BitLocker 驱动加密

    BitLocker驱动加密（BitLocker Drive Encryption）是Windows Server 2008中关键的新安全特征，保护服务器、工作站以及移动计算机，也可以用在Windows Vista™ Enterprise 和 Windows Vista™ Ultimate editions中，保护客户计算机和移动计算机。BitLocker为磁盘驱动内容加密，防止运行平行操作系统的人，也能防止运新其他恶意软件工具的人，使文件和系统保护不受破坏，防止脱机查看储存在受保护的驱动上的文件。

    BitLocker有两个主要子功能，增强数据保护：系统卷加密以及为early-boot components进行完整检查。整个系统卷已经经过加密，包括交换和冬眠文件，增强分支办公室远程服务器的安全。BitLocker解决数据偷窃或从不正当关机的计算机中丢失、窃取或暴露的威胁。BitLocker帮助公司遵守政府规定，如Sarbanes-Oxley以及HIPAA，这些规定要求维持极高的安全标注准和数据保护。更多BitLocker信息，请参阅第四章：分支办公室。

    活动目录域服务：审计

    Windows Server 2008中，管理员拥有更多选择，对活动目录对象进行审计。新的审计政策子种类范围（目录服务更改）审计活动目录对象的更改，如创建、修正、移动以及恢复删除，并在变更完成后记录旧的和新的属性值。

    注：审计目录服务访问同样适用于审计对象访问（Audit object access），但是审计目录服务访问只能用于AD DS对象，而不能用于文件系统对象，也不能用于注册对象。
    审计AD DS 路径
    Windows 2000 Server 和 Windows Server 2003中，没有审计政策，审计目录服务访问控制目录服务事件审计是否可以用或设置为不能使用。Windows Server 2008中，这一政策分为四类：
 目录服访问
 目录服务更改
 目录服务复制
 详细目录服务复制

    全球审计政策审计目录服务访问控制目录服务事件的审计是否可以用或设置为不能使用。当对目录中的对象进行某些操作完成后，这一安全设置决定安全日志是否记录了事件。管理员可以通过修改某一对象的系统访问控制列表（SACL）对审计进行何种操作。Windows Server 2008中，这一政策为默认执行。

    如果（通过修改默认域控制器政策）定义这一政策设定，管理员可以指定是否审计成功、审计失败或不审计。当用户城东访问SACL指定的AD DS对象时，成功的审计可以产生审计登陆。当用户未能尝试访问SACL指定的AD DS对象时，失败的审计可以产生审计登。在Windows 2000 Server 中 Windows Server 2003，审计事件出现在使用ID号码为566的安全登陆中。在Windows Server 2008中，审计政策子种类目录服务访问同样产生相同的事件，但是事件ID号码变为4662。

    审计AD DS更改

    新的审计子种类目录服务变更可以对AD DS中的对象更改进行审计。这种可以审计的更改为：创建、修改、移动、恢复对对象的删除操作。由这些操作产生的事件将出现在安全日志上，包括之前和现在的属性值。
新政策子种类增加了下列在AD DS中进行审计的能力：
 当修改对象属性操作成功后，AD DS记录之前和现在的属性值。如果属性已经超过一个值，只有修改操作的结果会被作为属性值记录。
 如果新的对象已经创建，在创建时已经固定属性值会被记录。如果属性在操作过程中增加，这些新的属性值也会被记录。多数情况下，AD DS为属性分配默认值（如：sAMAccountName）。系统属性值不会被记录。
 如果对象在一个域中移动，之前和新的地点（以distinguished name的形式）将被记录。当对象移动到另一个域中，会在目标域的域控制器中记录创建事件。
 如果对象进行了恢复删除，对象移动的地点会被记录。此外，如果在恢复删除操作中，增加、修改或删除属性，这些属性值将会被记录。
如果对象已经删除，则不能产生进行更改审计事件。但是，如果激活目录服务访问，则可以产生审计事件。
目录服务更改激活后，当管理员为审计设置的对象更改完成，AD DS记录安全事件日志中的事件。下表描述了这些事件。
表1: AD DS日志事件



全球审计政策

    激活全球审计政策审计目录服务访问可以激活全部目录服务政策子种类。全球审计政策可以在默认域控制器组群政策（在安全设置\本地政策\审计政策下）中设置。在Windows Server 2008中，全球审计政策默认激活。这一子种类仅仅为审计成功实践而设置。但是，两个审计子种类是相互独立的，管理员可以选择不激活目录服务访问（Directory Service Access），仍然可以查看子种类目录服务更改激活产生的更改事件。

    Windows 2000 Server 和 Windows Server 2003中，政策审计目录服务访问是活动目录唯一可以使用的审计控制。这一控制产生的事件不显示任何更改的旧的以及新的值。拥有新审计政策子种类目录服务更改，目录的成功更改可以与之前和现在的属性值一起记录。认证对象属性如何更改的能力可以使事件记录作为发生在对象终身以及恢复到原来属性值（如果需要）的更改追踪机制更有用。

    活动目录权利管理服务（AD RMS）

    活动目录权利管理服务（AD RMS）保护信息免收未经授权的使用，是一种信息保护技术，与AD RMS激活的应用一起保障数字信息不受未授权的使用。内容拥有者可以确切定义接收者如何使用这些信息，如谁可以打开、修改、打印、转发或使用邮件或文件进行其他活动。公司可以创建自定义使用权利模版，如只可以直接用于如财务报告、产品说明、顾客数据以及电子邮件信息等信息的“机密-只读”模版。

    活动目录联合服务

    Active Directory Federation Services (AD FS)是Windows Server 2008中的服务器角色，提供高度可扩展性以及可以操作不同平台的安全认证访问解决方案。甚至当用户帐户以及应用位于不同的网络或企业时，AD FS提供网络内和网络外基于浏览的客户、受到保护的、面向因特网应用的路径。

    在通常的场景中：应用位于一个网络中，用户帐户在另一个网络中。当用户尝试访问饮用时，用户要求键入第二身份。但是并非一定要拥有AD FS第二帐户。相反，信任关系可以用于保护用户的数字身份以及访问信任的合作伙伴的权利。在联合环境中，每个企业都继续管理自己的身份，但是每个企业可以安全地保护并接受其他企业的身份。

    通过在多个企业配置联合服务，业务对业务（B2B）交易可以促进信任的合作企业。拥有和管理来自互联网可使用资源的公司可以配置AD FS联合服务器以及AD FS激活的网络服务器，仅为信任的合作伙伴管理受保护的资源。

    AD FS包括政策进口/出口特征，使在联合合作伙伴之间设立信任关系更简便。会员供应商允许基于Windows SharePoint Services (WSS) 授权的角色 以及来自联合合作伙伴的RMS用户。管理员通过组群政策可以控制联合服务部署。现在，也提供了支持不同认证撤回的设置。

此外，拥有和管理用户帐户的公司可以配置AD FS联合服务器，授权本地用户并创建安全令牌。资源企业中的联合服务器可以使用这些安全令牌进行授权决策。

    基于服务的AD DS

    Windows Server 2008中，活动服务域服务(AD DS)是基于服务的，即可以从命令行通过Microsoft Management Console (MMC) snap-ins停止或开始。基于服务的AD DS通过减少进行脱机操作的必要时间，如脱机磁盘碎片整理或命令恢复，简化了管理。通过在执行AD DS维护时保持这些服务处于活动状态，提高运行在域控制器上的其他服务的可用性。任何制定边界停止域控制器的用户都可以通过发现联系另一个域控制器。

    活动目录域服务快照阅读器

    Windows Server 2008包括增强的ntdsutil命令，可以用于创建AD DS快照。这些快照获取活动目录创建时的完整状态。现有AD DS快照可以作为活动目录的平行只读instance，无需开始目录服务恢复模式中的域控制器。安装AD DS快照可以恢复删除的内容或修改AD DS对象。

    Windows Server 2008中的Snapshot Viewer帮助管理员通过暴露过去AD DS快照中的信息辨认意外删除的对象。通过比较不同快照中对象不同的状态，管理员可以决定哪个AD DS快照用于恢复删除的对象。