【IT168 专稿】Windows Server 2008 具有许多用于改进安全性和符合性的功能。部分主要增强功能包括：

    • 强制实现客户端正常运行：网络访问保护 (NAP) 使管理员可以在允许客户端访问网络之前配置和强制实现正常运行与安全要求

    • 监视证书颁发机构：企业 PKI 改进了监视多个证书颁发机构 (CA) 以及对其进行故障排除的功能。

    • 防火墙增强功能：新的具有高级安全性的 Windows 防火墙提供了许多安全增强功能

    • 加密和保护数据：BitLocker 通过对磁盘驱动器加密来保护敏感数据

    • 加密工具：下一代加密技术提供了灵活的加密开发平台

    • 服务器和域隔离：服务器和域资源可以隔离，以限制对通过身份验证和授权的计算机进行访问

    • 只读域控制器 (RODC)：RODC 是新类型的域控制器安装选项，可以安装在可能具有较低级别的物理安全性的远程站点中
这些改进可帮助管理员提高组织的安全级别，简化与安全相关的配置和设置的管理与部署。

网络访问保护

    网络访问保护 (NAP) 可以防止不能正常运行的计算机访问组织网络和影响其安全性。NAP 用于配置和强制实现客户端正常运行要求，以及在不符合要求的计算机可以连接到公司网络之前对其进行更新或修补。通过 NAP，管理员可以配置正常运行策略，这些策略定义连接到组织网络的计算机的软件要求、安全更新要求和所需的配置设置等内容。

    NAP 通过评估客户端计算机的运行状况以及限制不符合要求的客户端计算机的网络访问来强制实现客户端正常运行要求。客户端和服务器端组件都可帮助对不符合要求的客户端计算机进行修补，以便其获取不受限制的网络访问权限。如果确定某台客户端计算机不符合要求，则可以拒绝它对网络进行访问，或者立即对其进行修补以使其符合要求。

    NAP 强制实现方法支持四种网络访问技术，它们与 NAP 结合使用来强制实现正常运行策略：Internet 协议安全 (IPsec) 强制、802.1X 强制、用于路由和远程访问的虚拟专用网络 (VPN) 强制以及动态主机配置协议 (DHCP) 强制。
Windows 防火墙高级安全功能

    Windows Server 2008 中具有高级安全性的 Windows 防火墙是基于主机的状态防火墙，它依据其配置和当前运行的应用程序来允许或阻止网络通信，从而保护网络免遭恶意用户和程序的入侵。

    一项新功能是支持防火墙对传入和传出通信进行拦截。例如，网络管理员可以对新的 Windows 防火墙配置一组例外情况，阻止所有通信发送到特定端口（如已知的由病毒软件使用的端口）或者发送到包含敏感内容或不希望被访问的内容的地址。这样可以使计算机免遭可能通过网络传播的病毒的入侵，并使网络免遭可能试图从出现安全问题的系统传播的病毒的入侵。

    由于增加了大量 Windows 防火墙配置选项，因此增添了名为“具有高级安全性的 Windows 防火墙”的新 MMC 管理单元以简化管理。通过这一新的管理单元，网络管理员可以在客户端工作站和服务器上远程配置 Windows 防火墙设置（这在不具有远程桌面连接的早期版本中是无法实现的），从而简化了远程配置和管理。

    在 Windows Server 早期版本中，Windows 防火墙和 IPsec 是分别配置的。由于基于主机的防火墙和 Windows 中的 IPsec 都能够阻止或允许传入通信，因此创建的防火墙例外和 IPsec 规则可能会重叠或矛盾。Windows Server 2008 中新的 Windows 防火墙使用相同的 GUI 和命令行命令合并了这两种网络服务的配置。防火墙和 IPsec 设置的这种集成简化了防火墙和 IPsec 配置，有助于防止出现策略重叠和矛盾设置。
BitLocker 驱动器加密

    BitLocker 驱动器加密是 Windows Server 2008 中一个重要的新功能，可帮助保护服务器、工作站和移动计算机。Windows Vista Enterprise 和 Windows Vista Ultimate 版本中也提供了 BitLocker，用于保护客户端计算机和移动计算机。BitLocker 可对磁盘驱动器的内容加密。这样可以防止未经授权的使用者通过运行并行操作系统或运行其他软件工具绕过文件和系统保护，或者对存储在受保护驱动器上的文件进行脱机查看。

    BitLocker 通过将两个主要子功能相结合增强了数据保护：系统卷加密和对早期引导组件的完整性检查。它对整个系统卷加密，包括交换和休眠文件，从而提高了分支机构中远程服务器的安全性。BitLocker 解决了从丢失、被盗或不适当地淘汰的 PC 中窃取或泄露数据的威胁。BitLocker 还有助于组织遵守政府法规（如 Sarbanes-Oxley 和 HIPAA），这些法规要求对安全和数据保护进行极高标准的维护。
企业 PKI (PKIView)

    Windows Server 2008 和 Windows Vista 操作系统提供了大量公钥基础结构 (PKI) 增强功能。Windows PKI 的所有方面的可管理性都有所增强，吊销服务已经过重新设计，并且对注册的攻击面也有所降低。PKI 增强功能包括：

    • 企业 PKI (PKIView)：最初是 Microsoft Windows Server 2003 Resource Kit 的一部分（曾称为 PKI Health 工具），现在，PKIView 是 Windows Server 2008 的一个 Microsoft 管理控制台 (MMC) 管理单元。它用于分析 CA 的运行状态，并可查看在 AD CS 中发布的 CA 证书的详细信息。

    • 联机证书状态协议 (OCSP)：基于联机证书状态协议 (OCSP) 的联机响应程序可用于管理和分发传统 CRL 不是非常好的解决方案时的吊销状态信息。联机响应程序可以在单台计算机上或联机响应程序组中进行配置。

    • 网络设备注册服务 (NDES)：在 Windows Server 2008 中，网络设备注册服务 (NDES) 是 Microsoft 基于简单证书注册协议 (SCEP) 实现的。该协议是一种使软件可以在网络设备（如路由器和交换机）上运行的通信协议，如果没有该协议，在网络上将不能通过身份验证来注册证书颁发机构 (CA) 颁发的 x509 证书。

    • Web 注册：与早期版本相比，新的 Web 注册控制更安全、更易于编写脚本并且更易于更新。

    • 组策略和 PKI：组策略中的证书设置使管理员能够从域中所有计算机的一个中央位置管理证书设置。
下一代加密技术 (Cryptography Next Generation, CNG)

    下一代加密技术 (CNG) 提供了灵活的加密开发平台，允许 IT 专业人员在与加密相关的应用程序（如 Active Directory 证书服务 (AD CS)、安全套接字层 (SSL) 和 Internet 协议安全 (IPsec)）中创建、更新和使用自定义加密算法。CNG 实施美国政府的 Suite B 加密算法，其中包括加密算法、数字签名算法、密钥交换算法和哈希算法。

    CNG 提供了一组 API，可用于执行基本加密操作，如创建、存储和检索加密密钥。它还支持其他加密提供程序的安装和使用。CNG 使组织和开发人员既能够使用自己的加密算法，也能够实现标准加密算法。

    CNG 支持现在的 CryptoAPI 1.0 算法集，还支持椭圆曲线加密 (ECC) 算法。美国政府的 Suite B 成果需要使用大量的 ECC 算法。
只读域控制器

    只读域控制器 (RODC) 是 Windows Server 2008 操作系统中提供的一种新类型的域控制器，主要用于在分支环境中进行部署。通过 RODC，组织可以降低在无法保证物理安全的远程位置（如分支机构）中部署域控制器的风险。

    除帐户密码外，RODC 可以驻留可写域控制器驻留的所有 Microsoft Active Directory 域服务 (AD DS) 对象和属性。不过，客户端无法将更改直接写入 RODC。由于更改不能直接写入 RODC，因此不会发生本地更改，作为复制伙伴的可写域控制器不必从 RODC 导入更改。管理员角色分离指定可将任何域用户委派为 RODC 的本地管理员，而无需授予该用户对域本身或其他域控制器的任何用户权限。
服务器和域隔离

    在基于 Microsoft Windows 的网络中，管理员可以在逻辑上隔离服务器资源和域资源，以限制对通过身份验证和授权的计算机的访问。例如，可在现有的物理网络中创建一个逻辑网络，其中计算机共享一组相同的要求以便安全地通信。在这个逻辑上隔离的网络中，每台计算机必须向该隔离网络中的其他计算机提供身份验证凭据以便建立连接。

    这种隔离可防止未授权计算机和程序不恰当地获取资源的访问权限。来自不属于隔离网络的计算机的请求将被忽略。服务器和域隔离可帮助保护特定的高价值服务器和数据，也可使托管计算机免遭未托管或恶意的计算机和用户破坏。

    可使用以下两种类型的隔离保护网络：

    • 服务器隔离：在服务器隔离方案中，使用 IPsec 策略将特定服务器配置为仅接受来自其他计算机的通过身份验证的通信。例如，可将数据库服务器配置为仅接受来自 Web 应用程序服务器的连接。

    • 域隔离：要隔离域，管理员可以使用 Active Directory 域成员身份，确保作为域成员的计算机仅接受来自作为域成员的其他计算机的通过身份验证的安全通信。隔离网络仅由属于该域的计算机组成。域隔离使用 IPsec 策略为域成员（包括所有客户端计算机和服务器计算机）之间发送的通信提供保护。

总结

    通过 Windows Server 2008，组织可以使用基于安全功能（如网络访问保护）的策略获得前所未有的安全性。评估和控制连接计算机的运行状况和安全状态将为组织提供重要的安全改进。Windows Server 2008 中新的管理界面简化了配置和维护组织内多台服务器的管理过程，从而降低了管理企业的网络安全所需的成本。