如果你已經(jīng)對(duì)Windows Server 2003家族建立了相當(dāng)?shù)男湃?，甚至認(rèn)為2003已經(jīng)很完美，那么，想想Windows Vista 或Windows 7里強(qiáng)大的可靠性監(jiān)視程序和任務(wù)管理器、高級(jí)防火墻、以假亂真的Windows XP Mode（僅Windows 7提供）以及固若金湯的BitLocker，你是不是覺(jué)得，2003已經(jīng)老了？

諸多的新功能中，高級(jí)安全Windows防火墻、活動(dòng)目錄審核、只讀域控制器（RODC）、網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）和可以在服務(wù)器上部署的BitLocker這幾項(xiàng)功能，共同為基于Windows Server 2008搭建的網(wǎng)絡(luò)保駕護(hù)航，它們成就了Windows Server 2008的最佳安全性體驗(yàn)。

高級(jí)安全Windows防火墻

為了保護(hù)服務(wù)器操作系統(tǒng)和運(yùn)行于其上的各種服務(wù)，我們構(gòu)建了各種軟、硬件防火墻系統(tǒng)，并且不惜犧牲系統(tǒng)性能，在每臺(tái)服務(wù)器上運(yùn)行防護(hù)軟件。因?yàn)榧词故菑?qiáng)大的ISA，也無(wú)法精細(xì)到對(duì)每臺(tái)服務(wù)器提供單機(jī)保護(hù)。而基于Windows 5.0核心的XP、2003操作系統(tǒng)自帶的Windows防火墻，曾經(jīng)給我們帶來(lái)了希望——它們存在于每臺(tái)服務(wù)器和客戶端上，是否可以給我們提供完美的保護(hù)呢？結(jié)果是，因?yàn)樵O(shè)計(jì)架構(gòu)的限制，Windows防火墻并沒(méi)有提供完整的網(wǎng)絡(luò)防護(hù)，而且這個(gè)遺憾一直持續(xù)到Windows Server 2008的發(fā)布。

Windows Server 2008攜帶的高級(jí)安全Windows防火墻帶來(lái)了一些新的特性和改進(jìn)，包括允許創(chuàng)建入站和出戰(zhàn)通訊的防火墻規(guī)則，像ISA那樣為程序或數(shù)據(jù)包制定入站和出戰(zhàn)策略以及與IPSec的結(jié)合的能力。

高級(jí)安全Windows防火墻提供了新的圖形化界面。還記得XP和2003中那個(gè)Windows防火墻選項(xiàng)卡嗎？現(xiàn)在你可以跟她說(shuō)再見(jiàn)了，在Windows Server 2008中，你要通過(guò)一個(gè)管理控制臺(tái)單元來(lái)配置這個(gè)高級(jí)防火墻（圖1）

圖1 Windows 高級(jí)防火墻管理控制臺(tái)界面

在這個(gè)界面中，你可以創(chuàng)建、修改和刪除規(guī)則，對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)疊加在一起；添加的標(biāo)準(zhǔn)越多，高級(jí)安全Windows防火墻匹配傳入流量就越精細(xì)。比如你可以利用高級(jí)安全Windows防火墻來(lái)過(guò)濾沖擊波病毒包或者是禁止QQ數(shù)據(jù)通過(guò)。

當(dāng)傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，高級(jí)安全Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指 定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則高級(jí)安全Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則高級(jí)安全Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目（如果啟用了日志記錄）。你還可以為域、特定對(duì)象或者全部對(duì)象分別創(chuàng)建不同的匹配策略。

高級(jí)安全Windows防火墻的匹配規(guī)則可以提供雙向的保護(hù)，即對(duì)出站、入站通信均進(jìn)行過(guò)濾，然后攔截有威脅的數(shù)據(jù)包。這樣不但保護(hù)計(jì)算機(jī)自身不被攻擊，也能阻止已受感染的計(jì)算機(jī)不能輕易的發(fā)起攻擊，避免更大的損失。

高級(jí)安全Windows防火墻還將Windows防火墻功能和Internet 協(xié)議安全（IPSec）集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)（完整性和加密）以及身份驗(yàn)證設(shè)置。

順便提一下，因?yàn)閃indows Server 2008對(duì)IPSec做了不少的改進(jìn)，不僅提供了新的IPv6協(xié)議支持，還支持新的加密方法。并且被集成到系統(tǒng)各個(gè)安全部分，諸如剛剛提到的高級(jí)安全Windows防火墻、NAP甚至群集服務(wù)中。更難得的是，IPSec的配置界面相比之前有了很大的簡(jiǎn)化，降低了部署的難度，更利于企業(yè)部署IPSec，降低了企業(yè)的成本，微軟還為IPSec擴(kuò)展了事件和性能監(jiān)視器的計(jì)數(shù)器，管理員可以能夠通過(guò)性能監(jiān)視器對(duì)IPSec進(jìn)行相應(yīng)的監(jiān)控，有效的提高維護(hù)效率。

活動(dòng)目錄審核

在安全性要求較高的場(chǎng)合，我們可以使用組策略中的審核策略，來(lái)記錄用戶的各種可能會(huì)影響安全性的行為。通過(guò)審核策略，我們就可以識(shí)別惡意猜解密碼或者攻擊某個(gè)服務(wù)的嘗試。先前的審核策略包含了對(duì)于文件資源、用戶賬戶和目錄訪問(wèn)的審核記錄（圖2），但這些記錄只能告訴我們什么時(shí)候誰(shuí)來(lái)過(guò)，卻不知道到訪者究竟做了什么。相對(duì)于文件夾和文件對(duì)象，用戶在活動(dòng)目錄對(duì)象上能做的事情更多，而且影響也更大，我們需要記錄他們的具體行為。以便在排除故障時(shí)，清楚地回溯歷史操作。

圖2 Windows Server 2003的審核策略

Windows Server 2008中實(shí)現(xiàn)的活動(dòng)目錄審核能夠通過(guò)對(duì)系統(tǒng)訪問(wèn)控制列表（SACL）的修改。查看用戶對(duì)于活動(dòng)目錄對(duì)象的訪問(wèn)和修改，在Windows Server 2008中是默認(rèn)就啟用的，審核功能既能夠?qū)徍顺晒Φ牟僮?，也能夠?qū)徍耸〉牟僮鳎@樣就能夠最大限度的保障活動(dòng)目錄的安全性。與在Windows 2000 Server和Windows Server 2003中只有一種審核策略來(lái)審核目錄服務(wù)訪問(wèn)不同，用來(lái)控制審核目錄服務(wù)事件是被啟用或者禁用的單一審核策略在Windows Server 2008中被劃分成四個(gè)子類別，它們分別是：

目錄服務(wù)訪問(wèn)（Directory Service Access）

目錄服務(wù)更改（Directory Service Changes）

目錄服務(wù)復(fù)制（Directory Service Replication）

詳細(xì)的目錄服務(wù)復(fù)制（Detailed Directory Service Replication）

在圖3中的位置啟用活動(dòng)目錄審核后，就會(huì)同時(shí)打開以上的全部四個(gè)子類別。

圖3 打開活動(dòng)目錄訪問(wèn)審核策略

正因?yàn)樾碌膶徍俗宇悺夸浄?wù)更改的出現(xiàn)，AD DS對(duì)象屬性的更改才能被審核。我們能夠?qū)徍说母念愋捅患?xì)化到創(chuàng)建，修改，移動(dòng)以及反刪除。這些事件都將被記錄在安全日志中。

在AD DS中新的目錄服務(wù)更改審核策略子類增加了以下的功能：

當(dāng)對(duì)對(duì)像的屬性修改成功時(shí)，AD DS會(huì)紀(jì)錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個(gè)以上的值時(shí)，只有作為修改操作結(jié)果變化的值才會(huì)被記錄。

如果新的對(duì)像被創(chuàng)建，屬性被賦予的時(shí)間將會(huì)被記錄，屬性值也會(huì)被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如SAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。

如果一個(gè)對(duì)像被移動(dòng)到同一個(gè)域中，那么先前的以及新的位置（以distinguished name 形式）將被記錄。當(dāng)對(duì)象被移動(dòng)到不同域時(shí)，一個(gè)創(chuàng)建事件將會(huì)在目標(biāo)域的域控制器上生成。

如果一個(gè)對(duì)象被反刪除，那么這個(gè)對(duì)象被移動(dòng)到的位置將會(huì)被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會(huì)被記錄。

利用活動(dòng)目錄審核的目錄服務(wù)復(fù)制子策略，我們還可以監(jiān)視活動(dòng)目錄的復(fù)制工作，哪些發(fā)生了，哪些未發(fā)生，以及復(fù)制了什么等，對(duì)于操作主控的管理、復(fù)制鏈接的效率調(diào)優(yōu)，這些審核記錄無(wú)疑都具有相當(dāng)?shù)膮⒖純r(jià)值。

只讀域控制器（RODC）

2008年起源于美國(guó)的金融危機(jī)之所以能如此大規(guī)模如此迅速的擴(kuò)散至全球，跨國(guó)/跨地區(qū)的貿(mào)易集團(tuán)功不可沒(méi)。因?yàn)闃I(yè)務(wù)需要，企業(yè)對(duì)遍布各地的分支機(jī)構(gòu)早已習(xí)以為常，而隨著地區(qū)業(yè)務(wù)的深入開展，分支機(jī)構(gòu)承擔(dān)的工作也在不斷調(diào)整深化，越來(lái)越多的應(yīng)用需要在分支機(jī)構(gòu)部署。然而，這些地方也許沒(méi)有域控制器，或者他們有域控制器但是沒(méi)有足夠的物理安全保障、網(wǎng)絡(luò)帶寬以及專門的技術(shù)人員來(lái)提供支持。這就使得分支機(jī)構(gòu)很可能成為黑客的突破點(diǎn)，進(jìn)而攻擊整個(gè)企業(yè)網(wǎng)絡(luò)。

只讀域控制器（RODC）就是針對(duì)上述的隱患而設(shè)計(jì)的。

顧名思義，RODC本身是一臺(tái)域控制器，但是存儲(chǔ)于這臺(tái)域控制器里的數(shù)據(jù)庫(kù)是被寫保護(hù)的，無(wú)法對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)做任何更改操作，所有對(duì)AD數(shù)據(jù)庫(kù)的修改操作，只能在可寫的域控上進(jìn)行，然后這些修改再通過(guò)復(fù)制拓?fù)鋸?fù)制到RODC上。而且，在默認(rèn)情況下，RODC 不保存任何賬戶信息和密碼。這樣的話，即使 RODC 受到安全攻擊，管理員們也無(wú)需擔(dān)心入侵者更改安全配置或利用服務(wù)器上保存的信息訪問(wèn)整個(gè)網(wǎng)絡(luò)。

圖4 指定安裝成RODC

RODC使用的復(fù)制拓?fù)涫菃蜗虻模粗荒軓目蓪懹蚩刂破鲝?fù)制到RODC，沒(méi)有任何屬性的更改會(huì)被直接寫入RODC，所以，任何更改都不會(huì)從RODC發(fā)起，作為復(fù)制伙伴的可寫域控制器也就不會(huì)產(chǎn)生從RODC“拉”數(shù)據(jù)的操作。這不僅意味著上述的惡意用戶通過(guò)攻擊在分支結(jié)構(gòu)的RODC，在其上進(jìn)行的操作的結(jié)果不會(huì)被復(fù)制到森林的其余部分，而且這一體制也減少了樞紐站點(diǎn)里的橋頭服務(wù)器的工作量，以及為了監(jiān)視復(fù)制所產(chǎn)生的數(shù)據(jù)量。RODC的單向復(fù)制同時(shí)應(yīng)用于AD DS及分布式文件系統(tǒng)（DFS）的復(fù)制。

前面提到，RODC上不會(huì)保存賬戶信息和密碼，實(shí)際上，在默認(rèn)情況下，RODC上還是會(huì)存放少量的賬戶信息，不過(guò)RODC只存儲(chǔ)它自己的計(jì)算機(jī)賬戶和一個(gè)用于這臺(tái)RODC的特殊的Kerberos 票據(jù)授權(quán)（KRBTGT）賬戶，此賬戶是被可寫域控制器用來(lái)驗(yàn)證RODC身份的。如果需要在RODC上存儲(chǔ)用戶憑據(jù)或者計(jì)算機(jī)憑據(jù)的話，你需要在RODC上允許這些憑據(jù)被緩存。因?yàn)镽ODC一般是總是放置在比較小的分支機(jī)構(gòu)，所以被允許憑據(jù)緩存的計(jì)算機(jī)賬戶和用戶賬戶應(yīng)該都不多。這樣即使RODC被偷了，我們只會(huì)丟失那些緩存在RODC上的憑據(jù)。如果你連這些賬戶信息也非常在乎，在發(fā)現(xiàn)RODC被偷走之后，你可以立即在可寫域控上將RODC的計(jì)算機(jī)賬戶刪除，在刪除時(shí)還可以對(duì)緩存在該RODC上的憑據(jù)進(jìn)行密碼重設(shè)，這樣丟失掉的這些憑據(jù)就沒(méi)有任何作用了。

RODC還支持一種稱為“管理員角色分離”的功能，我們可以使用該功能來(lái)指派一個(gè)普通的域用戶成為RODC的本地管理員。這樣這個(gè)特定的域用戶就擁有了對(duì)分支機(jī)構(gòu)的RODC服務(wù)器進(jìn)行一些系統(tǒng)維護(hù)或管理操作的權(quán)限，例如安裝安全更新或者驅(qū)動(dòng)程序。這個(gè)功能的好處在于：此用戶在域中其他機(jī)器或者任何可讀寫的域控制器上并沒(méi)有用戶權(quán)利。而在以前的AD中，所有DC都是可讀寫的，DC上的本機(jī)管理事實(shí)上是使用域管理員賬戶的。這使得分支機(jī)構(gòu)用戶可以有效的管理RODC而不會(huì)影響整個(gè)域的安全性。

為了進(jìn)一步減少對(duì)分支機(jī)構(gòu)和總部之間網(wǎng)絡(luò)的占用，你還能在RODC上安裝DNS服務(wù)。安裝在RODC上的DNS也是只讀的，它能夠復(fù)制其他DNS使用的所有程序目錄分區(qū)，包括ForestDNSZones以及DomainDNSZones。這樣，就使得用戶能夠像查詢其它DNS服務(wù)器一樣進(jìn)行名稱解析和服務(wù)位置查詢。

總之，RODC的實(shí)現(xiàn)，為需要在分支機(jī)構(gòu)部署域服務(wù)的管理員們，提供了即完整又安全的解決方案。

網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）

要問(wèn)到Windows Server 2008最吸引眼球的功能，網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）絕對(duì)當(dāng)之無(wú)愧！

現(xiàn)如今，令管理員非常頭痛的事是：如何在一個(gè)充斥著家庭計(jì)算機(jī)、出差用戶、來(lái)訪客戶等不在他們控制范圍的各種移動(dòng)客戶端的網(wǎng)絡(luò)中確保安全性？這些計(jì)算機(jī)很可能存在沒(méi)有及時(shí)安裝關(guān)鍵補(bǔ)丁、沒(méi)有啟用防火墻、沒(méi)有及時(shí)升級(jí)病毒庫(kù)等非常嚴(yán)重的安全隱患，當(dāng)他們接入公司內(nèi)網(wǎng)的時(shí)候，勢(shì)必給企業(yè)內(nèi)網(wǎng)的安全帶來(lái)非常大的考驗(yàn)。好在NAP及時(shí)出現(xiàn)在我們的視線中。

要想描述清楚NAP系統(tǒng)是不容易的，簡(jiǎn)單來(lái)說(shuō)NAP是一組服務(wù)器的集合，其核心服務(wù)器稱為網(wǎng)絡(luò)策略服務(wù)器（NPS），配合NPS工作的有健康注冊(cè)管理機(jī)構(gòu)（HRA）、安全修正服務(wù)器以及運(yùn)行在客戶端的安全狀況收集程序——系統(tǒng)健康代理（SHA）等。一個(gè)典型的NAP系統(tǒng)通常有以下幾個(gè)部分：

NAP客戶端

若要訪問(wèn)網(wǎng)絡(luò)，首先由NAP代理從運(yùn)行在NAP客戶端計(jì)算機(jī)本地的系統(tǒng)健康代理（SHA）收集有關(guān)該客戶端健康狀況的信息。NAP代理是一種在本地計(jì)算機(jī)上運(yùn)行的服務(wù)，能夠收集來(lái)自 SHA 的信息。安裝在客戶端計(jì)算機(jī)上的每SHA都提供當(dāng)前設(shè)置或設(shè)計(jì)用于監(jiān)視的活動(dòng)的相關(guān)信息。NAP代理服務(wù)將匯總該計(jì)算機(jī)的健康狀態(tài)信息并將此信息傳遞給一個(gè)或多個(gè)NAP強(qiáng)制客戶端。強(qiáng)制客戶端是與 NAP 強(qiáng)制點(diǎn)交互以便在網(wǎng)絡(luò)上進(jìn)行訪問(wèn)或通信的軟件。

強(qiáng)制技術(shù)

可用于作為判斷依據(jù)決定如何匹配NAP策略的五種網(wǎng)絡(luò)訪問(wèn)技術(shù)。這五種網(wǎng)絡(luò)訪問(wèn)技術(shù)是：

Internet 協(xié)議安全性（IPSec）。

802.1X

VPN

DHCP

遠(yuǎn)程桌面網(wǎng)關(guān)（RD 網(wǎng)關(guān)）

每個(gè)NAP策略都可以指定到某一種網(wǎng)絡(luò)訪問(wèn)技術(shù)，當(dāng)客戶端接入網(wǎng)絡(luò)后，就會(huì)被判斷出其使用了那種網(wǎng)絡(luò)訪問(wèn)技術(shù)，從而對(duì)應(yīng)到相應(yīng)的NAP策略。

NAP 強(qiáng)制點(diǎn)

NAP強(qiáng)制點(diǎn)是一個(gè)服務(wù)器或硬件設(shè)備，它向NAP客戶端計(jì)算機(jī)提供某個(gè)級(jí)別的網(wǎng)絡(luò)訪問(wèn)權(quán)限。每個(gè)NAP強(qiáng)制技術(shù)的執(zhí)行都對(duì)應(yīng)使用不同類型的NAP強(qiáng)制點(diǎn)。在使用 802.1X 強(qiáng)制的 NAP 中，NAP 強(qiáng)制點(diǎn)是兼容 IEEE 802.1X 的交換機(jī)或無(wú)線訪問(wèn)點(diǎn)。IPSec、DHCP 和 RD 網(wǎng)關(guān)強(qiáng)制方法的 NAP 強(qiáng)制服務(wù)器也必須運(yùn)行配置為 RADIUS 代理或 NAP 健康策略服務(wù)器的 NPS。使用 VPN 強(qiáng)制的 NAP 不要求在 VPN 服務(wù)器上安裝 NPS?？梢栽谀硞€(gè)網(wǎng)絡(luò)上使用一種、幾種或者所有執(zhí)行方法。

健康注冊(cè)管理機(jī)構(gòu)（HRA）

健康注冊(cè)機(jī)構(gòu)（HRA）負(fù)責(zé)驗(yàn)證客戶端憑據(jù)，然后將證書申請(qǐng)轉(zhuǎn)發(fā)到代表客戶端的證書機(jī)構(gòu)（CA）。通過(guò)檢查網(wǎng)絡(luò)策略服務(wù)器（NPS），HRA 可驗(yàn)證證書申請(qǐng)以確定 NAP 客戶端是否與網(wǎng)絡(luò)健康要求兼容。如果發(fā)現(xiàn)客戶端兼容，HRA 將從 CA 申請(qǐng)?zhí)厥忸愋偷淖C書（稱為健康證書）。由 NAP 客戶端計(jì)算機(jī)使用的健康證書用于受 IPSec 保護(hù)的網(wǎng)絡(luò)上的通信。在此功能中，HRA 將作為 NAP 強(qiáng)制服務(wù)器，使用 NAP Internet 協(xié)議安全（IPSec）強(qiáng)制方法。

NAP 健康策略服務(wù)器

NAP健康策略服務(wù)器是一臺(tái)運(yùn)行 Windows Server 2008 或 Windows Server 2008 R2 的計(jì)算機(jī)，并且已安裝和配置了NPS角色服務(wù)，用于評(píng)估NAP客戶端計(jì)算機(jī)的健康狀況。所有的NAP強(qiáng)制技術(shù)至少需要一個(gè)健康策略服務(wù)器。NAP健康策略服務(wù)器使用策略和設(shè)置對(duì) NAP客戶端計(jì)算機(jī)提交的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求進(jìn)行評(píng)估。

NAP修正服務(wù)器

NAP 修正服務(wù)器能夠向被判斷為不安全的客戶端計(jì)算機(jī)提供安全更新服務(wù)。當(dāng)然，標(biāo)識(shí)為安全的的客戶端計(jì)算機(jī)也可以訪問(wèn)修正服務(wù)器。NAP修正服務(wù)器的示例包括：

防病毒簽名服務(wù)器。如果健康策略要求計(jì)算機(jī)必須有最新的防病毒簽名，則標(biāo)識(shí)為不安全的計(jì)算機(jī)必須具有對(duì)提供這些更新的服務(wù)器的訪問(wèn)權(quán)限。

Windows Server Update Services。如果健康策略要求計(jì)算機(jī)必須有最新的安全更新或其他軟件更新，可以通過(guò)將 WSUS 放置在更新網(wǎng)絡(luò)上來(lái)提供這些更新。

System Center 組件服務(wù)器。System Center Configuration Manager 管理點(diǎn)、軟件更新點(diǎn)和分發(fā)點(diǎn)用于承載使計(jì)算機(jī)兼容所需的軟件更新。使用配置管理器部署 NAP 時(shí)，支持 NAP 的計(jì)算機(jī)要求訪問(wèn)運(yùn)行這些站點(diǎn)系統(tǒng)角色的計(jì)算機(jī)才能下載其客戶端策略、掃描軟件更新安全性以及下載所需的軟件更新。

域控制器。不安全的計(jì)算機(jī)可能會(huì)要求訪問(wèn)位于不安全網(wǎng)絡(luò)上的域服務(wù)以進(jìn)行身份驗(yàn)證，以便從組策略下載策略或維護(hù)域配置文件設(shè)置。

DNS 服務(wù)器。不安全的計(jì)算機(jī)必須具有對(duì)DNS的訪問(wèn)權(quán)限才能解析主機(jī)名。

DHCP 服務(wù)器。當(dāng)不安全網(wǎng)絡(luò)上的客戶端 IP 配置文件更改或 DHCP 租用過(guò)期時(shí)，不安全的計(jì)算機(jī)必須具有訪問(wèn) DHCP 服務(wù)器的權(quán)限。

服務(wù)器問(wèn)題疑難解答。配置更新服務(wù)器組時(shí)，可以選擇提供包含有關(guān)如何使計(jì)算機(jī)符合健康策略的說(shuō)明的疑難解答 URL?？梢詾槊總€(gè)網(wǎng)絡(luò)策略提供不同的 URL。這些 URL 必須能夠在更新網(wǎng)絡(luò)上訪問(wèn)。

其他服務(wù)?？梢栽诟戮W(wǎng)絡(luò)上提供對(duì) Internet 的訪問(wèn)權(quán)限，使不安全的計(jì)算機(jī)能夠訪問(wèn)更新服務(wù)，如Internet上的Windows Update和其他Internet資源。

系統(tǒng)健康驗(yàn)證程序（SHV）

系統(tǒng)健康驗(yàn)證程序（SHV）用于在NPS服務(wù)器上定義健康要求，并和收到的客戶端系統(tǒng)健康代理（SHA）做對(duì)比，以檢測(cè)客戶端是否滿足健康要求。在NAP上有很多種SHV和SHA類型。Windows Server 2008自帶的SHV（WSHV）可以進(jìn)行以下方面的健康要求篩選：

防火墻：如果啟用此要求，客戶端計(jì)算機(jī)必須有已向 Windows 安全中心注冊(cè)并為所有網(wǎng)絡(luò)連接啟用的防火墻。

病毒防護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須滿足下列要求：已安裝防病毒應(yīng)用程序，已向 Windows 安全中心注冊(cè)并已啟用。還必須對(duì)客戶端計(jì)算機(jī)進(jìn)行檢查，以確保防病毒簽名文件隨時(shí)更新。

間諜軟件防護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須滿足下列要求：已安裝反間諜軟件應(yīng)用程序，已向 Windows 安全中心注冊(cè)并已啟用。還必須對(duì)客戶端計(jì)算機(jī)進(jìn)行檢查，以確保反間諜軟件簽名文件隨時(shí)更新。間諜軟件防護(hù)僅適用于運(yùn)行 Windows Vista 或 Windows 7 NAP 的客戶端。

自動(dòng)更新：如果啟用此要求，必須配置客戶端計(jì)算機(jī)才能檢查來(lái)自 Windows Update 的更新?？梢赃x擇是否下載并安裝這些更新。

安全更新保護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須基于與 Microsoft 安全響應(yīng)中心（MSRC）中的安全嚴(yán)重性分級(jí)匹配的四個(gè)可能的值中的一個(gè)值來(lái)安裝安全更新。客戶端還必須按指定的時(shí)間間隔檢查這些更新?？梢允褂?Windows Server Update Services（WSUS)、Windows Update 或同時(shí)使用兩者來(lái)獲取安全更新。

NAP 健康要求服務(wù)器

健康要求服務(wù)器是能夠向一個(gè)或多個(gè)系統(tǒng)健康驗(yàn)證程序（SHV）提供健康策略要求和健康評(píng)估信息的計(jì)算機(jī)。如果 NAP 客戶端計(jì)算機(jī)報(bào)告的健康狀態(tài)能夠在不咨詢其他設(shè)備的情況下通過(guò) NPS 的驗(yàn)證，則不需要健康要求服務(wù)器。例如，WSUS 在用于 Windows 安全健康驗(yàn)證程序（WSHV）時(shí)被認(rèn)為不是健康要求服務(wù)器。即使管理員能夠使用 WSUS 指定客戶端計(jì)算機(jī)必須有哪些更新，該客戶端計(jì)算機(jī)仍會(huì)報(bào)告自己是否已安裝了這些更新。在這種情況下，WSUS 將作為更新服務(wù)器，而不是健康要求服務(wù)器。

使用配置管理器SHV部署NAP時(shí)也要使用健康要求服務(wù)器。配置管理器SHV將聯(lián)系全局編錄服務(wù)器，通過(guò)檢查向 Active Directory 域服務(wù)發(fā)布的健康狀態(tài)參考來(lái)驗(yàn)證客戶端的健康狀態(tài)。因此，部署配置管理器SHV后，域控制器將用作健康要求服務(wù)器。其他SHV也可以使用健康要求服務(wù)器。

圖5 NAP系統(tǒng)架構(gòu)示意圖

在圖5所示的NAP系統(tǒng)中，客戶端上的系統(tǒng)健康代理（SHA）創(chuàng)建一些健康聲明（SoH），并將這些聲明發(fā)送給NPS服務(wù)器上相應(yīng)的系統(tǒng)健康驗(yàn)證程序（SHV）；SHV則與策略服務(wù)器（NPS）進(jìn)行通信，確定SoH里面提供的安全狀況是否符合安全策略的要求。如果符合，則允許該計(jì)算機(jī)全面訪問(wèn)公司網(wǎng)絡(luò)資源。如果不符合，該計(jì)算機(jī)被連接到受限網(wǎng)絡(luò)，通過(guò)修正服務(wù)器運(yùn)行狀況更新，直到滿足NPS服務(wù)器上的安全策略要求，才能重新進(jìn)入公司網(wǎng)絡(luò)。

BitLocker驅(qū)動(dòng)器加密

我們第一次知道BitLocker驅(qū)動(dòng)器加密這個(gè)東西，是在Windows Vista上。通過(guò)對(duì)硬盤數(shù)據(jù)的全卷加密，BitLocker能夠保障個(gè)人計(jì)算機(jī)、企業(yè)計(jì)算機(jī)上存儲(chǔ)數(shù)據(jù)的安全。相比購(gòu)買硬件的花費(fèi)，更令企業(yè)擔(dān)心的是丟失或被盜計(jì)算機(jī)上存儲(chǔ)的數(shù)據(jù)，只需要把硬盤裝載在另一臺(tái)計(jì)算機(jī)中，就能夠很輕松的讀取硬盤中的數(shù)據(jù)，甚至是受EFS保護(hù)的數(shù)據(jù)，也無(wú)法保證萬(wàn)無(wú)一失。誰(shuí)也不希望看到自己的文件被公開叫賣。

BitLocker可以通過(guò)TPM芯片（集成在主板上的安全信息存儲(chǔ)芯片，用于提供該主板的唯一標(biāo)識(shí)）、USB密鑰盤（含有密鑰資料的 USB 閃存驅(qū)動(dòng)器）和PIN碼這三種識(shí)別信息的其中一個(gè)或多個(gè)的組合（多因素身份驗(yàn)證）來(lái)驗(yàn)證磁盤的工作環(huán)境是否是經(jīng)過(guò)授權(quán)的。BitLocker提供的保護(hù)，包括以下兩種：

加密整個(gè) Windows 操作系統(tǒng)卷，包括用戶數(shù)據(jù)和系統(tǒng)文件、休眠文件、頁(yè)面文件以及臨時(shí)文件。通過(guò) BitLocker 可以選擇鎖定正常的引導(dǎo)過(guò)程，直至用戶提供 PIN碼或插入U(xiǎn)SB密鑰盤為止。這項(xiàng)安全措施也支持多因素身份驗(yàn)證，并確保在提供正確的 PIN 碼或 USB密鑰盤之前計(jì)算機(jī)不會(huì)從關(guān)機(jī)或休眠狀態(tài)中被啟動(dòng)或恢復(fù)。

對(duì)于存儲(chǔ)在加密卷上的非Microsoft應(yīng)用程序和用戶數(shù)據(jù)，通過(guò)進(jìn)行全卷加密提供相同級(jí)別的防護(hù)。BitLocker的加密是卷級(jí)別的，因此，即使磁盤被掛接在別的計(jì)算機(jī)上，通過(guò)別的操作系統(tǒng)進(jìn)行訪問(wèn)也無(wú)法獲取磁盤內(nèi)被加密的資料。我認(rèn)為，此項(xiàng)安全措施對(duì)于因資產(chǎn)管理的原因報(bào)廢或回收的存儲(chǔ)設(shè)備具有非常實(shí)際的保護(hù)意義，被BitLocker加密的磁盤，不需要進(jìn)行數(shù)據(jù)擦除就可以做回收處理，不用擔(dān)心數(shù)據(jù)會(huì)被惡意讀取。

BitLocker 的易用性并沒(méi)有因?yàn)樗鼒?jiān)固的安全性受到影響，微軟提供了一個(gè)用于設(shè)置和管理的向?qū)В▓D6），并通過(guò)Windows 管理規(guī)范（WMI）界面提供了用腳本實(shí)現(xiàn)的可擴(kuò)展性和可管理性。另外，由于BitLocker明顯加速了對(duì)磁盤的安全清理過(guò)程，實(shí)際上簡(jiǎn)化了計(jì)算機(jī)的重復(fù)利用。

圖6 BitLocker配置向?qū)?/p>

由 BitLocker 所保護(hù)的計(jì)算機(jī)的日常使用對(duì)用戶來(lái)說(shuō)是完全透明的。而且，即使發(fā)生很少可能出現(xiàn)的系統(tǒng)鎖定（也許是由硬件故障或直接攻擊而引起的），BitLocker也會(huì)提供一個(gè)簡(jiǎn)單而有效的恢復(fù)過(guò)程。此類情況包括許多事件，例如將含有加密的操作系統(tǒng)卷的硬盤驅(qū)動(dòng)器移動(dòng)到另一臺(tái)計(jì)算機(jī)或更換系統(tǒng)主板。此時(shí)，恢復(fù)向?qū)?huì)自動(dòng)啟動(dòng)，并向你索要恢復(fù)密鑰，恢復(fù)密鑰是一組字母和數(shù)字的組合，在啟用BitLocker時(shí)，由向?qū)С绦蜃詣?dòng)生成，因此，需要妥善保管這組密鑰。

總之，使用 Windows Server 2008 BitLocker 驅(qū)動(dòng)器加密功能顯著增強(qiáng)了公司的數(shù)據(jù)保護(hù)策略，通過(guò)保護(hù)休眠數(shù)據(jù)幫助組織達(dá)到日益嚴(yán)格的保密要求，并且在對(duì)設(shè)備進(jìn)行淘汰處理時(shí)提升了安全性并節(jié)省了成本。

擁有強(qiáng)大的安全保障，還不足以成就Windows Server 2008的絕對(duì)優(yōu)勢(shì)，管理員們都希望自己面對(duì)的是一部聰明的機(jī)器，她界面簡(jiǎn)潔，易學(xué)易用。畢竟，被要求從本來(lái)就很有限的時(shí)間里騰出大量的時(shí)間來(lái)學(xué)習(xí)和部署新的功能和服務(wù)，是不會(huì)令人愉快的。

Windows系統(tǒng)的易用性一直是有目共睹的，除了經(jīng)過(guò)優(yōu)化的新風(fēng)格系統(tǒng)界面和高集成度的管理工具，以及舉世矚目的Hyper-V，Windows Server 2008還提供了相當(dāng)多的新功能和新工具，這些新的特性可以帶給管理員前所未有的輕松體驗(yàn)。

PMC(Print Management Console，打印管理控制臺(tái))。

這個(gè)功能最先是在 Windows Server 2003 R2中發(fā)布的。但是與在Windows Server 2003 R2版本中不同的是，Windows Server 2008中，PMC成為了一個(gè)原生的功能，且每個(gè)用戶都可以使用。PMC被添加為微軟管理控制臺(tái)(MMC)的一部分，可以允許每個(gè)管理員從一個(gè)單一的控制臺(tái)監(jiān)測(cè)到整個(gè)企業(yè)內(nèi)的每一臺(tái)打印機(jī)。此外，管理員還可以利用組策略來(lái)將打印機(jī)映射到特定的用戶群組，從而使得該組無(wú)需實(shí)際安裝打印機(jī)即可使用。

WinRS(Windows Remote Shell，Windows遠(yuǎn)程Shell)。

還記得Telnet嗎？為了在 Windows Server 2003中連接到遠(yuǎn)程計(jì)算機(jī)上的命令行界面，管理員必須使用Terminal服務(wù)。而所謂的Terminal服務(wù)很好，但是可擴(kuò)展性并不是很好，需要連接到每一臺(tái)遠(yuǎn)程計(jì)算機(jī)上的控制臺(tái)。WinRS則可以創(chuàng)建到任何遠(yuǎn)程計(jì)算機(jī)的安全連接，并且只需要從單個(gè)控制臺(tái)進(jìn)行這一切操作。這將給管理員帶來(lái)顯著的時(shí)間成本的降低。

事件推進(jìn)。

這個(gè)特性對(duì)在客戶端運(yùn)行Windows Vista/Windows 7的企業(yè)用戶有意義。事件推進(jìn)功能將一些被選中的計(jì)算機(jī)的日志聚合起來(lái)并且推進(jìn)到中央控制臺(tái)，從而使得管理員的管理更加高效。比如說(shuō)，管理員收到了客戶端用戶的求救，用戶說(shuō)他看見(jiàn)了一個(gè)代號(hào)為“事件51”的報(bào)錯(cuò)信息顯示在其屏幕上，這就表明這個(gè)用戶遇到了登錄問(wèn)題。

與此前在局域網(wǎng)中應(yīng)用嗅探技術(shù)以便偵測(cè)安全等問(wèn)題不同，管理員只需要簡(jiǎn)單地在服務(wù)端的控制臺(tái)中“訂閱”客戶端計(jì)算機(jī)的事件信息即可，這樣那些客戶端機(jī)器就會(huì)自動(dòng)發(fā)送管理員所需求的信息到控制臺(tái)中。

新的粒度密碼策略。

在活動(dòng)目錄中，域是一個(gè)安全分界線。作為Windows Server的先期版本，Windows Server 2003的安全分界線被限定為每個(gè)域擁有一個(gè)密碼策略。這是一個(gè)比較受限的措施，因此在Windows Server 2008中已經(jīng)被取消?，F(xiàn)在管理員無(wú)需通過(guò)創(chuàng)建新域來(lái)獲得一個(gè)新的密碼策略，只需要為特定的群組或者用戶設(shè)定密碼策略即可。如果CEO或者CIO們需要更為嚴(yán)格的密碼策略，就為他們分配獨(dú)立的用戶組，并在其上新建一個(gè)更嚴(yán)格的密碼策略，這在Windows Server 2008中很容易達(dá)成。

群組策略的改進(jìn)。

在Windows Server 2008中，群組策略有兩處改進(jìn)，這都是管理員們關(guān)注的問(wèn)題。第一個(gè)改進(jìn)是用于群組策略設(shè)置的可搜索的數(shù)據(jù)庫(kù)。很多管理員都曾使用過(guò)Excel表來(lái)追蹤其群組策略的設(shè)置。設(shè)若有數(shù)千條類似的設(shè)置，那么顯然通過(guò)Excel表的方式將會(huì)帶來(lái)很大的麻煩?，F(xiàn)在，通過(guò)群組策略管理控制臺(tái)，管理員能夠搜索策略，無(wú)需Excel 幫忙，從而顯著提升效率。

第二個(gè)對(duì)群組策略的升級(jí)是在群組策略設(shè)置中添加注解的能力。在設(shè)置中添加注解將不僅幫助當(dāng)前的管理員，也能幫助未來(lái)的管理員進(jìn)行有關(guān)群組策略的故障檢測(cè)。比如說(shuō)，在管理員配置群組策略時(shí)，管理員能夠添加注解，為什么需要配置如此特別的策略。今后，如果需要進(jìn)行故障檢測(cè)或者重新配置該策略時(shí)，那么該管理員或者其繼任者能夠明白配置該策略的來(lái)龍去脈。此外，當(dāng)管理員進(jìn)行群組策略建模時(shí)，為策略模型添加注解，指出不同的策略的不同含義，那些注解將來(lái)能夠在報(bào)表中顯示出來(lái)，簡(jiǎn)化群組策略的管理。

潛在的網(wǎng)絡(luò)速度提升。

網(wǎng)絡(luò)承載著傳遞更多數(shù)據(jù)的重任。自1995年以來(lái)，能夠在一個(gè)包中被發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)包大小都維持在64KB，其數(shù)據(jù)傳輸流量大概在 5MB大小。這就好像一個(gè)大卡車?yán)锩嬷谎b了一個(gè)很小的箱子在到處行駛，盡管車很大，但是根本沒(méi)有提高運(yùn)輸能力。今天的網(wǎng)絡(luò)也是如此，如果網(wǎng)絡(luò)的傳輸能力很強(qiáng)，但是數(shù)據(jù)包的大小依然很小，那么也沒(méi)有太大的意義。在Windows Server 2008中幾乎重寫的網(wǎng)絡(luò)堆棧包活了一些全新的技術(shù)，比如說(shuō)允許更大的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)等。同時(shí)，它也可以即時(shí)改變網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包的大小，使得其在傳輸時(shí)更具效率。數(shù)據(jù)包大小的上限被修改為512KB，這一改動(dòng)能夠轉(zhuǎn)化為大概40MB的吞吐量。換句話說(shuō)，如果網(wǎng)絡(luò)被正確地配置和調(diào)優(yōu)之后，最快能夠以相當(dāng)于此前8倍的速度運(yùn)行。這的確是一項(xiàng)令人激動(dòng)的改進(jìn)！

當(dāng)然，如果你仍然癡迷于基于命令行界面的管理方式，Windows Server 2008還提供了全命令行界面的Server Core版本供你選擇，你可以用非常低的配置來(lái)搭建Server Core版的Windows Server 2008，而其功能和互操作性與圖形界面版本的Window Server 2008沒(méi)有區(qū)別。

優(yōu)秀的接班人——Windows Server 2008

前不久，微軟發(fā)布了即將終止包括Windows 2000、Windows XP和Windows Vista幾個(gè)版本在內(nèi)的歷史版本技術(shù)支持工作的通知。而作為新時(shí)期的當(dāng)家花旦，Windows Server 2008已經(jīng)迎來(lái)了他的升級(jí)版本——Windows Server 2008 R2。

如果你已經(jīng)對(duì)Windows Server 2003家族建立了相當(dāng)?shù)男湃?，甚至認(rèn)為2003已經(jīng)很完美，那么，想想Windows Vista 或Windows 7里強(qiáng)大的可靠性監(jiān)視程序和任務(wù)管理器、高級(jí)防火墻、以假亂真的Windows XP Mode（僅Windows 7提供）以及固若金湯的BitLocker，你是不是覺(jué)得，2003已經(jīng)老了？

諸多的新功能中，高級(jí)安全Windows防火墻、活動(dòng)目錄審核、只讀域控制器（RODC）、網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）和可以在服務(wù)器上部署的BitLocker這幾項(xiàng)功能，共同為基于Windows Server 2008搭建的網(wǎng)絡(luò)保駕護(hù)航，它們成就了Windows Server 2008的最佳安全性體驗(yàn)。

高級(jí)安全Windows防火墻

為了保護(hù)服務(wù)器操作系統(tǒng)和運(yùn)行于其上的各種服務(wù)，我們構(gòu)建了各種軟、硬件防火墻系統(tǒng)，并且不惜犧牲系統(tǒng)性能，在每臺(tái)服務(wù)器上運(yùn)行防護(hù)軟件。因?yàn)榧词故菑?qiáng)大的ISA，也無(wú)法精細(xì)到對(duì)每臺(tái)服務(wù)器提供單機(jī)保護(hù)。而基于Windows 5.0核心的XP、2003操作系統(tǒng)自帶的Windows防火墻，曾經(jīng)給我們帶來(lái)了希望——它們存在于每臺(tái)服務(wù)器和客戶端上，是否可以給我們提供完美的保護(hù)呢？結(jié)果是，因?yàn)樵O(shè)計(jì)架構(gòu)的限制，Windows防火墻并沒(méi)有提供完整的網(wǎng)絡(luò)防護(hù)，而且這個(gè)遺憾一直持續(xù)到Windows Server 2008的發(fā)布。

Windows Server 2008攜帶的高級(jí)安全Windows防火墻帶來(lái)了一些新的特性和改進(jìn)，包括允許創(chuàng)建入站和出戰(zhàn)通訊的防火墻規(guī)則，像ISA那樣為程序或數(shù)據(jù)包制定入站和出戰(zhàn)策略以及與IPSec的結(jié)合的能力。

高級(jí)安全Windows防火墻提供了新的圖形化界面。還記得XP和2003中那個(gè)Windows防火墻選項(xiàng)卡嗎？現(xiàn)在你可以跟她說(shuō)再見(jiàn)了，在Windows Server 2008中，你要通過(guò)一個(gè)管理控制臺(tái)單元來(lái)配置這個(gè)高級(jí)防火墻。

在這個(gè)界面中，你可以創(chuàng)建、修改和刪除規(guī)則，對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)疊加在一起；添加的標(biāo)準(zhǔn)越多，高級(jí)安全Windows防火墻匹配傳入流量就越精細(xì)。比如你可以利用高級(jí)安全Windows防火墻來(lái)過(guò)濾沖擊波病毒包或者是禁止QQ數(shù)據(jù)通過(guò)。

當(dāng)傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，高級(jí)安全Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指 定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則高級(jí)安全Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則高級(jí)安全Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目（如果啟用了日志記錄）。你還可以為域、特定對(duì)象或者全部對(duì)象分別創(chuàng)建不同的匹配策略。

高級(jí)安全Windows防火墻的匹配規(guī)則可以提供雙向的保護(hù)，即對(duì)出站、入站通信均進(jìn)行過(guò)濾，然后攔截有威脅的數(shù)據(jù)包。這樣不但保護(hù)計(jì)算機(jī)自身不被攻擊，也能阻止已受感染的計(jì)算機(jī)不能輕易的發(fā)起攻擊，避免更大的損失。

高級(jí)安全Windows防火墻還將Windows防火墻功能和Internet 協(xié)議安全（IPSec）集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)（完整性和加密）以及身份驗(yàn)證設(shè)置。

順便提一下，因?yàn)閃indows Server 2008對(duì)IPSec做了不少的改進(jìn)，不僅提供了新的IPv6協(xié)議支持，還支持新的加密方法。并且被集成到系統(tǒng)各個(gè)安全部分，諸如剛剛提到的高級(jí)安全Windows防火墻、NAP甚至群集服務(wù)中。更難得的是，IPSec的配置界面相比之前有了很大的簡(jiǎn)化，降低了部署的難度，更利于企業(yè)部署IPSec，降低了企業(yè)的成本，微軟還為IPSec擴(kuò)展了事件和性能監(jiān)視器的計(jì)數(shù)器，管理員可以能夠通過(guò)性能監(jiān)視器對(duì)IPSec進(jìn)行相應(yīng)的監(jiān)控，有效的提高維護(hù)效率。

活動(dòng)目錄審核

在安全性要求較高的場(chǎng)合，我們可以使用組策略中的審核策略，來(lái)記錄用戶的各種可能會(huì)影響安全性的行為。通過(guò)審核策略，我們就可以識(shí)別惡意猜解密碼或者攻擊某個(gè)服務(wù)的嘗試。先前的審核策略包含了對(duì)于文件資源、用戶賬戶和目錄訪問(wèn)的審核記錄（圖2），但這些記錄只能告訴我們什么時(shí)候誰(shuí)來(lái)過(guò)，卻不知道到訪者究竟做了什么。相對(duì)于文件夾和文件對(duì)象，用戶在活動(dòng)目錄對(duì)象上能做的事情更多，而且影響也更大，我們需要記錄他們的具體行為。以便在排除故障時(shí)，清楚地回溯歷史操作。

Windows Server 2008中實(shí)現(xiàn)的活動(dòng)目錄審核能夠通過(guò)對(duì)系統(tǒng)訪問(wèn)控制列表（SACL）的修改。查看用戶對(duì)于活動(dòng)目錄對(duì)象的訪問(wèn)和修改，在Windows Server 2008中是默認(rèn)就啟用的，審核功能既能夠?qū)徍顺晒Φ牟僮?，也能夠?qū)徍耸〉牟僮鳎@樣就能夠最大限度的保障活動(dòng)目錄的安全性。與在Windows 2000 Server和Windows Server 2003中只有一種審核策略來(lái)審核目錄服務(wù)訪問(wèn)不同，用來(lái)控制審核目錄服務(wù)事件是被啟用或者禁用的單一審核策略在Windows Server 2008中被劃分成四個(gè)子類別，它們分別是：

目錄服務(wù)訪問(wèn)（Directory Service Access）

目錄服務(wù)更改（Directory Service Changes）

目錄服務(wù)復(fù)制（Directory Service Replication）

詳細(xì)的目錄服務(wù)復(fù)制（Detailed Directory Service Replication）

正因?yàn)樾碌膶徍俗宇悺夸浄?wù)更改的出現(xiàn)，AD DS對(duì)象屬性的更改才能被審核。我們能夠?qū)徍说母念愋捅患?xì)化到創(chuàng)建，修改，移動(dòng)以及反刪除。這些事件都將被記錄在安全日志中。

在AD DS中新的目錄服務(wù)更改審核策略子類增加了以下的功能：

當(dāng)對(duì)對(duì)像的屬性修改成功時(shí)，AD DS會(huì)紀(jì)錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個(gè)以上的值時(shí)，只有作為修改操作結(jié)果變化的值才會(huì)被記錄。

如果新的對(duì)像被創(chuàng)建，屬性被賦予的時(shí)間將會(huì)被記錄，屬性值也會(huì)被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如SAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。

如果一個(gè)對(duì)像被移動(dòng)到同一個(gè)域中，那么先前的以及新的位置（以distinguished name 形式）將被記錄。當(dāng)對(duì)象被移動(dòng)到不同域時(shí)，一個(gè)創(chuàng)建事件將會(huì)在目標(biāo)域的域控制器上生成。

如果一個(gè)對(duì)象被反刪除，那么這個(gè)對(duì)象被移動(dòng)到的位置將會(huì)被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會(huì)被記錄。

利用活動(dòng)目錄審核的目錄服務(wù)復(fù)制子策略，我們還可以監(jiān)視活動(dòng)目錄的復(fù)制工作，哪些發(fā)生了，哪些未發(fā)生，以及復(fù)制了什么等，對(duì)于操作主控的管理、復(fù)制鏈接的效率調(diào)優(yōu)，這些審核記錄無(wú)疑都具有相當(dāng)?shù)膮⒖純r(jià)值。

只讀域控制器（RODC）

2008年起源于美國(guó)的金融危機(jī)之所以能如此大規(guī)模如此迅速的擴(kuò)散至全球，跨國(guó)/跨地區(qū)的貿(mào)易集團(tuán)功不可沒(méi)。因?yàn)闃I(yè)務(wù)需要，企業(yè)對(duì)遍布各地的分支機(jī)構(gòu)早已習(xí)以為常，而隨著地區(qū)業(yè)務(wù)的深入開展，分支機(jī)構(gòu)承擔(dān)的工作也在不斷調(diào)整深化，越來(lái)越多的應(yīng)用需要在分支機(jī)構(gòu)部署。然而，這些地方也許沒(méi)有域控制器，或者他們有域控制器但是沒(méi)有足夠的物理安全保障、網(wǎng)絡(luò)帶寬以及專門的技術(shù)人員來(lái)提供支持。這就使得分支機(jī)構(gòu)很可能成為黑客的突破點(diǎn)，進(jìn)而攻擊整個(gè)企業(yè)網(wǎng)絡(luò)。

只讀域控制器（RODC）就是針對(duì)上述的隱患而設(shè)計(jì)的。

顧名思義，RODC本身是一臺(tái)域控制器，但是存儲(chǔ)于這臺(tái)域控制器里的數(shù)據(jù)庫(kù)是被寫保護(hù)的，無(wú)法對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)做任何更改操作，所有對(duì)AD數(shù)據(jù)庫(kù)的修改操作，只能在可寫的域控上進(jìn)行，然后這些修改再通過(guò)復(fù)制拓?fù)鋸?fù)制到RODC上。而且，在默認(rèn)情況下，RODC 不保存任何賬戶信息和密碼。這樣的話，即使 RODC 受到安全攻擊，管理員們也無(wú)需擔(dān)心入侵者更改安全配置或利用服務(wù)器上保存的信息訪問(wèn)整個(gè)網(wǎng)絡(luò)。

RODC使用的復(fù)制拓?fù)涫菃蜗虻?，即只能從可寫域控制器?fù)制到RODC，沒(méi)有任何屬性的更改會(huì)被直接寫入RODC，所以，任何更改都不會(huì)從RODC發(fā)起，作為復(fù)制伙伴的可寫域控制器也就不會(huì)產(chǎn)生從RODC“拉”數(shù)據(jù)的操作。這不僅意味著上述的惡意用戶通過(guò)攻擊在分支結(jié)構(gòu)的RODC，在其上進(jìn)行的操作的結(jié)果不會(huì)被復(fù)制到森林的其余部分，而且這一體制也減少了樞紐站點(diǎn)里的橋頭服務(wù)器的工作量，以及為了監(jiān)視復(fù)制所產(chǎn)生的數(shù)據(jù)量。RODC的單向復(fù)制同時(shí)應(yīng)用于AD DS及分布式文件系統(tǒng)（DFS）的復(fù)制。

前面提到，RODC上不會(huì)保存賬戶信息和密碼，實(shí)際上，在默認(rèn)情況下，RODC上還是會(huì)存放少量的賬戶信息，不過(guò)RODC只存儲(chǔ)它自己的計(jì)算機(jī)賬戶和一個(gè)用于這臺(tái)RODC的特殊的Kerberos 票據(jù)授權(quán)（KRBTGT）賬戶，此賬戶是被可寫域控制器用來(lái)驗(yàn)證RODC身份的。如果需要在RODC上存儲(chǔ)用戶憑據(jù)或者計(jì)算機(jī)憑據(jù)的話，你需要在RODC上允許這些憑據(jù)被緩存。因?yàn)镽ODC一般是總是放置在比較小的分支機(jī)構(gòu)，所以被允許憑據(jù)緩存的計(jì)算機(jī)賬戶和用戶賬戶應(yīng)該都不多。這樣即使RODC被偷了，我們只會(huì)丟失那些緩存在RODC上的憑據(jù)。如果你連這些賬戶信息也非常在乎，在發(fā)現(xiàn)RODC被偷走之后，你可以立即在可寫域控上將RODC的計(jì)算機(jī)賬戶刪除，在刪除時(shí)還可以對(duì)緩存在該RODC上的憑據(jù)進(jìn)行密碼重設(shè)，這樣丟失掉的這些憑據(jù)就沒(méi)有任何作用了。

RODC還支持一種稱為“管理員角色分離”的功能，我們可以使用該功能來(lái)指派一個(gè)普通的域用戶成為RODC的本地管理員。這樣這個(gè)特定的域用戶就擁有了對(duì)分支機(jī)構(gòu)的RODC服務(wù)器進(jìn)行一些系統(tǒng)維護(hù)或管理操作的權(quán)限，例如安裝安全更新或者驅(qū)動(dòng)程序。這個(gè)功能的好處在于：此用戶在域中其他機(jī)器或者任何可讀寫的域控制器上并沒(méi)有用戶權(quán)利。而在以前的AD中，所有DC都是可讀寫的，DC上的本機(jī)管理事實(shí)上是使用域管理員賬戶的。這使得分支機(jī)構(gòu)用戶可以有效的管理RODC而不會(huì)影響整個(gè)域的安全性。

為了進(jìn)一步減少對(duì)分支機(jī)構(gòu)和總部之間網(wǎng)絡(luò)的占用，你還能在RODC上安裝DNS服務(wù)。安裝在RODC上的DNS也是只讀的，它能夠復(fù)制其他DNS使用的所有程序目錄分區(qū)，包括ForestDNSZones以及DomainDNSZones。這樣，就使得用戶能夠像查詢其它DNS服務(wù)器一樣進(jìn)行名稱解析和服務(wù)位置查詢。

總之，RODC的實(shí)現(xiàn)，為需要在分支機(jī)構(gòu)部署域服務(wù)的管理員們，提供了即完整又安全的解決方案。

網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）

要問(wèn)到Windows Server 2008最吸引眼球的功能，網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）絕對(duì)當(dāng)之無(wú)愧！

現(xiàn)如今，令管理員非常頭痛的事是：如何在一個(gè)充斥著家庭計(jì)算機(jī)、出差用戶、來(lái)訪客戶等不在他們控制范圍的各種移動(dòng)客戶端的網(wǎng)絡(luò)中確保安全性？這些計(jì)算機(jī)很可能存在沒(méi)有及時(shí)安裝關(guān)鍵補(bǔ)丁、沒(méi)有啟用防火墻、沒(méi)有及時(shí)升級(jí)病毒庫(kù)等非常嚴(yán)重的安全隱患，當(dāng)他們接入公司內(nèi)網(wǎng)的時(shí)候，勢(shì)必給企業(yè)內(nèi)網(wǎng)的安全帶來(lái)非常大的考驗(yàn)。好在NAP及時(shí)出現(xiàn)在我們的視線中。

要想描述清楚NAP系統(tǒng)是不容易的，簡(jiǎn)單來(lái)說(shuō)NAP是一組服務(wù)器的集合，其核心服務(wù)器稱為網(wǎng)絡(luò)策略服務(wù)器（NPS），配合NPS工作的有健康注冊(cè)管理機(jī)構(gòu)（HRA）、安全修正服務(wù)器以及運(yùn)行在客戶端的安全狀況收集程序——系統(tǒng)健康代理（SHA）等。一個(gè)典型的NAP系統(tǒng)通常有以下幾個(gè)部分：

NAP客戶端

若要訪問(wèn)網(wǎng)絡(luò)，首先由NAP代理從運(yùn)行在NAP客戶端計(jì)算機(jī)本地的系統(tǒng)健康代理（SHA）收集有關(guān)該客戶端健康狀況的信息。NAP代理是一種在本地計(jì)算機(jī)上運(yùn)行的服務(wù)，能夠收集來(lái)自 SHA 的信息。安裝在客戶端計(jì)算機(jī)上的每SHA都提供當(dāng)前設(shè)置或設(shè)計(jì)用于監(jiān)視的活動(dòng)的相關(guān)信息。NAP代理服務(wù)將匯總該計(jì)算機(jī)的健康狀態(tài)信息并將此信息傳遞給一個(gè)或多個(gè)NAP強(qiáng)制客戶端。強(qiáng)制客戶端是與 NAP 強(qiáng)制點(diǎn)交互以便在網(wǎng)絡(luò)上進(jìn)行訪問(wèn)或通信的軟件。

強(qiáng)制技術(shù)

可用于作為判斷依據(jù)決定如何匹配NAP策略的五種網(wǎng)絡(luò)訪問(wèn)技術(shù)。這五種網(wǎng)絡(luò)訪問(wèn)技術(shù)是：

Internet 協(xié)議安全性（IPSec）。

802.1X

VPN

DHCP

遠(yuǎn)程桌面網(wǎng)關(guān)（RD 網(wǎng)關(guān)）

每個(gè)NAP策略都可以指定到某一種網(wǎng)絡(luò)訪問(wèn)技術(shù)，當(dāng)客戶端接入網(wǎng)絡(luò)后，就會(huì)被判斷出其使用了那種網(wǎng)絡(luò)訪問(wèn)技術(shù)，從而對(duì)應(yīng)到相應(yīng)的NAP策略。

NAP 強(qiáng)制點(diǎn)

NAP強(qiáng)制點(diǎn)是一個(gè)服務(wù)器或硬件設(shè)備，它向NAP客戶端計(jì)算機(jī)提供某個(gè)級(jí)別的網(wǎng)絡(luò)訪問(wèn)權(quán)限。每個(gè)NAP強(qiáng)制技術(shù)的執(zhí)行都對(duì)應(yīng)使用不同類型的NAP強(qiáng)制點(diǎn)。在使用 802.1X 強(qiáng)制的 NAP 中，NAP 強(qiáng)制點(diǎn)是兼容 IEEE 802.1X 的交換機(jī)或無(wú)線訪問(wèn)點(diǎn)。IPSec、DHCP 和 RD 網(wǎng)關(guān)強(qiáng)制方法的 NAP 強(qiáng)制服務(wù)器也必須運(yùn)行配置為 RADIUS 代理或 NAP 健康策略服務(wù)器的 NPS。使用 VPN 強(qiáng)制的 NAP 不要求在 VPN 服務(wù)器上安裝 NPS?？梢栽谀硞€(gè)網(wǎng)絡(luò)上使用一種、幾種或者所有執(zhí)行方法。

健康注冊(cè)管理機(jī)構(gòu)（HRA）

健康注冊(cè)機(jī)構(gòu)（HRA）負(fù)責(zé)驗(yàn)證客戶端憑據(jù)，然后將證書申請(qǐng)轉(zhuǎn)發(fā)到代表客戶端的證書機(jī)構(gòu)（CA）。通過(guò)檢查網(wǎng)絡(luò)策略服務(wù)器（NPS），HRA 可驗(yàn)證證書申請(qǐng)以確定 NAP 客戶端是否與網(wǎng)絡(luò)健康要求兼容。如果發(fā)現(xiàn)客戶端兼容，HRA 將從 CA 申請(qǐng)?zhí)厥忸愋偷淖C書（稱為健康證書）。由 NAP 客戶端計(jì)算機(jī)使用的健康證書用于受 IPSec 保護(hù)的網(wǎng)絡(luò)上的通信。在此功能中，HRA 將作為 NAP 強(qiáng)制服務(wù)器，使用 NAP Internet 協(xié)議安全（IPSec）強(qiáng)制方法。

NAP 健康策略服務(wù)器

NAP健康策略服務(wù)器是一臺(tái)運(yùn)行 Windows Server 2008 或 Windows Server 2008 R2 的計(jì)算機(jī)，并且已安裝和配置了NPS角色服務(wù)，用于評(píng)估NAP客戶端計(jì)算機(jī)的健康狀況。所有的NAP強(qiáng)制技術(shù)至少需要一個(gè)健康策略服務(wù)器。NAP健康策略服務(wù)器使用策略和設(shè)置對(duì) NAP客戶端計(jì)算機(jī)提交的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求進(jìn)行評(píng)估。

NAP修正服務(wù)器

NAP 修正服務(wù)器能夠向被判斷為不安全的客戶端計(jì)算機(jī)提供安全更新服務(wù)。當(dāng)然，標(biāo)識(shí)為安全的的客戶端計(jì)算機(jī)也可以訪問(wèn)修正服務(wù)器。NAP修正服務(wù)器的示例包括：

防病毒簽名服務(wù)器。如果健康策略要求計(jì)算機(jī)必須有最新的防病毒簽名，則標(biāo)識(shí)為不安全的計(jì)算機(jī)必須具有對(duì)提供這些更新的服務(wù)器的訪問(wèn)權(quán)限。

Windows Server Update Services。如果健康策略要求計(jì)算機(jī)必須有最新的安全更新或其他軟件更新，可以通過(guò)將 WSUS 放置在更新網(wǎng)絡(luò)上來(lái)提供這些更新。

System Center 組件服務(wù)器。System Center Configuration Manager 管理點(diǎn)、軟件更新點(diǎn)和分發(fā)點(diǎn)用于承載使計(jì)算機(jī)兼容所需的軟件更新。使用配置管理器部署 NAP 時(shí)，支持 NAP 的計(jì)算機(jī)要求訪問(wèn)運(yùn)行這些站點(diǎn)系統(tǒng)角色的計(jì)算機(jī)才能下載其客戶端策略、掃描軟件更新安全性以及下載所需的軟件更新。

域控制器。不安全的計(jì)算機(jī)可能會(huì)要求訪問(wèn)位于不安全網(wǎng)絡(luò)上的域服務(wù)以進(jìn)行身份驗(yàn)證，以便從組策略下載策略或維護(hù)域配置文件設(shè)置。

DNS 服務(wù)器。不安全的計(jì)算機(jī)必須具有對(duì)DNS的訪問(wèn)權(quán)限才能解析主機(jī)名。

DHCP 服務(wù)器。當(dāng)不安全網(wǎng)絡(luò)上的客戶端 IP 配置文件更改或 DHCP 租用過(guò)期時(shí)，不安全的計(jì)算機(jī)必須具有訪問(wèn) DHCP 服務(wù)器的權(quán)限。

服務(wù)器問(wèn)題疑難解答。配置更新服務(wù)器組時(shí)，可以選擇提供包含有關(guān)如何使計(jì)算機(jī)符合健康策略的說(shuō)明的疑難解答 URL?？梢詾槊總€(gè)網(wǎng)絡(luò)策略提供不同的 URL。這些 URL 必須能夠在更新網(wǎng)絡(luò)上訪問(wèn)。

其他服務(wù)?？梢栽诟戮W(wǎng)絡(luò)上提供對(duì) Internet 的訪問(wèn)權(quán)限，使不安全的計(jì)算機(jī)能夠訪問(wèn)更新服務(wù)，如Internet上的Windows Update和其他Internet資源。

系統(tǒng)健康驗(yàn)證程序（SHV）

系統(tǒng)健康驗(yàn)證程序（SHV）用于在NPS服務(wù)器上定義健康要求，并和收到的客戶端系統(tǒng)健康代理（SHA）做對(duì)比，以檢測(cè)客戶端是否滿足健康要求。在NAP上有很多種SHV和SHA類型。Windows Server 2008自帶的SHV（WSHV）可以進(jìn)行以下方面的健康要求篩選：

防火墻：如果啟用此要求，客戶端計(jì)算機(jī)必須有已向 Windows 安全中心注冊(cè)并為所有網(wǎng)絡(luò)連接啟用的防火墻。

病毒防護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須滿足下列要求：已安裝防病毒應(yīng)用程序，已向 Windows 安全中心注冊(cè)并已啟用。還必須對(duì)客戶端計(jì)算機(jī)進(jìn)行檢查，以確保防病毒簽名文件隨時(shí)更新。

間諜軟件防護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須滿足下列要求：已安裝反間諜軟件應(yīng)用程序，已向 Windows 安全中心注冊(cè)并已啟用。還必須對(duì)客戶端計(jì)算機(jī)進(jìn)行檢查，以確保反間諜軟件簽名文件隨時(shí)更新。間諜軟件防護(hù)僅適用于運(yùn)行 Windows Vista 或 Windows 7 NAP 的客戶端。

自動(dòng)更新：如果啟用此要求，必須配置客戶端計(jì)算機(jī)才能檢查來(lái)自 Windows Update 的更新?？梢赃x擇是否下載并安裝這些更新。

安全更新保護(hù)：如果啟用此要求，客戶端計(jì)算機(jī)必須基于與 Microsoft 安全響應(yīng)中心（MSRC）中的安全嚴(yán)重性分級(jí)匹配的四個(gè)可能的值中的一個(gè)值來(lái)安裝安全更新。客戶端還必須按指定的時(shí)間間隔檢查這些更新?？梢允褂?Windows Server Update Services（WSUS)、Windows Update 或同時(shí)使用兩者來(lái)獲取安全更新。

NAP 健康要求服務(wù)器

健康要求服務(wù)器是能夠向一個(gè)或多個(gè)系統(tǒng)健康驗(yàn)證程序（SHV）提供健康策略要求和健康評(píng)估信息的計(jì)算機(jī)。如果 NAP 客戶端計(jì)算機(jī)報(bào)告的健康狀態(tài)能夠在不咨詢其他設(shè)備的情況下通過(guò) NPS 的驗(yàn)證，則不需要健康要求服務(wù)器。例如，WSUS 在用于 Windows 安全健康驗(yàn)證程序（WSHV）時(shí)被認(rèn)為不是健康要求服務(wù)器。即使管理員能夠使用 WSUS 指定客戶端計(jì)算機(jī)必須有哪些更新，該客戶端計(jì)算機(jī)仍會(huì)報(bào)告自己是否已安裝了這些更新。在這種情況下，WSUS 將作為更新服務(wù)器，而不是健康要求服務(wù)器。

使用配置管理器SHV部署NAP時(shí)也要使用健康要求服務(wù)器。配置管理器SHV將聯(lián)系全局編錄服務(wù)器，通過(guò)檢查向 Active Directory 域服務(wù)發(fā)布的健康狀態(tài)參考來(lái)驗(yàn)證客戶端的健康狀態(tài)。因此，部署配置管理器SHV后，域控制器將用作健康要求服務(wù)器。其他SHV也可以使用健康要求服務(wù)器。

客戶端上的系統(tǒng)健康代理（SHA）創(chuàng)建一些健康聲明（SoH），并將這些聲明發(fā)送給NPS服務(wù)器上相應(yīng)的系統(tǒng)健康驗(yàn)證程序（SHV）；SHV則與策略服務(wù)器（NPS）進(jìn)行通信，確定SoH里面提供的安全狀況是否符合安全策略的要求。如果符合，則允許該計(jì)算機(jī)全面訪問(wèn)公司網(wǎng)絡(luò)資源。如果不符合，該計(jì)算機(jī)被連接到受限網(wǎng)絡(luò)，通過(guò)修正服務(wù)器運(yùn)行狀況更新，直到滿足NPS服務(wù)器上的安全策略要求，才能重新進(jìn)入公司網(wǎng)絡(luò)。

BitLocker驅(qū)動(dòng)器加密

我們第一次知道BitLocker驅(qū)動(dòng)器加密這個(gè)東西，是在Windows Vista上。通過(guò)對(duì)硬盤數(shù)據(jù)的全卷加密，BitLocker能夠保障個(gè)人計(jì)算機(jī)、企業(yè)計(jì)算機(jī)上存儲(chǔ)數(shù)據(jù)的安全。相比購(gòu)買硬件的花費(fèi)，更令企業(yè)擔(dān)心的是丟失或被盜計(jì)算機(jī)上存儲(chǔ)的數(shù)據(jù)，只需要把硬盤裝載在另一臺(tái)計(jì)算機(jī)中，就能夠很輕松的讀取硬盤中的數(shù)據(jù)，甚至是受EFS保護(hù)的數(shù)據(jù)，也無(wú)法保證萬(wàn)無(wú)一失。誰(shuí)也不希望看到自己的文件被公開叫賣。

BitLocker可以通過(guò)TPM芯片（集成在主板上的安全信息存儲(chǔ)芯片，用于提供該主板的唯一標(biāo)識(shí)）、USB密鑰盤（含有密鑰資料的 USB 閃存驅(qū)動(dòng)器）和PIN碼這三種識(shí)別信息的其中一個(gè)或多個(gè)的組合（多因素身份驗(yàn)證）來(lái)驗(yàn)證磁盤的工作環(huán)境是否是經(jīng)過(guò)授權(quán)的。BitLocker提供的保護(hù)，包括以下兩種：

加密整個(gè) Windows 操作系統(tǒng)卷，包括用戶數(shù)據(jù)和系統(tǒng)文件、休眠文件、頁(yè)面文件以及臨時(shí)文件。通過(guò) BitLocker 可以選擇鎖定正常的引導(dǎo)過(guò)程，直至用戶提供 PIN碼或插入U(xiǎn)SB密鑰盤為止。這項(xiàng)安全措施也支持多因素身份驗(yàn)證，并確保在提供正確的 PIN 碼或 USB密鑰盤之前計(jì)算機(jī)不會(huì)從關(guān)機(jī)或休眠狀態(tài)中被啟動(dòng)或恢復(fù)。

對(duì)于存儲(chǔ)在加密卷上的非Microsoft應(yīng)用程序和用戶數(shù)據(jù)，通過(guò)進(jìn)行全卷加密提供相同級(jí)別的防護(hù)。BitLocker的加密是卷級(jí)別的，因此，即使磁盤被掛接在別的計(jì)算機(jī)上，通過(guò)別的操作系統(tǒng)進(jìn)行訪問(wèn)也無(wú)法獲取磁盤內(nèi)被加密的資料。我認(rèn)為，此項(xiàng)安全措施對(duì)于因資產(chǎn)管理的原因報(bào)廢或回收的存儲(chǔ)設(shè)備具有非常實(shí)際的保護(hù)意義，被BitLocker加密的磁盤，不需要進(jìn)行數(shù)據(jù)擦除就可以做回收處理，不用擔(dān)心數(shù)據(jù)會(huì)被惡意讀取。

BitLocker 的易用性并沒(méi)有因?yàn)樗鼒?jiān)固的安全性受到影響，微軟提供了一個(gè)用于設(shè)置和管理的向?qū)В▓D6），并通過(guò)Windows 管理規(guī)范（WMI）界面提供了用腳本實(shí)現(xiàn)的可擴(kuò)展性和可管理性。另外，由于BitLocker明顯加速了對(duì)磁盤的安全清理過(guò)程，實(shí)際上簡(jiǎn)化了計(jì)算機(jī)的重復(fù)利用。

由 BitLocker 所保護(hù)的計(jì)算機(jī)的日常使用對(duì)用戶來(lái)說(shuō)是完全透明的。而且，即使發(fā)生很少可能出現(xiàn)的系統(tǒng)鎖定（也許是由硬件故障或直接攻擊而引起的），BitLocker也會(huì)提供一個(gè)簡(jiǎn)單而有效的恢復(fù)過(guò)程。此類情況包括許多事件，例如將含有加密的操作系統(tǒng)卷的硬盤驅(qū)動(dòng)器移動(dòng)到另一臺(tái)計(jì)算機(jī)或更換系統(tǒng)主板。此時(shí)，恢復(fù)向?qū)?huì)自動(dòng)啟動(dòng)，并向你索要恢復(fù)密鑰，恢復(fù)密鑰是一組字母和數(shù)字的組合，在啟用BitLocker時(shí)，由向?qū)С绦蜃詣?dòng)生成，因此，需要妥善保管這組密鑰。

總之，使用 Windows Server 2008 BitLocker 驅(qū)動(dòng)器加密功能顯著增強(qiáng)了公司的數(shù)據(jù)保護(hù)策略，通過(guò)保護(hù)休眠數(shù)據(jù)幫助組織達(dá)到日益嚴(yán)格的保密要求，并且在對(duì)設(shè)備進(jìn)行淘汰處理時(shí)提升了安全性并節(jié)省了成本。

擁有強(qiáng)大的安全保障，還不足以成就Windows Server 2008的絕對(duì)優(yōu)勢(shì)，管理員們都希望自己面對(duì)的是一部聰明的機(jī)器，她界面簡(jiǎn)潔，易學(xué)易用。畢竟，被要求從本來(lái)就很有限的時(shí)間里騰出大量的時(shí)間來(lái)學(xué)習(xí)和部署新的功能和服務(wù)，是不會(huì)令人愉快的。

Windows系統(tǒng)的易用性一直是有目共睹的，除了經(jīng)過(guò)優(yōu)化的新風(fēng)格系統(tǒng)界面和高集成度的管理工具，以及舉世矚目的Hyper-V，Windows Server 2008還提供了相當(dāng)多的新功能和新工具，這些新的特性可以帶給管理員前所未有的輕松體驗(yàn)。

PMC(Print Management Console，打印管理控制臺(tái))。

這個(gè)功能最先是在 Windows Server 2003 R2中發(fā)布的。但是與在Windows Server 2003 R2版本中不同的是，Windows Server 2008中，PMC成為了一個(gè)原生的功能，且每個(gè)用戶都可以使用。PMC被添加為微軟管理控制臺(tái)(MMC)的一部分，可以允許每個(gè)管理員從一個(gè)單一的控制臺(tái)監(jiān)測(cè)到整個(gè)企業(yè)內(nèi)的每一臺(tái)打印機(jī)。此外，管理員還可以利用組策略來(lái)將打印機(jī)映射到特定的用戶群組，從而使得該組無(wú)需實(shí)際安裝打印機(jī)即可使用。

WinRS(Windows Remote Shell，Windows遠(yuǎn)程Shell)。

還記得Telnet嗎？為了在 Windows Server 2003中連接到遠(yuǎn)程計(jì)算機(jī)上的命令行界面，管理員必須使用Terminal服務(wù)。而所謂的Terminal服務(wù)很好，但是可擴(kuò)展性并不是很好，需要連接到每一臺(tái)遠(yuǎn)程計(jì)算機(jī)上的控制臺(tái)。WinRS則可以創(chuàng)建到任何遠(yuǎn)程計(jì)算機(jī)的安全連接，并且只需要從單個(gè)控制臺(tái)進(jìn)行這一切操作。這將給管理員帶來(lái)顯著的時(shí)間成本的降低。

事件推進(jìn)。

這個(gè)特性對(duì)在客戶端運(yùn)行Windows Vista/Windows 7的企業(yè)用戶有意義。事件推進(jìn)功能將一些被選中的計(jì)算機(jī)的日志聚合起來(lái)并且推進(jìn)到中央控制臺(tái)，從而使得管理員的管理更加高效。比如說(shuō)，管理員收到了客戶端用戶的求救，用戶說(shuō)他看見(jiàn)了一個(gè)代號(hào)為“事件51”的報(bào)錯(cuò)信息顯示在其屏幕上，這就表明這個(gè)用戶遇到了登錄問(wèn)題。

與此前在局域網(wǎng)中應(yīng)用嗅探技術(shù)以便偵測(cè)安全等問(wèn)題不同，管理員只需要簡(jiǎn)單地在服務(wù)端的控制臺(tái)中“訂閱”客戶端計(jì)算機(jī)的事件信息即可，這樣那些客戶端機(jī)器就會(huì)自動(dòng)發(fā)送管理員所需求的信息到控制臺(tái)中。

新的粒度密碼策略。

在活動(dòng)目錄中，域是一個(gè)安全分界線。作為Windows Server的先期版本，Windows Server 2003的安全分界線被限定為每個(gè)域擁有一個(gè)密碼策略。這是一個(gè)比較受限的措施，因此在Windows Server 2008中已經(jīng)被取消?，F(xiàn)在管理員無(wú)需通過(guò)創(chuàng)建新域來(lái)獲得一個(gè)新的密碼策略，只需要為特定的群組或者用戶設(shè)定密碼策略即可。如果CEO或者CIO們需要更為嚴(yán)格的密碼策略，就為他們分配獨(dú)立的用戶組，并在其上新建一個(gè)更嚴(yán)格的密碼策略，這在Windows Server 2008中很容易達(dá)成。

群組策略的改進(jìn)。

在Windows Server 2008中，群組策略有兩處改進(jìn)，這都是管理員們關(guān)注的問(wèn)題。第一個(gè)改進(jìn)是用于群組策略設(shè)置的可搜索的數(shù)據(jù)庫(kù)。很多管理員都曾使用過(guò)Excel表來(lái)追蹤其群組策略的設(shè)置。設(shè)若有數(shù)千條類似的設(shè)置，那么顯然通過(guò)Excel表的方式將會(huì)帶來(lái)很大的麻煩?，F(xiàn)在，通過(guò)群組策略管理控制臺(tái)，管理員能夠搜索策略，無(wú)需Excel 幫忙，從而顯著提升效率。

第二個(gè)對(duì)群組策略的升級(jí)是在群組策略設(shè)置中添加注解的能力。在設(shè)置中添加注解將不僅幫助當(dāng)前的管理員，也能幫助未來(lái)的管理員進(jìn)行有關(guān)群組策略的故障檢測(cè)。比如說(shuō)，在管理員配置群組策略時(shí)，管理員能夠添加注解，為什么需要配置如此特別的策略。今后，如果需要進(jìn)行故障檢測(cè)或者重新配置該策略時(shí)，那么該管理員或者其繼任者能夠明白配置該策略的來(lái)龍去脈。此外，當(dāng)管理員進(jìn)行群組策略建模時(shí)，為策略模型添加注解，指出不同的策略的不同含義，那些注解將來(lái)能夠在報(bào)表中顯示出來(lái)，簡(jiǎn)化群組策略的管理。

潛在的網(wǎng)絡(luò)速度提升。

網(wǎng)絡(luò)承載著傳遞更多數(shù)據(jù)的重任。自1995年以來(lái)，能夠在一個(gè)包中被發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)包大小都維持在64KB，其數(shù)據(jù)傳輸流量大概在 5MB大小。這就好像一個(gè)大卡車?yán)锩嬷谎b了一個(gè)很小的箱子在到處行駛，盡管車很大，但是根本沒(méi)有提高運(yùn)輸能力。今天的網(wǎng)絡(luò)也是如此，如果網(wǎng)絡(luò)的傳輸能力很強(qiáng)，但是數(shù)據(jù)包的大小依然很小，那么也沒(méi)有太大的意義。在Windows Server 2008中幾乎重寫的網(wǎng)絡(luò)堆棧包活了一些全新的技術(shù)，比如說(shuō)允許更大的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)等。同時(shí)，它也可以即時(shí)改變網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包的大小，使得其在傳輸時(shí)更具效率。數(shù)據(jù)包大小的上限被修改為512KB，這一改動(dòng)能夠轉(zhuǎn)化為大概40MB的吞吐量。換句話說(shuō)，如果網(wǎng)絡(luò)被正確地配置和調(diào)優(yōu)之后，最快能夠以相當(dāng)于此前8倍的速度運(yùn)行。這的確是一項(xiàng)令人激動(dòng)的改進(jìn)！

當(dāng)然，如果你仍然癡迷于基于命令行界面的管理方式，Windows Server 2008還提供了全命令行界面的Server Core版本供你選擇，你可以用非常低的配置來(lái)搭建Server Core版的Windows Server 2008，而其功能和互操作性與圖形界面版本的Window Server 2008沒(méi)有區(qū)別。

 【編輯推薦】

1. Windows Server 2008組策略安全實(shí)踐手冊(cè)
2. Windows Server 2008 R2中如何托管服務(wù)賬號(hào)
3. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
4. Windows Server 2008 R2安全性能體驗(yàn)
5. Windows Server 2008 R2中托管服務(wù)帳號(hào)的方法