雖然最近得到大量媒體的關(guān)注，但是Windows 8并不是微軟在2012年秋季的唯一重大發(fā)布。這家位于雷蒙德的巨頭還發(fā)布了最新版本的服務(wù)器軟件Windows Server 2012。

仍在運(yùn)行2008版本的企業(yè)可能會(huì)懷疑2012版本是否真有那么多的新特性，值得企業(yè)去購(gòu)買(mǎi)升級(jí)版本，而所有運(yùn)行Windows Server軟件的組織中，安全性是他們最關(guān)心的問(wèn)題?，F(xiàn)在讓我們分析一下Windows Server 2012的安全特性，從而確定現(xiàn)在是否有足夠的理由升級(jí)到最新的版本。

從安全角度看，Windows Server 2012有了很大的進(jìn)步，它包含的重大新安全特性和改進(jìn)，包括驗(yàn)證與身份認(rèn)證、授權(quán)與隔離和數(shù)據(jù)保護(hù)。有一些新特性也在Windows 8中使用，其中包括安全啟動(dòng)（Secure Boot）。在系統(tǒng)啟動(dòng)時(shí)，安全啟動(dòng)只允許帶有數(shù)字簽名的統(tǒng)一可擴(kuò)展固件接口（Unified Extensible Firmware Interface, UEFI）驅(qū)動(dòng)程序或啟動(dòng)程序執(zhí)行，這樣可以防止啟動(dòng)工具劫持設(shè)備。另一個(gè)保護(hù)系統(tǒng)啟動(dòng)安全的特性是預(yù)先啟動(dòng)反惡意軟件（Early Launch Anti-Malware, ELAM），它保證只有已知且?guī)в袛?shù)字簽名的反惡意軟件程序可以在安全啟動(dòng)結(jié)束之后馬上執(zhí)行。這樣可以防止假的反病毒程序在啟動(dòng)過(guò)程中執(zhí)行。

BitLocker驅(qū)動(dòng)器加密在Windows Server 2012上使用更簡(jiǎn)單。在網(wǎng)絡(luò)保護(hù)模式中，只要服務(wù)器連接網(wǎng)絡(luò)并加入到正常的Active Directory域中，它就會(huì)自動(dòng)解鎖磁盤(pán)?，F(xiàn)在DNSSEC的實(shí)現(xiàn)是完全支持互操作的，并且更容易配置。其他管理工具（如Solution Accelerators）提供了集中的安全基線管理特性，它可以簡(jiǎn)化和加快安全設(shè)置。他們包括Microsoft安全評(píng)估工具、Microsoft基準(zhǔn)安全分析器和Microsoft安全規(guī)范管理器。

支持聲明和云認(rèn)證的Kerberos也進(jìn)行了簡(jiǎn)化，有用于部署細(xì)致的密碼策略的界面。托管服務(wù)帳戶現(xiàn)在支持自我維護(hù)，它帶有超長(zhǎng)密碼，每隔30天自動(dòng)重置一次。對(duì)于自己運(yùn)行Web服務(wù)器的公司而言，互聯(lián)網(wǎng)信息服務(wù) (IIS) 8包含了新的自動(dòng)化安全響應(yīng)。例如，動(dòng)態(tài)IP限制允許IIS自動(dòng)基于自定義條件阻擋惡意IP地址，而且也有更好的沙箱方式將單個(gè)應(yīng)用程序部署到多租賃安全沙箱中。

有一個(gè)信息安全領(lǐng)域是大多數(shù)組織都很難處理好的，那就是數(shù)據(jù)分類(lèi)，特別是要保證每一個(gè)文件都應(yīng)用正確的安全設(shè)置。Windows Server 2012采用新的授權(quán)與審計(jì)引擎來(lái)解決這個(gè)問(wèn)題。它的特點(diǎn)是高級(jí)文件與文件夾權(quán)限，它使用以動(dòng)態(tài)訪問(wèn)控制、聲明和基于表達(dá)式的訪問(wèn)控制實(shí)體和集中授權(quán)與審計(jì)規(guī)則（也稱(chēng)為中央訪問(wèn)策略）。

文檔可以根據(jù)其內(nèi)容或Active Directory屬性進(jìn)行自動(dòng)分類(lèi)。例如，權(quán)限管理服務(wù)可以配置為自動(dòng)加密所有包含健康保險(xiǎn)流通與責(zé)任法案（HIPAA）信息的文檔。按設(shè)備、用戶和群組分類(lèi)的文檔訪問(wèn)可以根據(jù)其屬性（也稱(chēng)為聲明）進(jìn)行控制，它們可用于驗(yàn)證與授權(quán)。

幾乎所有對(duì)象（包括用戶、群組或計(jì)算機(jī)）都可以分配一個(gè)或多個(gè)聲明，包括運(yùn)行Windows 8且MAC地址為00-xx-00的筆記本電腦，以及身份為在家工作的銷(xiāo)售經(jīng)理用戶。復(fù)雜規(guī)則也可以輕松創(chuàng)建（例如，銷(xiāo)售經(jīng)理在家里工作時(shí)可以從Windows 8設(shè)備訪問(wèn)中級(jí)或低級(jí)保密的數(shù)據(jù)，但是他們必須在公司里才能訪問(wèn)高級(jí)保密的數(shù)據(jù)）。分類(lèi)可以與任何感知分類(lèi)的Windows Server 2012服務(wù)共同協(xié)作。這個(gè)功能很大程度改進(jìn)了大多數(shù)組織的分類(lèi)與數(shù)據(jù)處理策略的實(shí)施效果。

中央訪問(wèn)策略運(yùn)行在Active Directory上，所以集中部署和管理很簡(jiǎn)單。毫無(wú)疑問(wèn)，通過(guò)一些測(cè)試就能夠完全理解使用用戶聲明、設(shè)備聲明和資源屬性設(shè)置的條件表達(dá)式的功能，它們確實(shí)可用于實(shí)現(xiàn)更精細(xì)的企業(yè)數(shù)據(jù)控制。

雖然在考慮升級(jí)時(shí)必須分析不同的個(gè)體環(huán)境，但是Windows Server 2012比2008進(jìn)步很大，不僅僅在安全特性方面有進(jìn)步，策略配置與實(shí)現(xiàn)方面也有很大簡(jiǎn)化。它為強(qiáng)大和正確配置的安全控制方面進(jìn)行了功能改進(jìn)，加大了攻擊難度。微軟的最新服務(wù)器軟件肯定考慮了安全問(wèn)題，但它的前期應(yīng)用還是會(huì)引發(fā)關(guān)于安全的很多爭(zhēng)議。