微軟新一代服務(wù)器操作系統(tǒng)Windows Server 2008的發(fā)布開啟了一個新的Windows企業(yè)應(yīng)用時代，相信在接下來的幾年或許更長的時間內(nèi)，將會有不計(jì)其數(shù)的應(yīng)用會運(yùn)行于這個平臺之上。那么承載著如此重任的服務(wù)器操作系統(tǒng)，面對于更注重信息保護(hù)和信息安全的企業(yè)環(huán)境，它是否能夠充分應(yīng)對呢？

顯然微軟對這款產(chǎn)品的安全性以及相關(guān)功能充滿了信心，其實(shí)這不難理解，因?yàn)閃indows Server 2008的研發(fā)過程正好經(jīng)歷了微軟安全大潮的洗禮，在可信賴計(jì)算戰(zhàn)略的推進(jìn)下，微軟將安全方面提升到一個前所未有的重視程度，深層防護(hù)的安全模型、SDL(安全開發(fā)生命周期)的方法論，始終貫穿了Windows Server 2008整個產(chǎn)品的設(shè)計(jì)開發(fā)過程。

那么下面我們就從不同的角度來一同領(lǐng)略一下Windows Server 2008在面向企業(yè)應(yīng)用方面都提供了那些安全特性和功能，以及通過它們又能為企業(yè)帶來怎樣的安全體驗(yàn)。

操作系統(tǒng)安全性

無論如何，服務(wù)器操作系統(tǒng)本身的健壯和安全性是一切安全的基礎(chǔ)，相信沒人認(rèn)為可以在一個滿是漏洞的平臺上能夠構(gòu)建出一個安全的應(yīng)用系統(tǒng)。從這個層面上說，Windows Server 2008將會比上一代服務(wù)器平臺更加優(yōu)秀，因?yàn)樗褂昧撕蚖indows Vista相同的代碼基礎(chǔ)（code base），在核心層的結(jié)構(gòu)設(shè)計(jì)中DEP(數(shù)據(jù)執(zhí)行保護(hù))， ASLR（地址空間隨機(jī)分布）、UAC（用戶賬戶控制）、Windows服務(wù)加固等安全技術(shù)的引入，在很大程度上減少和降低了常規(guī)威脅與攻擊方法利用系統(tǒng)薄弱環(huán)節(jié)的可能性，從而使得它成為有史以來最為強(qiáng)健和安全的Windows核心結(jié)構(gòu)。

從實(shí)踐的情況來看，自Windows Vista發(fā)布以來所暴露出來的安全問題的數(shù)量，相信也可以讓我們更容易認(rèn)同這樣的觀點(diǎn)。當(dāng)然在發(fā)布時已經(jīng)采用SP1代碼基礎(chǔ)作為核心的Windows Server 2008，其操作系統(tǒng)的強(qiáng)壯和安全性應(yīng)該有了更進(jìn)一步的提高。

以前很多人對于Windows自帶的防火墻并不十分看好，認(rèn)為其功能方面過于簡單，不足以滿足復(fù)雜網(wǎng)絡(luò)狀況的需求，而Windows Server 2008中內(nèi)置的防火墻將會讓大家對此改變看法。僅僅從Windows Firewall with Advanced Security（具有高級安全的Windows防火墻）這個冗長的新名稱來看就能它在力圖說明自己和以前的版本有著顯著的不同。雖然用戶依然可以使用和以前相同的界面進(jìn)行防火墻管理，但是其核心已經(jīng)有了完全的變化，通過使用高級管理控制臺或者組策略，你可以更全面釋放出它所蘊(yùn)含的潛力。

這個新的防火墻是一個同時基于規(guī)則和狀態(tài)的網(wǎng)絡(luò)訪問安全機(jī)制，提供了對IPv6的全面支持并在其中整合了狀態(tài)過濾與IPSec。利用它不僅可以對本地主機(jī)的網(wǎng)絡(luò)訪問進(jìn)行安全保護(hù)，更為重要的是還可以通過組策略方便的構(gòu)建基于域的企業(yè)網(wǎng)絡(luò)隔離解決方案，實(shí)現(xiàn)安全的內(nèi)部網(wǎng)絡(luò)訪問體系。

在服務(wù)器中存放著的往往都是企業(yè)最為重要的數(shù)據(jù)，如何能最大程度的保護(hù)這些信息資產(chǎn)的安全始終都是重中之重。在Windows Server 2008中，除了可以繼續(xù)使用增強(qiáng)了的EFS（加密文件系統(tǒng)）對NTFS文件系統(tǒng)中的指定文件進(jìn)行高強(qiáng)度的保護(hù)之外，全新提供的BitLocker全卷加密功能使得企業(yè)能夠?qū)Υ鎯τ兄匾畔⒌拇疟P實(shí)現(xiàn)完整的加密保護(hù)，在即使遭遇到服務(wù)器失竊這樣嚴(yán)重的物理安全事件后也能夠從容的應(yīng)對。

更小的安全攻擊表面

完成最初安裝的Windows Server 2008是一個具有最小結(jié)構(gòu)的操作系統(tǒng)框架，用戶可以通過在這個結(jié)構(gòu)之上添加所需的服務(wù)器角色和功能來滿足應(yīng)用的需求。通過這種機(jī)制只有必須的組件才會被添加到系統(tǒng)之中，盡可能的避免了由于無關(guān)的組件、功能、服務(wù)和端口等的引入以及安全限制的放寬而為系統(tǒng)帶來的額外風(fēng)險(xiǎn)。這種結(jié)構(gòu)從安全角度來講，很大程度上是減少了服務(wù)器所暴露的“安全攻擊表面”，將發(fā)生安全攻擊的可能性縮減到很小的范圍，以提高整體的安全性。

尤其是在Windows Server 2008新引入的Server Core部署模式中更是將這種理念發(fā)揮到了極致，沒有圖形化的界面，只能添加用于基礎(chǔ)結(jié)構(gòu)服務(wù)的9個服務(wù)器角色，進(jìn)一步將基礎(chǔ)結(jié)構(gòu)服務(wù)器的安全與穩(wěn)定性提高到了前所未有的高度。

在Windows Server 2008中所包括的服務(wù)組件內(nèi)也都遵循了同樣的方式，其中作為Web應(yīng)用平臺的IIS7更是充分體現(xiàn)了這一特征。在IIS7中所具備的功能被拆解成為四十多個可以單獨(dú)添加的組件，這種細(xì)粒度而又靈活的配置方式使得在滿足功能要求的前提下，排除了在應(yīng)用不會使用的部件。

當(dāng)然在Windows Server 2008中依然提供了新版本的SCW（安全配置向?qū)В?，它可以通過向?qū)渲玫姆绞絹頊p少服務(wù)器安全攻擊表面，管理員可以使用這個簡單易用的工具進(jìn)一步的提高服務(wù)器的安全性。

安全基礎(chǔ)結(jié)構(gòu)服務(wù)

對于企業(yè)來說，服務(wù)器操作系統(tǒng)平臺還承擔(dān)著實(shí)現(xiàn)諸多安全基礎(chǔ)結(jié)構(gòu)的重任，這些組件通過各種類型的安全服務(wù)為企業(yè)中的應(yīng)用提供賴以運(yùn)行的安全基礎(chǔ)設(shè)施。相對之前的版本，Windows Server 2008就具備了非常豐富的服務(wù)器角色和功能來完成這方面的需求。

對很多具有跨地域分支機(jī)構(gòu)企業(yè)的IT部門來說，要讓用戶和應(yīng)用能夠快速的登錄與訪問活動目錄所提供的服務(wù)，同時又要確保位于不同位置缺乏足夠物理保護(hù)措施的域控制器的安全是一項(xiàng)很棘手的事情，因?yàn)橛蚩刂破魇腔顒幽夸涃Y源管理控制的中樞，任何一臺域控制器的失守都有可能帶來非常嚴(yán)重的后果，但隨著Windows Server 2008 RODC（只讀域控制器）特性的引入這一難題將迎刃而解。

因?yàn)樵赗ODC中只存有活動目錄數(shù)據(jù)的只讀副本和少量的憑據(jù)緩存，還可以單獨(dú)進(jìn)行服務(wù)器維護(hù)權(quán)限的委派，所以利用它可以為分支機(jī)構(gòu)提供快速的活動目錄訪問的同時，又可以避免由于分散部署的域控制器有可能會給活動目錄基礎(chǔ)結(jié)構(gòu)帶來的安全威脅。

異構(gòu)平臺上的應(yīng)用系統(tǒng)、跨組織的應(yīng)用系統(tǒng)、使用不同驗(yàn)證機(jī)制的應(yīng)用系統(tǒng)，如何實(shí)現(xiàn)統(tǒng)一安全身份驗(yàn)證和SSO（單點(diǎn)登錄），這是很多企業(yè)在當(dāng)前的商務(wù)應(yīng)用整合中所面臨的共同挑戰(zhàn)。Windows Server 2008將AD FS（活動目錄聯(lián)合身份驗(yàn)證服務(wù)）這一組件添加到了服務(wù)器角色之中，從而可以為企業(yè)的應(yīng)用提供了可擴(kuò)展、可伸縮和安全的跨平臺身份驗(yàn)證服務(wù)。利用它即便用戶賬戶和應(yīng)用程序分別處于完全不同的組織之中，也可以讓基于瀏覽器的客戶端和多個受保護(hù)的應(yīng)用程序之間進(jìn)行無縫的整合。

AD RMS（活動目錄權(quán)限管理服務(wù)）原來是單獨(dú)發(fā)布的一個Windows Server功能擴(kuò)展組件，在Windows Server 2008中它也被內(nèi)置成為一個服務(wù)器角色，除了提供更全面的安全機(jī)制外，在管理特性方面也有了進(jìn)一步的增強(qiáng)。通過使用AD RMS和支持該技術(shù)的應(yīng)用系統(tǒng)（Office、SharePoint、Exchange Server以及第三方應(yīng)用等），企業(yè)可以將類似于機(jī)密文檔和敏感電子郵件等這樣一些信息的訪問安全進(jìn)行全程的控制和監(jiān)視。

無論這種被保護(hù)信息以何種途徑被存放在何種位置和介質(zhì)上，也只有被明確授予了權(quán)限的用戶才可以在有效的期限內(nèi)去訪問和對其執(zhí)行受限的操作，而且該信息自創(chuàng)建后的所有訪問和操作也會被審核機(jī)制全程的記錄下來。通過AD RMS可以為企業(yè)重要信息資產(chǎn)完整生命周期的安全管理提供有效的基礎(chǔ)設(shè)施服務(wù)。

基于證書的安全應(yīng)用普遍存在于企業(yè)的各系統(tǒng)之中，Windows Server 2008的AD CS（活動目錄證書服務(wù)）服務(wù)器角色為企業(yè)構(gòu)建自己的PKI（公鑰基礎(chǔ)結(jié)構(gòu)）提供了全面的支持。除了繼承上一代證書服務(wù)的所有功能之外，AD CS新提供了用于監(jiān)視CA健康狀況的工具以及更為安全的證書Web申請組件。另外，Windows Server 2008中內(nèi)置的CNG（下一代加密算法），也為企業(yè)在證書中實(shí)現(xiàn)更為靈活和強(qiáng)壯的加密機(jī)制提供了可能。

安全的網(wǎng)絡(luò)訪問

NAP（網(wǎng)絡(luò)訪問保護(hù)）無疑是Windows Server 2008中最大的亮點(diǎn)之一，這種基于策略的網(wǎng)絡(luò)訪問控制機(jī)制，可以讓企業(yè)有效保護(hù)對其網(wǎng)絡(luò)的訪問，將由于非安全的計(jì)算機(jī)接入網(wǎng)絡(luò)而引入的病毒傳播、入侵攻擊等安全威脅的風(fēng)險(xiǎn)降低到最小。啟用了NAP的計(jì)算機(jī)能夠?qū)ψ陨淼陌踩?ldquo;健康”狀況進(jìn)行持續(xù)的檢測和評估，如果計(jì)算機(jī)的“健康”不符合預(yù)先定義的策略標(biāo)準(zhǔn)，它會自動被從網(wǎng)絡(luò)中隔離，并且啟動健康修復(fù)過程，當(dāng)完成修復(fù)使計(jì)算機(jī)的能夠達(dá)到策略要求時，又會自動的解除隔離恢復(fù)正常的網(wǎng)絡(luò)資源訪問。NAP本身具有開放性的結(jié)構(gòu)，這使得獨(dú)立的軟件開發(fā)商可以很容易的基于這個平臺開發(fā)自己的解決方案，從而能夠提供更加豐富的安全實(shí)現(xiàn)。

VPN是目前企業(yè)中遠(yuǎn)程訪問所使用的主要技術(shù)之一，但基于PPTP和L2TP/IPSec的VPN技術(shù)在實(shí)際部署的過程中有時會因?yàn)榫W(wǎng)絡(luò)設(shè)備和防火墻對這些協(xié)議端口的阻止或者對某些特殊協(xié)議的不支持而使其難以實(shí)現(xiàn)。在Windows Server 2008中除了繼續(xù)支持這兩種已有的VPN協(xié)議之外，還提供了一種更易于部署的VPN技術(shù)――SSTP（安全套接隧道協(xié)議）協(xié)議 。這種VPN協(xié)議將PPP封裝于HTTPS的SSL通道之中，通過基于具有很強(qiáng)防火墻穿透性的HTTPS（TCP443端口）協(xié)議實(shí)現(xiàn)VPN連接，從而為企業(yè)更靈活地部署VPN解決方案提供了可能。

TS（終端服務(wù)）網(wǎng)關(guān)是Windows Server 2008終端服務(wù)所提供的全新安全遠(yuǎn)程訪問特性， 一方面它使用HTTPS封裝RDP協(xié)議加密保護(hù)使用終端服務(wù)的遠(yuǎn)程用戶對企業(yè)內(nèi)部計(jì)算機(jī)的遠(yuǎn)程訪問。另一方面，TS網(wǎng)關(guān)可以協(xié)助企業(yè)實(shí)現(xiàn)更有效的安全遠(yuǎn)程訪問解決方案，通過TS網(wǎng)關(guān)可以在內(nèi)部網(wǎng)絡(luò)集中應(yīng)用和數(shù)據(jù)，確保盡可能少的將數(shù)據(jù)留在公司網(wǎng)絡(luò)之外，從而更有效保證應(yīng)用程序及數(shù)據(jù)的安全，用戶不需要擁有對公司網(wǎng)絡(luò)或計(jì)算機(jī)的過多訪問權(quán)限，只需要將他們限制于允許的應(yīng)用，就可以降低如丟失便攜式計(jì)算機(jī)所造成的意外數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

安全指南

雖然Windows Server 2008自身提供了許多安全特性，但對于企業(yè)的信息應(yīng)用來講，擁有具備這些安全特性的服務(wù)器系統(tǒng)平臺僅僅一個開始，更為重要的是如何在自己的組織中實(shí)現(xiàn)和合理的應(yīng)用這些特性來構(gòu)建有效的安全解決方案。所幸的是在Windows Server 2008產(chǎn)品正式發(fā)布之前，微軟就已經(jīng)發(fā)布了最新的Windows Server 2008安全指南。

在該指南中包括了實(shí)現(xiàn)安全相關(guān)特性的具體方法步驟以及最佳實(shí)踐，同時還針對操作系統(tǒng)本身的不同角色與組件，提供了非常詳盡的安全攻擊表面的細(xì)節(jié)數(shù)據(jù)，這讓用戶在應(yīng)用安全方面可以做到“心中有數(shù)”，充分了解可能的安全威脅。指南作為廠商的權(quán)威安全指導(dǎo)，為使用Windows Server 2008的企業(yè)用戶提供了全面和有非常有價(jià)值的安全技術(shù)參考。

【編輯推薦】

1. Windows Server 2008 R2中如何托管服務(wù)賬號
2. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
3. Windows Server 2008 R2中的DirectAccess功能詳解
4. Windows Server 2008 R2中托管服務(wù)帳號的方法
5. 漫談Windows Server 2008的網(wǎng)絡(luò)特性