微软公司的Windows Server 2008即将正式发布,在发布之前,网界网合作媒体美国《Networkworld》实验室的工程师已经取得了Windows Server 2008的黄金代码版本(即2月20日正式发布的产品),并且对其进行了测试。
《Networkworld》工程师经过测试发现,微软对其旗舰级服务器操作系统做了很多改进。例如,新服务器管理角色方案增加了安全性,服务器管理器程序改进了可管理性,Internet信息服务器(IIS)Web管理功能了进行了全面的改造,Active Directory更容易控制,Windows Terminal Services做了重新设计。Windows Server 2008在运行速度上也大大快于Windows Server 2003,尤其当客户机运行Vista时。
可惜的是,寄予很高期望的Windows Server 2008特性,即Hyper-V服务器虚拟化工具,目前缺席。微软在不同版本的Windows Server 2008中只提供一个beta版Hyper-V,而且它在今年第三季度前不会发布正式版本。
非Windows(以及老Windows)客户机与微软的网络访问保护(NAP)方案--即微软版的NAC--之间也缺少兼容性。微软NAP方案利用客户端“健康证书”批准或拒绝客户机访问网络。“不健康的”客户机被引导到修补服务器,安装必要的杀毒软件更新或安装补丁。
《Networkworld》工程师测试了Windows Server 2008中的NAP现实,发现只要客户机运行Windows XP或Vista它就能正常工作。但它不允许运行其它品牌的操作系统的客户机访问它的受保护的资源,因此阻碍了NAP方案的潜在成功,因为必须彻底检查所有的客户机类型NAC才能有效地工作。
重新考虑服务器角色
微软希望不同版本的Windows Server 2008(微软将像通常那样发送标准版、企业版、数据中心版和Itanium专用版)管理员考虑服务器扮演某种角色。服务器角色是聚合在一起的对象,这些对象适合通常想到的服务(如打印服务、文件共享、DNS、DHCP、 Active Directory域控制器和基于IIS的Web服务)的。微软一共定义了18种角色。
甚至所谓 Windows Server Core的最低限度安装也可以运行不同的服务器角色(如DNS、DHCP、Active Directory组件),但不能运行应用(如 SQL Server或IIS动态网页)。它否则是提供无界面操作(headless operations)的脚本控制的主机系统。Windows Server Core服务器没有GUI前端,而是由命令行界面(CLI)、脚本、远程通过系统管理器或其它支持Windows Management Instrumentation (WMI)的其它管理应用或由Remote Terminal Services来管理。它还是Hyper-V和虚拟化架构的潜在的缺少资源的底层。
运行在任何基于角色的服务器上的服务通过服务器管理器(微软改了名的、改造过的管理应用)--通过GUI或CLI前端--来分区和启动。与Windows 2000和2003版操作系统中的“Configure Your Server”程序相比,这是个很大的改进。一旦成功启动后,角色可以很容易改变。CLI版允许管理员执行脚本控制的初始化或远程角色修改。服务器管理器比以前的管理应用有了一个重要的改进:它在执行安装、变更、删除或其它变化前,全面检查应用的依存关系。
当《Networkworld》工程师安装Windows 2008 Server时,几乎立即尝到了这些服务器角色提供的更高的安全性--现在系统缺省要求设置强管理口令。
Active Directory证书服务进行了重新设计,现在与组策略设置配合提供更容易的证书注册、发现和存储。由于证书管理(包括存储、分发和证书审查)选择比以前更多,因此以前在Windows 2003 Server中很难建立、监测和维护的公钥基础设施得到了很大的改进。
一个附带的好处是IPSec加密可以使用以前没有的密码算法,如椭圆曲线Diffie-Hellman或高级加密标准,从而堵上了简单但到此前为止困难的安全漏洞:Windows 2008可以在全网络范围提供全面的网络加密服务。
除了服务管理器外,基于服务器的Windows Firewall MMC插件帮助用户更轻松地配置和管理基于主机的安全性。运行在基于Windows 2008 Server的网络上的Windows防火墙现在可以由Active Directory中的系统强制执行的组策略对象(GPO)来控制。在Active Directory域内执行Windows防火墙设置的能力提供一种分级执行的机制,这种机制超越本地管理员建立的分支办事处或下属机构服务器设置。应该说,这是个有威慑力的铁拳政策。
GPO现在可以定义服务器IP地址准入范围,使服务器可以忽略除特定地址之外的所有传输流,从而大大减少它们的被攻击面。用于特定路由的策略被所有允许访问Active Directory控制的网络的客户机和服务器所继承,从而使可能的入侵者活动可以更容易地从一般传输流噪音中识别出来。
但是,单凭这种准入控制不能减少TCP SYN DOS攻击的影响,但其它Windows Server 2008才有的TCP/IP设置可被用于减少针对TCP连接的分布式拒绝服务(DoS)攻击的影响。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
Windows Server 2008退出舞台后 16位应用程序还会继续留存吗?
截止到2020年,Windows Server 2008服务期限将到期,你有什么好的办法可以让16位应用程序继续正常运行吗?
-
Windows Server 2008要说再见了 但别放弃16位应用程序
2020年1月开始,微软公司将不再发布Windows Server 2008补丁,该OS也将退出官方舞台。而随着时间的推移,Windows Server的16位应用程序运行能力也会面临同样的问题。
-
Windows管理员如何学习组策略基础知识
组策略自出现以来并没有太多改变,但对于初学者来说却是一堵难以翻越的城墙。本文介绍如何学习使用组策略来管理用户和计算机。
-
四月Windows补丁日:Windows Server 2012 R2漏洞获修复
四月份的Windows补丁包括四个关键更新,修复了Windows Server 2008至Windows Server 2012 R2版本中的远程代码执行漏洞。