Windows Server 2008安全性
随着 Windows Server 2008 的正式发布,一个尤为突出的话题也随之显现出来——安全,我们知道 Windows Server 2008 是迄今为止最安全的 Windows 操作系统,那么它在安全性方面为我们带来了怎样的改进和增强呢?
Windows高级防火墙:确保企业网络安全
IPSec:保障数据传输安全
活动目录域服务审核:针对活动目录的保护
只读域控制器
BDE:保障企业数据存储安全
企业级PKI
Windows高级防火墙
Windows防火墙带来了一些新的特性和改进,能够创建入站和出战通讯的防火墙规则
制定入站和出战策略,Windows防火墙与IPSec的结合
Windows高级防火墙,降低了企业或个人计算机受到攻击的风险,不但能够防止入站的攻击,还能够阻止由于本地计算机感染恶意程序发出的出站攻击,提高了企业的网络安全水平
1、新的图形化界面。
现在通过一个管理控制台单元来配置这个高级防火墙。
2、双向保护。
对出站、入站通信进行过滤。
3、与IPSEC更好的配合。
具有高级安全性的Windows防火墙将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。
4、高级规则配置。
可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指 定的标准。如果数据包与规则中的标准匹配,则具有高级安全性的Windows防火墙执行规则中指定的操作,即阻止连接或允许连接。如果数据包与规则中的标 准不匹配,则具有高级安全性的Windows防火墙丢弃该数据包,并在防火墙日志文件中创建条目(如果启用了日志记录)。
对规则进行配置时,可以从各种标准中进行选择:例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多,具有高级安全性的Windows防火墙匹配传入流量就越精细。
Windows Server 2008安全性
IPSec:
Windows Server 2008的IPSec的一些改进点
与防火墙的集成,IPSec配置的简化,与NAP的集成
支持IPv6等技术细节
IPSec支持新的加密方法,能够为企业提供更高的安全
IPSec扩展了事件和性能监视器的计数器,能够通过性能监视器对IPSec进行相应的监控
IPSec能够与NAP功能集成起来,通过IPSec结合NAP的方式能够最大限度的保障企业网络的接入安全,NAP IPSec的方式也是企业中最有效的控制网络接入,进行安全检查,保障网络安全的方法
IPSec的配置相比之前有了很大的简化,也利于企业部署IPSec,降低了部署的难度,降低了企业的成本
IPSec还能够支持负载均衡和群集服务,实现了企业的高可用的安全
活动目录的审核:
活动目录审核能够通过对系统访问控制列表(SACL)的修改,查看用户对于活动目录对象的访问和修改,在Windows Server 2008中是默认启用的,审核功能既能够审核成功的操作,也能够审核失败的操作,这样就能够最大限度的保障活动目录的安全性
在Windows 2000 Server和Windows Server 2003中只有一种审核策略(审核目录服务访问), 用来控制审核目录服务事件是被启用或者禁用。在Windows Server 2008,本策略被划分成四个子类别:
目录服务访问(Directory Service Access)
目录服务更改(Directory Service Changes)
目录服务复制(Directory Service Replication)
详细的目录服务复制(Detailed Directory Service Replication)
正因为新的审核子类(目录服务更改)的出现,所以AD DS对象属性的更改才能被审核。你能够审核的更改类型有创建,修改,移动以及反删除。这些事件将被记录在安全日志中。
在AD DS中新的审核策略子类(目录服务更改)增加了以下的功能:
当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时,只有作为修改操作结果变化的值才会被记录。
如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如sAMAccountName等系统属性,这些系统属性值将不被记录。
如果一个对像被移动到同一个域中,那么先前的以及新的位置(以distinguished name 形式)将被记录。当对象被移动到不同域时,一个创建事件将会在目标域的域控制器上生成。
如果一个对象被反删除,那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。
Windows Server 2008安全性
只读域控制器:
只读域控制器的概念,以及为企业带来安全性的好处
RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全,网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题:
只读活动目录数据库
单向复制
凭据缓存
管理员角色分离
只读DNS
只读活动目录数据库
除了账户密码之外,RODC拥有所有可写域控制器拥有的对象和属性。然而,无法针对储存在RODC的数据库进行任何数据上的更改。数据上的更改必须在可写域控制器上进行然后复制回RODC。
请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到“referral”应答。通常情况下这些应答将写入请求引导到在枢纽站点中可写的域控制器。
RODC已筛选属性集
使用AD DS作为数据存储的某些程序,也许会将类似信任凭据的数据(诸如密码,信任凭据,加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况。
为了这些程序。你可以在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC。
威胁到RODC的恶意用户能够以某种途径尝试配置RODC,并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。如果RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性,那么复制请求将被拒绝。然而,如果RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性,复制请求将被接受。
RODC已筛选属性集被配置在拥有架构操作主机的服务器上。如果你尝试添加系统关键属性打到RODC已筛选属性集,而且架构操作主机运行在Windows Server 2008上,那么服务器将返回“unwillingToPerform”的LDAP错误。如果你尝试添加系统关键属性打到RODC已筛选属性集,但是架构操作主机运行在Windows Server 2003上,那么操作将看上去是成功完成了,然而属性值实际上却没有被添加。因此,当你想要添加属性到RODC已筛选属性集时,价格操作主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。
单向复制
因为没有任何属性的变化会被直接写入RODC,所以任何变化不会从RODC发起。因此,作为复制伙伴的可写域控制器不会产生从RODC“拉”数据的操作。这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的其余部分。这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量。
RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。
Windows Server 2008安全性
凭据缓存
凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比,它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求。
当一个账户被成功验证时,RODC会试图联系枢纽站点中一台可写的域控制器,并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC,并考虑影响到RODC的密码复制策略。
管理员角色分割
你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。
只读DNS
你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上,用户能够像查询其它DNS服务器一样进行名称解析。
BitLocker驱动器加密,能够保障企业个人计算机、企业计算机存储数据的安全
通过对硬盘数据的全卷加密,保障企业数据安全
BitLocker 紧密集成于 Windows Server 2008 中,为企业提供了无缝、安全和易于管理的数据保护解决方案。例如,BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台,以供用于“实地”数据检索。在默认使用情况下,BitLocker 不需要终端用户的操作,它甚至可以远程自动完成自我激活。
通过 BitLocker 还可选择锁定正常的引导过程,直至用户提供 PIN(类似于 ATM 卡 PIN)或插入含有密钥资料的 USB 闪存驱动器为止。这些附加的安全措施可实现多因素身份验证,并确保在提供正确的 PIN 或 USB 闪存驱动器之前计算机不会从休眠状态中启动或恢复。
BitLocker 提供了一个用于设置和管理的向导,并通过具备脚本编写支持的 Windows 管理规范 (WMI) 界面提供了可扩展性和可管理性。另外,BitLocker 还通过明显加速安全磁盘清理过程简化了计算机的重复利用。
由 BitLocker 所保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。而且,如果发生很少可能出现的系统锁定(也许是由硬件故障或直接攻击而引起),BitLocker 会提供一个简单而有效的恢复过程。此类情况包括许多事件,例如将含有操作系统卷的硬盘驱动器移动到另一台计算机或更换系统主板。
总之,使用 Windows Server 2008 BitLocker 驱动器加密功能的好处如下:
• 通过完整的驱动器加密显著提高对休眠数据的保护
• 通过可扩展的安全保护实现卓越的可用性
• 企业级就绪部署能力,包括 Active Directory 集成
• 可防止在脱机状态下对系统进行篡改
• 更有效的硬件重用/淘汰处理
• 集成式灾难恢复功能
BitLocker 增强了公司的数据保护策略,通过保护休眠数据帮助组织达到日益严格的法规要求,并且在对设备进行淘汰处理时提升了安全性并节省了成本.
Windows Server 2008 中的 PKI 围绕四个主要核心方面进行了改进:加密、注册、可管理性和吊销。除了这些特定功能的改进外,Windows PKI 平台还受益于其他的操作系统改进(如角色管理器),这些改进使得创建和部署新的证书颁发机构 (CA) 更加轻松。另外,Windows 的其他许多部分都能够利用 PKI 平台中的改进,如在 Windows Vista 中支持使用智能卡存储加密文件系统 (EFS) 密钥。
加密
对加密服务核心的改进体现在两方面。首先,通过引进下一代加密技术 (CNG),Windows 现在提供一种可插入的、协议不可知的加密功能,此功能使得以编程方式开发和访问独立算法更加轻松。其次,CNG 还新增了对 Suite B 算法的支持,该算法在 2005 年由 National Security Agency (NSA) 引入。
Windows Server 2008安全性
注册
Windows 中的证书注册体验得到了显著改善,提供新的基于向导的注册工具、更佳的证书过期处理、新 API、“代表注册”功能以及凭据漫游等功能。这些增强功能通过集中管理的方式更加轻松地在企业范围内部署证书,降低对用户的影响,从而降低了 PKI 的总体拥有成本。
可管理性
Windows Server 2008 中进行了大量升级,通过以高可用性方式使证书颁发机构 (CA) 服务更容易设置、监视和运行,改进了该服务的可管理性。CA 设置与角色管理器工具集成,并提供了安装 CA 服务的简单方法。为过程中的每个步骤都定义了默认设置,现在设置可以在无人参与模式下执行。最后,设置拥有了更好的诊断功能,使其更容易对可能出现的故障或问题进行故障排除。
Windows Server 2008 中大大增强了对 CA 服务的监视(在 Windows Vista 中拥有全面的证书诊断)。除了跨整个产品的更加灵活的事件记录基础结构外,现在 CA 服务自身还拥有一个内置监视控制台并与 Systems Center Operations Manager 2007(以前称为 MOM)相关联以提供企业级警报。企业 PKI 监视控制台是对 Windows Server 2003 AdminPak 中引入的其前身的改进。新的控制台包含在产品本身中,除了监视指定林中的所有 CA 外,现在还可以监视联机证书状态协议 (OCSP) URI。
吊销
长期以来,CRL 一直用于提供对证书的有效性检查。这些 CRL 包括有效期尚未过期但不再受信任的所有证书的序列号。例如,如果某个员工的证书的过期日期为 12/31/2008,但该员工在 9/1/2007 离开了该组织,则其证书的序列号将被添加到 CRL 中。然后,该 CRL 将可用于多个 CRL 分发点 (CDP),如 HTTP 和轻型目录访问协议 (LDAP) 路径。
Server Core
减少了在服务器上安装和运行的文件,暴露给网络的攻击目标也有所减少,遭攻击的可能也相应减小
网友评论