前不久,微软发布了即将终止包括Windows 2000、Windows XP和Windows Vista几个版本在内的历史版本技术支持工作的通知。而作为新时期的当家花旦,Windows Server 2008已经迎来了他的升级版本——Windows Server 2008 R2。
如果你已经对Windows Server 2003家族建立了相当的信任,甚至认为2003已经很完美,那么,想想Windows Vista 或Windows 7里强大的可靠性监视程序和任务管理器、高级防火墙、以假乱真的Windows XP Mode(仅Windows 7提供)以及固若金汤的BitLocker,你是不是觉得,2003已经老了?
诸多的新功能中,高级安全Windows防火墙、活动目录审核、只读域控制器(RODC)、网络访问保护(NAP)和可以在服务器上部署的BitLocker这几项功能,共同为基于Windows Server 2008搭建的网络保驾护航,它们成就了Windows Server 2008的最佳安全性体验。
高级安全Windows防火墙
为了保护服务器操作系统和运行于其上的各种服务,我们构建了各种软、硬件防火墙系统,并且不惜牺牲系统性能,在每台服务器上运行防护软件。因为即使是强大的ISA,也无法精细到对每台服务器提供单机保护。而基于Windows 5.0核心的XP、2003操作系统自带的Windows防火墙,曾经给我们带来了希望——它们存在于每台服务器和客户端上,是否可以给我们提供完美的保护呢?结果是,因为设计架构的限制,Windows防火墙并没有提供完整的网络防护,而且这个遗憾一直持续到Windows Server 2008的发布。
Windows Server 2008携带的高级安全Windows防火墙带来了一些新的特性和改进,包括允许创建入站和出战通讯的防火墙规则,像ISA那样为程序或数据包制定入站和出战策略以及与IPSec的结合的能力。
高级安全Windows防火墙提供了新的图形化界面。还记得XP和2003中那个Windows防火墙选项卡吗?现在你可以跟她说再见了,在Windows Server 2008中,你要通过一个管理控制台单元来配置这个高级防火墙(图1)。
活动目录审核
在安全性要求较高的场合,我们可以使用组策略中的审核策略,来记录用户的各种可能会影响安全性的行为。通过审核策略,我们就可以识别恶意猜解密码或者攻击某个服务的尝试。先前的审核策略包含了对于文件资源、用户账户和目录访问的审核记录(图2),但这些记录只能告诉我们什么时候谁来过,却不知道到访者究竟做了什么。相对于文件夹和文件对象,用户在活动目录对象上能做的事情更多,而且影响也更大,我们需要记录他们的具体行为。以便在排除故障时,清楚地回溯历史操作。
图2 Windows Server 2003的审核策略
Windows Server 2008中实现的活动目录审核能够通过对系统访问控制列表(SACL)的修改。查看用户对于活动目录对象的访问和修改,在Windows Server 2008中是默认就启用的,审核功能既能够审核成功的操作,也能够审核失败的操作,这样就能够最大限度的保障活动目录的安全性。与在Windows 2000 Server和Windows Server 2003中只有一种审核策略来审核目录服务访问不同,用来控制审核目录服务事件是被启用或者禁用的单一审核策略在Windows Server 2008中被划分成四个子类别,它们分别是:
- 目录服务访问(Directory Service Access)
- 目录服务更改(Directory Service Changes)
- 目录服务复制(Directory Service Replication)
- 详细的目录服务复制(Detailed Directory Service Replication)
在图3中的位置启用活动目录审核后,就会同时打开以上的全部四个子类别。
图3 打开活动目录访问审核策略
正因为新的审核子类??目录服务更改的出现,AD DS对象属性的更改才能被审核。我们能够审核的更改类型被细化到创建,修改,移动以及反删除。这些事件都将被记录在安全日志中。
在AD DS中新的目录服务更改审核策略子类增加了以下的功能:
- 当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时,只有作为修改操作结果变化的值才会被记录。
- 如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如SAMAccountName等系统属性,这些系统属性值将不被记录。
- 如果一个对像被移动到同一个域中,那么先前的以及新的位置(以distinguished name 形式)将被记录。当对象被移动到不同域时,一个创建事件将会在目标域的域控制器上生成。
- 如果一个对象被反删除,那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。
- 利用活动目录审核的目录服务复制子策略,我们还可以监视活动目录的复制工作,哪些发生了,哪些未发生,以及复制了什么等,对于操作主控的管理、复制链接的效率调优,这些审核记录无疑都具有相当的参考价值。
只读域控制器(RODC)
2008年起源于美国的金融危机之所以能如此大规模如此迅速的扩散至全球,跨国/跨地区的贸易集团功不可没。因为业务需要,企业对遍布各地的分支机构早已习以为常,而随着地区业务的深入开展,分支机构承担的工作也在不断调整深化,越来越多的应用需要在分支机构部署。然而,这些地方也许没有域控制器,或者他们有域控制器但是没有足够的物理安全保障、网络带宽以及专门的技术人员来提供支持。这就使得分支机构很可能成为黑客的突破点,进而攻击整个企业网络。
只读域控制器(RODC)就是针对上述的隐患而设计的。
顾名思义,RODC本身是一台域控制器,但是存储于这台域控制器里的数据库是被写保护的,无法对数据库中的数据做任何更改操作,所有对AD数据库的修改操作,只能在可写的域控上进行,然后这些修改再通过复制拓扑复制到RODC上。而且,在默认情况下,RODC 不保存任何账户信息和密码。这样的话,即使 RODC 受到安全攻击,管理员们也无需担心入侵者更改安全配置或利用服务器上保存的信息访问整个网络。
图4指定安装成RODC
RODC使用的复制拓扑是单向的,即只能从可写域控制器复制到RODC,没有任何属性的更改会被直接写入RODC,所以,任何更改都不会从RODC发起,作为复制伙伴的可写域控制器也就不会产生从RODC“拉”数据的操作。这不仅意味着上述的恶意用户通过攻击在分支结构的RODC,在其上进行的操作的结果不会被复制到森林的其余部分,而且这一体制也减少了枢纽站点里的桥头服务器的工作量,以及为了监视复制所产生的数据量。RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。
前面提到,RODC上不会保存账户信息和密码,实际上,在默认情况下,RODC上还是会存放少量的账户信息,不过RODC只存储它自己的计算机账户和一个用于这台RODC的特殊的Kerberos 票据授权(KRBTGT)账户,此账户是被可写域控制器用来验证RODC身份的。如果需要在RODC上存储用户凭据或者计算机凭据的话,你需要在RODC上允许这些凭据被缓存。因为RODC一般是总是放置在比较小的分支机构,所以被允许凭据缓存的计算机账户和用户账户应该都不多。这样即使RODC被偷了,我们只会丢失那些缓存在RODC上的凭据。如果你连这些账户信息也非常在乎,在发现RODC被偷走之后,你可以立即在可写域控上将RODC的计算机账户删除,在删除时还可以对缓存在该RODC上的凭据进行密码重设,这样丢失掉的这些凭据就没有任何作用了。
RODC还支持一种称为“管理员角色分离”的功能,我们可以使用该功能来指派一个普通的域用户成为RODC的本地管理员。这样这个特定的域用户就拥有了对分支机构的RODC服务器进行一些系统维护或管理操作的权限,例如安装安全更新或者驱动程序。这个功能的好处在于:此用户在域中其他机器或者任何可读写的域控制器上并没有用户权利。而在以前的AD中,所有DC都是可读写的,DC上的本机管理事实上是使用域管理员账户的。这使得分支机构用户可以有效的管理RODC而不会影响整个域的安全性。
为了进一步减少对分支机构和总部之间网络的占用,你还能在RODC上安装DNS服务。安装在RODC上的DNS也是只读的,它能够复制其他DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。这样,就使得用户能够像查询其它DNS服务器一样进行名称解析和服务位置查询。
总之,RODC的实现,为需要在分支机构部署域服务的管理员们,提供了即完整又安全的解决方案。
网络访问保护(NAP)
要问到Windows Server 2008最吸引眼球的功能,网络访问保护(NAP)绝对当之无愧!
现如今,令管理员非常头痛的事是:如何在一个充斥着家庭计算机、出差用户、来访客户等不在他们控制范围的各种移动客户端的网络中确保安全性?这些计算机很可能存在没有及时安装关键补丁、没有启用防火墙、没有及时升级病毒库等非常严重的安全隐患,当他们接入公司内网的时候,势必给企业内网的安全带来非常大的考验。好在NAP及时出现在我们的视线中。
要想描述清楚NAP系统是不容易的,简单来说NAP是一组服务器的集合,其核心服务器称为网络策略服务器(NPS),配合NPS工作的有健康注册管理机构(HRA)、安全修正服务器以及运行在客户端的安全状况收集程序??系统健康代理(SHA)等。一个典型的NAP系统通常有以下几个部分:
NAP客户端
若要访问网络,首先由NAP代理从运行在NAP客户端计算机本地的系统健康代理(SHA)收集有关该客户端健康状况的信息。NAP代理是一种在本地计算机上运行的服务,能够收集来自 SHA 的信息。安装在客户端计算机上的每SHA都提供当前设置或设计用于监视的活动的相关信息。NAP代理服务将汇总该计算机的健康状态信息并将此信息传递给一个或多个NAP强制客户端。强制客户端是与 NAP 强制点交互以便在网络上进行访问或通信的软件。
强制技术
可用于作为判断依据决定如何匹配NAP策略的五种网络访问技术。这五种网络访问技术是:
- Internet 协议安全性(IPSec)。
- 802.1X
- VPN
- DHCP
- 远程桌面网关(RD 网关)
每个NAP策略都可以指定到某一种网络访问技术,当客户端接入网络后,就会被判断出其使用了那种网络访问技术,从而对应到相应的NAP策略。
NAP 强制点
NAP强制点是一个服务器或硬件设备,它向NAP客户端计算机提供某个级别的网络访问权限。每个NAP强制技术的执行都对应使用不同类型的NAP强制点。在使用 802.1X 强制的 NAP 中,NAP 强制点是兼容 IEEE 802.1X 的交换机或无线访问点。IPSec、DHCP 和 RD 网关强制方法的 NAP 强制服务器也必须运行配置为 RADIUS 代理或 NAP 健康策略服务器的 NPS。使用 VPN 强制的 NAP 不要求在 VPN 服务器上安装 NPS。可以在某个网络上使用一种、几种或者所有执行方法。
健康注册管理机构(HRA)
健康注册机构(HRA)负责验证客户端凭据,然后将证书申请转发到代表客户端的证书机构(CA)。通过检查网络策略服务器(NPS),HRA 可验证证书申请以确定 NAP 客户端是否与网络健康要求兼容。如果发现客户端兼容,HRA 将从 CA 申请特殊类型的证书(称为健康证书)。由 NAP 客户端计算机使用的健康证书用于受 IPSec 保护的网络上的通信。在此功能中,HRA 将作为 NAP 强制服务器,使用 NAP Internet 协议安全(IPSec)强制方法。
NAP 健康策略服务器
NAP健康策略服务器是一台运行 Windows Server 2008 或 Windows Server 2008 R2 的计算机,并且已安装和配置了NPS角色服务,用于评估NAP客户端计算机的健康状况。所有的NAP强制技术至少需要一个健康策略服务器。NAP健康策略服务器使用策略和设置对 NAP客户端计算机提交的网络访问请求进行评估。
NAP修正服务器
NAP 修正服务器能够向被判断为不安全的客户端计算机提供安全更新服务。当然,标识为安全的的客户端计算机也可以访问修正服务器。NAP修正服务器的示例包括:
- 防病毒签名服务器。如果健康策略要求计算机必须有最新的防病毒签名,则标识为不安全的计算机必须具有对提供这些更新的服务器的访问权限。
- Windows Server Update Services。如果健康策略要求计算机必须有最新的安全更新或其他软件更新,可以通过将 WSUS 放置在更新网络上来提供这些更新。
- System Center 组件服务器。System Center Configuration Manager 管理点、软件更新点和分发点用于承载使计算机兼容所需的软件更新。使用配置管理器部署 NAP 时,支持 NAP 的计算机要求访问运行这些站点系统角色的计算机才能下载其客户端策略、扫描软件更新安全性以及下载所需的软件更新。
- 域控制器。不安全的计算机可能会要求访问位于不安全网络上的域服务以进行身份验证,以便从组策略下载策略或维护域配置文件设置。
- DNS 服务器。不安全的计算机必须具有对DNS的访问权限才能解析主机名。
- DHCP 服务器。当不安全网络上的客户端 IP 配置文件更改或 DHCP 租用过期时,不安全的计算机必须具有访问 DHCP 服务器的权限。
- 服务器问题疑难解答。配置更新服务器组时,可以选择提供包含有关如何使计算机符合健康策略的说明的疑难解答 URL。可以为每个网络策略提供不同的 URL。这些 URL 必须能够在更新网络上访问。
- 其他服务。可以在更新网络上提供对 Internet 的访问权限,使不安全的计算机能够访问更新服务,如Internet上的Windows Update和其他Internet资源。
系统健康验证程序(SHV)
系统健康验证程序(SHV)用于在NPS服务器上定义健康要求,并和收到的客户端系统健康代理(SHA)做对比,以检测客户端是否满足健康要求。在NAP上有很多种SHV和SHA类型。Windows Server 2008自带的SHV(WSHV)可以进行以下方面的健康要求筛选:
- 防火墙:如果启用此要求,客户端计算机必须有已向 Windows 安全中心注册并为所有网络连接启用的防火墙。
- 病毒防护:如果启用此要求,客户端计算机必须满足下列要求:已安装防病毒应用程序,已向 Windows 安全中心注册并已启用。还必须对客户端计算机进行检查,以确保防病毒签名文件随时更新。
- 间谍软件防护:如果启用此要求,客户端计算机必须满足下列要求:已安装反间谍软件应用程序,已向 Windows 安全中心注册并已启用。还必须对客户端计算机进行检查,以确保反间谍软件签名文件随时更新。间谍软件防护仅适用于运行 Windows Vista 或 Windows 7 NAP 的客户端。
- 自动更新:如果启用此要求,必须配置客户端计算机才能检查来自 Windows Update 的更新。可以选择是否下载并安装这些更新。
- 安全更新保护:如果启用此要求,客户端计算机必须基于与 Microsoft 安全响应中心(MSRC)中的安全严重性分级匹配的四个可能的值中的一个值来安装安全更新。客户端还必须按指定的时间间隔检查这些更新。可以使用 Windows Server Update Services(WSUS)、Windows Update 或同时使用两者来获取安全更新。
NAP 健康要求服务器
健康要求服务器是能够向一个或多个系统健康验证程序(SHV)提供健康策略要求和健康评估信息的计算机。如果 NAP 客户端计算机报告的健康状态能够在不咨询其他设备的情况下通过 NPS 的验证,则不需要健康要求服务器。例如,WSUS 在用于 Windows 安全健康验证程序(WSHV)时被认为不是健康要求服务器。即使管理员能够使用 WSUS 指定客户端计算机必须有哪些更新,该客户端计算机仍会报告自己是否已安装了这些更新。在这种情况下,WSUS 将作为更新服务器,而不是健康要求服务器。
使用配置管理器SHV部署NAP时也要使用健康要求服务器。配置管理器SHV将联系全局编录服务器,通过检查向 Active Directory 域服务发布的健康状态参考来验证客户端的健康状态。因此,部署配置管理器SHV后,域控制器将用作健康要求服务器。其他SHV也可以使用健康要求服务器。
图5 NAP系统架构示意图
在图5所示的NAP系统中,客户端上的系统健康代理(SHA)创建一些健康声明(SoH),并将这些声明发送给NPS服务器上相应的系统健康验证程序(SHV);SHV则与策略服务器(NPS)进行通信,确定SoH里面提供的安全状况是否符合安全策略的要求。如果符合,则允许该计算机全面访问公司网络资源。如果不符合,该计算机被连接到受限网络,通过修正服务器运行状况更新,直到满足NPS服务器上的安全策略要求,才能重新进入公司网络。
BitLocker驱动器加密
我们第一次知道BitLocker驱动器加密这个东西,是在Windows Vista上。通过对硬盘数据的全卷加密,BitLocker能够保障个人计算机、企业计算机上存储数据的安全。相比购买硬件的花费,更令企业担心的是丢失或被盗计算机上存储的数据,只需要把硬盘装载在另一台计算机中,就能够很轻松的读取硬盘中的数据,甚至是受EFS保护的数据,也无法保证万无一失。谁也不希望看到自己的文件被公开叫卖。
BitLocker可以通过TPM芯片(集成在主板上的安全信息存储芯片,用于提供该主板的唯一标识)、USB密钥盘(含有密钥资料的 USB 闪存驱动器)和PIN码这三种识别信息的其中一个或多个的组合(多因素身份验证)来验证磁盘的工作环境是否是经过授权的。BitLocker提供的保护,包括以下两种:
- 加密整个 Windows 操作系统卷,包括用户数据和系统文件、休眠文件、页面文件以及临时文件。通过BitLocker可以选择锁定正常的引导过程,直至用户提供 PIN码或插入USB密钥盘为止。这项安全措施也支持多因素身份验证,并确保在提供正确的 PIN 码或 USB密钥盘之前计算机不会从关机或休眠状态中被启动或恢复。
- 对于存储在加密卷上的非Microsoft应用程序和用户数据,通过进行全卷加密提供相同级别的防护。BitLocker的加密是卷级别的,因此,即使磁盘被挂接在别的计算机上,通过别的操作系统进行访问也无法获取磁盘内被加密的资料。我认为,此项安全措施对于因资产管理的原因报废或回收的存储设备具有非常实际的保护意义,被BitLocker加密的磁盘,不需要进行数据擦除就可以做回收处理,不用担心数据会被恶意读取。
BitLocker的易用性并没有因为它坚固的安全性受到影响,微软提供了一个用于设置和管理的向导(图6),并通过Windows 管理规范(WMI)界面提供了用脚本实现的可扩展性和可管理性。另外,由于BitLocker明显加速了对磁盘的安全清理过程,实际上简化了计算机的重复利用。
图6 BitLocker配置向导
由BitLocker所保护的计算机的日常使用对用户来说是完全透明的。而且,即使发生很少可能出现的系统锁定(也许是由硬件故障或直接攻击而引起的),BitLocker也会提供一个简单而有效的恢复过程。此类情况包括许多事件,例如将含有加密的操作系统卷的硬盘驱动器移动到另一台计算机或更换系统主板。此时,恢复向导会自动启动,并向你索要恢复密钥,恢复密钥是一组字母和数字的组合,在启用BitLocker时,由向导程序自动生成,因此,需要妥善保管这组密钥。
总之,使用 Windows Server 2008 BitLocker驱动器加密功能显著增强了公司的数据保护策略,通过保护休眠数据帮助组织达到日益严格的保密要求,并且在对设备进行淘汰处理时提升了安全性并节省了成本。
拥有强大的安全保障,还不足以成就Windows Server 2008的绝对优势,管理员们都希望自己面对的是一部聪明的机器,她界面简洁,易学易用。毕竟,被要求从本来就很有限的时间里腾出大量的时间来学习和部署新的功能和服务,是不会令人愉快的。
Windows系统的易用性一直是有目共睹的,除了经过优化的新风格系统界面和高集成度的管理工具,以及举世瞩目的Hyper-V,Windows Server 2008还提供了相当多的新功能和新工具,这些新的特性可以带给管理员前所未有的轻松体验。
PMC(Print Management Console,打印管理控制台)。
这个功能最先是在 Windows Server 2003 R2中发布的。但是与在Windows Server 2003 R2版本中不同的是,Windows Server 2008中,PMC成为了一个原生的功能,且每个用户都可以使用。PMC被添加为微软管理控制台(MMC)的一部分,可以允许每个管理员从一个单一的控制台监测到整个企业内的每一台打印机。此外,管理员还可以利用组策略来将打印机映射到特定的用户群组,从而使得该组无需实际安装打印机即可使用。
WinRS(Windows Remote Shell,Windows远程Shell)。
还记得Telnet吗?为了在 Windows Server 2003中连接到远程计算机上的命令行界面,管理员必须使用Terminal服务。而所谓的Terminal服务很好,但是可扩展性并不是很好,需要连接到每一台远程计算机上的控制台。WinRS则可以创建到任何远程计算机的安全连接,并且只需要从单个控制台进行这一切操作。这将给管理员带来显著的时间成本的降低。
事件推进。
这个特性对在客户端运行Windows Vista/Windows 7的企业用户有意义。事件推进功能将一些被选中的计算机的日志聚合起来并且推进到中央控制台,从而使得管理员的管理更加高效。比如说,管理员收到了客户端用户的求救,用户说他看见了一个代号为“事件51”的报错信息显示在其屏幕上,这就表明这个用户遇到了登录问题。
与此前在局域网中应用嗅探技术以便侦测安全等问题不同,管理员只需要简单地在服务端的控制台中“订阅”客户端计算机的事件信息即可,这样那些客户端机器就会自动发送管理员所需求的信息到控制台中。
新的粒度密码策略。
在活动目录中,域是一个安全分界线。作为Windows Server的先期版本,Windows Server 2003的安全分界线被限定为每个域拥有一个密码策略。这是一个比较受限的措施,因此在Windows Server 2008中已经被取消。现在管理员无需通过创建新域来获得一个新的密码策略,只需要为特定的群组或者用户设定密码策略即可。如果CEO或者CIO们需要更为严格的密码策略,就为他们分配独立的用户组,并在其上新建一个更严格的密码策略,这在Windows Server 2008中很容易达成。
群组策略的改进。
在Windows Server 2008中,群组策略有两处改进,这都是管理员们关注的问题。第一个改进是用于群组策略设置的可搜索的数据库。很多管理员都曾使用过Excel表来追踪其群组策略的设置。设若有数千条类似的设置,那么显然通过Excel表的方式将会带来很大的麻烦。现在,通过群组策略管理控制台,管理员能够搜索策略,无需Excel帮忙,从而显著提升效率。
第二个对群组策略的升级是在群组策略设置中添加注解的能力。在设置中添加注解将不仅帮助当前的管理员,也能帮助未来的管理员进行有关群组策略的故障检测。比如说,在管理员配置群组策略时,管理员能够添加注解,为什么需要配置如此特别的策略。今后,如果需要进行故障检测或者重新配置该策略时,那么该管理员或者其继任者能够明白配置该策略的来龙去脉。此外,当管理员进行群组策略建模时,为策略模型添加注解,指出不同的策略的不同含义,那些注解将来能够在报表中显示出来,简化群组策略的管理。
潜在的网络速度提升。
网络承载着传递更多数据的重任。自1995年以来,能够在一个包中被发送出去的网络数据包大小都维持在64KB,其数据传输流量大概在 5MB大小。这就好像一个大卡车里面只装了一个很小的箱子在到处行驶,尽管车很大,但是根本没有提高运输能力。今天的网络也是如此,如果网络的传输能力很强,但是数据包的大小依然很小,那么也没有太大的意义。在Windows Server 2008中几乎重写的网络堆栈包活了一些全新的技术,比如说允许更大的数据包进入网络等。同时,它也可以即时改变网络传输中的数据包的大小,使得其在传输时更具效率。数据包大小的上限被修改为512KB,这一改动能够转化为大概40MB的吞吐量。换句话说,如果网络被正确地配置和调优之后,最快能够以相当于此前8倍的速度运行。这的确是一项令人激动的改进!
当然,如果你仍然痴迷于基于命令行界面的管理方式,Windows Server 2008还提供了全命令行界面的Server Core版本供你选择,你可以用非常低的配置来搭建Server Core版的Windows Server 2008,而其功能和互操作性与图形界面版本的Window Server 2008没有区别。