Windows Server2008 R2的推出，對于微軟技術的愛好者來說可能是天大的福音，對于企業(yè)用戶也算得上是莫大的好消息；作為微軟最高版本的服務器操作系統(tǒng)，Windows Server 2008 R2肩負著更高的穩(wěn)定性和安全性；不論是在Windows Server 2008 R2操作系統(tǒng)本身，還是角色、功能的增強，都極大的體現(xiàn)了這一新版本的操作系統(tǒng)帶來的絕佳體驗和性能。

相信我們也都清楚，Windows Server 2008 R2在功能和特性上都基于先前的Windows Server 2008，并進一步得到了增強和完善。當然這種在技術上的改進、增強和完善，不僅僅是說增加了幾個新特性，而是作為Windows Server 2008 R2本身定位于企業(yè)客戶，是為企業(yè)量身定做的解決方案，是一種企業(yè)級的解決方案。

作為Windows Server 2008 R2 的眾多使用者之一，我深感新版本的操作系統(tǒng)帶來的優(yōu)越性；今天主要從企業(yè)不同的應用角度和應用需求與大家分享下Windows Server 2008 R2帶給企業(yè)的安全性體現(xiàn)。

企業(yè)中面臨的安全性挑戰(zhàn)

談到安全、安全性，可能我們都會神經(jīng)緊張起來，這是每個人，每個用戶，每個企業(yè)最擔心顧慮的問題，無疑這是個復雜的問題。每個企業(yè)都希望自己的網(wǎng)絡環(huán)境是安全的，是絕對安全的，經(jīng)常聽很多企業(yè)客戶談論，我們的企業(yè)網(wǎng)絡需要保障系統(tǒng)安全、網(wǎng)絡安全、信息傳遞安全和數(shù)據(jù)安全等等，有沒有一種完全的解決方法和方案呢？這就需要講到Windows Server 208 R2帶給我們的基于縱深的安全特性了，它著實能幫助我們解決不少企業(yè)安全問題。

企業(yè)中的系統(tǒng)安全體現(xiàn)

我們知道系統(tǒng)安全是局域網(wǎng)絡中管理和維護的重中之重任務，而我們平時的管理維護工作中對于服務器運行安全方面的考慮，最常見的方法就是安裝網(wǎng)絡防火墻、安裝一些專業(yè)級的殺毒軟件以及各種反間諜工具等。

當然，并不是說這種方法不可行，只是每次依靠這種第三方的外來力量保護服務器的系統(tǒng)安全，確實讓很多的系統(tǒng)管理員感到種種的不便。先不考慮是不是所有的企業(yè)都能花費巨資購買正版專業(yè)級網(wǎng)絡防火墻、專業(yè)的殺毒軟件了。我們經(jīng)常會聽到，某某病毒爆發(fā)、某某蠕蟲爆發(fā)或是某某公司集團被黑客攻擊等類似事件，甚至更加離譜會聽到有人說某某專業(yè)級殺毒軟件竟然誤把系統(tǒng)文件當病毒殺了導致服務器操作系統(tǒng)崩潰。

針對系統(tǒng)管理員的這種種困惑和難題，Windows Server 2008 R2針對其系統(tǒng)自身進行了安全強化，并對其自帶的防火墻功能進行了強化。利用高級安全Windows防火墻，為服務器提供雙向的網(wǎng)絡通訊篩選，阻止未經(jīng)授權的出站和入站訪問；同時利用其身帶的Microsoft Windows Defender對惡意程序和間諜軟件進行掃描，全方位確保服務器本身的安全，減少對外來力量保護的依賴，盡可能的避免依賴第三方保護程序帶來的意外不安全影響，為企業(yè)服務器系統(tǒng)安全增加了多一層的保護。

企業(yè)中的網(wǎng)絡安全體現(xiàn)

網(wǎng)絡安全亦是企業(yè)環(huán)境中不可小視的問題，企業(yè)用戶連入Internet的同時，也就隨之而來面臨了各種各樣的網(wǎng)絡威脅，對于此我們的一般方法就是通過各種防火墻技術將這些外來安全威脅阻止掉；但對于企業(yè)內(nèi)部的網(wǎng)絡連接威脅，企業(yè)網(wǎng)絡管理員往往也就束手無策了，再加上企業(yè)用戶的安全意識較低，網(wǎng)絡安全問題就更加嚴重了。不可避免的，出于企業(yè)業(yè)務需要，很多企業(yè)經(jīng)常會有來賓訪問，這些外來用戶如果攜帶了自己的筆記本，就可以直接連接到企業(yè)內(nèi)部的網(wǎng)絡中，而不會受到防火墻和各種外部訪問策略的限制，如果這些筆記本中攜帶了惡意的應用程序、病毒、木馬等，就會直接對企業(yè)內(nèi)部網(wǎng)絡安全造成影響。OK，那么如何才能限制這些用戶和企業(yè)里安全意識較低的用戶帶來的這種安全風險呢？在Windows Server 2008 R2中為我們提供了一個非常強大的新功能：網(wǎng)絡訪問保護，也就是我們經(jīng)常聽到的NAP（Network Access Protection）。利用NAP這個新功能來保護客戶端用戶以及外來用戶對于企業(yè)服務器網(wǎng)絡的訪問，確保整個網(wǎng)絡的訪問過程是達到一定安全級別的。

那么NAP是怎么樣實現(xiàn)這種健康網(wǎng)絡訪問，實現(xiàn)企業(yè)網(wǎng)絡安全的呢？當然，NAP的這種網(wǎng)絡訪問保護和防火墻是不同的，防火墻是通過網(wǎng)絡通訊接口，比如IP、端口之類來控制訪問連接，主要控制的是用戶的網(wǎng)絡行為；而NAP則是通過安全策略來控制連入網(wǎng)絡中所有用戶客戶端的狀態(tài)。可能有人會把NAP的這種安全策略與防火墻的策略去對比，其實準確的講防火墻的策略應該稱之為規(guī)則策略，通過這種規(guī)則策略監(jiān)控用戶的行為是否符合當前的規(guī)則限制，從而執(zhí)行相應的控制操作；而NAP的安全策略更象是驗證用戶客戶端是否達到某個在安全方面的特性的要求；如有的安全策略要求用戶客戶端必須打開安全更新，有的要求防火墻處于啟用狀態(tài)，等等；NAP就是根據(jù)這種評估用戶客戶端是否符合當前的安全標準來管理是否讓用戶訪問企業(yè)內(nèi)部網(wǎng)絡資源。簡單的講NAP就是利用這種健康策略驗證來保護企業(yè)網(wǎng)絡資源訪問的，從而對企業(yè)網(wǎng)絡安全起到強有力的保護和管理。

企業(yè)中的信息傳遞安全體現(xiàn)

當然，如果要談到企業(yè)信息傳遞安全，別的不用多說，這里不得不提到的就是在企業(yè)中對于Windows Server 2008 R2中的DirectAccess的應用了。DirectAccess功能真的可以說是輕松幫助我們IT部門實現(xiàn)了——對企業(yè)用戶不論他們目前處在什么網(wǎng)絡位置上都可以自由的訪問公司內(nèi)部網(wǎng)絡中的資源文件、數(shù)據(jù)和應用程序，而再不必通過以前傳統(tǒng)的VPN訪問方式，避免了很多時候這些用戶根本就不知道怎樣進行VPN連接，還得遠程打電話進行指導的難題，同時也克服了以往VPN方式中存在的很多局限性；現(xiàn)在能過使用DirectAccess可以自動地將在外地辦公的用戶計算機和公司內(nèi)網(wǎng)服務器之間建立起一個雙向的連接。

對于這種遠程訪問方式可以說是降低了遠程用戶的操作復雜性，再也不必擔心遠程用戶不會使用的難題，并且同時DirectAccess使用了IPSec進行計算機之間的驗證和加密，安全性方面就有了保障；同時為了得到更高的安全保證，我們還在這基礎之上用上之前提到的NAP，這樣一來對于需要進行DirectAccess訪問的用戶就必須要符合系統(tǒng)健康要求后，才能允許他連接到企業(yè)內(nèi)部，使用公司內(nèi)部網(wǎng)絡資源；當然更方便的——也允許我們IT部門在后臺對企業(yè)的DirectAccess服務器進行相關配置，定義當用戶遠程連接登錄之前限制用戶和應用程序可以訪問到的服務器，這樣一來在遠程訪問的安全性方面就有了保障；Windows Server 2008 R2這項功能可以說是幫助了我本人不少忙，很簡單的就實現(xiàn)了企業(yè)中經(jīng)常出差在外的用戶或是在家辦公用戶訪問企業(yè)網(wǎng)絡資源的難題，而且還有效的解決了企業(yè)對于這些經(jīng)常漫游在企業(yè)網(wǎng)絡外的公司機密資源信息的擔憂，對這些信息進行了安全監(jiān)督和數(shù)據(jù)保護，并且安全性相對于VPN有了更高的保障。

企業(yè)中的數(shù)據(jù)安全體現(xiàn)

而對于數(shù)據(jù)安全，Windows Server 2008 R2也提供了很多解決方法，比如我們常聽到的Bitlocker、Bitlocker to go、Applocker等，都是能很容易的就幫助我解決了在企業(yè)里對于本地磁盤數(shù)據(jù)安全、移動存儲設備數(shù)據(jù)安全等一系列數(shù)據(jù)安全問題，輕松限制企業(yè)中的用戶——允許他們可以使用哪些應用程序，不可以使用哪些應用程序，有效的對一些重要數(shù)據(jù)進行保護，即便是我們經(jīng)常擔心的——丟了計算機、移動硬盤或是U盤后會造成的企業(yè)機密數(shù)據(jù)信息泄露，現(xiàn)在也大可完全放心了，這一切擔憂，新技術統(tǒng)統(tǒng)幫忙搞定，計算機丟了、移動硬盤丟了、U盤丟了都沒關系，里面的數(shù)據(jù)沒有正確的密碼，得不到解密是打不開的，看不了的。應用了Bitlocker、Bitlocker to go后對于用戶的業(yè)務數(shù)據(jù)安全性便得到了有效的保障；即便是安全意識較低的用戶也可以限制他不能運行未知的惡意軟件，保證數(shù)據(jù)的不被惡意程序刪除；這是做為管理員的我們切身體會到的。

全方位的安全考慮

另外還有大家都熟悉的，Windows Server 2008 帶給我們其他的新功能特性，如活動目錄回收站、多元密碼策略、Server Core、hyer-v、RODC、增加改進的Windows Server Back、組策略等等功能角色，都是不錯的安全性體現(xiàn)，真可謂是從安全的各個方面出發(fā)，縱深為安全提供解決方案；當然對于Windows Server 2008帶來的安全性和穩(wěn)定性是不可分的，兩者是本來就是相輔相成的，穩(wěn)定性促進了進一步的安全性，安全性加強了服務器的高穩(wěn)定性。

講了這么多，不知道各位有沒有覺得啰嗦，說的都是大家早已熟悉的東西，但是對于Windows Server 2008 R2，使用后還就是有著說不完的優(yōu)越感可言。希望我的這些體會也是各位的體驗！