Windows Server 2008安全性
IPSec:
Windows Server 2008的IPSec的一些改进点
与防火墙的集成,IPSec配置的简化,与NAP的集成
支持IPv6等技术细节
IPSec支持新的加密方法,能够为企业提供更高的安全
IPSec扩展了事件和性能监视器的计数器,能够通过性能监视器对IPSec进行相应的监控
IPSec能够与NAP功能集成起来,通过IPSec结合NAP的方式能够最大限度的保障企业网络的接入安全,NAP IPSec的方式也是企业中最有效的控制网络接入,进行安全检查,保障网络安全的方法
IPSec的配置相比之前有了很大的简化,也利于企业部署IPSec,降低了部署的难度,降低了企业的成本
IPSec还能够支持负载均衡和群集服务,实现了企业的高可用的安全
活动目录的审核:
活动目录审核能够通过对系统访问控制列表(SACL)的修改,查看用户对于活动目录对象的访问和修改,在Windows Server 2008中是默认启用的,审核功能既能够审核成功的操作,也能够审核失败的操作,这样就能够最大限度的保障活动目录的安全性
在Windows 2000 Server和Windows Server 2003中只有一种审核策略(审核目录服务访问), 用来控制审核目录服务事件是被启用或者禁用。在Windows Server 2008,本策略被划分成四个子类别:
目录服务访问(Directory Service Access)
目录服务更改(Directory Service Changes)
目录服务复制(Directory Service Replication)
详细的目录服务复制(Detailed Directory Service Replication)
正因为新的审核子类(目录服务更改)的出现,所以AD DS对象属性的更改才能被审核。你能够审核的更改类型有创建,修改,移动以及反删除。这些事件将被记录在安全日志中。
在AD DS中新的审核策略子类(目录服务更改)增加了以下的功能:
当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时,只有作为修改操作结果变化的值才会被记录。
如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如sAMAccountName等系统属性,这些系统属性值将不被记录。
如果一个对像被移动到同一个域中,那么先前的以及新的位置(以distinguished name 形式)将被记录。当对象被移动到不同域时,一个创建事件将会在目标域的域控制器上生成。
如果一个对象被反删除,那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。
网友评论