我們可以通過以下幾個(gè)方面來驗(yàn)證Windows Server 2008如何為企業(yè)保障信息安全。

一、 權(quán)限管理服務(wù)

熟悉Windows Server 2003的朋友，相信對(duì)RMS（權(quán)限管理服務(wù)）都不會(huì)陌生，它能夠有效的保護(hù)我們的數(shù)字資產(chǎn)在相應(yīng)授權(quán)范圍之外不會(huì)泄露。在Windows Server 2008中，這一重要特性得以改進(jìn)和提升，微軟把它稱之為AD RMS（Active Directory Rights Management Services），即活動(dòng)目錄權(quán)限管理服務(wù)。相對(duì)于2003下的RMS有了較大的改進(jìn)與提升，例如：不需要單獨(dú)下載即可安裝等等。

AD RMS 系統(tǒng)包括基于 Windows Server 2008 的服務(wù)器（運(yùn)行用于處理證書和授權(quán)的 Active Directory 權(quán)限管理服務(wù) (AD RMS) 服務(wù)器角色）、數(shù)據(jù)庫服務(wù)器以及 AD RMS 客戶端。AD RMS 系統(tǒng)的部署為組織提供以下優(yōu)勢(shì)：

1) 保護(hù)敏感信息。如字處理器、電子郵件客戶端和行業(yè)應(yīng)用程序等應(yīng)用程序可以啟用 AD RMS，從而幫助保護(hù)敏感信息。用戶可以定義打開、修改、打印、轉(zhuǎn)發(fā)該信息或?qū)υ撔畔?zhí)行其他操作的人員。組織可以創(chuàng)建子自定義的使用策略模板（如"機(jī)密 - 只讀"），這些模板可直接應(yīng)用于上述信息。

2) ***性保護(hù)。AD RMS 可以增強(qiáng)現(xiàn)有的基于外圍的安全解決方案（如防火墻和訪問控制列表 (ACL)），通過在文檔本身內(nèi)部鎖定使用權(quán)限、控制如何使用信息（即使在目標(biāo)收件人打開信息后）來更好地保護(hù)信息。

3) 靈活且可自定義的技術(shù)。獨(dú)立軟件供應(yīng)商 (ISV) 和開發(fā)人員可以使用啟用了 AD RMS 的任何應(yīng)用程序或啟用其他服務(wù)器（如在 Windows 或其他操作系統(tǒng)上運(yùn)行的內(nèi)容管理系統(tǒng)或門戶服務(wù)器），與 AD RMS 結(jié)合使用來幫助保護(hù)敏感信息。啟用 ISV 的目的是為了將信息保護(hù)集成到基于服務(wù)器的解決方案（如文檔和記錄管理、電子郵件網(wǎng)關(guān)和存檔系統(tǒng)、自動(dòng)工作流以及內(nèi)容檢查）中

AD RMS 中的功能：

在Windows Server 2008中，通過使用 服務(wù)器管理器，可以設(shè)置 AD RMS 的以下組件：

－ Active Directory Rights Management Services。Active Directory 權(quán)限管理服務(wù) (AD RMS) 角色服務(wù)是一項(xiàng)必需的角色服務(wù)，用于安裝發(fā)布和使用受權(quán)限保護(hù)的內(nèi)容所用的 AD RMS 組件。

－ 聯(lián)合身份驗(yàn)證支持。聯(lián)合身份驗(yàn)證支持角色服務(wù)是一項(xiàng)可選的角色服務(wù)，允許聯(lián)合身份借助 Active Directory 聯(lián)合身份驗(yàn)證服務(wù)來使用受權(quán)限保護(hù)的內(nèi)容。

簡(jiǎn)要部署AD RMS

(一)硬件和軟件注意事項(xiàng)

安裝 AD RMS 服務(wù)器角色時(shí)，系統(tǒng)會(huì)同時(shí)安裝必需的服務(wù)，其中的一項(xiàng)就是 Internet 信息服務(wù) (IIS)。AD RMS 還需要一個(gè)數(shù)據(jù)庫（如 Microsoft SQL Server），該數(shù)據(jù)庫可與 AD RMS 在同一服務(wù)器上運(yùn)行，也可以在遠(yuǎn)程服務(wù)器和 Active Directory 域服務(wù)林中運(yùn)行。

下表介紹了運(yùn)行具有 AD RMS 服務(wù)器角色的基于 Windows Server 2008 服務(wù)器的***硬件要求和建議。

下表介紹了運(yùn)行具有 AD RMS 服務(wù)器角色的基于 Windows Server 2008 服務(wù)器的軟件要求。對(duì)于通過啟用操作系統(tǒng)上的功能可以滿足的要求，可通過安裝 AD RMS 服務(wù)器角色根據(jù)需要配置這些功能。

(二)正式部署AD RMS

接下來，開始正式配置安裝AD RMS服務(wù)器。

1. 安裝一臺(tái)Windows Server 2008，計(jì)算機(jī)名稱為"WS2008-ADRMS"。

2. 配置TCP/IP屬性登錄系統(tǒng)后，單擊"開始"，單擊"控制面板"，雙擊"網(wǎng)絡(luò)和共享中心"，單擊"查看狀態(tài)"。單擊"屬性"。在"本地連接 屬性"窗口中雙擊"Internet協(xié)議版本4（TCP/IPv4）"。輸入相關(guān)信息。

3. 將WS2008-ADRMS加入到域。單擊"開始"，右鍵點(diǎn)擊"我的電腦"，單擊"屬性"。單擊"改變?cè)O(shè)置"。在"系統(tǒng)屬性"窗口中單擊"更改"。輸入要加入的域名，單擊"確定"。輸入一個(gè)有權(quán)限加入域的用戶和密碼。***進(jìn)行確認(rèn)并重啟計(jì)算機(jī)即可。

4. 將用戶"ADRMS-admin"添加到本地Administrators（管理員）組中。

5. 添加 AD RMS Server 角色使用" ADRMS-admin "登錄到"ADRMS"服務(wù)器上。單擊"開始"，點(diǎn)擊"管理工具"，單擊"服務(wù)器管理器"。在"用戶帳戶控制"窗口單擊"繼續(xù)"。單擊"添加角色"；在"添加角色向?qū)?中單擊"下一步"；

6．勾選"Active Directory Rights Management Services"后單擊"添加必需的角色服務(wù)"。系統(tǒng)自動(dòng)勾選相關(guān)的服務(wù)，單擊"下一步"，出現(xiàn)"Active Directory Rights Management Services簡(jiǎn)介"，單擊"下一步"。選擇安裝的角色服務(wù)，默認(rèn)為"Active Directory僅限管理服務(wù)器"，單擊"下一步"。選擇"新建AD RMS群集"，單擊"下一步"。

7. 在"配置數(shù)據(jù)庫"頁面，選擇"使用其他數(shù)據(jù)庫服務(wù)器"，單擊"選擇"，輸入數(shù)據(jù)庫服務(wù)器名稱后單擊"確定"。在"數(shù)據(jù)庫實(shí)例"中選擇"默認(rèn)"，并單擊"驗(yàn)證"。***單擊"下一步"。在"服務(wù)帳戶"頁面中，單擊"指定"。在"添加角色向?qū)?窗口輸入前面創(chuàng)建的用戶和密碼。單擊"確定"。

8.在"群集鍵存儲(chǔ)"頁面，保持默認(rèn)選擇"使用AD RMS集中管理的密鑰存儲(chǔ)"，單擊"下一步"。在"群集密鑰密碼"頁面輸入一個(gè)密碼。在"群集網(wǎng)站"頁面，選擇"默認(rèn)網(wǎng)站"，單擊"下一步"。在"群集地址"頁面，選中"使用未加密的連接（https://）"， "端口"采用默認(rèn)的"80"，單擊"驗(yàn)證"。***單擊"下一步"。

9.在"許可證證書名稱"頁面輸入一個(gè)名稱。在"SCP注冊(cè)"頁面，保持默認(rèn)的"立即注冊(cè)AD RMS服務(wù)連接點(diǎn)"。出現(xiàn)"Web服務(wù)器簡(jiǎn)介（IIS）"頁面，單擊"下一步"。系統(tǒng)列出相關(guān)的web服務(wù)器的角色服務(wù)。單擊"下一步"。在"確認(rèn)"頁面對(duì)相關(guān)信息進(jìn)行總覽，沒問題的話就單擊"安裝"。系統(tǒng)會(huì)顯示正在進(jìn)行安裝的過程。成功后會(huì)顯示一個(gè)信息頁面，其中要求必須注銷后再重新登錄才可以管理AD RMS。單擊"關(guān)閉"并注銷系統(tǒng)。

重新登錄后，單擊"開始"，單擊"管理工具"，單擊"Active Directory Rights Management Services"。在"用戶帳戶控制"窗口單擊"繼續(xù)"。打開AD RMS管理器。在此可對(duì)AD RMS進(jìn)行相關(guān)的管理操作。

管理 AD RMS

在Windows Server 2008中，由于有了服務(wù)器管理器的存在，眾多任務(wù)的管理已經(jīng)變得相當(dāng)簡(jiǎn)單。服務(wù)器角色使用 Microsoft 管理控制臺(tái) (MMC) 管理單元來進(jìn)行管理。使用 Active Directory Rights Management Services 控制臺(tái)可以管理 AD RMS。具體打開方式為：?jiǎn)螕?開始"，指向"管理工具"，然后單擊"Active Directory Rights Management Services"即可。

二、 防火墻

與以前Windows版本中的防火墻相比，Windows Server 2008中的高級(jí)安全防火墻(WFAS)有了較大的改進(jìn)，首先它支持雙向保護(hù)，可以對(duì)出站、入站通信進(jìn)行過濾。

其次它將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)(完整性和加密)以及身份驗(yàn)證設(shè)置。而且WFAS還可以實(shí)現(xiàn)更高級(jí)的規(guī)則配置，你可以針對(duì)Windows Server上的各種對(duì)象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級(jí)安全性的Windows防火墻。

傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，具有高級(jí)安全性的Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級(jí)安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級(jí)安全性的Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。

對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠(yuǎn)程IP地址、配置文件、接口類型(如網(wǎng)絡(luò)適配器)、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加在一起;添加的標(biāo)準(zhǔn)越多，具有高級(jí)安全性的Windows防火墻匹配傳入流量就越精細(xì)。

下面我們一起來了解一下如何來配置Window Server 2008的防火墻。

利用MMC單元進(jìn)行管理

這種方式可以讓你在一個(gè)界面中同時(shí)配置防火墻設(shè)置和IPSec設(shè)置，還可以在監(jiān)視節(jié)點(diǎn)中查看當(dāng)前應(yīng)用的策略、規(guī)則和其它信息。

從啟動(dòng)菜單的管理工具中找到高級(jí)安全Windows防火墻，點(diǎn)擊打開MMC管理單元。Windows 2008的高級(jí)安全Windows防火墻使用出站和入站兩組規(guī)則來配置其如何響應(yīng)傳入和傳出的流量;通過連接安全規(guī)則來確定如何保護(hù)計(jì)算機(jī)和其它計(jì)算機(jī)之間的流量，而且可以監(jiān)視防火墻活動(dòng)和規(guī)則。

下面我們來通過實(shí)際例子查看一下如何配置這幾個(gè)規(guī)則。

首先從入站規(guī)則開始，假如我們?cè)赪indows Server 2008上安裝了一個(gè)Apache Web服務(wù)器，默認(rèn)情況下，從遠(yuǎn)端是無法訪問這個(gè)服務(wù)器的，因?yàn)樵谌胝疽?guī)則中沒有配置來確認(rèn)對(duì)這些流量“放行”，下面我們就為它增加一條規(guī)則。

打開高級(jí)安全Windows防火墻，點(diǎn)擊入站規(guī)則后從右邊的入站規(guī)則列表中我們可以看到Windows Server 2008自帶的一些安全規(guī)則，在這兒可以看到，我們可以基于具體的程序、端口、預(yù)定義或自定義來創(chuàng)建入站規(guī)則，其中每個(gè)類型的步驟會(huì)有細(xì)微的差別。第三步指定對(duì)符合條件的流量進(jìn)行什么操作，接下來選擇應(yīng)用規(guī)則的配置文件和為規(guī)則指定名稱后，規(guī)則就創(chuàng)建好了。

連接安全包括在兩臺(tái)計(jì)算機(jī)開始通信之前對(duì)它們進(jìn)行身份驗(yàn)證，并確保在兩臺(tái)計(jì)算機(jī)之間正在發(fā)送的信息的安全性。具有高級(jí)安全性的 Windows 防火墻包含了 Internet 協(xié)議安全 (IPSec) 技術(shù)，通過使用密鑰交換、身份驗(yàn)證、數(shù)據(jù)完整性和數(shù)據(jù)加密(可選)來實(shí)現(xiàn)連接安全。

對(duì)于單個(gè)服務(wù)器來說，可以使用高級(jí)安全Windows防火墻管理控制單元來對(duì)防火墻進(jìn)行設(shè)置，以上的方法還算適用。但是如果在你的企業(yè)網(wǎng)絡(luò)中有大量計(jì)算機(jī)需要設(shè)置，就應(yīng)該使用下面這種更高效的方法。

在一個(gè)使用活動(dòng)目錄(AD)的企業(yè)網(wǎng)絡(luò)中，為了實(shí)現(xiàn)對(duì)大量計(jì)算機(jī)的集中管理，你可以使用組策略來應(yīng)用高級(jí)安全Windows防火墻的配置。組策略提供了高級(jí)安全Windows防火墻的完全功能的訪問，包括配置文件、防火墻規(guī)則和計(jì)算機(jī)安全連接規(guī)則。

實(shí)際上，在組策略管理控制臺(tái)中為高級(jí)安全Windows防火墻配置組策略的時(shí)候是打開的同一個(gè)控制單元。值得注意的是，如果你使用組策略來在一個(gè)企業(yè)網(wǎng)絡(luò)中配置高級(jí)安全Windows防火墻的話，本地系統(tǒng)管理員是無法修改這個(gè)規(guī)則的屬性的。通過創(chuàng)建組策略對(duì)象，可以配置一個(gè)域中所有計(jì)算機(jī)使用相同的防火墻設(shè)置。

使用Netsh advfirewall命令行工具，雖然圖形化配置界面比較簡(jiǎn)單直觀，但是對(duì)于一些有經(jīng)驗(yàn)的系統(tǒng)管理員來說，則往往更喜歡使用命令行方式來完成它們的配置工作，因?yàn)楹笳咭坏┦炀氄莆盏脑?，可以更靈活更準(zhǔn)確更迅速的實(shí)現(xiàn)配置任務(wù)。

Netsh是可以用于配置網(wǎng)絡(luò)組件設(shè)置的命令行工具。具有高級(jí)安全性的Windows防火墻提供netsh advfirewall工具，可以使用它配置具有高級(jí)安全性的Windows防火墻設(shè)置。使用netsh advfirewall可以創(chuàng)建腳本，以便自動(dòng)同時(shí)為IPv4和IPv6流量配置一組具有高級(jí)安全性的Windows 防火墻設(shè)置。還可以使用netsh advfirewall命令顯示具有高級(jí)安全性的Windows防火墻的配置和狀態(tài)。

通過以上Windows Server 2008功能及管理工具，能夠方便為企業(yè)信息的安全與信息管理，為企業(yè)高速發(fā)展保駕護(hù)航。

 【編輯推薦】

1. Windows Server 2008網(wǎng)絡(luò)鏈接與遠(yuǎn)程測(cè)試
2. 漫談Windows Server 2008的網(wǎng)絡(luò)特性
3. Windows Server 2008 R2中托管服務(wù)帳號(hào)的方法
4. Windows Server 2008 R2安全性能體驗(yàn)
5. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石