許多人認為Windows操作系統(tǒng)是不安全的，其實并非如此?？陀^地講，沒有絕對安全的操作系統(tǒng)，任何操作系統(tǒng)的安全都是相對的。Linux和UNIX也并非固若金湯，也同樣會有系統(tǒng)漏洞，也同樣會遭遇各種攻擊。“樹大招風”的古訓大家都知道，呵呵。

Windows Server 2008誕生已有兩個年頭，尤其是在安全性、可靠性及可操作性上與Windows 以往的家族成員相比都有顯著的提高。以下針對Windows Server 2008幾個新增功能淺談下我個人在實際工作中應用的體會。

1、 TS RemoteApp

Terminal Services RemoteApp (TS RemoteApp)將給企業(yè)分支機構(gòu)、移動辦公人員提高辦公效率，保障企業(yè)數(shù)據(jù)安全成為可能。

RemoteApp 程序是通過終端服務遠程訪問的程序，它們看來就像運行在最終用戶的本地計算機上一樣。用戶可以將 RemoteApp 程序與本地程序并排運行。用戶可以最小化、最大化以及調(diào)整程序窗口的大小，還可以輕松地同時啟動多個程序。如果用戶在同一臺終端服務器上運行多個 RemoteApp 程序，RemoteApp 程序?qū)⒐蚕硗粋€終端服務會話。

用戶可以從終端服務器運行程序，并且擁有的體驗就像程序在最終用戶的本地計算機上運行的一樣，包括可以調(diào)整大小的窗口、多臺監(jiān)視器之間的拖放支持以及通知區(qū)域中的通知圖標。RemoteApp 程序與客戶端的桌面集成在一起，借助任務欄中它自己的條目，運行在它自己的可調(diào)整大小的窗口中，而不是在遠程終端服務器的桌面中呈現(xiàn)給用戶。如果程序使用通知區(qū)域圖標，則該圖標出現(xiàn)在客戶端的通知區(qū)域中。彈出窗口被重定向到本地桌面?？梢詫Ρ镜仳?qū)動器和打印機進行重定向以使它們出現(xiàn)在 RemoteApp 程序中。許多用戶可能沒有注意到 RemoteApp 程序與本地程序的任何差異。

與Linux中SSH相比，TS RemoteApp功能更具有堡壘主機之功效。

這一功能尤其適用于金融行業(yè)，因證券基金類組織的行業(yè)特點，辦公人員均需使用柜臺查詢業(yè)務數(shù)據(jù)。使用TS RemoteApp后，可以將柜臺客戶端集中部署在終端服務器中，這樣在終端對柜臺應用程序進行掃描、破解、反向工程等攻擊基本不可能，提高了安全性。

2、 Server Core

與前任Windows Server2003相比，在 Windows Server 2008 操作系統(tǒng)中，管理員可以選擇安裝可避免額外開銷的最小環(huán)境。盡管此選項限制了服務器可執(zhí)行的角色，但可以提高安全性并減少管理工作。服務器核心安裝是運行 Active Directory 域服務、AD LDS、DHCP 服務器、DNS 服務器、文件服務、打印服務器和流媒體服務服務器角色的最小安裝。

服務器核心安裝提供以下優(yōu)勢：

減少維護工作量。由于服務器核心安裝僅安裝指定服務器角色所需的設備，因此與 Windows Server 2008 的完整安裝相比，需要的服務更少。

減小受攻擊面。因為服務器核心安裝是最小安裝，所以服務器上運行的應用程序較少，從而可減小受攻擊面。

減少管理工作量。因為運行服務器核心安裝的服務器上安裝的應用程序和服務較少，所以需要的管理工作更少。

需要更少的磁盤空間。服務器核心安裝僅需要大約 1GB 磁盤空間即可進行安裝，安裝完成后，僅需要大約 2 GB 磁盤空間即可運行。

這一功能尤其適用于需要以Active Directory 域服務管理企業(yè)資源，可以做到最小化的安裝企業(yè)所需的服務，減少補丁需求，提高服務器的安全架構(gòu)。

與Linux的命令行相比，兼容性更具優(yōu)勢。

3、網(wǎng)絡訪問保護

網(wǎng)絡訪問保護 (NAP) 是 Windows Server 2008 和 Windows Vista 操作系統(tǒng)附帶的一組新的操作系統(tǒng)組件，它提供一個平臺以幫助確保專用網(wǎng)絡上的客戶端計算機符合管理員定義的系統(tǒng)健康要求。NAP 策略為客戶端計算機的操作系統(tǒng)和關(guān)鍵軟件定義所需的配置和更新狀態(tài)。例如，可能要求計算機安裝具有最新簽名的防病毒軟件，安裝當前操作系統(tǒng)的更新并且啟用基于主機的防火墻。

通過強制符合健康要求，NAP 可以幫助網(wǎng)絡管理員降低因客戶端計算機配置不當所導致的一些風險，這些不當配置可使計算機暴露給病毒和其他惡意軟件。當客戶端計算機嘗試連接網(wǎng)絡或在網(wǎng)絡上通信時，NAP 通過監(jiān)視和評估客戶端計算機的健康狀況來強制實施健康要求。如果確定客戶端計算機不符合健康要求，則可以將其置于包含資源的受限網(wǎng)絡上，以幫助更新客戶端系統(tǒng)使其符合健康策略。該功能非常類似于ISA Server中的VPN訪問隔離策略控制。

與Linux中ACL相比，NAP更能滿足企業(yè)靈活定制需求功能。

這一功能尤其適用于企業(yè)對網(wǎng)絡安全性有較高要求，企業(yè)員工經(jīng)常出差又必須訪問公司辦公網(wǎng)絡，保障企業(yè)網(wǎng)絡安全。

4、只讀域控制器

只讀域控制器 (RODC) 是 Windows Server 2008 操作系統(tǒng)中的一種新類型的域控制器。借助 RODC，組織可以在無法保證物理安全性的位置中輕松部署域控制器。RODC 承載 Active Directory 域服務 (AD DS) 數(shù)據(jù)庫的只讀分區(qū)。

物理安全性不足是考慮部署 RODC 的最常見原因。RODC 提供了一種在要求快速、可靠的身份驗證服務但不能確?？蓪懹蚩刂破鞯奈锢戆踩缘奈恢弥懈踩夭渴鹩蚩刂破鞯姆椒?。 但是，您的組織也可選擇根據(jù)特殊管理要求部署 RODC。例如，行業(yè) (LOB) 應用程序只有在安裝在域控制器上的情況下，才可以成功運行?；蛘?，域控制器可能是分支機構(gòu)中唯一的服務器，并且可能必須承載服務器應用程序。 在這種情況下，LOB 應用程序的所有者必須經(jīng)常以交互方式登錄到域控制器，或使用終端服務配置和管理應用程序。

此情況產(chǎn)生了在可寫域控制器上可能無法接受的安全風險。 RODC 為在此方案中部署域控制器提供了更安全的機制。您可以向非管理域用戶授予登錄到 RODC 的權(quán)限，同時最小化 Active Directory 林的安全風險。 還可以在其他方案中部署 RODC，例如，Extranet 或面向應用程序的角色中，其中本地存儲的所有域用戶密碼是主要威脅。

RODC 解決了分支機構(gòu)中的一些常見問題。這些位置可能沒有域控制器?；蛘?，這些位置可能具有可寫域控制器，但是不具備支持它的物理安全性、網(wǎng)絡帶寬或本地專業(yè)知識。除帳戶密碼之外，RODC 保存了可寫域控制器所保留的所有 Active Directory 對象和屬性。但是，不能對存儲在 RODC 上的數(shù)據(jù)庫進行更改。更改必須在可寫域控制器上進行，然后復制回 RODC。該功能類似于DNS中的輔助區(qū)域。

在 Windows Server 2008 發(fā)布之前，如果用戶必須通過廣域網(wǎng) (WAN) 對域控制器進行身份驗證，則沒有合適的替代方案。在許多情況下，這不是一個有效的解決方案。分支機構(gòu)通常不能為可寫域控制器提供所需的充分的物理安全性。此外，當分支機構(gòu)連接到中心站點時，其網(wǎng)絡帶寬狀況通常較差。這可能增加登錄所需的時間。它還可能妨礙對網(wǎng)絡資源的訪問。因此Windows Server 2008的發(fā)布給企業(yè)基礎架構(gòu)提供了更優(yōu)的解決方案。

與Linux中LDAP相比，功能更為完善。

5、虛擬化角色

借助虛擬化角色，您可以使用作為 Windows Server 2008 操作系統(tǒng)一部分的技術(shù)創(chuàng)建一個虛擬化的服務器計算環(huán)境。該解決方案通過 Hyper-V 提供?？梢允褂锰摂M化計算環(huán)境，利用多個硬件資源來提高計算資源的效率。

Hyper-V 提供 Windows Server 2008 中的軟件基礎結(jié)構(gòu)和基本管理工具，可用于創(chuàng)建和管理虛擬化服務器計算環(huán)境。此虛擬化環(huán)境可用來實現(xiàn)旨在提高效率和降低成本的各種商業(yè)目標。例如，虛擬化服務器環(huán)境可以幫助您：

通過增加硬件的利用率降低運行和維護物理服務器的成本?？梢詼p少運行服務器工作負載所需的硬件數(shù)量。

通過減少設置硬件和軟件以及再現(xiàn)測試環(huán)境所需的時間提高開發(fā)和測試效率。

提高服務器可用性，而無需使用僅使用物理計算機的故障轉(zhuǎn)移配置中所需數(shù)量的物理計算機。

增加或減少服務器資源以響應所需的更改。

這一功能尤其適用于為金融行業(yè)開發(fā)柜臺的軟件公司。因其需要搭建業(yè)務平臺，進行大量的業(yè)務測試，此時需要為數(shù)較多的服務器來滿足測試需求，使用Windows Server 2008虛擬化技術(shù)可以幫助企業(yè)降低硬件成本。

相比Xen而言，Xen需要與系統(tǒng)共同協(xié)作(客戶操作系統(tǒng)需要修改), 只有打過補丁的系統(tǒng)才能使用Xen. 從Linux角度來看, Linux本身是開源的, 結(jié)果是Xen的性能要好于全虛擬化技術(shù). 但是從系統(tǒng)支持(比如支持其它非開源的操作系統(tǒng))的角度來看, 這顯然是一個不足之處。

 【編輯推薦】

1. Windows Server 2008 R2安全性能體驗
2. Windows Server 2008 R2中的DirectAccess功能詳解
3. Windows Server 2008 R2中托管服務帳號的方法
4. 漫談Windows Server 2008的網(wǎng)絡特性
5. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石