許多人認(rèn)為Windows操作系統(tǒng)是不安全的，其實(shí)并非如此?？陀^地講，沒(méi)有絕對(duì)安全的操作系統(tǒng)，任何操作系統(tǒng)的安全都是相對(duì)的。Linux和UNIX也并非固若金湯，也同樣會(huì)有系統(tǒng)漏洞，也同樣會(huì)遭遇各種攻擊。“樹(shù)大招風(fēng)”的古訓(xùn)大家都知道，呵呵。

Windows Server 2008誕生已有兩個(gè)年頭，尤其是在安全性、可靠性及可操作性上與Windows 以往的家族成員相比都有顯著的提高。以下針對(duì)Windows Server 2008幾個(gè)新增功能淺談下我個(gè)人在實(shí)際工作中應(yīng)用的體會(huì)。

1、 TS RemoteApp

Terminal Services RemoteApp (TS RemoteApp)將給企業(yè)分支機(jī)構(gòu)、移動(dòng)辦公人員提高辦公效率，保障企業(yè)數(shù)據(jù)安全成為可能。

RemoteApp 程序是通過(guò)終端服務(wù)遠(yuǎn)程訪問(wèn)的程序，它們看來(lái)就像運(yùn)行在最終用戶的本地計(jì)算機(jī)上一樣。用戶可以將 RemoteApp 程序與本地程序并排運(yùn)行。用戶可以最小化、最大化以及調(diào)整程序窗口的大小，還可以輕松地同時(shí)啟動(dòng)多個(gè)程序。如果用戶在同一臺(tái)終端服務(wù)器上運(yùn)行多個(gè) RemoteApp 程序，RemoteApp 程序?qū)⒐蚕硗粋€(gè)終端服務(wù)會(huì)話。

用戶可以從終端服務(wù)器運(yùn)行程序，并且擁有的體驗(yàn)就像程序在最終用戶的本地計(jì)算機(jī)上運(yùn)行的一樣，包括可以調(diào)整大小的窗口、多臺(tái)監(jiān)視器之間的拖放支持以及通知區(qū)域中的通知圖標(biāo)。RemoteApp 程序與客戶端的桌面集成在一起，借助任務(wù)欄中它自己的條目，運(yùn)行在它自己的可調(diào)整大小的窗口中，而不是在遠(yuǎn)程終端服務(wù)器的桌面中呈現(xiàn)給用戶。如果程序使用通知區(qū)域圖標(biāo)，則該圖標(biāo)出現(xiàn)在客戶端的通知區(qū)域中。彈出窗口被重定向到本地桌面?？梢詫?duì)本地驅(qū)動(dòng)器和打印機(jī)進(jìn)行重定向以使它們出現(xiàn)在 RemoteApp 程序中。許多用戶可能沒(méi)有注意到 RemoteApp 程序與本地程序的任何差異。

與Linux中SSH相比，TS RemoteApp功能更具有堡壘主機(jī)之功效。

這一功能尤其適用于金融行業(yè)，因證券基金類組織的行業(yè)特點(diǎn)，辦公人員均需使用柜臺(tái)查詢業(yè)務(wù)數(shù)據(jù)。使用TS RemoteApp后，可以將柜臺(tái)客戶端集中部署在終端服務(wù)器中，這樣在終端對(duì)柜臺(tái)應(yīng)用程序進(jìn)行掃描、破解、反向工程等攻擊基本不可能，提高了安全性。

2、 Server Core

與前任Windows Server2003相比，在 Windows Server 2008 操作系統(tǒng)中，管理員可以選擇安裝可避免額外開(kāi)銷的最小環(huán)境。盡管此選項(xiàng)限制了服務(wù)器可執(zhí)行的角色，但可以提高安全性并減少管理工作。服務(wù)器核心安裝是運(yùn)行 Active Directory 域服務(wù)、AD LDS、DHCP 服務(wù)器、DNS 服務(wù)器、文件服務(wù)、打印服務(wù)器和流媒體服務(wù)服務(wù)器角色的最小安裝。

服務(wù)器核心安裝提供以下優(yōu)勢(shì)：

減少維護(hù)工作量。由于服務(wù)器核心安裝僅安裝指定服務(wù)器角色所需的設(shè)備，因此與 Windows Server 2008 的完整安裝相比，需要的服務(wù)更少。

減小受攻擊面。因?yàn)榉?wù)器核心安裝是最小安裝，所以服務(wù)器上運(yùn)行的應(yīng)用程序較少，從而可減小受攻擊面。

減少管理工作量。因?yàn)檫\(yùn)行服務(wù)器核心安裝的服務(wù)器上安裝的應(yīng)用程序和服務(wù)較少，所以需要的管理工作更少。

需要更少的磁盤空間。服務(wù)器核心安裝僅需要大約 1GB 磁盤空間即可進(jìn)行安裝，安裝完成后，僅需要大約 2 GB 磁盤空間即可運(yùn)行。

這一功能尤其適用于需要以Active Directory 域服務(wù)管理企業(yè)資源，可以做到最小化的安裝企業(yè)所需的服務(wù)，減少補(bǔ)丁需求，提高服務(wù)器的安全架構(gòu)。

與Linux的命令行相比，兼容性更具優(yōu)勢(shì)。

3、網(wǎng)絡(luò)訪問(wèn)保護(hù)

網(wǎng)絡(luò)訪問(wèn)保護(hù) (NAP) 是 Windows Server 2008 和 Windows Vista 操作系統(tǒng)附帶的一組新的操作系統(tǒng)組件，它提供一個(gè)平臺(tái)以幫助確保專用網(wǎng)絡(luò)上的客戶端計(jì)算機(jī)符合管理員定義的系統(tǒng)健康要求。NAP 策略為客戶端計(jì)算機(jī)的操作系統(tǒng)和關(guān)鍵軟件定義所需的配置和更新?tīng)顟B(tài)。例如，可能要求計(jì)算機(jī)安裝具有最新簽名的防病毒軟件，安裝當(dāng)前操作系統(tǒng)的更新并且啟用基于主機(jī)的防火墻。

通過(guò)強(qiáng)制符合健康要求，NAP 可以幫助網(wǎng)絡(luò)管理員降低因客戶端計(jì)算機(jī)配置不當(dāng)所導(dǎo)致的一些風(fēng)險(xiǎn)，這些不當(dāng)配置可使計(jì)算機(jī)暴露給病毒和其他惡意軟件。當(dāng)客戶端計(jì)算機(jī)嘗試連接網(wǎng)絡(luò)或在網(wǎng)絡(luò)上通信時(shí)，NAP 通過(guò)監(jiān)視和評(píng)估客戶端計(jì)算機(jī)的健康狀況來(lái)強(qiáng)制實(shí)施健康要求。如果確定客戶端計(jì)算機(jī)不符合健康要求，則可以將其置于包含資源的受限網(wǎng)絡(luò)上，以幫助更新客戶端系統(tǒng)使其符合健康策略。該功能非常類似于ISA Server中的VPN訪問(wèn)隔離策略控制。

與Linux中ACL相比，NAP更能滿足企業(yè)靈活定制需求功能。

這一功能尤其適用于企業(yè)對(duì)網(wǎng)絡(luò)安全性有較高要求，企業(yè)員工經(jīng)常出差又必須訪問(wèn)公司辦公網(wǎng)絡(luò)，保障企業(yè)網(wǎng)絡(luò)安全。

4、只讀域控制器

只讀域控制器 (RODC) 是 Windows Server 2008 操作系統(tǒng)中的一種新類型的域控制器。借助 RODC，組織可以在無(wú)法保證物理安全性的位置中輕松部署域控制器。RODC 承載 Active Directory 域服務(wù) (AD DS) 數(shù)據(jù)庫(kù)的只讀分區(qū)。

物理安全性不足是考慮部署 RODC 的最常見(jiàn)原因。RODC 提供了一種在要求快速、可靠的身份驗(yàn)證服務(wù)但不能確保可寫域控制器的物理安全性的位置中更安全地部署域控制器的方法。 但是，您的組織也可選擇根據(jù)特殊管理要求部署 RODC。例如，行業(yè) (LOB) 應(yīng)用程序只有在安裝在域控制器上的情況下，才可以成功運(yùn)行?；蛘撸蚩刂破骺赡苁欠种C(jī)構(gòu)中唯一的服務(wù)器，并且可能必須承載服務(wù)器應(yīng)用程序。 在這種情況下，LOB 應(yīng)用程序的所有者必須經(jīng)常以交互方式登錄到域控制器，或使用終端服務(wù)配置和管理應(yīng)用程序。

此情況產(chǎn)生了在可寫域控制器上可能無(wú)法接受的安全風(fēng)險(xiǎn)。 RODC 為在此方案中部署域控制器提供了更安全的機(jī)制。您可以向非管理域用戶授予登錄到 RODC 的權(quán)限，同時(shí)最小化 Active Directory 林的安全風(fēng)險(xiǎn)。 還可以在其他方案中部署 RODC，例如，Extranet 或面向應(yīng)用程序的角色中，其中本地存儲(chǔ)的所有域用戶密碼是主要威脅。

RODC 解決了分支機(jī)構(gòu)中的一些常見(jiàn)問(wèn)題。這些位置可能沒(méi)有域控制器。或者，這些位置可能具有可寫域控制器，但是不具備支持它的物理安全性、網(wǎng)絡(luò)帶寬或本地專業(yè)知識(shí)。除帳戶密碼之外，RODC 保存了可寫域控制器所保留的所有 Active Directory 對(duì)象和屬性。但是，不能對(duì)存儲(chǔ)在 RODC 上的數(shù)據(jù)庫(kù)進(jìn)行更改。更改必須在可寫域控制器上進(jìn)行，然后復(fù)制回 RODC。該功能類似于DNS中的輔助區(qū)域。

在 Windows Server 2008 發(fā)布之前，如果用戶必須通過(guò)廣域網(wǎng) (WAN) 對(duì)域控制器進(jìn)行身份驗(yàn)證，則沒(méi)有合適的替代方案。在許多情況下，這不是一個(gè)有效的解決方案。分支機(jī)構(gòu)通常不能為可寫域控制器提供所需的充分的物理安全性。此外，當(dāng)分支機(jī)構(gòu)連接到中心站點(diǎn)時(shí)，其網(wǎng)絡(luò)帶寬狀況通常較差。這可能增加登錄所需的時(shí)間。它還可能妨礙對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。因此Windows Server 2008的發(fā)布給企業(yè)基礎(chǔ)架構(gòu)提供了更優(yōu)的解決方案。

與Linux中LDAP相比，功能更為完善。

5、虛擬化角色

借助虛擬化角色，您可以使用作為 Windows Server 2008 操作系統(tǒng)一部分的技術(shù)創(chuàng)建一個(gè)虛擬化的服務(wù)器計(jì)算環(huán)境。該解決方案通過(guò) Hyper-V 提供?？梢允褂锰摂M化計(jì)算環(huán)境，利用多個(gè)硬件資源來(lái)提高計(jì)算資源的效率。

Hyper-V 提供 Windows Server 2008 中的軟件基礎(chǔ)結(jié)構(gòu)和基本管理工具，可用于創(chuàng)建和管理虛擬化服務(wù)器計(jì)算環(huán)境。此虛擬化環(huán)境可用來(lái)實(shí)現(xiàn)旨在提高效率和降低成本的各種商業(yè)目標(biāo)。例如，虛擬化服務(wù)器環(huán)境可以幫助您：

通過(guò)增加硬件的利用率降低運(yùn)行和維護(hù)物理服務(wù)器的成本?？梢詼p少運(yùn)行服務(wù)器工作負(fù)載所需的硬件數(shù)量。

通過(guò)減少設(shè)置硬件和軟件以及再現(xiàn)測(cè)試環(huán)境所需的時(shí)間提高開(kāi)發(fā)和測(cè)試效率。

提高服務(wù)器可用性，而無(wú)需使用僅使用物理計(jì)算機(jī)的故障轉(zhuǎn)移配置中所需數(shù)量的物理計(jì)算機(jī)。

增加或減少服務(wù)器資源以響應(yīng)所需的更改。

這一功能尤其適用于為金融行業(yè)開(kāi)發(fā)柜臺(tái)的軟件公司。因其需要搭建業(yè)務(wù)平臺(tái)，進(jìn)行大量的業(yè)務(wù)測(cè)試，此時(shí)需要為數(shù)較多的服務(wù)器來(lái)滿足測(cè)試需求，使用Windows Server 2008虛擬化技術(shù)可以幫助企業(yè)降低硬件成本。

相比Xen而言，Xen需要與系統(tǒng)共同協(xié)作(客戶操作系統(tǒng)需要修改), 只有打過(guò)補(bǔ)丁的系統(tǒng)才能使用Xen. 從Linux角度來(lái)看, Linux本身是開(kāi)源的, 結(jié)果是Xen的性能要好于全虛擬化技術(shù). 但是從系統(tǒng)支持(比如支持其它非開(kāi)源的操作系統(tǒng))的角度來(lái)看, 這顯然是一個(gè)不足之處。

 【編輯推薦】

1. Windows Server 2008 R2安全性能體驗(yàn)
2. Windows Server 2008 R2中的DirectAccess功能詳解
3. Windows Server 2008 R2中托管服務(wù)帳號(hào)的方法
4. 漫談Windows Server 2008的網(wǎng)絡(luò)特性
5. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石