安全性能的提高
从Windows被研发出来,安全问题就一直困扰着微软公司,但是在近几年,随着越来越多的人联网,越来越多的漏洞被发现。事实上,每月的系统补丁发布是涉及不够严密的结果。这些类型的缺陷是微软希望在Windows Server 2008系统中避免的。
你将看到Windows Server 2008进行了很多更新,包括提高了进入内核的层级数目,分开服务以降低缓冲器超载的可能,同时减少高风险特权层以减少受攻击层面的规模。
而操作系统的基础设计更改,Windows Server 2008组也设计了一些排除安全隐患和病毒入侵的功能,同时也设计了防止企业数据泄露和被夺取的功能。让我们看看这些功能改进:
操作系统文件保护
一个新的功能,确保了服务器导入处理的完整进行。Windows Server 2008创建了一个基于正在采用的内核文件的确认钥,这是你的系统和驱动器一个特定的硬件提取层,始于导入阶段。在这一密钥创建后,如果任何后期导入文件更改,操作系统将被告知并中止这一导入处理,这样你就可以进行问题纠正。
操作系统文件保护也扩展了每个磁盘驱动器上的二进制影像。这种模式的操作系统文件保护包括了一个文件系统过滤器驱动——可读下载在内存上的每一页,检查无用信息同时确认任何试图下载到保护过程的图像(一般来说对攻击最敏感)。这些杂乱信息被存放在一个特定的系统目录下,或者存放在一个嵌入驱动器上的一个安全文件X.509证明。如果任何测试结果都失败了,操作系统文件保护将中止这一处理过程以保证服务器安全。这一保护避免了疑似病毒的入侵。
BitLocker
驱动器加密需求是最近安全性保护的流行方式,同时在Windows Vista和Windows Server 2008中微软公司都增加了被称为BitLocker的功能。
BitLocker是设计在特定的环节——窃贼可能获取到硬盘物理通路。没有加密术,黑客就可以轻松导入另一个操作系统或者运行攻击工具并访问文件,这样就完全绕开了NTFS文件系统许可。Windows 2000 Server和Windows Server 2003中的加密文件系统(Encrypting File System)有了进一步的改进,通常扰乱了驱动器上的bit,但是进行文件加密的密钥不像想象中那样安全性强。有了BitLocker,密钥被存放在系统主板的Trusted Platform Module芯片上,或者是在导入前插入的USB闪存驱动器上。
BitLocker已经彻底完成:当被激活的时候,可对整个Windows进行加密,包括用户数据和系统文件、休眠文件、页面文件和临时文件。导入过程自身也受BitLocker的保护,这一功能创建了一个基于个人导入文件所有权的信息。因此如果已经修正并被替换,比如,一个Trojan文件,BitLocker将找出问题并阻止导入。相对于EFS的局限性,这的确有了很大进步,同时一个很明显的改进在于未经加密的驱动器系统安全的提高。
设备安装控制
另一个困扰企业的安全问题是USB拇指驱动的增多。无论你将文件服务器的许可设定的多安全,无论你将文档的销毁功能设置的多细致,也无论你在eyes-only文档上采用了何种类型的内置控制,一个用户可以轻易地将一个拇指驱动插入USB端口并复制数据,从而完全绕过了企业的物理安全系统。
这些驱动器里通常包括一些企业中敏感度非常高的信息。但是却经常发现安全性不高。问题很明显,一些企业将弃用的USB端口用浇水粘住。这是一种有效的方法,但是却很不整洁。
对于Windows Server 2008系统,一个管理员必须有能力阻止所有新设备安装,包括USB拇指驱动、外置硬盘驱动和其他新设备。你可以轻松地在配置一台服务器的同时不安装任何新设备。基于设备级别或者设备的ID,你也可以设置一些特例,比如,允许安装键盘和鼠标,但是其他外置设备都禁制安装。或者你可以允许特定ID的设备安装。以上都可以通过Group Policy进行配置,同时这些政策都是计算机级别的设置。
Windows防火墙有着更先进的安全性
Windows Server 2003 Service Pack 1的Windows Firewall版本和Windows XP Service Pack 2的完全相同。作为一时的权宜之计,微软暂且将Service Pack 1和这一款防火墙进行了绑定,公司方面说,他们将进行防火墙开发,并在下一版本的Windows中进行改进。
拥有Advanced Security功能的新款Windows防火墙将防火墙和Ipsec管理功能结合进便利的微软管理控制台(Microsoft Management Console) 管理插件。防火墙驱动被重新建构以与过滤器和Ipsec相协调。有了更多的管理功能,这样你可以更方便地指定明确的安全需求,比如验证和加密。
设置可构建在每个Active Directory计算机或者用户组基础上。外置过滤器已经被激活,除了Windows Firewall之前版本的内置过滤器外什么都没有。对每台计算机的总体支持也得到了提升,当前有一个何时机器被连接到区域的概况,一份个人网络连接的概况和公共网络连接(如无线热区)的概况。可引入相关政策,这就实现了多个计算机防火墙结构的协调和简单管理。