仔细阅读了Windows Server 2008的说明书,发掘其对企业的帮助。
最显著的改变
与从Windows 2000 Server到Windows Server 2003系统的改进——只进行了相当少的更新——不同,Windows Server 2008对构成Windows Server产品的内核代码库进行了根本性的修订。
Windows Server 2008和Windows Vista系统——直接源自安全发展模式(secure development model)共享的基础代码数量很少。这是微软公司编程方法的重大改变,其将安全代码放置在了所有指令前面。因此,你在Vista 和Windows Server 2008系统都可以看到很多新的功能和更新,这都是增加了安全代码库同时提高了系统整合和可靠性的结果。
对Windows Server 2008更新包括对Server Core和Internet Information Services 7.0的彻底更新。以下是更新的详细情况。
Server Core
Server Core是Windows Server 2008最小的安装选择部分,其仅包括一个执行文件的子文件和服务器任务。管理是通过命令行(见图一)或者通过一个未加入的结构文件。
据微软公司说,"Server Core的设计目的是用于拥有很多服务器的企业(这些企业有的仅仅需要执行专门的任务,但是却有着超出其所需的稳定性或者在高安全需求的IT环境。“因此,Core服务器所能担当的角色很少。其仅是:
*动态主机配置协议(Dynamic Host Configuration Protocol)服务器
*域名系统服务器
*文件服务器,包括文件复制服务(file replication service),分布式文件系统(distributed file system),分布式文件复制系统(distributed file system replication),网络文件系统和单一执行个体存储器(network file system and single instance storage)。
*打印服务
*区域控制器,包括一个只读区域控制器
*Active Directory Lightweight Directory Services服务器
*Windows服务器虚拟化
*IIS,尽管只有正常功能的一小部分,确切地说,仅有静态HTML主机,也没有动态Web应用软件支持
*Windows多媒体服务(Windows Media Services)
其次,Server Core可作为微软集成系统的一个部分,采用网络下载平衡、主机Unix软件,对这些组成部分的驱动用Bitlocker进行加密,远程控制采用位于一台客户机上的Windows PowerShell,同时通过Simple Network Management Protocol进行监控。
大多数管理员感到将Server Core放置在分公司以执行区域控制器功能是对略陈旧的硬件(否则将被丢弃)的最佳利用。Server Core最小的footprint实现了操作系统用尽可能少的系统资源完成尽可能多的任务,而减少的attack surface和稳定性使得其成为类似用具的机器极佳选择。其次,有一个分公司,你可以将Server Core和此功能相结合以配置只读区域控制器,同时采用BitLocker对各部分进行加密,这就形成了一个轻量级的安全解决方案。
Server Core是一款令人惊叹的新选择,其适用于除了超小型企业外的所有企业。
IIS的改进
令人尊敬的Microsoft Web服务器软件到Windows Server 2008已经经历了数次修订。IIS 7首次完全公开并完全部件化——你可以只安装你所需要的组件,因此更轻,响应更多且更不易被攻击。IIS管理界面也完全重新设计。核心的改进包括:
*全新的组件结构
在IIS历史上,首次,管理员尝试了可完全控制IIS的哪些部分被安装并在特定时间运行。你可以运行你所需的特定服务。这样系统也会更安全,并且易于管理,程序的执行情况也会更好。FastCGI支持意味着PHP和其他运行时间语言被快速执行,安装Windows的机子之前没有这一功能。
*灵活的扩展模式
IIS 7使得开发者可以进入一个全新的APIs套装——可直接与IIS沟通,这使得模块开发和定制更容易进行。开发者甚至可以进入内部结构、脚本,甚至可以登录并管理IIS域——为勇于尝试的管理员和第三方软件供应商开了很多通路以扩展IIS的功能。
*简化结构以及应用软件的配置功能
结构可以通过XML文件完全完成。中心IIS结构可以通过多个文件进行扩展,使得很多网站和应用软件运行在相通的服务器上但是相互独立,但是其结构仍易于管理。微软公司最钟爱IIS 7的组件是用相同配置的机器建立网络田,因为新的服务器田已经联机了,管理员可以轻松采用XCOPY同时通过新的服务器转移当前结构文件。其次,新服务器上安装的IIS与现有服务器上的相同。这或许是最大的好处,也是IIS 7进行的更新中最受欢迎之处。
*委托管理功能
跟Active Directory——实现了使管理员分配许可以执行确定的管理功能很像,IIS管理员可以将一些功能的管理任务委托给其他人,例如网站所有者。
*更多有效的管理功能
你不会再在大量标签和对话框中寻找一个你需要更改的设置。创建一个新的网站只有一个对话框,增加一个应用软件池同样只有一个对话框。所有的工具以及功能都在控制台的敏感区域。IIS Manager完全进行了重新设计,同时加入了一个新的管理有效性命令行:appcmd.exe。
图二,IIS Manager
这一更改使得IIS的功能可与Apache的产品媲美,易管理性和模块性都很好。
网络的改进
Windows Server 2008小组进行了特别的努力以改进网络性能和有效性。第一次,本地IPv4和IPv6支持同时具有了双IP层结构。如果你已经在Windows Server 2003服务器上配置了IPv4和IPv6,你就知道进行交互操作有多麻烦。
通过将TCP/IP的个部分更好地整合,IPsec通信安全得到了提高。硬件得到了更有效的利用并且加快了网络传输的速度。智能协调系统和优化算法有规律地运行以确保高效通信,同时APIs到网络协议栈更直接地显现,使得开发者更容易与网络协议栈进行沟通。让我们看看进行的改进。
TCP/IP网络协议栈的改进
我之前间接提到过,Windows Server 2008的很多改进是对TCP/IP网络协议栈的改变。其中一项改进是自动协调TCP窗口的大小:Windows Server 2008可以通过每个连接来自动调整接收窗口的大小,提高同一网络上服务器间大型数据传输的效率。微软公司引用了如下例子:在10 Gigabit以太网络上,信息包的规模可以达到6 Megabytes。
Windows Server 2003的失效网关检测法则只稍稍进行了改良:Windows Server 2008当前经常试图通过其所认为的失效网关来进行TCP传输。如果传输没有出现问题,Windows则将默认网关自动改变为之前检测的失效网关(现在是有有效网关)。同时Windows Server 2008支持从CPU到网络界面卡处理线路的脱机网络处理功能,这就解放了CPU,使其可以管理其他处理程序。
网络扩展也得到了改进。在之前的Windows Server版本上,一个网络接口卡(NIC)仅与单一物理处理器相连接。然而,有了正确的网络卡,Windows Server 2008支持扩展网络接口卡,同时伴随着多个CPU之间的传输——这一功能被称为接收端调节(receive-side scaling)。这实现了单一网络接口卡(位于高速下载服务器)可接收更大规模的通信量。这一功能尤其对多处理器服务器有利,因为通过增加处理器或者网络接口卡,而不用增加整台的服务器,通信量即可增加。
终端服务的改进
网络软件越来越流行。除了如下三个详细介绍的新功能,工作组也改进了核处理功能,这包括对Terminal Services功能的单一签署,监控范围的和对此功能的绝对支持,与Windows System Resource Manager整合以更好的监控执行情况和资源利用情况,以及实现TS和客户机的无缝连接。
Windows Server 2008有三个核心的新功能。第一个是Terminal Services RemoteApp。这一功能几年前是由Citrix MetaFrame提供的,Windows Server 2008将支持开箱即用功能来解释TS支持的服务器上直接运行的程序,但是在本地Windows复本内进行整合,增加了重新设置大小的应用软件窗口区域,Alt-Tab交换功能,远程组装系统tray icon组件等等。用户并不知道他们的应用软件被寄存在其他地方,除非响应经常比较慢,比如因为网络延时或者服务器超载。
Windows Server 2008的第二个核心功能是管理员创建.RDP文档——这是Terminal Services连接(用户读和用来给特定程序配置一个RDP成分)基于文本文件。他们也可创建.MSI文件,其最大的优点是.MSI文件传统上可轻松通过自动系统管理方式(例如Systems Management Server, Group Policy和IntelliMirror等等)进行配置。
第三个核心功能是终端服务网关(Terminal Services Gateway)。这一功能使得用户可以从英特网的任意一个网络入口进入存放于Terminal Services的应用软件,通过一个经过加密的HTTPS通道来保障其安全性。这一网关可以穿过防火墙发送连接,也可正常通过NAT转换环境——在过去这一技术是受阻的。
这样公司就不需要给远程用户配置VPN通路,目的仅为了访问Terminal Services服务器。其次,自从数据经HTTPS进行发送,几乎所有人(甚至在RDP协议受防火墙阻挡的地区)都可以访问这一部分。管理员可以建立连接授权政策——详细说明被允许通过TS网关服务器来访问TS的用户组。
最后的一项核心功能是TS网络访问功能(TS Web Access),这一功能使管理员可在网页上公开显示可实现的远程终端服务的程序(TS Remote Programs)。这一功能是和终端服务远程软件(Terminal Services RemoteApp)功能同时工作的。用户可以浏览他们想运行的应用软件列表,点击,然后就可以无缝嵌入这一应用软件——利用了终端服务远程程序(Terminal Services RemoteApp)的所有功能,然而保留了这一功能:在同一Web Access站点存有其他程序。这一服务可以分清由同一用户放置的多个程序应该被放置在相同的Terminal Services部分,这样资源管理会轻松一些,同时你甚至可以利用内置Web组件将SharePoint站内的TS Web Access进行整合。
Active Directory:只读域控制器
Windows Server 2008引入了只读域控制器理念,这一理念对于分公司和其他地区(服务器充当域控制器,不能采用保护数据中心其他服务器的办法进行物理保护)。只读域控制器有一个Active Directory的只读复本,这就实现了快速登录和快速获取验证,节省了网络资源,同时也有长期安全益处。没有入侵者可以对一个分公司快速访问域控制器(接着会被复制到公司主菜单)进行更改,因为这一域控制器是只读的。这一只读域控制器也可以缓存分公司用户提交的报告并通过用户的登录请求,但是只有一种提交方式可通过正轨的可写入的域控制器,然而,由于安全原因,这一缓存在Password Replication Policy中被设置成默认值。
安全性能的提高
从Windows被研发出来,安全问题就一直困扰着微软公司,但是在近几年,随着越来越多的人联网,越来越多的漏洞被发现。事实上,每月的系统补丁发布是涉及不够严密的结果。这些类型的缺陷是微软希望在Windows Server 2008系统中避免的。
你将看到Windows Server 2008进行了很多更新,包括提高了进入内核的层级数目,分开服务以降低缓冲器超载的可能,同时减少高风险特权层以减少受攻击层面的规模。
而操作系统的基础设计更改,Windows Server 2008组也设计了一些排除安全隐患和病毒入侵的功能,同时也设计了防止企业数据泄露和被夺取的功能。让我们看看这些功能改进:
操作系统文件保护
一个新的功能,确保了服务器导入处理的完整进行。Windows Server 2008创建了一个基于正在采用的内核文件的确认钥,这是你的系统和驱动器一个特定的硬件提取层,始于导入阶段。在这一密钥创建后,如果任何后期导入文件更改,操作系统将被告知并中止这一导入处理,这样你就可以进行问题纠正。
操作系统文件保护也扩展了每个磁盘驱动器上的二进制影像。这种模式的操作系统文件保护包括了一个文件系统过滤器驱动——可读下载在内存上的每一页,检查无用信息同时确认任何试图下载到保护过程的图像(一般来说对攻击最敏感)。这些杂乱信息被存放在一个特定的系统目录下,或者存放在一个嵌入驱动器上的一个安全文件X.509证明。如果任何测试结果都失败了,操作系统文件保护将中止这一处理过程以保证服务器安全。这一保护避免了疑似病毒的入侵。
BitLocker
驱动器加密需求是最近安全性保护的流行方式,同时在Windows Vista和Windows Server 2008中微软公司都增加了被称为BitLocker的功能。
BitLocker是设计在特定的环节——窃贼可能获取到硬盘物理通路。没有加密术,黑客就可以轻松导入另一个操作系统或者运行攻击工具并访问文件,这样就完全绕开了NTFS文件系统许可。Windows 2000 Server和Windows Server 2003中的加密文件系统(Encrypting File System)有了进一步的改进,通常扰乱了驱动器上的bit,但是进行文件加密的密钥不像想象中那样安全性强。有了BitLocker,密钥被存放在系统主板的Trusted Platform Module芯片上,或者是在导入前插入的USB闪存驱动器上。
BitLocker已经彻底完成:当被激活的时候,可对整个Windows进行加密,包括用户数据和系统文件、休眠文件、页面文件和临时文件。导入过程自身也受BitLocker的保护,这一功能创建了一个基于个人导入文件所有权的信息。因此如果已经修正并被替换,比如,一个Trojan文件,BitLocker将找出问题并阻止导入。相对于EFS的局限性,这的确有了很大进步,同时一个很明显的改进在于未经加密的驱动器系统安全的提高。
设备安装控制
另一个困扰企业的安全问题是USB拇指驱动的增多。无论你将文件服务器的许可设定的多安全,无论你将文档的销毁功能设置的多细致,也无论你在eyes-only文档上采用了何种类型的内置控制,一个用户可以轻易地将一个拇指驱动插入USB端口并复制数据,从而完全绕过了企业的物理安全系统。
这些驱动器里通常包括一些企业中敏感度非常高的信息。但是却经常发现安全性不高。问题很明显,一些企业将弃用的USB端口用浇水粘住。这是一种有效的方法,但是却很不整洁。
对于Windows Server 2008系统,一个管理员必须有能力阻止所有新设备安装,包括USB拇指驱动、外置硬盘驱动和其他新设备。你可以轻松地在配置一台服务器的同时不安装任何新设备。基于设备级别或者设备的ID,你也可以设置一些特例,比如,允许安装键盘和鼠标,但是其他外置设备都禁制安装。或者你可以允许特定ID的设备安装。以上都可以通过Group Policy进行配置,同时这些政策都是计算机级别的设置。
Windows防火墙有着更先进的安全性
Windows Server 2003 Service Pack 1的Windows Firewall版本和Windows XP Service Pack 2的完全相同。作为一时的权宜之计,微软暂且将Service Pack 1和这一款防火墙进行了绑定,公司方面说,他们将进行防火墙开发,并在下一版本的Windows中进行改进。
拥有Advanced Security功能的新款Windows防火墙将防火墙和Ipsec管理功能结合进便利的微软管理控制台(Microsoft Management Console) 管理插件。防火墙驱动被重新建构以与过滤器和Ipsec相协调。有了更多的管理功能,这样你可以更方便地指定明确的安全需求,比如验证和加密。
设置可构建在每个Active Directory计算机或者用户组基础上。外置过滤器已经被激活,除了Windows Firewall之前版本的内置过滤器外什么都没有。对每台计算机的总体支持也得到了提升,当前有一个何时机器被连接到区域的概况,一份个人网络连接的概况和公共网络连接(如无线热区)的概况。可引入相关政策,这就实现了多个计算机防火墙结构的协调和简单管理。
1799
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
