浅析Windows Server 2008 R2中安全性能的更新

cctv11

【IT专家网独家稿件】Windows Server 2008 R2推出后，我们发现其中已经做了大量改动，如：远程桌面服务和文件分类架构。此外，在安全性能方面，R2也进行了更改和增加，这些改动同样很重要，因此也值得用户注意。

　　一、Server Roles

　　R2 在Windows Server 2008的基础上有作了很多安全改进。其中一个方面就是Server Roles。R2在安全方面的改进包括如下几个项目：

　　活动目录证书服务

　　Certificate Enrollment Web Service可以通过HTTP进行认证登记，R2还添加了“Renewal on Behalf of feature”，这样认证登记使用起来就更方便。

　　DNS

　　域名系统安全扩展(DNSSEC)可以让我们签署并托管有DNSSEC标记的区域以增加DNS的安全作用。这项用户期待已久的功能，可以保护DNS DNSSEC，从而让主机和客户端更安全。

　　网络访问保护

　　现在，可以从控制面板中的系统与安全项目中查看这一服务。网络访问保护更容易被使用和管理。将该服务放入系统与安全项目中是明智之举。

　　分布式文件系统(DFS)

　　只读域控制器中存在只读SYSVOL文件夹，它可以防止该文件夹中的文件发生更改。系统会添加复制的只读文件夹，用来防止文件的增改。使用分布式DFS Management嵌入式单元，可以对命名空间进行以存取为基础的列举。幸好有了这些功能，DFS才被锁定，而且列举DFS命名空间也变得更容易。

　　活动目录域服务

　　R2中新增验证机制的保障，主要用来控制资源访问。这一机制以用户是否使用认证登录以及所使用的认证类型为基础。在此升级的帮助下，Active Directory越来越棒。

　　Web Server(IIS)

　　新增请求过滤的功能，可以让用户严格限制IIS要处理的HTTP请求类型.是一个能锁定IIS服务器的好帮手。

　　网络连接

　　Direct Access可以为远程互联网用户提供网络资源的访问权利，而且用户不需要再使用Terminal Services或VPN等网关技术。能为网络资源的访问提供有效安全保障。

二、验证和访问控制部分

　　另一组R2的安全改进出现在验证与访问控制部分。用户帐户控制中就发生了许多变化。

　　用户帐户控制

　　在Windows Server 2008 R2中，UAC减少了许多提示。一些常见的管理任务不再要求UAC提示符：

　　* 从Windows Update中安装更新。

　　* 通过Windows Update或操作系统安装驱动。

　　* 查看Windows设置。

　　* 将电脑与蓝牙设备连接。

　　* 重置网络适配器以及执行其他网络诊断和修复任务。

　　用户可以通过本地管理权限在控制面板中对UAC进行配置。用户可通过本地安全策略，用UAC更改管理员和标准用户的信息传递行为。

　　AppLocker

　　这是软件限制策略的升级。用户可以为应用程序创建规则，但是AppLocker不会要求对每次应用升级都进行规则变更。AppLocker标志着一种简化的规则结构;如果用户是交互式登录或远程登录(包括远程登录的管理员)，那么系统会强制使用AppLocker。用审查模式来测试规则，再用规则创建向导就可以轻松创建规则了。特定版本的Windows 7将进一步对AppLocker进行扩展。最后，Windows还提供了可用于限制终端用户电脑上软件使用的管理工具。

　　Enhanced Storage Access

　　另一个新功能是Enhanced Storage Access，这一功能将添加组策略设置，目的是用它来管理Enhanced Storage设备。这些策略可以让我们使用组策略管理增强型存储设备以及管理网络中用于Certificate and Password Authentication Silos的策略。这些策略包括：

　　* 允许Enhanced Storage认证指配。

　　* 只允许连接了Enhanced Storage设备的USB根集线器。

　　* 配置经认可的Enhanced Storage设备列表。

　　* 配置经认可的IEEE 1667仓储列表。

　　* 不允许Enhanced Storage设备的密码验证。

　　* 不允许非Enhanced Storage可移动设备。

　　* 当电脑被锁定后，锁定Enhanced Storage。

　　这一新功能为我们提供了一种更好的方式来锁定和保护可移动存储设备，而且还不需要使用第三方工具。

　　Managed Service Accounts

　　Managed Service Accounts是R2中另一个新增的安全功能。托管服务帐户用来为Exchange Server和SQL Server等应用提供自动密码管理。也就是说为这类应用提供了简化的服务主要名称(SPN)。托管服务帐户只能通过PowerShell管理;其中不存在GUI界面。对于那些以混合模式出现的域而言，我们可以使用Windows Server 2003中的服务帐户和Server 2008域控制器。

三、身份验证部分

　　这一部分要介绍的新增功能主要出现在身份和验证部分。这些变更大多用来加强运行Windows 7的客户端性能;事实上，这些性能一般只出现在Windows 7客户端。

　　在线身份集成

　　该功能可以让Windows 7用户将其Windows帐户连接到在线ID(使用PKU2U)，组策略可以让用户决定是否启用这一功能。PKU2U可以允许使用SSP的基于证书的验证。我们不得不承认这一技术很酷，但是笔者认为开始的时候禁用策略会好一点。

　　PKU2U(基于用户到用户的公共密钥密码学)

　　PKU2U可以让用户用系统间的证书来验证用户，这些系统不是域的一部分。PKU2U与在线身份集成一起，可以让用户共享资源。PKU2U使用SSP进行对等的交涉验证。这些扩展已经过处理，而验证协议和用户可以添加或开发其他SSP。

　　交涉验证数据包的扩展

　　NegoExts用来验证之前所说的SSP;这个数据包与微软和其他软件服务商之间的SSP进行交涉。这些扩展适用于确保联合应用的安全(如SharePoint和OCS 2007)。这些扩展为Office Live和Hosted Exchange服务提供了丰富的支持，也为一个域中的更多SAAS应用铺平了道路。

　　智能卡即插即用

　　如果供应商已经用Windows Update发布了他们的驱动，那么用户在没有中间设备的情况下也能利用这一功能使用智能卡。这一步骤有助于简化智能卡的管理并提高其使用效率。

　　TLS v1.2

　　TLS已经升级至1.2版本，该版本现在可以支持：

　　* 哈希交涉——客户或服务器可以交涉任意哈希运算法则，以便以嵌入式性能的方式对其进行利用。密码已经升级到SHA-256。

　　* 认证哈希或签名控制——将证书请求程序配置为仅接受指定的哈希或仅接受认证路径中的签名运算法则对。

　　* Suite B——遵循密码组——已经添加了两个密码组使TLS Suite B符合要求(TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA384)。

　　NTLM验证的限制

　　新的组策略设置允许对Windows Server 2008，Windows 7和域控制器中的NTLM 验证进行限制。Windows Server 2008 R2具备用于审计和限制NTLM验证的资源。

　　Windows生物计量服务

　　该服务可以让管理员和用户使用指纹生物计量设备来登录电脑，这为UAC提供了极大特权，而且它还能对指纹设备执行基本的管理。管理员可以在组策略中管理生物计量设备(包括启用，限制或阻止使用)。

　　其他的更改还包括：Kerberos中没有默认启用DES密码，在Kerberos中，使用了NTLM，它要求至少使用128比特的密码加密。

http://winsystem.ctocio.com.cn/26/9278026_2.shtml

Windows Server 2008 R2更新了很多东西，安全性方面更是得到了极大的加强。只有不断的调试和设置才能获得理想的安全性。