Windows Server2008 R2的推出，對(duì)于微軟技術(shù)的愛好者來說可能是天大的福音，對(duì)于企業(yè)用戶也算得上是莫大的好消息；作為微軟最高版本的服務(wù)器操作系統(tǒng)，Windows Server 2008 R2肩負(fù)著更高的穩(wěn)定性和安全性；不論是在Windows Server 2008 R2操作系統(tǒng)本身，還是角色、功能的增強(qiáng)，都極大的體現(xiàn)了這一新版本的操作系統(tǒng)帶來的絕佳體驗(yàn)和性能。

相信我們也都清楚，Windows Server 2008 R2在功能和特性上都基于先前的Windows Server 2008，并進(jìn)一步得到了增強(qiáng)和完善。當(dāng)然這種在技術(shù)上的改進(jìn)、增強(qiáng)和完善，不僅僅是說增加了幾個(gè)新特性，而是作為Windows Server 2008 R2本身定位于企業(yè)客戶，是為企業(yè)量身定做的解決方案，是一種企業(yè)級(jí)的解決方案。

作為Windows Server 2008 R2 的眾多使用者之一，我深感新版本的操作系統(tǒng)帶來的優(yōu)越性；今天主要從企業(yè)不同的應(yīng)用角度和應(yīng)用需求與大家分享下Windows Server 2008 R2帶給企業(yè)的安全性體現(xiàn)。

企業(yè)中面臨的安全性挑戰(zhàn)

談到安全、安全性，可能我們都會(huì)神經(jīng)緊張起來，這是每個(gè)人，每個(gè)用戶，每個(gè)企業(yè)最擔(dān)心顧慮的問題，無疑這是個(gè)復(fù)雜的問題。每個(gè)企業(yè)都希望自己的網(wǎng)絡(luò)環(huán)境是安全的，是絕對(duì)安全的，經(jīng)常聽很多企業(yè)客戶談?wù)摚覀兊钠髽I(yè)網(wǎng)絡(luò)需要保障系統(tǒng)安全、網(wǎng)絡(luò)安全、信息傳遞安全和數(shù)據(jù)安全等等，有沒有一種完全的解決方法和方案呢？這就需要講到Windows Server 208 R2帶給我們的基于縱深的安全特性了，它著實(shí)能幫助我們解決不少企業(yè)安全問題。

企業(yè)中的系統(tǒng)安全體現(xiàn)

我們知道系統(tǒng)安全是局域網(wǎng)絡(luò)中管理和維護(hù)的重中之重任務(wù)，而我們平時(shí)的管理維護(hù)工作中對(duì)于服務(wù)器運(yùn)行安全方面的考慮，最常見的方法就是安裝網(wǎng)絡(luò)防火墻、安裝一些專業(yè)級(jí)的殺毒軟件以及各種反間諜工具等。

當(dāng)然，并不是說這種方法不可行，只是每次依靠這種第三方的外來力量保護(hù)服務(wù)器的系統(tǒng)安全，確實(shí)讓很多的系統(tǒng)管理員感到種種的不便。先不考慮是不是所有的企業(yè)都能花費(fèi)巨資購買正版專業(yè)級(jí)網(wǎng)絡(luò)防火墻、專業(yè)的殺毒軟件了。我們經(jīng)常會(huì)聽到，某某病毒爆發(fā)、某某蠕蟲爆發(fā)或是某某公司集團(tuán)被黑客攻擊等類似事件，甚至更加離譜會(huì)聽到有人說某某專業(yè)級(jí)殺毒軟件竟然誤把系統(tǒng)文件當(dāng)病毒殺了導(dǎo)致服務(wù)器操作系統(tǒng)崩潰。

針對(duì)系統(tǒng)管理員的這種種困惑和難題，Windows Server 2008 R2針對(duì)其系統(tǒng)自身進(jìn)行了安全強(qiáng)化，并對(duì)其自帶的防火墻功能進(jìn)行了強(qiáng)化。利用高級(jí)安全Windows防火墻，為服務(wù)器提供雙向的網(wǎng)絡(luò)通訊篩選，阻止未經(jīng)授權(quán)的出站和入站訪問；同時(shí)利用其身帶的Microsoft Windows Defender對(duì)惡意程序和間諜軟件進(jìn)行掃描，全方位確保服務(wù)器本身的安全，減少對(duì)外來力量保護(hù)的依賴，盡可能的避免依賴第三方保護(hù)程序帶來的意外不安全影響，為企業(yè)服務(wù)器系統(tǒng)安全增加了多一層的保護(hù)。

企業(yè)中的網(wǎng)絡(luò)安全體現(xiàn)

網(wǎng)絡(luò)安全亦是企業(yè)環(huán)境中不可小視的問題，企業(yè)用戶連入Internet的同時(shí)，也就隨之而來面臨了各種各樣的網(wǎng)絡(luò)威脅，對(duì)于此我們的一般方法就是通過各種防火墻技術(shù)將這些外來安全威脅阻止掉；但對(duì)于企業(yè)內(nèi)部的網(wǎng)絡(luò)連接威脅，企業(yè)網(wǎng)絡(luò)管理員往往也就束手無策了，再加上企業(yè)用戶的安全意識(shí)較低，網(wǎng)絡(luò)安全問題就更加嚴(yán)重了。不可避免的，出于企業(yè)業(yè)務(wù)需要，很多企業(yè)經(jīng)常會(huì)有來賓訪問，這些外來用戶如果攜帶了自己的筆記本，就可以直接連接到企業(yè)內(nèi)部的網(wǎng)絡(luò)中，而不會(huì)受到防火墻和各種外部訪問策略的限制，如果這些筆記本中攜帶了惡意的應(yīng)用程序、病毒、木馬等，就會(huì)直接對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)安全造成影響。OK，那么如何才能限制這些用戶和企業(yè)里安全意識(shí)較低的用戶帶來的這種安全風(fēng)險(xiǎn)呢？在Windows Server 2008 R2中為我們提供了一個(gè)非常強(qiáng)大的新功能：網(wǎng)絡(luò)訪問保護(hù)，也就是我們經(jīng)常聽到的NAP（Network Access Protection）。利用NAP這個(gè)新功能來保護(hù)客戶端用戶以及外來用戶對(duì)于企業(yè)服務(wù)器網(wǎng)絡(luò)的訪問，確保整個(gè)網(wǎng)絡(luò)的訪問過程是達(dá)到一定安全級(jí)別的。

那么NAP是怎么樣實(shí)現(xiàn)這種健康網(wǎng)絡(luò)訪問，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全的呢？當(dāng)然，NAP的這種網(wǎng)絡(luò)訪問保護(hù)和防火墻是不同的，防火墻是通過網(wǎng)絡(luò)通訊接口，比如IP、端口之類來控制訪問連接，主要控制的是用戶的網(wǎng)絡(luò)行為；而NAP則是通過安全策略來控制連入網(wǎng)絡(luò)中所有用戶客戶端的狀態(tài)。可能有人會(huì)把NAP的這種安全策略與防火墻的策略去對(duì)比，其實(shí)準(zhǔn)確的講防火墻的策略應(yīng)該稱之為規(guī)則策略，通過這種規(guī)則策略監(jiān)控用戶的行為是否符合當(dāng)前的規(guī)則限制，從而執(zhí)行相應(yīng)的控制操作；而NAP的安全策略更象是驗(yàn)證用戶客戶端是否達(dá)到某個(gè)在安全方面的特性的要求；如有的安全策略要求用戶客戶端必須打開安全更新，有的要求防火墻處于啟用狀態(tài)，等等；NAP就是根據(jù)這種評(píng)估用戶客戶端是否符合當(dāng)前的安全標(biāo)準(zhǔn)來管理是否讓用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源。簡單的講NAP就是利用這種健康策略驗(yàn)證來保護(hù)企業(yè)網(wǎng)絡(luò)資源訪問的，從而對(duì)企業(yè)網(wǎng)絡(luò)安全起到強(qiáng)有力的保護(hù)和管理。

企業(yè)中的信息傳遞安全體現(xiàn)

當(dāng)然，如果要談到企業(yè)信息傳遞安全，別的不用多說，這里不得不提到的就是在企業(yè)中對(duì)于Windows Server 2008 R2中的DirectAccess的應(yīng)用了。DirectAccess功能真的可以說是輕松幫助我們IT部門實(shí)現(xiàn)了——對(duì)企業(yè)用戶不論他們目前處在什么網(wǎng)絡(luò)位置上都可以自由的訪問公司內(nèi)部網(wǎng)絡(luò)中的資源文件、數(shù)據(jù)和應(yīng)用程序，而再不必通過以前傳統(tǒng)的VPN訪問方式，避免了很多時(shí)候這些用戶根本就不知道怎樣進(jìn)行VPN連接，還得遠(yuǎn)程打電話進(jìn)行指導(dǎo)的難題，同時(shí)也克服了以往VPN方式中存在的很多局限性；現(xiàn)在能過使用DirectAccess可以自動(dòng)地將在外地辦公的用戶計(jì)算機(jī)和公司內(nèi)網(wǎng)服務(wù)器之間建立起一個(gè)雙向的連接。

對(duì)于這種遠(yuǎn)程訪問方式可以說是降低了遠(yuǎn)程用戶的操作復(fù)雜性，再也不必?fù)?dān)心遠(yuǎn)程用戶不會(huì)使用的難題，并且同時(shí)DirectAccess使用了IPSec進(jìn)行計(jì)算機(jī)之間的驗(yàn)證和加密，安全性方面就有了保障；同時(shí)為了得到更高的安全保證，我們還在這基礎(chǔ)之上用上之前提到的NAP，這樣一來對(duì)于需要進(jìn)行DirectAccess訪問的用戶就必須要符合系統(tǒng)健康要求后，才能允許他連接到企業(yè)內(nèi)部，使用公司內(nèi)部網(wǎng)絡(luò)資源；當(dāng)然更方便的——也允許我們IT部門在后臺(tái)對(duì)企業(yè)的DirectAccess服務(wù)器進(jìn)行相關(guān)配置，定義當(dāng)用戶遠(yuǎn)程連接登錄之前限制用戶和應(yīng)用程序可以訪問到的服務(wù)器，這樣一來在遠(yuǎn)程訪問的安全性方面就有了保障；Windows Server 2008 R2這項(xiàng)功能可以說是幫助了我本人不少忙，很簡單的就實(shí)現(xiàn)了企業(yè)中經(jīng)常出差在外的用戶或是在家辦公用戶訪問企業(yè)網(wǎng)絡(luò)資源的難題，而且還有效的解決了企業(yè)對(duì)于這些經(jīng)常漫游在企業(yè)網(wǎng)絡(luò)外的公司機(jī)密資源信息的擔(dān)憂，對(duì)這些信息進(jìn)行了安全監(jiān)督和數(shù)據(jù)保護(hù)，并且安全性相對(duì)于VPN有了更高的保障。

企業(yè)中的數(shù)據(jù)安全體現(xiàn)

而對(duì)于數(shù)據(jù)安全，Windows Server 2008 R2也提供了很多解決方法，比如我們常聽到的Bitlocker、Bitlocker to go、Applocker等，都是能很容易的就幫助我解決了在企業(yè)里對(duì)于本地磁盤數(shù)據(jù)安全、移動(dòng)存儲(chǔ)設(shè)備數(shù)據(jù)安全等一系列數(shù)據(jù)安全問題，輕松限制企業(yè)中的用戶——允許他們可以使用哪些應(yīng)用程序，不可以使用哪些應(yīng)用程序，有效的對(duì)一些重要數(shù)據(jù)進(jìn)行保護(hù)，即便是我們經(jīng)常擔(dān)心的——丟了計(jì)算機(jī)、移動(dòng)硬盤或是U盤后會(huì)造成的企業(yè)機(jī)密數(shù)據(jù)信息泄露，現(xiàn)在也大可完全放心了，這一切擔(dān)憂，新技術(shù)統(tǒng)統(tǒng)幫忙搞定，計(jì)算機(jī)丟了、移動(dòng)硬盤丟了、U盤丟了都沒關(guān)系，里面的數(shù)據(jù)沒有正確的密碼，得不到解密是打不開的，看不了的。應(yīng)用了Bitlocker、Bitlocker to go后對(duì)于用戶的業(yè)務(wù)數(shù)據(jù)安全性便得到了有效的保障；即便是安全意識(shí)較低的用戶也可以限制他不能運(yùn)行未知的惡意軟件，保證數(shù)據(jù)的不被惡意程序刪除；這是做為管理員的我們切身體會(huì)到的。

全方位的安全考慮

另外還有大家都熟悉的，Windows Server 2008 帶給我們其他的新功能特性，如活動(dòng)目錄回收站、多元密碼策略、Server Core、hyer-v、RODC、增加改進(jìn)的Windows Server Back、組策略等等功能角色，都是不錯(cuò)的安全性體現(xiàn)，真可謂是從安全的各個(gè)方面出發(fā)，縱深為安全提供解決方案；當(dāng)然對(duì)于Windows Server 2008帶來的安全性和穩(wěn)定性是不可分的，兩者是本來就是相輔相成的，穩(wěn)定性促進(jìn)了進(jìn)一步的安全性，安全性加強(qiáng)了服務(wù)器的高穩(wěn)定性。

講了這么多，不知道各位有沒有覺得啰嗦，說的都是大家早已熟悉的東西，但是對(duì)于Windows Server 2008 R2，使用后還就是有著說不完的優(yōu)越感可言。希望我的這些體會(huì)也是各位的體驗(yàn)！