在六月初,微软发布了接近最终发布版本的Windows Server 2012以及Windows 8的发行预览版。本文让我们来看看Server 2012中有哪些引人注目的新功能。
笔者此前对Windows Server 2012 beta版的新功能进行了总结,包括多机管理、Hyper-V改进、安全性增强等,本文中,我们将看看除beta版中新功能以外的新增功能。
动态访问控制
在Windows Server 2012中,动态访问控制(DAC)是一套功能和工具集,主要用于加强文件系统安全(自NT时期以来就一直是Windows的一部分)。动态访问控制加入了分类、政策执行、审计和加密以保护各种类型的数据免受未经授权访问和肆意篡改的危害。
让我们来看看动态访问控制是如何运作的,我们从几个不同类型的政策来看开始。
首先是中央访问政策,它为现有访问控制列表(ACL)新增了一个安全层。这些政策位于ACL之上,为文件和对象访问增加了额外的授权层。这些政策还涉及企业中的所有服务器,所以它们的应用非常广泛,影响着整个企业。
中央访问政策比特定文件或文件夹ACL更细粒度化,并能更好地转化为你可能要面对的业务需求。这些政策考虑了用户的身份,用户用于访问目的使用的设备类型以及被访问的数据类型。而不是像ACL那样迫使你在“yes或no”中作出选择。
这是在Active Directory Domain Services中你可以设置动态访问控制政策的位置之一
例如,企业可以根据信息的性质来创建限制对某个文件或文件夹的访问权限的政策,这有助于帮助企业遵守政府和行业法规。
此外,你可以根据用户目前所属部门来创建限制访问政策。最后,你可以创建一个政策规定,企业某些部门的用户只能访问与其工作相关的信息,这在金融机构比较常用。
中央访问政策应与中央审计政策配合使用,中央审计政策主要是备份访问政策以及证明企业遵守合规要求。当你看到任何政府或行业合规要求,并将该要求的条件输入到审计政策,然后你就能检索到证明你遵守合规的即时报告。
你还能看到访问授权不当的情况,在这种情况下,应该调整你的政策以确保这些漏洞不会再出现。你还会看到用户或用户组试图访问信息(而未能成功)的情况,这从安全的角度来看是很有帮助的,因为这表明用户需要接受进一步的教育。
访问和审计政策可以与文件分类基础设施配合使用,文件分类基础设施最早出现在Windows Server 2008 R2中,在最新版本中,该功能得到了改进。通过分类文件,你可以对文件进行标记,标记可以使数据类型、适用于数据的法规类型、数据有限期限、数据的保密限制的到期日等等。
中央访问和审计政策通过文件分类基础设施的这些标记以及文件系统ACL来确定应该对谁授予访问权限以及在何种条件下授予访问权限。例如,如果你将某文件夹标记为HIPAA敏感数据(因为其保护敏感医疗数据),当中央访问政策规定限制对这些信息的访问,那么当用户试图访问HIPAA信息时,政策就会限制用户访问。
无论访问是否成功,审计政策都会记录这次活动用于进一步监测。此外,Windows Server 2012限制可以根据文件分类来自动加密文件,这样所有标记HIPAA的文件都会进行自动加密。这些加密也可以用于合规目的的审计。
这个功能能够帮助你加强对信息的访问控制,你不再需要看着一个个文件或文件夹来决定“是的,这些人可以访问”或者“这些人不能访问”。
#p#副标题#e#
虚拟桌面基础设施的改善
RemoteFX技术一直都是Windows Server的一部分,新系统中,这项技术为通过远程桌面协议(RDP)的托管会话带来了本地优质图像。
Windows Server 2012的最大优势之一是删除了服务器中物理GPU卡和视频卡的要求以更好地发挥RemoteFX的优势。此前,对于物理GPU卡和视频卡的要求,扩展规模非常昂贵和麻烦,你需要在服务器中部署一个专用GPU以支持托管远程桌面会话的虚拟桌面中的所有用户。而现在,虚拟化GPU取代了物理GPU卡,没有特殊视频装置的服务器也可以支持高性能会话。
操作系统创建了一个单独的虚拟硬盘(VHD)文件来存储用户个性化信息。当用户登录到资源池桌面时,Windows会分流个性化VHD来创建个性化体验。
此外,USB支持RDP会话得到了进一步加强,例如,如果USB设备在本地Windows客户端工作,它将能在RDP工作而不需要特殊的驱动程序。此前,只有小部分Windows兼容的USB设备可以通过RDP连接被“发送”,让VDI部署受到很大限制。只要这些设备能够在本地客户端使用,智能卡读写器、摄像头、游戏都能够无缝地用于RDP远程会话。
还有一个新的“Fair Share”技术,主要负责管理分配主机上所有运行会话的CPU、内存、磁盘空间和网络带宽,它能够防止一个用户占用大量资源,按照一定比例限制用户的资源。
你可以在全球范围内配置限制百分比,然后这些百分比将会均匀地应用到所有正在运行的设置中。在默认情况下,你不能指定一个用户拥有两倍多的网络控制,这也是为什么这项技术被称为“公平共享”的原因。不过,这是一个很好的方式,以确保加载高清晰电影的用户不会影响其他所有人的VDI体验。
此外,资源池式桌面的一个大缺点被删除了。在过去,当用户被分配到一个资源池虚拟机时,他们的体验会受到影响。每当他们修改设置或者本地存储数据到资源池机器,当系统注销时,这些设置都会被删除,因为资源池的镜像是动态的。
在Windows Server 2012中,操作系统会创建一个单独的虚拟硬盘(VHD)文件来存储用户个性化信息,当用户登录到资源池桌面时,Windows将会加载个性化VHD以及资源池镜像VHD以创建个性化体验。并且,它还将所有设置改变保存到用户磁盘中,这样当用户下一次登陆时,这些变化就会反映出来。
现在你可以享受修复和维护单个镜像的优势,同时允许用户定制他们自己的工作环境。
最后,基于VDI部署的存储选项也得到了改善。例如,你可以通过服务器信息块文件共享、存储区域网络(SAN)或本地存储来存储和操作VHD。资源池虚拟桌面集可以按层来配置,换句话说,不常使用的机器可以存储在廉价的存储中,而更频繁使用的VHD和会话可以存储在更快但更贵的存储中。VDI能够很好地与Windows Server 2012中的集群和故障转移功能配合使用,以确保高可用性。
#p#副标题#e#
网络改进
另一个重大改进是DirectAccess,它允许从任何端点返回企业系统,而不会对真正的VPN带来性能影响。
在该客户端上没有管理代理,当该技术正确配置后,就能够使用了。用户将拥有对文件共享、企业设备和其他资源的无缝连接,就好像他们在企业内部一样。
只需要七次点击,管理员就可以完成这个向导,DirectAccess就可以使用了
此外,组策略对象得到应用,管理员可以在任何地方管理及其,而不只是只有当员工来到企业内部或者及其连接到VPN时。
曾经,使用DirectAccess的缺点是设置该系统的高要求(曾经依赖于IPv6或者IPv6到IPv4转换引擎)以及配置DMZ中或者网络边缘的服务器端点,它也没有支持虚拟化。
在Windows Server 2012中,这些要求都被删除了。DirectAccess能够无缝地与IPv4工作,不再需要奇怪的Teredo或者转换通道。此外,你还可以毫无问题地对运行DirectAccess“拦截器”的边缘机器进行虚拟化。我只在Hyper-V尝试过,不过我相信该产品正式发布时,VMware也将得到支持。
最后,这个发行预览版中的新的Express Remote Access Wizard(快速远程访问向导)消除了设置DirectAccess的所有复杂性。只需要七次点击,管理员就可以完成这个向导,DirectAccess就可以使用了
DirectAccess是一种非常强大的技术,非常适用于拥有大量远程工作人员的企业。
总结
从更简单的DirectAccess部署到全面的文件分类和动态访问控制系统,再到企业部署虚拟桌面基础设施的更好的用户体验,Windows Server 2012的发行候选版的功能改进非常引人注目且具有竞争力。
原文链接:http://www.cnw.com.cn/news-report/htm2012/20120711_250167.shtml