Windows Server 2008安全性
注册
Windows 中的证书注册体验得到了显著改善,提供新的基于向导的注册工具、更佳的证书过期处理、新 API、“代表注册”功能以及凭据漫游等功能。这些增强功能通过集中管理的方式更加轻松地在企业范围内部署证书,降低对用户的影响,从而降低了 PKI 的总体拥有成本。
可管理性
Windows Server 2008 中进行了大量升级,通过以高可用性方式使证书颁发机构 (CA) 服务更容易设置、监视和运行,改进了该服务的可管理性。CA 设置与角色管理器工具集成,并提供了安装 CA 服务的简单方法。为过程中的每个步骤都定义了默认设置,现在设置可以在无人参与模式下执行。最后,设置拥有了更好的诊断功能,使其更容易对可能出现的故障或问题进行故障排除。
Windows Server 2008 中大大增强了对 CA 服务的监视(在 Windows Vista 中拥有全面的证书诊断)。除了跨整个产品的更加灵活的事件记录基础结构外,现在 CA 服务自身还拥有一个内置监视控制台并与 Systems Center Operations Manager 2007(以前称为 MOM)相关联以提供企业级警报。企业 PKI 监视控制台是对 Windows Server 2003 AdminPak 中引入的其前身的改进。新的控制台包含在产品本身中,除了监视指定林中的所有 CA 外,现在还可以监视联机证书状态协议 (OCSP) URI。
吊销
长期以来,CRL 一直用于提供对证书的有效性检查。这些 CRL 包括有效期尚未过期但不再受信任的所有证书的序列号。例如,如果某个员工的证书的过期日期为 12/31/2008,但该员工在 9/1/2007 离开了该组织,则其证书的序列号将被添加到 CRL 中。然后,该 CRL 将可用于多个 CRL 分发点 (CDP),如 HTTP 和轻型目录访问协议 (LDAP) 路径。
Server Core
减少了在服务器上安装和运行的文件,暴露给网络的攻击目标也有所减少,遭攻击的可能也相应减小
网友评论