您现在的位置: 破洛洛 >> 服务器 >> 其它服务器 >> 正文

Windows Server 2008新增功能浅谈

作者:佚名 来源:不详 更新时间:2010-9-6
分享到

  许多人认为Windows操作系统是不安全的,其实并非如此。客观地讲,没有绝对安全的操作系统,任何操作系统的安全都是相对的。Linux和UNIX也并非固若金汤,也同样会有系统漏洞,也同样会遭遇各种攻击。“树大招风”的古训大家都知道,呵呵。

  Windows Server 2008诞生已有两个年头,尤其是在安全性、可靠性及可操作性上与Windows 以往的家族成员相比都有显着的提高。以下针对Windows Server 2008几个新增功能浅谈下我个人在实际工作中应用的体会。

  1、 TS RemoteApp

  Terminal Services RemoteApp (TS RemoteApp)将给企业分支机构、移动办公人员提高办公效率,保障企业数据安全成为可能。

  RemoteApp 程序是通过终端服务远程访问的程序,它们看来就像运行在最终用户的本地计算机上一样。用户可以将 RemoteApp 程序与本地程序并排运行。用户可以最小化、最大化以及调整程序窗口的大小,还可以轻松地同时启动多个程序。如果用户在同一台终端服务器上运行多个 RemoteApp 程序,RemoteApp 程序将共享同一个终端服务会话。

  用户可以从终端服务器运行程序,并且拥有的体验就像程序在最终用户的本地计算机上运行的一样,包括可以调整大小的窗口、多台监视器之间的拖放支持以及通知区域中的通知图标。RemoteApp 程序与客户端的桌面集成在一起,借助任务栏中它自己的条目,运行在它自己的可调整大小的窗口中,而不是在远程终端服务器的桌面中呈现给用户。如果程序使用通知区域图标,则该图标出现在客户端的通知区域中。弹出窗口被重定向到本地桌面。可以对本地驱动器和打印机进行重定向以使它们出现在 RemoteApp 程序中。许多用户可能没有注意到 RemoteApp 程序与本地程序的任何差异。

  与Linux中SSH相比,TS RemoteApp功能更具有堡垒主机之功效。

  这一功能尤其适用于金融行业,因证券基金类组织的行业特点,办公人员均需使用柜台查询业务数据。使用TS RemoteApp后,可以将柜台客户端集中部署在终端服务器中,这样在终端对柜台应用程序进行扫描、破解、反向工程等攻击基本不可能,提高了安全性。

  2、 Server Core

  与前任Windows Server2003相比,在 Windows Server 2008 操作系统中,管理员可以选择安装可避免额外开销的最小环境。尽管此选项限制了服务器可执行的角色,但可以提高安全性并减少管理工作。服务器核心安装是运行 Active Directory 域服务、AD LDS、DHCP 服务器、DNS 服务器、文件服务、打印服务器和流媒体服务服务器角色的最小安装。

  服务器核心安装提供以下优势:

  减少维护工作量。由于服务器核心安装仅安装指定服务器角色所需的设备,因此与 Windows Server 2008 的完整安装相比,需要的服务更少。

  减小受攻击面。因为服务器核心安装是最小安装,所以服务器上运行的应用程序较少,从而可减小受攻击面。

  减少管理工作量。因为运行服务器核心安装的服务器上安装的应用程序和服务较少,所以需要的管理工作更少。

  需要更少的磁盘空间。服务器核心安装仅需要大约 1GB 磁盘空间即可进行安装,安装完成后,仅需要大约 2 GB 磁盘空间即可运行。

  这一功能尤其适用于需要以Active Directory 域服务管理企业资源,可以做到最小化的安装企业所需的服务,减少补丁需求,提高服务器的安全架构。

  与Linux的命令行相比,兼容性更具优势。

  3、网络访问保护

  网络访问保护 (NAP) 是 Windows Server 2008 和 Windows Vista 操作系统附带的一组新的操作系统组件,它提供一个平台以帮助确保专用网络上的客户端计算机符合管理员定义的系统健康要求。NAP 策略为客户端计算机的操作系统和关键软件定义所需的配置和更新状态。例如,可能要求计算机安装具有最新签名的防病毒软件,安装当前操作系统的更新并且启用基于主机的防火墙。

  通过强制符合健康要求,NAP 可以帮助网络管理员降低因客户端计算机配置不当所导致的一些风险,这些不当配置可使计算机暴露给病毒和其他恶意软件。当客户端计算机尝试连接网络或在网络上通信时,NAP 通过监视和评估客户端计算机的健康状况来强制实施健康要求。如果确定客户端计算机不符合健康要求,则可以将其置于包含资源的受限网络上,以帮助更新客户端系统使其符合健康策略。该功能非常类似于ISA Server中的VPN访问隔离策略控制。

  与Linux中ACL相比,NAP更能满足企业灵活定制需求功能。

  这一功能尤其适用于企业对网络安全性有较高要求,企业员工经常出差又必须访问公司办公网络,保障企业网络安全。

  4、只读域控制器

  只读域控制器 (RODC) 是 Windows Server 2008 操作系统中的一种新类型的域控制器。借助 RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器。RODC 承载 Active Directory 域服务 (AD DS) 数据库的只读分区。

  物理安全性不足是考虑部署 RODC 的最常见原因。RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。 但是,您的组织也可选择根据特殊管理要求部署 RODC。例如,行业 (LOB) 应用程序只有在安装在域控制器上的情况下,才可以成功运行。或者,域控制器可能是分支机构中唯一的服务器,并且可能必须承载服务器应用程序。 在这种情况下,LOB 应用程序的所有者必须经常以交互方式登录到域控制器,或使用终端服务配置和管理应用程序。

  此情况产生了在可写域控制器上可能无法接受的安全风险。 RODC 为在此方案中部署域控制器提供了更安全的机制。您可以向非管理域用户授予登录到 RODC 的权限,同时最小化 Active Directory 林的安全风险。 还可以在其他方案中部署 RODC,例如,Extranet 或面向应用程序的角色中,其中本地存储的所有域用户密码是主要威胁。

  RODC 解决了分支机构中的一些常见问题。这些位置可能没有域控制器。或者,这些位置可能具有可写域控制器,但是不具备支持它的物理安全性、网络带宽或本地专业知识。除帐户密码之外,RODC 保存了可写域控制器所保留的所有 Active Directory 对象和属性。但是,不能对存储在 RODC 上的数据库进行更改。更改必须在可写域控制器

转载请注明:破洛洛(谢谢合作)
网友评论: