Windows Server 2012在安全性方面的改进有哪些?

日期: 2013-04-15 作者:Eric Beehler翻译:陈中华 来源:TechTarget中国 英文

安全一直是IT部门关注的重点,微软也通过不断聆听客户的声音将一些好的创新应用到Windows Server的最新版本中,而且使它们部署起来更加方便。所有这些现象背后是微软对一些关键技术的改进,如NTFS的改进以及对旧版本BIOS的替换以提供新的安全功能。一句话概括就是Windows Server 2012点亮了Windows在企业中的安全之路。   简化的DirectAccess   IT部门一直宣称要采用一体化的企业远程访问机制,但至今都没有在企业安全需求和用户使用便捷之间找到平衡点。

DirectAccess,这个最早出现在Windows Server 2008和Windows 7 中的功能……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

安全一直是IT部门关注的重点,微软也通过不断聆听客户的声音将一些好的创新应用到Windows Server的最新版本中,而且使它们部署起来更加方便。所有这些现象背后是微软对一些关键技术的改进,如NTFS的改进以及对旧版本BIOS的替换以提供新的安全功能。一句话概括就是Windows Server 2012点亮了Windows在企业中的安全之路。

  简化的DirectAccess

  IT部门一直宣称要采用一体化的企业远程访问机制,但至今都没有在企业安全需求和用户使用便捷之间找到平衡点。DirectAccess,这个最早出现在Windows Server 2008和Windows 7 中的功能,通过将VPN作为网络后台组件(类似于自动配置DHCP的 IP地址)来满足这一需求。

  使用DirectAccess的问题在于安装和排错。微软用户访问网关,IPv6以及加密问题都可能导致整个部署失败。

  Windows Server 2012在安全性方面已经通过将DirectAccess划归为远程访问服务器角色中的选项而大大降低了复杂性和部署成本,现在DirectAccess和VPN拥有相同的选项复选框。对DirectAccess的设置也都集成到远程访问管理控制台中。

  DirectAccess的向导首先检查先决条件,并建立网络位置服务器,IP-HTTPS和IPv6转换服务,如NAT64。如今,由IPv6带来的烦恼已经大大减少。以前的部署需要查阅几十页的文档。现在,整个部署只需要一个向导,这对于DirectAccess的部署是非常有帮助的。

  文件安全性的巨大提升

  在将所有文件转到SharePoint后,有关文件,文件服务器和文件权限的问题仍然是持续改进的方向,单纯的增加一台Web服务器并不能完全阻止安全威胁。开始时,文件服务器中的服务器消息块(SMB)协议的版本较低,到了Windows Server 2012,它已经升级到SMB 3.0。

  SMB 3.0不仅在性能上大大提升,以充分利用最新的网络。此外它还集成了数据加密。这里的加密并不像IPSec那样对每一个数据包都进行加密,这不但增加了实施和排错的压力,而且很少人有愿意承担。相反,它是文件或文件夹级别的加密。SMB 3.0使用AES-CCM加密和AES-CMAC签名。

  启用加密只需要简单的勾选一个复选框就可以完成。需要注意的是,使用加密的客户端和服务器都必须支持SMB 3.0,这就意味着只有Windows Server 2012和Windows 8之间才能进行这种加密连接,这种对客户端的要求可能会需要一些时间。如果环境中所有的客户端上没有全部安装最新的操作系统,请不要启用加密,因为这会让旧版本的客户端无法访问。

  动态访问控制(DAC)是另一种针对文件级权限的安全技术。今天的IT环境中对文件的访问来自于不同类型的设备,访问文件的用户更是跨越多个作业类型和组织。访问控制的要求也不再局限在防火墙内测,它已经延伸到Internet。

  DAC的目的是解决由NTFS升级和文件服务带来的最新挑战。DAC在标准的文件和共享权限上增加了一层,它可以通过策略控制文件权限,文件权限中的组成员关系和标签可以混合使用。将Active Directory联合服务和通过权限管理服务(RMS)进行的身份管理结合起来,便可以将权限扩展的内部网络之外。

  这种基于声明的系统能够进行访问控制,审计和加密。例如,在一个文件上的标签可以触发策略自动加密文件。一个标签也可以允许其它组成员访问,如R&D用户和特别项目组的成员。这对于那些有监管要求的访问控制,以及文件权限控制都非常有帮助。

  这种控制也可以定义到设备级别,对于那些已经整合移动设备或者已经实施BYOD的公司来说,这真是太棒了。当系统按照用户身份,设备身份认证和策略进行定义时,文件权限的概念将更多地集中在策略的排列顺序上,而对于以前那种用户在不同用户组中产生权限冲突的情况,则越来越少。访问被拒绝的提示信息也得到了升级。现在,你可以自定义用户收到的消息内容,甚至可以将用户的访问请求也整合进去。

  启动安全有保障

  现在,即使在最基础的层面Windows也会得到保护。BIOS引导(BIOS boot strapper)技术已经被统一可扩展固件接口(UEFI)所替代,管理员可以利用它来进行安全引导。在某些芯片中,这项技术饱受有争议,因为它将锁定操作系统。对于Linux用户来说,这是一个麻烦,但对于企业IT人员来讲,它阻止了从未经授权的固件,驱动程序和操作系统中进行启动级别攻击的风险。

  BitLocker功能的一个持续改进就是网络解锁模式,它可以通过域中的受信计算机通过网络连接来解锁BitLocker加密的驱动器。你也可以在安装Windows之前对驱动器进行加密,部署也因此变得更容易。此外,更改密码和PIN码不再需要管理员权限凸显了使用的便捷性。通过只加密已经使用的空间可以大大提高系统性能,并减少了因加密那些没有使用的空间而进行的不必要的等待。

  Windows Server 2012在安全性方面的改进令人印象深刻。在这些改进中,有很多创新的理念,如DirectAccess以及NTFS中基于声明的访问模式等等。这些创新对于你的数据中心来说都是非常值得采用的。

作者

Eric Beehler
Eric Beehler

翻译

陈中华
陈中华

相关推荐