Windows Server 2008 中改进的安全功能

Windows Server 2008作为Windows server 2003的继任者(虽然之前有Windows NT serverWindows 2000 server,但由于技术进步较大,因此比较安全方面的提高实际意义不大),我认为其是符合大家的期望的。

作为新一代Windows ServerWindows Server 2008通过加强操作系统和保护网络环境提高了安全性。通过加快IT系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具,Windows Server 2008还为IT专业人员提供了灵活性。Windows Server 2008为任何组织的服务器和网络基础结构奠定了最好的基础。

Microsoft Windows Server2008用于在虚拟化工作负载、支持应用程序和保护网络方面向组织提供最高效的平台。它为开发和可靠地承载Web应用程序和服务提供了一个安全、易于管理的平台。从工作组到数据中心,Windows Server2008都提供了令人兴奋且很有价值的新功能,对基本操作系统做出了重大改进。

使用 Windows Server 2008IT 专业人员能够更好地控制服务器和网络基础结构,从而可以将精力集中在处理关键业务需求上。增强的脚本编写功能和任务自动化功能(例如,Windows PowerShell)可帮助 IT 专业人员自动执行常见 IT 任务。通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。IT 人员可以仅安装需要的角色和功能,向导会自动完成许多费时的系统部署任务。增强的系统管理工具(例如,性能和可靠性监视器)提供有关系统的信息,在潜在问题发生之前向 IT 人员发出警告。

作为其客户端的Windows VistaWindows 7Windows server 2008提供比以往更加增强的安全功能。包括,改进的防火墙,硬盘加密,扩展活动目录控制,网络访问控制和ISV安全编程能力等等许多其他更新和改进的安全技术。

1.全新及改进的Windows防火墙和高级安全特色

Server 2008包括了一个新的增强版本的Windows防火墙,相比最初随Windows XP SP2发布的版本其具有更多提高的组件。微软提供给管理员一个基于主机状态全功能的防火墙解决方案,以便进行高级配置。传入和传出过滤器可以配置为跨过高级规则过滤源地址和目标地址、端口、服务、协议甚至接口。防火墙被预配置为拒绝所有来自外部网络的非源请求但允许所有对外通讯。尽管你可以像之前的Windows防火墙一样通过控制面板配置基本设置,但你无法访问高级配置。

高级配置任务必须通过使用微软管理控制台中的“高级安全Windows 防火墙“来完成。

IPsec集成也是Windows防火墙的新特色。其使IPsec配置更为简单并且避免与防火墙规则发生冲突,因为两者是经由相同的接口编程的。

2BitLocker-安全与保护的探索

Windows server 2008包含BitLocker驱动器加密工具,其具有两个关键技术来保护敏感数据,驱动器加密和引导完整性检查。虽然服务器不像笔记本电脑那样容易被偷窃,但是仍有很多硬件丢失和数据盗窃的情况发生,像硬件维修或更换工作地点发生的丢失等。Bitlocker允许管理员像加密当前服务器上的任何数据卷一样加密整个操作系统卷,这包括Windows操作系统,休眠和页面文件,应用程序和应用程序使用的数据。但是操作系统卷和数据卷不能分开解密,如果操作系统卷解密了,数据卷也同时被解密。并且在此需要说明的是,Bitlocker只能加密逻辑驱动器,无法加密物理驱动器。而且Bitlocker不随Windows server 2008默认安装,在某些服务器环境中也不需要,其也不支持群集配置。Bitlocker整合了TPM规格,提供硬件级别上的脱机篡改完整性证明。Bitlocker配置提供了一个简单易用的向导。管理员也可以使用WMI接口,其支持脚本。

恢复控制台允许个人轻松使用正确的密钥或PIN码访问加密系统。

3NAP-保持健康网络的挑战

今天,在连接和移动环境中阻止不安全电脑的访问和可能的商业内部网络感染是一项持续的挑战。网络访问保护(NAP)是一个新的平台允许管理员通过一套管理员定义的系统健康规则动态的控制计算机网络访问。

NAP提供了三个方法:

<!–[if !supportLists]–>l  <!–[endif]–>健康状态验证通过为所有计算机连接入网络进行定义和验证

<!–[if !supportLists]–>l  <!–[endif]–>健康策略允许通过提供资源以允许计算机满足健康要求

<!–[if !supportLists]–>l  <!–[endif]–>限制访问通过提供给非允许的和无法升级以满足要求的电脑限制的网络资源

NAP极大地减少了保持机构内部计算机升级到最新安全应用的负载,它还在减少可能由于未知健康状态的外部或偶尔的计算机访问造成的安全破坏的同时允许远程计算机访问网络资源。

4ASLR技术和其它增强的安全功能

地址空间格局的随机化 (ASLR)是一种安全设计机制。在Windows server 2008中引入了ASLR安全特性。它的原理就是在当一个应用程序或动态链接库,如kernel32.dll,被加载时,如果其选择了被ASLR保护,那么系统就会将其加载的基址随机设定。这样,攻击者就无法事先预知动态库,如kernel32.dll的基址,也就无法事先确定特定函数,如VirtualProtect的入口地址了。在Windows XPWindows 2000上,这些函数的入口地址是固定的,即攻击者事先可以确定的。

ASLR是系统一级的特性。系统动态库,如kernel32.dll,加载地址,是在系统每次启动的时候被随机设定的。

其他Windows server 2008中集成的安全增强功能包括增强的活动目录,其改善了身份,认证和权限管理,和远程域服务器的域控制模式。还有改进的终端服务,其能够共享单个应用程序而不是整个桌面并且允许经由https的安全远程连接。还包括改进的IIS安全功能和支持256AES加密的Kerberos身份验证协议。

Read-Only Domain Controller (RODC):这是 Windows Server 2008 操作系统中的一种新型域控制器配置,使组织能够在域控制器安全性无法保证的位置轻松部署域控制器。RODC 维护给定域中 Active Directory 目录服务数据库的只读副本。在此版本之前,当用户必须使用域控制器进行身份验证,但其所在的分支办公室无法为域控制器提供足够物理安全性时,必须通过广域网 (WAN) 进行身份验证。在很多情况下,这不是一个有效的解决方案。通过将只读 Active Directory 数据库副本放置在更接近分支办公室用户的地方,这些用户可以更快地登录,并能更有效地访问网络上的身份验证资源,即使身处没有足够物理安全性来部署传统域控制器的环境。

Failover Clustering:这些改进旨在更轻松地配置服务器群集,同时对数据和应用程序提供保护并保证其可用性。通过在故障转移群集中使用新的验证工具,您可以测试系统、存储和网络配置是否适用于群集。凭借 Windows Server 2008 中的故障转移群集,管理员可以更轻松地执行安装和迁移任务,以及管理和操作任务。群集基础结构的改进可帮助管理员最大限度地提高提供给用户的服务的可用性,可获得更好的存储和网络性能,并能提高安全性。

总的来说,微软的新的操作系统提供了急需的增强的安全功能。