Windows Server 2008 改進的功能

    在Windows Server 2003發布五年後，微軟公司今日宣布將制造最新和最大版本的Windows Server軟件。那麼微軟公司最近幾年都在忙些什麼呢？我仔細研究了微軟公司的新品狀況兩年多，並仔細研究了所有的產品更新。

　　仔細閱讀了Windows Server 2008的說明書，發掘其對企業的幫助。

　　最顯著的改變

　　與從Windows 2000 Server到Windows Server 2003系統的改進——只進行了相當少的更新——不同，Windows Server 2008對構成Windows Server產品的內核代碼庫進行了根本性的修訂。

　　Windows Server 2008和Windows Vista系統——直接源自安全發展模式(secure development model)共享的基礎代碼數量很少。這是微軟公司編程方法的重大改變，其將安全代碼放置在了所有指令前面。因此，你在Vista 和Windows Server 2008系統都可以看到很多新的功能和更新，這都是增加了安全代碼庫同時提高了系統整合和可靠性的結果。

　　對Windows Server 2008更新包括對Server Core和Internet Information Services 7.0的徹底更新。以下是更新的詳細情況。

 

  

    
    圖一，Server Core

　　Server Core

　　Server Core是Windows Server 2008最小的安裝選擇部分，其僅包括一個執行文件的子文件和服務器任務。管理是通過命令行(見圖一)或者通過一個未加入的結構文件。

　　據微軟公司說，"Server Core的設計目的是用於擁有很多服務器的企業(這些企業有的僅僅需要執行專門的任務，但是卻有著超出其所需的穩定性或者在高安全需求的IT環境。“因此，Core服務器所能擔當的角色很少。其僅是：

　　＊動態主機配置協議(Dynamic Host Configuration Protocol)服務器

　　＊域名系統服務器

　　＊文件服務器，包括文件復制服務(file replication service)，分布式文件系統(distributed file system)，分布式文件復制系統(distributed file system replication)，網絡文件系統和單一執行個體存儲器(network file system and single instance storage)。

　　＊打印服務

　　＊區域控制器，包括一個只讀區域控制器

　　＊Active Directory Lightweight Directory Services服務器

　　＊Windows服務器虛擬化

　　＊IIS，盡管只有正常功能的一小部分，確切地說，僅有靜態HTML主機，也沒有動態Web應用軟件支持

　　＊Windows多媒體服務(Windows Media Services)

　　其次，Server Core可作為微軟集成系統的一個部分，采用網絡下載平衡、主機Unix軟件，對這些組成部分的驅動用Bitlocker進行加密，遠程控制采用位於一台客戶機上的Windows PowerShell，同時通過Simple Network Management Protocol進行監控。

　　大多數管理員感到將Server Core放置在分公司以執行區域控制器功能是對略陳舊的硬件(否則將被丟棄)的最佳利用。Server Core最小的footprint實現了操作系統用盡可能少的系統資源完成盡可能多的任務，而減少的attack surface和穩定性使得其成為類似用具的機器極佳選擇。其次，有一個分公司，你可以將Server Core和此功能相結合以配置只讀區域控制器，同時采用BitLocker對各部分進行加密，這就形成了一個輕量級的安全解決方案。

　　Server Core是一款令人驚歎的新選擇，其適用於除了超小型企業外的所有企業。 

 

 

   IIS的改進

　　令人尊敬的Microsoft Web服務器軟件到Windows Server 2008已經經歷了數次修訂。IIS 7首次完全公開並完全部件化——你可以只安裝你所需要的組件，因此更輕，響應更多且更不易被攻擊。IIS管理界面也完全重新設計。核心的改進包括：

　　＊全新的組件結構

　　在IIS歷史上，首次，管理員嘗試了可完全控制IIS的哪些部分被安裝並在特定時間運行。你可以運行你所需的特定服務。這樣系統也會更安全，並且易於管理，程序的執行情況也會更好。FastCGI支持意味著PHP和其他運行時間語言被快速執行，安裝Windows的機子之前沒有這一功能。

　　＊靈活的擴展模式

　　IIS 7使得開發者可以進入一個全新的APIs套裝——可直接與IIS溝通，這使得模塊開發和定制更容易進行。開發者甚至可以進入內部結構、腳本，甚至可以登錄並管理IIS域——為勇於嘗試的管理員和第三方軟件供應商開了很多通路以擴展IIS的功能。

　　＊簡化結構以及應用軟件的配置功能

　　結構可以通過XML文件完全完成。中心IIS結構可以通過多個文件進行擴展，使得很多網站和應用軟件運行在相通的服務器上但是相互獨立，但是其結構仍易於管理。微軟公司最鐘愛IIS 7的組件是用相同配置的機器建立網絡田，因為新的服務器田已經聯機了，管理員可以輕松采用XCOPY同時通過新的服務器轉移當前結構文件。其次，新服務器上安裝的IIS與現有服務器上的相同。這或許是最大的好處，也是IIS 7進行的更新中最受歡迎之處。

　　＊委托管理功能

　　跟Active Directory——實現了使管理員分配許可以執行確定的管理功能很像，IIS管理員可以將一些功能的管理任務委托給其他人，例如網站所有者。

　　＊更多有效的管理功能

　　你不會再在大量標簽和對話框中尋找一個你需要更改的設置。創建一個新的網站只有一個對話框，增加一個應用軟件池同樣只有一個對話框。所有的工具以及功能都在控制台的敏感區域。IIS Manager完全進行了重新設計，同時加入了一個新的管理有效性命令行：appcmd.exe。

 

  

    
    圖二，IIS Manager

　　這一更改使得IIS的功能可與Apache的產品媲美，易管理性和模塊性都很好。  

 

 

  網絡的改進

　　Windows Server 2008小組進行了特別的努力以改進網絡性能和有效性。第一次，本地IPv4和IPv6支持同時具有了雙IP層結構。如果你已經在Windows Server 2003服務器上配置了IPv4和IPv6，你就知道進行交互操作有多麻煩。

　　通過將TCP/IP的個部分更好地整合，IPsec通信安全得到了提高。硬件得到了更有效的利用並且加快了網絡傳輸的速度。智能協調系統和優化算法有規律地運行以確保高效通信，同時APIs到網絡協議棧更直接地顯現，使得開發者更容易與網絡協議棧進行溝通。讓我們看看進行的改進。

　　TCP/IP網絡協議棧的改進

　　我之前間接提到過，Windows Server 2008的很多改進是對TCP/IP網絡協議棧的改變。其中一項改進是自動協調TCP窗口的大小：Windows Server 2008可以通過每個連接來自動調整接收窗口的大小，提高同一網絡上服務器間大型數據傳輸的效率。微軟公司引用了如下例子：在10 Gigabit以太網絡上，信息包的規模可以達到6 Megabytes。

　　Windows Server 2003的失效網關檢測法則只稍稍進行了改良：Windows Server 2008當前經常試圖通過其所認為的失效網關來進行TCP傳輸。如果傳輸沒有出現問題，Windows則將默認網關自動改變為之前檢測的失效網關(現在是有有效網關)。同時Windows Server 2008支持從CPU到網絡界面卡處理線路的脫機網絡處理功能，這就解放了CPU，使其可以管理其他處理程序。

　　網絡擴展也得到了改進。在之前的Windows Server版本上，一個網絡接口卡(NIC)僅與單一物理處理器相連接。然而，有了正確的網絡卡，Windows Server 2008支持擴展網絡接口卡，同時伴隨著多個CPU之間的傳輸——這一功能被稱為接收端調節(receive-side scaling)。這實現了單一網絡接口卡(位於高速下載服務器)可接收更大規模的通信量。這一功能尤其對多處理器服務器有利，因為通過增加處理器或者網絡接口卡，而不用增加整台的服務器，通信量即可增加。

　　終端服務的改進

　　網絡軟件越來越流行。除了如下三個詳細介紹的新功能，工作組也改進了核處理功能，這包括對Terminal Services功能的單一簽署，監控范圍的和對此功能的絕對支持，與Windows System Resource Manager整合以更好的監控執行情況和資源利用情況，以及實現TS和客戶機的無縫連接。

　　Windows Server 2008有三個核心的新功能。第一個是Terminal Services RemoteApp。這一功能幾年前是由Citrix MetaFrame提供的，Windows Server 2008將支持開箱即用功能來解釋TS支持的服務器上直接運行的程序，但是在本地Windows復本內進行整合，增加了重新設置大小的應用軟件窗口區域，Alt-Tab交換功能，遠程組裝系統tray icon組件等等。用戶並不知道他們的應用軟件被寄存在其他地方，除非響應經常比較慢，比如因為網絡延時或者服務器超載。

　　Windows Server 2008的第二個核心功能是管理員創建.RDP文檔——這是Terminal Services連接(用戶讀和用來給特定程序配置一個RDP成分)基於文本文件。他們也可創建.MSI文件，其最大的優點是.MSI文件傳統上可輕松通過自動系統管理方式(例如Systems Management Server, Group Policy和IntelliMirror等等)進行配置。

　　第三個核心功能是終端服務網關(Terminal Services Gateway)。這一功能使得用戶可以從英特網的任意一個網絡入口進入存放於Terminal Services的應用軟件，通過一個經過加密的HTTPS通道來保障其安全性。這一網關可以穿過防火牆發送連接，也可正常通過NAT轉換環境——在過去這一技術是受阻的。

　　這樣公司就不需要給遠程用戶配置VPN通路，目的僅為了訪問Terminal Services服務器。其次，自從數據經HTTPS進行發送，幾乎所有人(甚至在RDP協議受防火牆阻擋的地區)都可以訪問這一部分。管理員可以建立連接授權政策——詳細說明被允許通過TS網關服務器來訪問TS的用戶組。

　　最後的一項核心功能是TS網絡訪問功能(TS Web Access)，這一功能使管理員可在網頁上公開顯示可實現的遠程終端服務的程序(TS Remote Programs)。這一功能是和終端服務遠程軟件(Terminal Services RemoteApp)功能同時工作的。用戶可以浏覽他們想運行的應用軟件列表，點擊，然後就可以無縫嵌入這一應用軟件——利用了終端服務遠程程序(Terminal Services RemoteApp)的所有功能，然而保留了這一功能：在同一Web Access站點存有其他程序。這一服務可以分清由同一用戶放置的多個程序應該被放置在相同的Terminal Services部分，這樣資源管理會輕松一些，同時你甚至可以利用內置Web組件將SharePoint站內的TS Web Access進行整合。

　　Active Directory：只讀域控制器

　　Windows Server 2008引入了只讀域控制器理念，這一理念對於分公司和其他地區(服務器充當域控制器，不能采用保護數據中心其他服務器的辦法進行物理保護)。只讀域控制器有一個Active Directory的只讀復本，這就實現了快速登錄和快速獲取驗證，節省了網絡資源，同時也有長期安全益處。沒有入侵者可以對一個分公司快速訪問域控制器(接著會被復制到公司主菜單)進行更改，因為這一域控制器是只讀的。這一只讀域控制器也可以緩存分公司用戶提交的報告並通過用戶的登錄請求，但是只有一種提交方式可通過正軌的可寫入的域控制器，然而，由於安全原因，這一緩存在Password Replication Policy中被設置成默認值。

  

 

 

  安全性能的提高

　　從Windows被研發出來，安全問題就一直困擾著微軟公司，但是在近幾年，隨著越來越多的人聯網，越來越多的漏洞被發現。事實上，每月的系統補丁發布是涉及不夠嚴密的結果。這些類型的缺陷是微軟希望在Windows Server 2008系統中避免的。

　　你將看到Windows Server 2008進行了很多更新，包括提高了進入內核的層級數目，分開服務以降低緩沖器超載的可能，同時減少高風險特權層以減少受攻擊層面的規模。

　　而操作系統的基礎設計更改，Windows Server 2008組也設計了一些排除安全隱患和病毒入侵的功能，同時也設計了防止企業數據洩露和被奪取的功能。讓我們看看這些功能改進：

　　操作系統文件保護

　　一個新的功能，確保了服務器導入處理的完整進行。Windows Server 2008創建了一個基於正在采用的內核文件的確認鑰，這是你的系統和驅動器一個特定的硬件提取層，始於導入階段。在這一密鑰創建後，如果任何後期導入文件更改，操作系統將被告知並中止這一導入處理，這樣你就可以進行問題糾正。

　　操作系統文件保護也擴展了每個磁盤驅動器上的二進制影像。這種模式的操作系統文件保護包括了一個文件系統過濾器驅動——可讀下載在內存上的每一頁，檢查無用信息同時確認任何試圖下載到保護過程的圖像(一般來說對攻擊最敏感)。這些雜亂信息被存放在一個特定的系統目錄下，或者存放在一個嵌入驅動器上的一個安全文件X.509證明。如果任何測試結果都失敗了，操作系統文件保護將中止這一處理過程以保證服務器安全。這一保護避免了疑似病毒的入侵。

　　BitLocker

　　驅動器加密需求是最近安全性保護的流行方式，同時在Windows Vista和Windows Server 2008中微軟公司都增加了被稱為BitLocker的功能。

　　BitLocker是設計在特定的環節——竊賊可能獲取到硬盤物理通路。沒有加密術，黑客就可以輕松導入另一個操作系統或者運行攻擊工具並訪問文件，這樣就完全繞開了NTFS文件系統許可。Windows 2000 Server和Windows Server 2003中的加密文件系統(Encrypting File System)有了進一步的改進，通常擾亂了驅動器上的bit，但是進行文件加密的密鑰不像想象中那樣安全性強。有了BitLocker，密鑰被存放在系統主板的Trusted Platform Module芯片上，或者是在導入前插入的USB閃存驅動器上。

　　BitLocker已經徹底完成：當被激活的時候，可對整個Windows進行加密，包括用戶數據和系統文件、休眠文件、頁面文件和臨時文件。導入過程自身也受BitLocker的保護，這一功能創建了一個基於個人導入文件所有權的信息。因此如果已經修正並被替換，比如，一個Trojan文件，BitLocker將找出問題並阻止導入。相對於EFS的局限性，這的確有了很大進步，同時一個很明顯的改進在於未經加密的驅動器系統安全的提高。

　　設備安裝控制

　　另一個困擾企業的安全問題是USB拇指驅動的增多。無論你將文件服務器的許可設定的多安全，無論你將文檔的銷毀功能設置的多細致，也無論你在eyes-only文檔上采用了何種類型的內置控制，一個用戶可以輕易地將一個拇指驅動插入USB端口並復制數據，從而完全繞過了企業的物理安全系統。

　　這些驅動器裡通常包括一些企業中敏感度非常高的信息。但是卻經常發現安全性不高。問題很明顯，一些企業將棄用的USB端口用澆水粘住。這是一種有效的方法，但是卻很不整潔。

　　對於Windows Server 2008系統，一個管理員必須有能力阻止所有新設備安裝，包括USB拇指驅動、外置硬盤驅動和其他新設備。你可以輕松地在配置一台服務器的同時不安裝任何新設備。基於設備級別或者設備的ID，你也可以設置一些特例，比如，允許安裝鍵盤和鼠標，但是其他外置設備都禁制安裝。或者你可以允許特定ID的設備安裝。以上都可以通過Group Policy進行配置，同時這些政策都是計算機級別的設置。

　　Windows防火牆有著更先進的安全性

　　Windows Server 2003 Service Pack 1的Windows Firewall版本和Windows XP Service Pack 2的完全相同。作為一時的權宜之計，微軟暫且將Service Pack 1和這一款防火牆進行了綁定，公司方面說，他們將進行防火牆開發，並在下一版本的Windows中進行改進。

　　擁有Advanced Security功能的新款Windows防火牆將防火牆和Ipsec管理功能結合進便利的微軟管理控制台(Microsoft Management Console) 管理插件。防火牆驅動被重新建構以與過濾器和Ipsec相協調。有了更多的管理功能，這樣你可以更方便地指定明確的安全需求，比如驗證和加密。

　　設置可構建在每個Active Directory計算機或者用戶組基礎上。外置過濾器已經被激活，除了Windows Firewall之前版本的內置過濾器外什麼都沒有。對每台計算機的總體支持也得到了提升，當前有一個何時機器被連接到區域的概況，一份個人網絡連接的概況和公共網絡連接(如無線熱區)的概況。可引入相關政策，這就實現了多個計算機防火牆結構的協調和簡單管理。

   

 

 

 網絡訪問保護

　　病毒和惡意軟件在運行在用戶區域之前即被軟件攔截，但是保護的終極目標應該是實現這些病毒軟件完全無法進入網絡。在Windows Server 2008中，管理員將根據基線對計算機進行檢查。如果發現計算機存在問題，則這一系統不能訪問網絡，也就是被隔離，直到用戶修復其機器，才被獲准進入健康區域。

　　這一功能被稱為網絡訪問保護(Network Access Protection)功能，這一功能可以被拆分為三個核心部分：

　　健康政策確認——試圖連接到網絡的機子經檢查並檢驗其特定健康標准(由管理員設定)的合規性。(參看圖四：Windows Vista的確認標准)。

　　健康政策的服從可用於檢查配置，沒有進行驗證的計算機可通過Systems Management Server或其他管理軟件(例如Microsoft Update或Windows Update)自動更新或者確認。

　　訪問限制

12下一頁