在基于Windows Server 平台构建下的微软新一代服务器操作系统平台 Windows Server 2008以其安全、稳定而受到了业内以及大、中、小型企业的肯定,依托全新的平台架构,为企业的管理、数据安全以及应用的稳定都带来了全新的革命。
使用 Windows Server 2008,IT 专业人员能够更好地控制服务器和网络基础结构,从而可以将精力集中在处理关键业务需求上。增强的脚本编写功能和任务自动化功能(例如,Windows PowerShell)可帮助 IT 专业人员自动执行常见 IT 任务。通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。I T 人员仅安装需要的角色和功能,向导会自动完成许多费时的系统部署任务。增强的系统管理工具(例如,性能和可靠性监视器)提供有关系统的信息,在潜在问题发生之前向 IT 人员发出警告。
Windows Server 2008 提供了一系列新的和改进的安全技术,这些技术增强了对操作系统的保护,为企业的运营和发展奠定了坚实的基础。Windows Server 2008 提供了减小内核攻击面的安全创新(例如 Patch Guard),因而使服务器环境更安全、更稳定。通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响,Windows 服务强化有助于提高系统的安全性。借助网络访问保护 (NAP)、只读域控制器 (RODC)、公钥基础结构 (PKI) 增强功能、Windows 服务强化、新的双向 Windows 防火墙和新一代加密支持,Windows Server 2008 操作系统中的安全性也得到了增强。
在这篇文章中呢,我想通过两个安全方面我自身应用的感受来同大家一同分享Windows Server 2008所带给我们的安全性方面的真实感受以及技术的一些概览。
相信大家都非常了解的在微软网络安全体系中,通过“纵身防御”体系来保证企业环境的安全可靠,整个防御体系中,网络防火墙又处于外围层,而Windows 自身防火墙又处于主机层面上,在微软产品发展的过程中,我们不难发现和看到的是作为桌面应用层的防火墙像以往的操作系统一样用于帮助用户实现普通应用层的主机保护,在Windows Server 2008防火墙中除了具备以往的访问保护以外,还包含了IPSec,可以对穿过网络防火墙以及来自我们企业内部网络所发出的攻击进行防护,为用户的安全防护起到了二层防护功能,在Windows Server 2008操作系统中防火墙支持了并提供了双向保护功能,可以针对我们的出站和入站通信信息进行有效的过滤,当数据包传入计算机时,具有高级安全性的Windows Server 防火墙会对每一个入站、出站数据包进行检查,以确定传入的数据包是否符合防火墙中指定的规则或标准,如果检测发现数据包不符合要求或不匹配,则具有高级安全性防火墙策略的审核规则将对其进行相关的功能指定,如允许连接还是拒绝连接,在拒绝丢弃数据包后,还将对其进行相关日志条目的创建。
除了增加的防火墙功能外,微软公司在Windows Server 2008平台架构上,还推出了全新的网络访问保护级的功能角色NAP,企业管理员经常会遇到一些关于用户安全管理方面的问题。日常管理的终端计算机包含了移动终端计算机、台式计算机、来宾计算机、无法管理的家用计算机,下面我们就来对每一种类型的计算机进行相关分析:
1、 员工会携带移动终端计算机去往客户现场或其它场合进行相关的办公与驻场维护,这一类计算机往往有可能会有很长时间都不会在企业内部网络中,因此这类计算机就更没有办法去应用到最新的策略以及安全更新信息,如果这一类计算机回到企业内网后,若其没有更新其安全选项,如杀毒软件病毒库、软件信息更新等,这必然会对企业的安全造成一定的威胁。
2、 来宾计算机往往是一些来访人员所持有的计算机,这一类计算机的安全性状况对于企业IT来说更是不便于与不能够了解,如果这类计算机携带了病毒,那么同样也会对于企业中其它终端计算机以及服务器造成安全性威胁。
3、 台式计算机,这一类计算机虽然长时间处于企业内网连接状态下,但假设某有户由于长时间出差在外,这台位于内网的计算机同样也没有办法去获取到最新的策略以及安全性补丁以及更新,那么这时我们也会面临到针对企业中其它计算机与服务器的威胁。
4、 无法管理的家用计算机,这一类人群可以是我们的外骋员工或企业员工,这类人群则会利用VPN(虚拟专用网)的方式连接到我企业内部进行数据的上传与下载,并且这些计算机由于在家庭网络下,其安全性更是没有办法保证的。
此类问题在以往的操作系统中可能就一个太好的办法去解决这一类问题,当在企业中部署了Windows Server 2008后,我们可以直接利其功能来实现我们的一些策略的审计和安全性状态的检查,在整个部署的过程中完全是依靠Windows Server 2008操作系统而不需要购买或添加其它额外的客户端或服务器组件,在Windows XP SP3、Windows Vista、Windows 7这些客户端中都已经内置了相关的客户端健康状态的组件,如果企业是域 环境那么我们只需要通过域的安全分发策略来去分发启用相关的功能或服务即可,如果是工作组环境下则手功 启动NAP客户端保护组件也可以实现这些功能。当客户端启动后,会通过自身的客户端保护组件进行当前健康状况的检测,如果符合要求,那么则客户端将可以进一步访问特定的企业资源,当客户端的健康状态不符合企业的安全时,则这时将会将客户端放置到企业内部的一个称之为是隔离区的位置,由该区域内的强制健康服务器或组件帮助这些不合格的的客户端进行健康校正,直到客户端的达到企业网络中所规定的安全值后客户端才可以正常进入企业内网中访问资源,而这是在其它操作系统平台中所没有的,而且也是一个全新的体验模块,利用这个功能不仅方便了企业的管理,最主要是为企业的安全提供了一个非常好的架构平台的保证。
作为一个企业用户,能过这些功能的实际应用,让我们在对企业安全性方面的管理上更加简单和更加准确。
