微軟新一代服務器操作系統Windows Server 2008的發布開啟了一個新的Windows企業應用時代，相信在接下來的幾年或許更長的時間內，將會有不計其數的應用會運行于這個平臺之上。那么承載著如此重任的服務器操作系統，面對于更注重信息保護和信息安全的企業環境，它是否能夠充分應對呢？

顯然微軟對這款產品的安全性以及相關功能充滿了信心，其實這不難理解，因為Windows Server 2008的研發過程正好經歷了微軟安全大潮的洗禮，在可信賴計算戰略的推進下，微軟將安全方面提升到一個前所未有的重視程度，深層防護的安全模型、SDL(安全開發生命周期)的方法論，始終貫穿了Windows Server 2008整個產品的設計開發過程。

那么下面我們就從不同的角度來一同領略一下Windows Server 2008在面向企業應用方面都提供了那些安全特性和功能，以及通過它們又能為企業帶來怎樣的安全體驗。

操作系統安全性

無論如何，服務器操作系統本身的健壯和安全性是一切安全的基礎，相信沒人認為可以在一個滿是漏洞的平臺上能夠構建出一個安全的應用系統。從這個層面上說，Windows Server 2008將會比上一代服務器平臺更加優秀，因為它使用了和Windows Vista相同的代碼基礎（code base），在核心層的結構設計中DEP(數據執行保護)， ASLR（地址空間隨機分布）、UAC（用戶賬戶控制）、Windows服務加固等安全技術的引入，在很大程度上減少和降低了常規威脅與攻擊方法利用系統薄弱環節的可能性，從而使得它成為有史以來最為強健和安全的Windows核心結構。

從實踐的情況來看，自Windows Vista發布以來所暴露出來的安全問題的數量，相信也可以讓我們更容易認同這樣的觀點。當然在發布時已經采用SP1代碼基礎作為核心的Windows Server 2008，其操作系統的強壯和安全性應該有了更進一步的提高。

以前很多人對于Windows自帶的防火墻并不十分看好，認為其功能方面過于簡單，不足以滿足復雜網絡狀況的需求，而Windows Server 2008中內置的防火墻將會讓大家對此改變看法。僅僅從Windows Firewall with Advanced Security（具有高級安全的Windows防火墻）這個冗長的新名稱來看就能它在力圖說明自己和以前的版本有著顯著的不同。雖然用戶依然可以使用和以前相同的界面進行防火墻管理，但是其核心已經有了完全的變化，通過使用高級管理控制臺或者組策略，你可以更全面釋放出它所蘊含的潛力。

這個新的防火墻是一個同時基于規則和狀態的網絡訪問安全機制，提供了對IPv6的全面支持并在其中整合了狀態過濾與IPSec。利用它不僅可以對本地主機的網絡訪問進行安全保護，更為重要的是還可以通過組策略方便的構建基于域的企業網絡隔離解決方案，實現安全的內部網絡訪問體系。

在服務器中存放著的往往都是企業最為重要的數據，如何能最大程度的保護這些信息資產的安全始終都是重中之重。在Windows Server 2008中，除了可以繼續使用增強了的EFS（加密文件系統）對NTFS文件系統中的指定文件進行高強度的保護之外，全新提供的BitLocker全卷加密功能使得企業能夠對存儲有重要信息的磁盤實現完整的加密保護，在即使遭遇到服務器失竊這樣嚴重的物理安全事件后也能夠從容的應對。

更小的安全攻擊表面

完成最初安裝的Windows Server 2008是一個具有最小結構的操作系統框架，用戶可以通過在這個結構之上添加所需的服務器角色和功能來滿足應用的需求。通過這種機制只有必須的組件才會被添加到系統之中，盡可能的避免了由于無關的組件、功能、服務和端口等的引入以及安全限制的放寬而為系統帶來的額外風險。這種結構從安全角度來講，很大程度上是減少了服務器所暴露的“安全攻擊表面”，將發生安全攻擊的可能性縮減到很小的范圍，以提高整體的安全性。

尤其是在Windows Server 2008新引入的Server Core部署模式中更是將這種理念發揮到了極致，沒有圖形化的界面，只能添加用于基礎結構服務的9個服務器角色，進一步將基礎結構服務器的安全與穩定性提高到了前所未有的高度。

在Windows Server 2008中所包括的服務組件內也都遵循了同樣的方式，其中作為Web應用平臺的IIS7更是充分體現了這一特征。在IIS7中所具備的功能被拆解成為四十多個可以單獨添加的組件，這種細粒度而又靈活的配置方式使得在滿足功能要求的前提下，排除了在應用不會使用的部件。

當然在Windows Server 2008中依然提供了新版本的SCW（安全配置向導），它可以通過向導配置的方式來減少服務器安全攻擊表面，管理員可以使用這個簡單易用的工具進一步的提高服務器的安全性。

安全基礎結構服務

對于企業來說，服務器操作系統平臺還承擔著實現諸多安全基礎結構的重任，這些組件通過各種類型的安全服務為企業中的應用提供賴以運行的安全基礎設施。相對之前的版本，Windows Server 2008就具備了非常豐富的服務器角色和功能來完成這方面的需求。

對很多具有跨地域分支機構企業的IT部門來說，要讓用戶和應用能夠快速的登錄與訪問活動目錄所提供的服務，同時又要確保位于不同位置缺乏足夠物理保護措施的域控制器的安全是一項很棘手的事情，因為域控制器是活動目錄資源管理控制的中樞，任何一臺域控制器的失守都有可能帶來非常嚴重的后果，但隨著Windows Server 2008 RODC（只讀域控制器）特性的引入這一難題將迎刃而解。

因為在RODC中只存有活動目錄數據的只讀副本和少量的憑據緩存，還可以單獨進行服務器維護權限的委派，所以利用它可以為分支機構提供快速的活動目錄訪問的同時，又可以避免由于分散部署的域控制器有可能會給活動目錄基礎結構帶來的安全威脅。

異構平臺上的應用系統、跨組織的應用系統、使用不同驗證機制的應用系統，如何實現統一安全身份驗證和SSO（單點登錄），這是很多企業在當前的商務應用整合中所面臨的共同挑戰。Windows Server 2008將AD FS（活動目錄聯合身份驗證服務）這一組件添加到了服務器角色之中，從而可以為企業的應用提供了可擴展、可伸縮和安全的跨平臺身份驗證服務。利用它即便用戶賬戶和應用程序分別處于完全不同的組織之中，也可以讓基于瀏覽器的客戶端和多個受保護的應用程序之間進行無縫的整合。

AD RMS（活動目錄權限管理服務）原來是單獨發布的一個Windows Server功能擴展組件，在Windows Server 2008中它也被內置成為一個服務器角色，除了提供更全面的安全機制外，在管理特性方面也有了進一步的增強。通過使用AD RMS和支持該技術的應用系統（Office、SharePoint、Exchange Server以及第三方應用等），企業可以將類似于機密文檔和敏感電子郵件等這樣一些信息的訪問安全進行全程的控制和監視。

無論這種被保護信息以何種途徑被存放在何種位置和介質上，也只有被明確授予了權限的用戶才可以在有效的期限內去訪問和對其執行受限的操作，而且該信息自創建后的所有訪問和操作也會被審核機制全程的記錄下來。通過AD RMS可以為企業重要信息資產完整生命周期的安全管理提供有效的基礎設施服務。

基于證書的安全應用普遍存在于企業的各系統之中，Windows Server 2008的AD CS（活動目錄證書服務）服務器角色為企業構建自己的PKI（公鑰基礎結構）提供了全面的支持。除了繼承上一代證書服務的所有功能之外，AD CS新提供了用于監視CA健康狀況的工具以及更為安全的證書Web申請組件。另外，Windows Server 2008中內置的CNG（下一代加密算法），也為企業在證書中實現更為靈活和強壯的加密機制提供了可能。

安全的網絡訪問

NAP（網絡訪問保護）無疑是Windows Server 2008中最大的亮點之一，這種基于策略的網絡訪問控制機制，可以讓企業有效保護對其網絡的訪問，將由于非安全的計算機接入網絡而引入的病毒傳播、入侵攻擊等安全威脅的風險降低到最小。啟用了NAP的計算機能夠對自身的安全“健康”狀況進行持續的檢測和評估，如果計算機的“健康”不符合預先定義的策略標準，它會自動被從網絡中隔離，并且啟動健康修復過程，當完成修復使計算機的能夠達到策略要求時，又會自動的解除隔離恢復正常的網絡資源訪問。NAP本身具有開放性的結構，這使得獨立的軟件開發商可以很容易的基于這個平臺開發自己的解決方案，從而能夠提供更加豐富的安全實現。

VPN是目前企業中遠程訪問所使用的主要技術之一，但基于PPTP和L2TP/IPSec的VPN技術在實際部署的過程中有時會因為網絡設備和防火墻對這些協議端口的阻止或者對某些特殊協議的不支持而使其難以實現。在Windows Server 2008中除了繼續支持這兩種已有的VPN協議之外，還提供了一種更易于部署的VPN技術――SSTP（安全套接隧道協議）協議 。這種VPN協議將PPP封裝于HTTPS的SSL通道之中，通過基于具有很強防火墻穿透性的HTTPS（TCP443端口）協議實現VPN連接，從而為企業更靈活地部署VPN解決方案提供了可能。

TS（終端服務）網關是Windows Server 2008終端服務所提供的全新安全遠程訪問特性， 一方面它使用HTTPS封裝RDP協議加密保護使用終端服務的遠程用戶對企業內部計算機的遠程訪問。另一方面，TS網關可以協助企業實現更有效的安全遠程訪問解決方案，通過TS網關可以在內部網絡集中應用和數據，確保盡可能少的將數據留在公司網絡之外，從而更有效保證應用程序及數據的安全，用戶不需要擁有對公司網絡或計算機的過多訪問權限，只需要將他們限制于允許的應用，就可以降低如丟失便攜式計算機所造成的意外數據丟失的風險。

安全指南

雖然Windows Server 2008自身提供了許多安全特性，但對于企業的信息應用來講，擁有具備這些安全特性的服務器系統平臺僅僅一個開始，更為重要的是如何在自己的組織中實現和合理的應用這些特性來構建有效的安全解決方案。所幸的是在Windows Server 2008產品正式發布之前，微軟就已經發布了最新的Windows Server 2008安全指南。

在該指南中包括了實現安全相關特性的具體方法步驟以及最佳實踐，同時還針對操作系統本身的不同角色與組件，提供了非常詳盡的安全攻擊表面的細節數據，這讓用戶在應用安全方面可以做到“心中有數”，充分了解可能的安全威脅。指南作為廠商的權威安全指導，為使用Windows Server 2008的企業用戶提供了全面和有非常有價值的安全技術參考。

【編輯推薦】

1. Windows Server 2008 R2中如何托管服務賬號
2. Windows server 2008 R2系統安全穩如磐石
3. Windows Server 2008 R2中的DirectAccess功能詳解
4. Windows Server 2008 R2中托管服務帳號的方法
5. 漫談Windows Server 2008的網絡特性