Windows Server 2008安全性
凭据缓存
凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比,它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求。
当一个账户被成功验证时,RODC会试图联系枢纽站点中一台可写的域控制器,并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC,并考虑影响到RODC的密码复制策略。
管理员角色分割
你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。
只读DNS
你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上,用户能够像查询其它DNS服务器一样进行名称解析。
BitLocker驱动器加密,能够保障企业个人计算机、企业计算机存储数据的安全
通过对硬盘数据的全卷加密,保障企业数据安全
BitLocker 紧密集成于 Windows Server 2008 中,为企业提供了无缝、安全和易于管理的数据保护解决方案。例如,BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台,以供用于“实地”数据检索。在默认使用情况下,BitLocker 不需要终端用户的操作,它甚至可以远程自动完成自我激活。
通过 BitLocker 还可选择锁定正常的引导过程,直至用户提供 PIN(类似于 ATM 卡 PIN)或插入含有密钥资料的 USB 闪存驱动器为止。这些附加的安全措施可实现多因素身份验证,并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。
BitLocker 提供了一个用于设置和管理的向导,并通过具备脚本编写支持的 Windows 管理规范 (WMI) 界面提供了可扩展性和可管理性。另外,BitLocker 还通过明显加速安全磁盘清理过程简化了计算机的重复利用。
由 BitLocker 所保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。而且,如果发生很少可能出现的系统锁定(也许是由硬件故障或直接攻击而引起),BitLocker 会提供一个简单而有效的恢复过程。此类情况包括许多事件,例如将含有操作系统卷的硬盘驱动器移动到另一台计算机或更换系统主板。
总之,使用 Windows Server 2008 BitLocker 驱动器加密功能的好处如下:
• 通过完整的驱动器加密显著提高对休眠数据的保护
• 通过可扩展的安全保护实现卓越的可用性
• 企业级就绪部署能力,包括 Active Directory 集成
• 可防止在脱机状态下对系统进行篡改
• 更有效的硬件重用/淘汰处理
• 集成式灾难恢复功能
BitLocker 增强了公司的数据保护策略,通过保护休眠数据帮助组织达到日益严格的法规要求,并且在对设备进行淘汰处理时提升了安全性并节省了成本.
Windows Server 2008 中的 PKI 围绕四个主要核心方面进行了改进:加密、注册、可管理性和吊销。除了这些特定功能的改进外,Windows PKI 平台还受益于其他的操作系统改进(如角色管理器),这些改进使得创建和部署新的证书颁发机构 (CA) 更加轻松。另外,Windows 的其他许多部分都能够利用 PKI 平台中的改进,如在 Windows Vista 中支持使用智能卡存储加密文件系统 (EFS) 密钥。
加密
对加密服务核心的改进体现在两方面。首先,通过引进下一代加密技术 (CNG),Windows 现在提供一种可插入的、协议不可知的加密功能,此功能使得以编程方式开发和访问独立算法更加轻松。其次,CNG 还新增了对 Suite B 算法的支持,该算法在 2005 年由 National Security Agency (NSA) 引入。
网友评论