只读域控制器(RODC)是用于Windows Server 2008操作系统中新型的域控制器,主要为要求本地验证服务的分支办公室环境而设,而分支办公室环境的物理安全通常不能得到保证。除了帐户密码,RODC还有所有微软活动目录域服务(AD DS)对象以及可写域控制器所拥有的属性。但是,客户不能直接更改RODC。这样就加强了安全,因为一旦物理安全遭到破坏,恶意闯入者访问RODC,域数据则不能在RODC上升级。
RODC同样支持管理员角色分离,允许任何域用户,如分支办公室中的本地用户获得许可成为RODC本地管理员,无需从该域或其他域控制器给该用户额外的管理权利。这样就允许本地员工执行常规管理,如升级驱动,又不会损害安全。更多RODC信息,请参阅第四章:分支办公室。
服务器与域分离
在微软基于视窗的网络中,管理员可以逻辑分离服务器与域资源,以限制对经过鉴别和授权的计算机的访问。例如,可以在已有的物理网络中创建逻辑网络,在逻辑网络中计算机共享安全交流要求常见设置。这个逻辑分隔网络中的每个计算机必须提向其他逻辑分隔网络中计算机供鉴定身份,才能建立连接。
这种分离阻止未授权的计算机以及程序获得不当访问资源的路径。不是分离网络一部分的来自计算机的请求会被忽略。
可用于保护网络的两种分离:
• 服务器分离:在服务器分离场景中,制定服务器可以使用IPSec政策进行配置,仅从其他计算机处接受授权的交流。例如,数据库服务器可以进行配置,仅接受网络应用serv1er连接。
• 域分离:为分离域,管理员可以使用活动目录域会员,以确保域会员计算机从其他域成员计算机处接收经鉴别的安全交流。这种分离的网络仅由计算机组成,是域的一部分。域分离使用IPSec政策为包括所有客户何服务器计算机的域成员之间发出的流量提供保护。
服务器和域分离可以帮助保护特定高值服务器与数据,同时保护受管理的计算机免受未管理或流氓计算机及用户的袭击。
企业PKI
Windows Server 2008 以及 Windows Vista操作系统中的公共密钥基础设施(PKI)有了一些改进。改进主要是Windows PKI各个方面的可管理性能,重新设计了证书撤回服务,减少了注册的表面攻击。PKI增强包括:
• 通过PKIView拥有更便捷的管理
• 证书网络注册
• 网络设备注册服务
• 证书政策设置
• 证书部署更改
• 在线证书状态协议(OCSP)支持
• 使用组群政策管理证书
Windows Server 2008中的这些改进为IT专业人员管理企业PKI环境提供新的选择与功能。
带有PKIView的企业CA管理
PKIV最初是部分微软视窗服务器2003资源工具包(Microsoft Windows Server 2003 Resource Kit)以及PKI健康工具的一部分,现在是Windows Server 2008中Microsoft Management Console (MMC) snap-in。用于分析CAs的健康状态,查看AD CS中发表的CA证书细节。由于PKIV是Windows Server 2008核心操作系统的一部分,管理员可以在安装服务器后,将之添加到MMC中,使用PKIView。PKIView可用于肺系CAs的健康状态并查看AD CS公布的CA证书细节。
PKIView提供网络PKI环境状态观察。拥有所有CAs及其目前健康状态观察,管理员可以管理CA层级,也可以更轻松有效地对CA错误进行故障检修。特别是,PKIView指出权威信息访问(AIA)地点的有效性或可访问性,以及证书撤回列表(CRL)分布点(CDP)。
对于所选择的各个CA,PKIView指出CA健康状态,如下表所示:
表 2: PKIView CA 健康状态
在MMC中加入PKIView snap-in后,管理员可以查看三面(pane):
• 树:这一块显示网络PKI层级的树表示法。企业PKI节点下的每个节点代表带有从属CAs作为子节点的CA。
• 结果:对于树中选择的CA,这一面展示了从属CAs列表、CA证书、CRL分布点(CDPs)以及AIA地点。如果选择树中的控制台根(console root),结果面则展示所有的根CAs。结果面中有三栏:
o 名字:如果选择企业PKI节点,则展示企业PKI节点下的根CAs名称。如果选择树中CA或子CA,则展示CA证书、AIA地点以及CDPs。
o Status: Provides a brief description of CA status (also indicated in the tree by the icon associated with the selected CA) or the status of CA Certificates, AIA locations, or CDPs (indicated by status text descriptions, examples of which are OK and Unable to Download).
o 状态:提供CA状态的简略描述(同样由与所选CA相关的图标在树中显示)或CA证书状态、AIA地点或CDPs(由状态文本描述,不能下载其范例)
o 地点:为每个证书显示AIA地点以及CDPs(协议与路径)。例如:file://, HTTP://, and LDAP://.
• Actions: This pane provides the same functionality found on the Actions, View, and Help menus.
• Actions:这一面提供Actions、查看以及帮助菜单中同样的功能。
取决于树或结果面中所选择的项目,用户可以查看更多关于CAs以及CA证书的细节,包括AIA以及Actions pane中的CRL信息。用户可以管理企业PKI结构并对CA证书或CRLs作出修正或更改。
小结
使用windows服务器2008,通过政策为基础的安全特性,如网络访问保护,组织能够从安全状况得到改善得到受益。在活动目录中,与安全有关的改进,如RODC,新的审计办法,结合改善企业公开密码匙基础设施,使管理员更易于确保组织安全,审计安全事件,即使是在偏远地区。
操作系统的其他功能,如位锁驱动器加密技术和新的windows防火墙功能,使之更安全。 windows服务器2008对希望有一个更安全的服务器平台和网络环境的组织是一个正确的选择。在windows服务器2008,身份识别和进入功能结合同改进联邦权利管理性能,简化用户身份识别管理和与外部用户分享敏感内容。
