windows防火墻和高級安全特色
Server 2008包括了一個新的增強版本的Windows防火墻,相比最初隨Windows XP SP2發布的版本其具有更多提高的組件。微軟提供給管理員一個基于主機狀態全功能的防火墻解決方案,以便進行高級配置。傳入和傳出過濾器可以配置為跨過高級規則過濾源地址和目標地址、端口、服務、協議甚至接口。防火墻被預配置為拒絕所有來自外部網絡的非源請求但允許所有對外通訊。盡管你可以像之前的Windows防火墻一樣通過控制面板配置基本設置,但你無法訪問高級配置。
高級配置任務必須通過使用微軟管理控制臺中的“高級安全Windows 防火墻“來完成。
IPsec集成也是Windows防火墻的新特色。其使IPsec配置更為簡單并且避免與防火墻規則發生沖突,因為兩者是經由相同的接口編程的。
2.BitLocker-安全與保護的探索
Windows server 2008包含BitLocker驅動器加密工具,其具有兩個關鍵技術來保護敏感數據,驅動器加密和引導完整性檢查。雖然服務器不像筆記本電腦那樣容易被偷竊,但是仍有很多硬件丟失和數據盜竊的情況發生,像硬件維修或更換工作地點發生的丟失等。Bitlocker允許管理員像加密當前服務器上的任何數據卷一樣加密整個操作系統卷,這包括Windows操作系統,休眠和頁面文件,應用程序和應用程序使用的數據。但是操作系統卷和數據卷不能分開解密,如果操作系統卷解密了,數據卷也同時被解密。并且在此需要說明的是,Bitlocker只能加密邏輯驅動器,無法加密物理驅動器。而且Bitlocker不隨Windows server 2008默認安裝,在某些服務器環境中也不需要,其也不支持群集配置。Bitlocker整合了TPM規格,提供硬件級別上的脫機篡改完整性證明。Bitlocker配置提供了一個簡單易用的向導。管理員也可以使用WMI接口,其支持腳本。
恢復控制臺允許個人輕松使用正確的密鑰或PIN碼訪問加密系統。
3.NAP-保持健康網絡的挑戰
今天,在連接和移動環境中阻止不安全電腦的訪問和可能的商業內部網絡感染是一項持續的挑戰。網絡訪問保護(NAP)是一個新的平臺允許管理員通過一套管理員定義的系統健康規則動態的控制計算機網絡訪問。
NAP提供了三個方法:
健康狀態驗證–通過為所有計算機連接入網絡進行定義和驗證
健康策略允許– 通過提供資源以允許計算機滿足健康要求
限制訪問– 通過提供給非允許的和無法升級以滿足要求的電腦限制的網絡資源
NAP極大地減少了保持機構內部計算機升級到最新安全應用的負載,它還在減少可能由于未知健康狀態的外部或偶爾的計算機訪問造成的安全破壞的同時允許遠程計算機訪問網絡資源。
4.ASLR技術和其它增強的安全功能
地址空間格局的隨機化 (ASLR)是一種安全設計機制。在Windows server 2008中引入了ASLR安全特性。它的原理就是在當一個應用程序或動態鏈接庫,如kernel32.dll,被加載時,如果其選擇了被ASLR保護,那么系統就會將其加載的基址隨機設定。這樣,攻擊者就無法事先預知動態庫,如kernel32.dll的基址,也就無法事先確定特定函數,如VirtualProtect的入口地址了。在Windows XP或Windows 2000上,這些函數的入口地址是固定的,即攻擊者事先可以確定的。ASLR是系統一級的特性。系統動態庫,如kernel32.dll,加載地址,是在系統每次啟動的時候被隨機設定的。
其他Windows server 2008中集成的安全增強功能包括增強的活動目錄,其改善了身份,認證和權限管理,和遠程域服務器的域控制模式。還有改進的終端服務,其能夠共享單個應用程序而不是整個桌面并且允許經由https的安全遠程連接。還包括改進的IIS安全功能和支持256位AES加密的Kerberos身份驗證協議。Read-Only Domain Controller (RODC):這是 Windows Server 2008 操作系統中的一種新型域控制器配置,使組織能夠在域控制器安全性無法保證的位置輕松部署域控制器。
RODC 維護給定域中 Active Directory 目錄服務數據庫的只讀副本。在此版本之前,當用戶必須使用域控制器進行身份驗證,但其所在的分支辦公室無法為域控制器提供足夠物理安全性時,必須通過廣域網 (WAN) 進行身份驗證。在很多情況下,這不是一個有效的解決方案。通過將只讀 Active Directory 數據庫副本放置在更接近分支辦公室用戶的地方,這些用戶可以更快地登錄,并能更有效地訪問網絡上的身份驗證資源,即使身處沒有足夠物理安全性來部署傳統域控制器的環境。
Failover Clustering:這些改進旨在更輕松地配置服務器群集,同時對數據和應用程序提供保護并保證其可用性。通過在故障轉移群集中使用新的驗證工具,您可以測試系統、存儲和網絡配置是否適用于群集。憑借 Windows Server 2008 中的故障轉移群集,管理員可以更輕松地執行安裝和遷移任務,以及管理和操作任務。群集基礎結構的改進可幫助管理員最大限度地提高提供給用戶的服務的可用性,可獲得更好的存儲和網絡性能,并能提高安全性。
總的來說,微軟的新的操作系統提供了急需的增強的安全功能。
【編輯推薦】
- 選擇Windows Server 2008的理由
- Windows Server 2008理念和規劃
- 淺談Windows Server 2008應用
- 基于Windows Server 2008環境中一些管理測試
- Windows Server 2008為企業的信息安全保駕護航
