【IT168 专稿】自从Windows发布以来，安全问题一直困扰着微软公司。而且近几年来，随着入网的人越来越多，黑客们也加快了攻击这些漏洞的脚步。我们在Patch Tuesday中发现，某些漏洞是由不合理的设计造成的。微软希望通过发布Longhorn Server，铲除这些漏洞。

    而且，Windows Server 200x的服务体系结构发生了很大的改动，其中包括：增加了内核访问所需的程序层；为了降低内存溢出，分割了服务；为了使受攻击面降到最小，减少了高风险、特权层的规模。

    除了对操作系统设计进行根本性改进外，Longhorn Server开发组还设计了几个新的特性，力求消除安全漏洞和恶意软件袭击，防止公司数据泄露和被拦截。下面，让我们来看看Beta 2究竟做出了哪些改良。

    相关系列文章:

Longhorn Server变身有术(1):内核与IIS7
http://publish.it168.com/2007/0413/20070413004501.shtml

Longhorn Server变身有术(2):网络结构
http://publish.it168.com/2007/0413/20070413005301.shtml

Longhorn Server变身有术(3):安全特性
http://publish.it168.com/2007/0425/20070425001801.shtml

Longhorn Server变身有术(4)：管理特性
http://publish.it168.com/2007/0426/20070426004801.shtml

1）操作系统文件保护

    作为Beta 2的一个新的特征，“操作系统文件保护”保证了服务器启动过程的完整性。在系统启动时，Longhorn Server为您的系统创建了一个基于内核文件的验证键值，以及一个特殊硬件抽象层（HAL）。在键值创建后，文件如果发生改变，操作系统将在后续启动步骤中监测到文件改变，并暂时停止启动进程，直到您解决这个问题为止。

    此外，操作系统文件保护技术扩展了硬盘驱动中的二进制映像。处在这种模式下的操作系统文件保护技术包含一个系统文件过滤驱动，它读取内存中每个加载页、检测其哈希表、以及验证试图侵入受保护进程的任何映像文件（最容易引发攻击）。

    这些哈希表文件存储在一个指定的系统目录、或者一个名为X.509的证书中，该证书隐藏在驱动中的一个安全文件中。如果任何一项测试失败，操作系统文件保护技术将终止该进程，保护计算机的安全，有效地防止了可疑恶意软件的袭击。

2）磁盘加密位元锁

    最近，驱动加密需求成为安全领域的一个炙手可热的话题。在Windows Vista和Longhorn Server中，微软推出了一项新技术，称之为“磁盘加密位元锁（BitLocker）”。磁盘加密位元锁（BitLocker）专为场景设计，因为在场景中，黑客可获取硬盘驱动的物理访问。如果没有加密技术，黑客将轻而易举地绕过NTFS文件系统权限，启动另一个操作系统、或者运行黑客工具，进而访问文件。

    Windows 2000 Server和Windows Server 2003中的加密文件系统（EFS）技术也获得了进一步的改进。在以前的版本中，字节散落在磁盘中，而文件的解密键值却未得到应有的保护。在磁盘加密位元锁（BitLocker）中，解密键值存储在系统中一个值得信赖的平台模块（Trusted Platform Module）芯片中，或者存于启动时加载的一个USB闪存中。

    毫无疑问，磁盘加密位元锁（BitLocker）是完善的：BitLocker处在启动状态时，它加密整个Windows目录，包括用户数据文件、系统文件、睡眠文件、页面文件以及临时文件。此外，它还为启动进程提供保护伞——它创建一个基于用户启动文件的哈希表，如果某个启动文件被修改或者被替换（比如说一个特罗伊木马文件），磁盘加密位元锁（BitLocker）将检测到该问题，并中止启动进程。磁盘加密位元锁（BitLocker）消除了加密文件系统（EFS）技术的局限性，是未加密磁盘系统安全的一项重大改进。

3）设备安装控制

    另一个困扰业务系统的安全问题是USB设备的广泛流行。无论文件服务器的安全级别有多高，文档自我毁损功能有多好，以及无论对保密文档采取何种内部控制措施，一个用户只需要简单地插入一个USB磁盘，就能复制走数据，且完全可以绕过物理安全检测。

    众所周知，企业的磁盘中通常包含了非常敏感的信息，但这些信息却往往被人存放在USB移动硬盘或笔记本电脑等容易泄密的地方。这一问题已日益严重，有的公司为了禁止使用USB设备，甚至在USB端口上抹上胶水。

    而在Longhorn Server中，管理员有权禁止安装新设备，包括U盘、外部移动硬盘等。管理员还可以根据设备类型或设备ID来设置一些规则，如只允许安装鼠标和键盘，不允许安装其他设备；或者只允许安装某种品牌的产品，不允许安装其他品牌的设备。这些都可以通过组策略（Group Policy）来设置，而且都是在计算机层面进行设置的。

4）带有高级安全特性的Windows防火墙

    与Windows XP SP2一样，当初Windows Server 2003 SP1也带有Windows防火墙。不过，微软将防火墙和Service Pack 1捆绑在一起，只是权宜之计。现在，微软全新的Windows防火墙拥有高级安全特性，并将防火墙和IPsec管理组合形成了一个方便的MMC snap-in，如图2所示。

图2 MMC snap-in高级安全的Windows防火墙

    为了减少冲突，更好的协调过滤器和IPsec，防火墙引擎的体系结构也已经改头换面。它新增了更多规则性功能后，您可以显性指定安全要求，比如说认证和加密。凭借一个per-AD计算机或者用户组基础，您可轻而易举地配置设置。

    外部过滤器也初次登台——在前版本的Windows防火墙中只有一个内部过滤器。此外，镜像支持也有所改善——基于单台电脑，当一台机器连接一个域时，系统将自动产生镜像文件，包括私有网络连接镜像和一个公共网络连接镜像，比如说无线热点(wireless hot spot)。此外，策略导入导出非常简单，维持了多台电脑防火墙配置管理的一致性和方便性。

5）网络访问保护

    通常，用户会话中的安全软件可拦截病毒和恶意软件，但是，用户一旦连接网络，终极保护便成为一道无法逾越的屏障。在Longhorn Server中，微软推出了一个全新的系统，管理员通过设置，电脑将执行基线检查。如果电脑安全级别达不到基线，系统将不能访问网络——将之与健康系统隔离，直到用户解决了安全问题。这种功能被称之为网络访问保护（Network Access Protection，NAP）。NAP可分为几个主要组件：

• 健康策略验证：验证过程将根据管理员设定的标准，检查即将连接网络的电脑。
  
• 遵循健康策略：选择遵循策略后，即使电脑执行验证过程失败，系统管理服务器，或者其他管理软件将自动更新和完成安全检查。
  
• 访问限制：访问限制是NAP的一项增补功能。当NAP处在“只监控”状态，系统只记录计算机网络连接的验证和遵循（compliance）过程，但是NAP若处在“活动”状态，跳过验证过程的计算机只能访问有限网络，通常，几乎所有的网络访问都被禁止，机器只能访问某些特定的服务器（包含机器所需的常用工具）。

    注意，NAP只是安全检查软件的一个平台——安装Longhorn Server后，其组件仍需要手工配置，包括系统健康代理(SHA)以及系统健康验证器(SHV)，确保每台客户端机器都将执行安全检查和验证。Windows Vista装载了默认SHAs和SHVs，且可以自定义安装。