• 防火墙改善:新的Windows Firewall带有Advanced Security,提供安全增强许多。
• 加密与保护数据:BitLocker通过加密磁盘驱动保护敏感数据。
• 只读域控制器(RODC):RODC是新兴的域控制器安装选择,可以安装在物理安全水平较低的远程地址。
• 服务器与域分离:服务器与域资源可以分离,以限制经认证的和授权的计算机访问。
• 证书加强:Enterprise PKI简化了证书管理,提供加强的监控能力,还包括新的网络环境控制(Web Enrollment control)。
• 枪支的客户健康:网络访问保护(Web Enrollment control,NAP)使管理员可以在允许客户访问网络之前配置并执行健康与安全要求。
• 密码编写工具:下一代密码技术(Next Generation Cryptology)提供了灵活的密码编写开发平台。
• 管理用户身份:身份与访问方案是技术平台的一部分,旨在帮助企业管理用户身份以及访问特权。
• Federated Rights Management:Federated collaboration简化了与外部用户之间的敏感信息资源共享。
这些改善帮助管理员增强企业的安全水平,简化了与安全相关的配置以及设置的管理与开发。
Windows Server 2008中的识别与访问
今天,管理用户身份是许多业务的首要任务。人们需要使用不同种类的设备在企业网络上访问多个系统和资源。因为许多系统之间不相互交流,所以一个人有多个身份也就十分常见了。因此,管理这些多余的身份是十分复杂又浪费时间的,由于错误和不良用户密码管理加大了对安全的威胁。
微软身份与访问(Microsoft Identity and Access, IDA)解决方案是技术以及产品平台的一部分,旨在帮助企业管理用户身份以及相关的访问特权。这些解决方案着重于安全及轻松的使用,帮助提高业务生产力、减少IT成本、消除身份与访问管理的复杂性。微软身份与访问解决方案有如下方面:
• 身份管理:自动操作身份与访问管理。
• 信息保护:保护机密数据—不论这些数据发到哪里。
• Federated Identities: 与各个企业安全地合作。
• 目录服务:简化用户与装置管理。
• 强大的认证:使用最新的密码系统标准与认证管理创新,使安全访问已经不止是用户名和密码。
Microsoft Windows Server 2008提供全面、综合的身份与访问平台。Microsoft IDA平台建立在活动目录上,为IT专业人士、开发者以及信息工作者提供类似界面,保证整个企业可以保障敏感信息的安全,同时可以轻松与企业内部其他部门及企业外部公司合作。Windows环境中的整合支持可以拓展为使用现有伙伴解决方案支持不同种类的环境。这些平台的能力聚合为下列三方面服务,其中每一项都有一些关键成分:
• 目录服务
o 只读域控制器(RODC)
o Active Directory Federation Services (AD FS)
o 目录服务审计
o 基于服务的活动目录域服务(AD DS)
• 信息保护
o Federated collaboration
o BitLocker
o Federated Rights Management
• 强健的鉴定
o 加密API
o V3 证书模版
o 公共密钥基础设施(PKI)
视窗防火墙增强版安全
Windows Server 2008中带有Advanced Security 的Windows Firewall是基于主机的防火墙,运行时提供保护免受恶意用户以及网络程序的袭击。Windows Firewall的高级安全功能包括:
• 支持进入和送出流量
• 为本地和远程防火墙配置而设的新的new Microsoft Management Console (MMC) snap-in
• 整合的防火墙过滤以及Internet Protocol security (IPSec)保护设置
• 配置firewall exceptions的许多新方法
支持进入与外出流量
目前,Windows Firewall支持用于截取进入流量的防火墙的使用,阻断所有不符合流量响应请求(solicited traffic)或特定允许的unsolicited traffic(excepted traffic)的主动提供的进入流量。这是防火墙功能非常重要的一部分,防止计算机传染通过网络传播的主动进入流量的网络级病毒与蠕虫。
Windows Server 2008中Windows Firewall的高级安全功能特点之一就是支持进入和流出流量的防火墙拦截。例如,网络管理员可以用以套例外配置新的Windows Firewall,阻止所有发往特定端口的所有流量,如使用病毒软件的知名端口,或包括敏感或不希望看到内容的特定地址。Windows Server 2008中Windows Firewall的的默认行为就是:
• 阻断所有进入流量,除非经恳求或与配置例外相匹配。
• 允许所有流出流量,除非与配置例外相匹配。
这些功能进一步保护网络以及其他系统免受已带有病毒的计算机传染。
为GUI配置的新MMC snap-in
Windows Firewall现在配置了MMC snap-in命名的带有高级安全的Windows Firewall。拥有这一snap-in,网络管理员可以为本地和远程计算机配置设置(但是不能为没有远程桌面连接的现行Windows Firewall进行配置)。更重要的是,管理员可以使用netsh advfirewall环境中的命令,进行新的Windows Firewall高级设置的命令行配置。
整合防火墙以及IPSec设置
IPSec是一套互联网标准,提供为IP流量密码编写保护。在Windows Server之前的版本中, Windows Firewall 以及 IPSec 是非别进行配置。由于Windows中基于主机的防火墙以及IPSec可以阻断或允许进入流量,因此可以创建重叠或相对的防火墙例外以及IPSec规则。新的Windows Firewall已经结合使用同样GUI的网络服务以及命令行命令配置。这种防火墙和IPSec设置的整合简化了IPSec设置配置。
几种配置防火墙例外的方法
Windows Server 2008中高级安全功能允许管理员使用几种新方法配置防火墙例外:
可以为IP协议数量配置例外。新的Windows Firewall允许管理员使用名字或手动键入IPv4协议值或所需流量IPv6 Next Header域,选择协议。
可以为源或终点配置例外。管理员可以为进入和流出流量配置源和终点TCP或UDP端口,允许后两者更好地定义允许或阻止的TCP和UDP流量种类。
可以为所有或多个端口配置例外。管理员可以(为所有TCP或所有UDP流量)指定所有TCP或UDP端口,或以逗号限定的端口列表。
可以为指定的界面种类配置例外。管理员可以指定用于所有界面的例外或指定界面种类,包括LAN、远程访问或无线界面。
Windows Server 2008中新的Windows Firewall截取流向病毒软件使用的知名端口的流出流量,或指定包含敏感或不希望内容的地址,防止病毒在企业中传播,同时保护关键系统。带有Advanced Security MMC snap-in 的新Windows Firewall允许管理员在本地以及远程系统更轻松地配置Windows Firewall和IPSec设置。这里引入了新方法配置Windows Firewall例外,为管理员灵活应对新的安全威胁提供灵活性。这些改进增强了安全,使Windows Server 2008 Windows Firewall防火墙更轻松。
BitLocker 驱动加密
BitLocker驱动加密(BitLocker Drive Encryption)是Windows Server 2008中关键的新安全特征,保护服务器、工作站以及移动计算机,也可以用在Windows Vista™ Enterprise 和 Windows Vista™ Ultimate editions中,保护客户计算机和移动计算机。BitLocker为磁盘驱动内容加密,防止运行平行操作系统的人,也能防止运新其他恶意软件工具的人,使文件和系统保护不受破坏,防止脱机查看储存在受保护的驱动上的文件。
BitLocker有两个主要子功能,增强数据保护:系统卷加密以及为early-boot components进行完整检查。整个系统卷已经经过加密,包括交换和冬眠文件,增强分支办公室远程服务器的安全。BitLocker解决数据偷窃或从不正当关机的计算机中丢失、窃取或暴露的威胁。BitLocker帮助公司遵守政府规定,如Sarbanes-Oxley以及HIPAA,这些规定要求维持极高的安全标注准和数据保护。更多BitLocker信息,请参阅第四章:分支办公室。
活动目录域服务:审计
Windows Server 2008中,管理员拥有更多选择,对活动目录对象进行审计。新的审计政策子种类范围(目录服务更改)审计活动目录对象的更改,如创建、修正、移动以及恢复删除,并在变更完成后记录旧的和新的属性值。
注:审计目录服务访问同样适用于审计对象访问(Audit object access),但是审计目录服务访问只能用于AD DS对象,而不能用于文件系统对象,也不能用于注册对象。
审计AD DS 路径
Windows 2000 Server 和 Windows Server 2003中,没有审计政策,审计目录服务访问控制目录服务事件审计是否可以用或设置为不能使用。Windows Server 2008中,这一政策分为四类:
目录服访问
目录服务更改
目录服务复制
详细目录服务复制
全球审计政策审计目录服务访问控制目录服务事件的审计是否可以用或设置为不能使用。当对目录中的对象进行某些操作完成后,这一安全设置决定安全日志是否记录了事件。管理员可以通过修改某一对象的系统访问控制列表(SACL)对审计进行何种操作。Windows Server 2008中,这一政策为默认执行。
如果(通过修改默认域控制器政策)定义这一政策设定,管理员可以指定是否审计成功、审计失败或不审计。当用户城东访问SACL指定的AD DS对象时,成功的审计可以产生审计登陆。当用户未能尝试访问SACL指定的AD DS对象时,失败的审计可以产生审计登。在Windows 2000 Server 中 Windows Server 2003,审计事件出现在使用ID号码为566的安全登陆中。在Windows Server 2008中,审计政策子种类目录服务访问同样产生相同的事件,但是事件ID号码变为4662。
审计AD DS更改
新的审计子种类目录服务变更可以对AD DS中的对象更改进行审计。这种可以审计的更改为:创建、修改、移动、恢复对对象的删除操作。由这些操作产生的事件将出现在安全日志上,包括之前和现在的属性值。
新政策子种类增加了下列在AD DS中进行审计的能力:
当修改对象属性操作成功后,AD DS记录之前和现在的属性值。如果属性已经超过一个值,只有修改操作的结果会被作为属性值记录。
如果新的对象已经创建,在创建时已经固定属性值会被记录。如果属性在操作过程中增加,这些新的属性值也会被记录。多数情况下,AD DS为属性分配默认值(如:sAMAccountName)。系统属性值不会被记录。
如果对象在一个域中移动,之前和新的地点(以distinguished name的形式)将被记录。当对象移动到另一个域中,会在目标域的域控制器中记录创建事件。
如果对象进行了恢复删除,对象移动的地点会被记录。此外,如果在恢复删除操作中,增加、修改或删除属性,这些属性值将会被记录。
如果对象已经删除,则不能产生进行更改审计事件。但是,如果激活目录服务访问,则可以产生审计事件。
目录服务更改激活后,当管理员为审计设置的对象更改完成,AD DS记录安全事件日志中的事件。下表描述了这些事件。
表1: AD DS日志事件
全球审计政策
激活全球审计政策审计目录服务访问可以激活全部目录服务政策子种类。全球审计政策可以在默认域控制器组群政策(在安全设置\本地政策\审计政策下)中设置。在Windows Server 2008中,全球审计政策默认激活。这一子种类仅仅为审计成功实践而设置。但是,两个审计子种类是相互独立的,管理员可以选择不激活目录服务访问(Directory Service Access),仍然可以查看子种类目录服务更改激活产生的更改事件。
Windows 2000 Server 和 Windows Server 2003中,政策审计目录服务访问是活动目录唯一可以使用的审计控制。这一控制产生的事件不显示任何更改的旧的以及新的值。拥有新审计政策子种类目录服务更改,目录的成功更改可以与之前和现在的属性值一起记录。认证对象属性如何更改的能力可以使事件记录作为发生在对象终身以及恢复到原来属性值(如果需要)的更改追踪机制更有用。
活动目录权利管理服务(AD RMS)
活动目录权利管理服务(AD RMS)保护信息免收未经授权的使用,是一种信息保护技术,与AD RMS激活的应用一起保障数字信息不受未授权的使用。内容拥有者可以确切定义接收者如何使用这些信息,如谁可以打开、修改、打印、转发或使用邮件或文件进行其他活动。公司可以创建自定义使用权利模版,如只可以直接用于如财务报告、产品说明、顾客数据以及电子邮件信息等信息的“机密-只读”模版。
活动目录联合服务
Active Directory Federation Services (AD FS)是Windows Server 2008中的服务器角色,提供高度可扩展性以及可以操作不同平台的安全认证访问解决方案。甚至当用户帐户以及应用位于不同的网络或企业时,AD FS提供网络内和网络外基于浏览的客户、受到保护的、面向因特网应用的路径。
在通常的场景中:应用位于一个网络中,用户帐户在另一个网络中。当用户尝试访问饮用时,用户要求键入第二身份。但是并非一定要拥有AD FS第二帐户。相反,信任关系可以用于保护用户的数字身份以及访问信任的合作伙伴的权利。在联合环境中,每个企业都继续管理自己的身份,但是每个企业可以安全地保护并接受其他企业的身份。
通过在多个企业配置联合服务,业务对业务(B2B)交易可以促进信任的合作企业。拥有和管理来自互联网可使用资源的公司可以配置AD FS联合服务器以及AD FS激活的网络服务器,仅为信任的合作伙伴管理受保护的资源。
AD FS包括政策进口/出口特征,使在联合合作伙伴之间设立信任关系更简便。会员供应商允许基于Windows SharePoint Services (WSS) 授权的角色 以及来自联合合作伙伴的RMS用户。管理员通过组群政策可以控制联合服务部署。现在,也提供了支持不同认证撤回的设置。
此外,拥有和管理用户帐户的公司可以配置AD FS联合服务器,授权本地用户并创建安全令牌。资源企业中的联合服务器可以使用这些安全令牌进行授权决策。
基于服务的AD DS
Windows Server 2008中,活动服务域服务(AD DS)是基于服务的,即可以从命令行通过Microsoft Management Console (MMC) snap-ins停止或开始。基于服务的AD DS通过减少进行脱机操作的必要时间,如脱机磁盘碎片整理或命令恢复,简化了管理。通过在执行AD DS维护时保持这些服务处于活动状态,提高运行在域控制器上的其他服务的可用性。任何制定边界停止域控制器的用户都可以通过发现联系另一个域控制器。
活动目录域服务快照阅读器
Windows Server 2008包括增强的ntdsutil命令,可以用于创建AD DS快照。这些快照获取活动目录创建时的完整状态。现有AD DS快照可以作为活动目录的平行只读instance,无需开始目录服务恢复模式中的域控制器。安装AD DS快照可以恢复删除的内容或修改AD DS对象。
Windows Server 2008中的Snapshot Viewer帮助管理员通过暴露过去AD DS快照中的信息辨认意外删除的对象。通过比较不同快照中对象不同的状态,管理员可以决定哪个AD DS快照用于恢复删除的对象。
只读域控制器(RODCs)
只读域控制器(RODC)是用于Windows Server 2008操作系统中新型的域控制器,主要为要求本地验证服务的分支办公室环境而设,而分支办公室环境的物理安全通常不能得到保证。除了帐户密码,RODC还有所有微软活动目录域服务(AD DS)对象以及可写域控制器所拥有的属性。但是,客户不能直接更改RODC。这样就加强了安全,因为一旦物理安全遭到破坏,恶意闯入者访问RODC,域数据则不能在RODC上升级。
RODC同样支持管理员角色分离,允许任何域用户,如分支办公室中的本地用户获得许可成为RODC本地管理员,无需从该域或其他域控制器给该用户额外的管理权利。这样就允许本地员工执行常规管理,如升级驱动,又不会损害安全。更多RODC信息,请参阅第四章:分支办公室。
服务器与域分离
在微软基于视窗的网络中,管理员可以逻辑分离服务器与域资源,以限制对经过鉴别和授权的计算机的访问。例如,可以在已有的物理网络中创建逻辑网络,在逻辑网络中计算机共享安全交流要求常见设置。这个逻辑分隔网络中的每个计算机必须提向其他逻辑分隔网络中计算机供鉴定身份,才能建立连接。
这种分离阻止未授权的计算机以及程序获得不当访问资源的路径。不是分离网络一部分的来自计算机的请求会被忽略。
可用于保护网络的两种分离:
• 服务器分离:在服务器分离场景中,制定服务器可以使用IPSec政策进行配置,仅从其他计算机处接受授权的交流。例如,数据库服务器可以进行配置,仅接受网络应用serv1er连接。
• 域分离:为分离域,管理员可以使用活动目录域会员,以确保域会员计算机从其他域成员计算机处接收经鉴别的安全交流。这种分离的网络仅由计算机组成,是域的一部分。域分离使用IPSec政策为包括所有客户何服务器计算机的域成员之间发出的流量提供保护。
服务器和域分离可以帮助保护特定高值服务器与数据,同时保护受管理的计算机免受未管理或流氓计算机及用户的袭击。
企业PKI
Windows Server 2008 以及 Windows Vista操作系统中的公共密钥基础设施(PKI)有了一些改进。改进主要是Windows PKI各个方面的可管理性能,重新设计了证书撤回服务,减少了注册的表面攻击。PKI增强包括:
• 通过PKIView拥有更便捷的管理
• 证书网络注册
• 网络设备注册服务
• 证书政策设置
• 证书部署更改
• 在线证书状态协议(OCSP)支持
• 使用组群政策管理证书
Windows Server 2008中的这些改进为IT专业人员管理企业PKI环境提供新的选择与功能。
带有PKIView的企业CA管理
PKIV最初是部分微软视窗服务器2003资源工具包(Microsoft Windows Server 2003 Resource Kit)以及PKI健康工具的一部分,现在是Windows Server 2008中Microsoft Management Console (MMC) snap-in。用于分析CAs的健康状态,查看AD CS中发表的CA证书细节。由于PKIV是Windows Server 2008核心操作系统的一部分,管理员可以在安装服务器后,将之添加到MMC中,使用PKIView。PKIView可用于肺系CAs的健康状态并查看AD CS公布的CA证书细节。
PKIView提供网络PKI环境状态观察。拥有所有CAs及其目前健康状态观察,管理员可以管理CA层级,也可以更轻松有效地对CA错误进行故障检修。特别是,PKIView指出权威信息访问(AIA)地点的有效性或可访问性,以及证书撤回列表(CRL)分布点(CDP)。
对于所选择的各个CA,PKIView指出CA健康状态,如下表所示:
表 2: PKIView CA 健康状态
在MMC中加入PKIView snap-in后,管理员可以查看三面(pane):
• 树:这一块显示网络PKI层级的树表示法。企业PKI节点下的每个节点代表带有从属CAs作为子节点的CA。
• 结果:对于树中选择的CA,这一面展示了从属CAs列表、CA证书、CRL分布点(CDPs)以及AIA地点。如果选择树中的控制台根(console root),结果面则展示所有的根CAs。结果面中有三栏:
o 名字:如果选择企业PKI节点,则展示企业PKI节点下的根CAs名称。如果选择树中CA或子CA,则展示CA证书、AIA地点以及CDPs。
o Status: Provides a brief description of CA status (also indicated in the tree by the icon associated with the selected CA) or the status of CA Certificates, AIA locations, or CDPs (indicated by status text descriptions, examples of which are OK and Unable to Download).
o 状态:提供CA状态的简略描述(同样由与所选CA相关的图标在树中显示)或CA证书状态、AIA地点或CDPs(由状态文本描述,不能下载其范例)
o 地点:为每个证书显示AIA地点以及CDPs(协议与路径)。例如:file://, HTTP://, and LDAP://.
• Actions: This pane provides the same functionality found on the Actions, View, and Help menus.
• Actions:这一面提供Actions、查看以及帮助菜单中同样的功能。
取决于树或结果面中所选择的项目,用户可以查看更多关于CAs以及CA证书的细节,包括AIA以及Actions pane中的CRL信息。用户可以管理企业PKI结构并对CA证书或CRLs作出修正或更改。
小结
使用windows服务器2008,通过政策为基础的安全特性,如网络访问保护,组织能够从安全状况得到改善得到受益。在活动目录中,与安全有关的改进,如RODC,新的审计办法,结合改善企业公开密码匙基础设施,使管理员更易于确保组织安全,审计安全事件,即使是在偏远地区。
操作系统的其他功能,如位锁驱动器加密技术和新的windows防火墙功能,使之更安全。 windows服务器2008对希望有一个更安全的服务器平台和网络环境的组织是一个正确的选择。在windows服务器2008,身份识别和进入功能结合同改进联邦权利管理性能,简化用户身份识别管理和与外部用户分享敏感内容。
