如果你已經(jīng)對Windows Server 2003家族建立了相當?shù)男湃?，甚至認為2003已經(jīng)很完美，那么，想想Windows Vista 或Windows 7里強大的可靠性監(jiān)視程序和任務(wù)管理器、高級防火墻、以假亂真的Windows XP Mode（僅Windows 7提供）以及固若金湯的BitLocker，你是不是覺得，2003已經(jīng)老了？

諸多的新功能中，高級安全Windows防火墻、活動目錄審核、只讀域控制器（RODC）、網(wǎng)絡(luò)訪問保護（NAP）和可以在服務(wù)器上部署的BitLocker這幾項功能，共同為基于Windows Server 2008搭建的網(wǎng)絡(luò)保駕護航，它們成就了Windows Server 2008的最佳安全性體驗。

高級安全Windows防火墻

為了保護服務(wù)器操作系統(tǒng)和運行于其上的各種服務(wù)，我們構(gòu)建了各種軟、硬件防火墻系統(tǒng)，并且不惜犧牲系統(tǒng)性能，在每臺服務(wù)器上運行防護軟件。因為即使是強大的ISA，也無法精細到對每臺服務(wù)器提供單機保護。而基于Windows 5.0核心的XP、2003操作系統(tǒng)自帶的Windows防火墻，曾經(jīng)給我們帶來了希望——它們存在于每臺服務(wù)器和客戶端上，是否可以給我們提供完美的保護呢？結(jié)果是，因為設(shè)計架構(gòu)的限制，Windows防火墻并沒有提供完整的網(wǎng)絡(luò)防護，而且這個遺憾一直持續(xù)到Windows Server 2008的發(fā)布。

Windows Server 2008攜帶的高級安全Windows防火墻帶來了一些新的特性和改進，包括允許創(chuàng)建入站和出戰(zhàn)通訊的防火墻規(guī)則，像ISA那樣為程序或數(shù)據(jù)包制定入站和出戰(zhàn)策略以及與IPSec的結(jié)合的能力。

高級安全Windows防火墻提供了新的圖形化界面。還記得XP和2003中那個Windows防火墻選項卡嗎？現(xiàn)在你可以跟她說再見了，在Windows Server 2008中，你要通過一個管理控制臺單元來配置這個高級防火墻（圖1）

圖1 Windows 高級防火墻管理控制臺界面

在這個界面中，你可以創(chuàng)建、修改和刪除規(guī)則，對規(guī)則進行配置時，可以從各種標準中進行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標準疊加在一起；添加的標準越多，高級安全Windows防火墻匹配傳入流量就越精細。比如你可以利用高級安全Windows防火墻來過濾沖擊波病毒包或者是禁止QQ數(shù)據(jù)通過。

當傳入數(shù)據(jù)包到達計算機時，高級安全Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指 定的標準。如果數(shù)據(jù)包與規(guī)則中的標準匹配，則高級安全Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標準不匹配，則高級安全Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目（如果啟用了日志記錄）。你還可以為域、特定對象或者全部對象分別創(chuàng)建不同的匹配策略。

高級安全Windows防火墻的匹配規(guī)則可以提供雙向的保護，即對出站、入站通信均進行過濾，然后攔截有威脅的數(shù)據(jù)包。這樣不但保護計算機自身不被攻擊，也能阻止已受感染的計算機不能輕易的發(fā)起攻擊，避免更大的損失。

高級安全Windows防火墻還將Windows防火墻功能和Internet 協(xié)議安全（IPSec）集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護（完整性和加密）以及身份驗證設(shè)置。

順便提一下，因為Windows Server 2008對IPSec做了不少的改進，不僅提供了新的IPv6協(xié)議支持，還支持新的加密方法。并且被集成到系統(tǒng)各個安全部分，諸如剛剛提到的高級安全Windows防火墻、NAP甚至群集服務(wù)中。更難得的是，IPSec的配置界面相比之前有了很大的簡化，降低了部署的難度，更利于企業(yè)部署IPSec，降低了企業(yè)的成本，微軟還為IPSec擴展了事件和性能監(jiān)視器的計數(shù)器，管理員可以能夠通過性能監(jiān)視器對IPSec進行相應(yīng)的監(jiān)控，有效的提高維護效率。

活動目錄審核

在安全性要求較高的場合，我們可以使用組策略中的審核策略，來記錄用戶的各種可能會影響安全性的行為。通過審核策略，我們就可以識別惡意猜解密碼或者攻擊某個服務(wù)的嘗試。先前的審核策略包含了對于文件資源、用戶賬戶和目錄訪問的審核記錄（圖2），但這些記錄只能告訴我們什么時候誰來過，卻不知道到訪者究竟做了什么。相對于文件夾和文件對象，用戶在活動目錄對象上能做的事情更多，而且影響也更大，我們需要記錄他們的具體行為。以便在排除故障時，清楚地回溯歷史操作。

圖2 Windows Server 2003的審核策略

Windows Server 2008中實現(xiàn)的活動目錄審核能夠通過對系統(tǒng)訪問控制列表（SACL）的修改。查看用戶對于活動目錄對象的訪問和修改，在Windows Server 2008中是默認就啟用的，審核功能既能夠?qū)徍顺晒Φ牟僮鳎材軌驅(qū)徍耸〉牟僮?，這樣就能夠最大限度的保障活動目錄的安全性。與在Windows 2000 Server和Windows Server 2003中只有一種審核策略來審核目錄服務(wù)訪問不同，用來控制審核目錄服務(wù)事件是被啟用或者禁用的單一審核策略在Windows Server 2008中被劃分成四個子類別，它們分別是：

目錄服務(wù)訪問（Directory Service Access）

目錄服務(wù)更改（Directory Service Changes）

目錄服務(wù)復制（Directory Service Replication）

詳細的目錄服務(wù)復制（Detailed Directory Service Replication）

在圖3中的位置啟用活動目錄審核后，就會同時打開以上的全部四個子類別。

圖3 打開活動目錄訪問審核策略

正因為新的審核子類——目錄服務(wù)更改的出現(xiàn)，AD DS對象屬性的更改才能被審核。我們能夠?qū)徍说母念愋捅患毣絼?chuàng)建，修改，移動以及反刪除。這些事件都將被記錄在安全日志中。

在AD DS中新的目錄服務(wù)更改審核策略子類增加了以下的功能：

當對對像的屬性修改成功時，AD DS會紀錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個以上的值時，只有作為修改操作結(jié)果變化的值才會被記錄。

如果新的對像被創(chuàng)建，屬性被賦予的時間將會被記錄，屬性值也會被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如SAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。

如果一個對像被移動到同一個域中，那么先前的以及新的位置（以distinguished name 形式）將被記錄。當對象被移動到不同域時，一個創(chuàng)建事件將會在目標域的域控制器上生成。

如果一個對象被反刪除，那么這個對象被移動到的位置將會被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會被記錄。

利用活動目錄審核的目錄服務(wù)復制子策略，我們還可以監(jiān)視活動目錄的復制工作，哪些發(fā)生了，哪些未發(fā)生，以及復制了什么等，對于操作主控的管理、復制鏈接的效率調(diào)優(yōu)，這些審核記錄無疑都具有相當?shù)膮⒖純r值。

只讀域控制器（RODC）

2008年起源于美國的金融危機之所以能如此大規(guī)模如此迅速的擴散至全球，跨國/跨地區(qū)的貿(mào)易集團功不可沒。因為業(yè)務(wù)需要，企業(yè)對遍布各地的分支機構(gòu)早已習以為常，而隨著地區(qū)業(yè)務(wù)的深入開展，分支機構(gòu)承擔的工作也在不斷調(diào)整深化，越來越多的應(yīng)用需要在分支機構(gòu)部署。然而，這些地方也許沒有域控制器，或者他們有域控制器但是沒有足夠的物理安全保障、網(wǎng)絡(luò)帶寬以及專門的技術(shù)人員來提供支持。這就使得分支機構(gòu)很可能成為黑客的突破點，進而攻擊整個企業(yè)網(wǎng)絡(luò)。

只讀域控制器（RODC）就是針對上述的隱患而設(shè)計的。

顧名思義，RODC本身是一臺域控制器，但是存儲于這臺域控制器里的數(shù)據(jù)庫是被寫保護的，無法對數(shù)據(jù)庫中的數(shù)據(jù)做任何更改操作，所有對AD數(shù)據(jù)庫的修改操作，只能在可寫的域控上進行，然后這些修改再通過復制拓撲復制到RODC上。而且，在默認情況下，RODC 不保存任何賬戶信息和密碼。這樣的話，即使 RODC 受到安全攻擊，管理員們也無需擔心入侵者更改安全配置或利用服務(wù)器上保存的信息訪問整個網(wǎng)絡(luò)。

圖4 指定安裝成RODC

RODC使用的復制拓撲是單向的，即只能從可寫域控制器復制到RODC，沒有任何屬性的更改會被直接寫入RODC，所以，任何更改都不會從RODC發(fā)起，作為復制伙伴的可寫域控制器也就不會產(chǎn)生從RODC“拉”數(shù)據(jù)的操作。這不僅意味著上述的惡意用戶通過攻擊在分支結(jié)構(gòu)的RODC，在其上進行的操作的結(jié)果不會被復制到森林的其余部分，而且這一體制也減少了樞紐站點里的橋頭服務(wù)器的工作量，以及為了監(jiān)視復制所產(chǎn)生的數(shù)據(jù)量。RODC的單向復制同時應(yīng)用于AD DS及分布式文件系統(tǒng)（DFS）的復制。

前面提到，RODC上不會保存賬戶信息和密碼，實際上，在默認情況下，RODC上還是會存放少量的賬戶信息，不過RODC只存儲它自己的計算機賬戶和一個用于這臺RODC的特殊的Kerberos 票據(jù)授權(quán)（KRBTGT）賬戶，此賬戶是被可寫域控制器用來驗證RODC身份的。如果需要在RODC上存儲用戶憑據(jù)或者計算機憑據(jù)的話，你需要在RODC上允許這些憑據(jù)被緩存。因為RODC一般是總是放置在比較小的分支機構(gòu)，所以被允許憑據(jù)緩存的計算機賬戶和用戶賬戶應(yīng)該都不多。這樣即使RODC被偷了，我們只會丟失那些緩存在RODC上的憑據(jù)。如果你連這些賬戶信息也非常在乎，在發(fā)現(xiàn)RODC被偷走之后，你可以立即在可寫域控上將RODC的計算機賬戶刪除，在刪除時還可以對緩存在該RODC上的憑據(jù)進行密碼重設(shè)，這樣丟失掉的這些憑據(jù)就沒有任何作用了。

RODC還支持一種稱為“管理員角色分離”的功能，我們可以使用該功能來指派一個普通的域用戶成為RODC的本地管理員。這樣這個特定的域用戶就擁有了對分支機構(gòu)的RODC服務(wù)器進行一些系統(tǒng)維護或管理操作的權(quán)限，例如安裝安全更新或者驅(qū)動程序。這個功能的好處在于：此用戶在域中其他機器或者任何可讀寫的域控制器上并沒有用戶權(quán)利。而在以前的AD中，所有DC都是可讀寫的，DC上的本機管理事實上是使用域管理員賬戶的。這使得分支機構(gòu)用戶可以有效的管理RODC而不會影響整個域的安全性。

為了進一步減少對分支機構(gòu)和總部之間網(wǎng)絡(luò)的占用，你還能在RODC上安裝DNS服務(wù)。安裝在RODC上的DNS也是只讀的，它能夠復制其他DNS使用的所有程序目錄分區(qū)，包括ForestDNSZones以及DomainDNSZones。這樣，就使得用戶能夠像查詢其它DNS服務(wù)器一樣進行名稱解析和服務(wù)位置查詢。

總之，RODC的實現(xiàn)，為需要在分支機構(gòu)部署域服務(wù)的管理員們，提供了即完整又安全的解決方案。

網(wǎng)絡(luò)訪問保護（NAP）

要問到Windows Server 2008最吸引眼球的功能，網(wǎng)絡(luò)訪問保護（NAP）絕對當之無愧！

現(xiàn)如今，令管理員非常頭痛的事是：如何在一個充斥著家庭計算機、出差用戶、來訪客戶等不在他們控制范圍的各種移動客戶端的網(wǎng)絡(luò)中確保安全性？這些計算機很可能存在沒有及時安裝關(guān)鍵補丁、沒有啟用防火墻、沒有及時升級病毒庫等非常嚴重的安全隱患，當他們接入公司內(nèi)網(wǎng)的時候，勢必給企業(yè)內(nèi)網(wǎng)的安全帶來非常大的考驗。好在NAP及時出現(xiàn)在我們的視線中。

要想描述清楚NAP系統(tǒng)是不容易的，簡單來說NAP是一組服務(wù)器的集合，其核心服務(wù)器稱為網(wǎng)絡(luò)策略服務(wù)器（NPS），配合NPS工作的有健康注冊管理機構(gòu)（HRA）、安全修正服務(wù)器以及運行在客戶端的安全狀況收集程序——系統(tǒng)健康代理（SHA）等。一個典型的NAP系統(tǒng)通常有以下幾個部分：

NAP客戶端

若要訪問網(wǎng)絡(luò)，首先由NAP代理從運行在NAP客戶端計算機本地的系統(tǒng)健康代理（SHA）收集有關(guān)該客戶端健康狀況的信息。NAP代理是一種在本地計算機上運行的服務(wù)，能夠收集來自 SHA 的信息。安裝在客戶端計算機上的每SHA都提供當前設(shè)置或設(shè)計用于監(jiān)視的活動的相關(guān)信息。NAP代理服務(wù)將匯總該計算機的健康狀態(tài)信息并將此信息傳遞給一個或多個NAP強制客戶端。強制客戶端是與 NAP 強制點交互以便在網(wǎng)絡(luò)上進行訪問或通信的軟件。

強制技術(shù)

可用于作為判斷依據(jù)決定如何匹配NAP策略的五種網(wǎng)絡(luò)訪問技術(shù)。這五種網(wǎng)絡(luò)訪問技術(shù)是：

Internet 協(xié)議安全性（IPSec）。

802.1X

VPN

DHCP

遠程桌面網(wǎng)關(guān)（RD 網(wǎng)關(guān)）

每個NAP策略都可以指定到某一種網(wǎng)絡(luò)訪問技術(shù)，當客戶端接入網(wǎng)絡(luò)后，就會被判斷出其使用了那種網(wǎng)絡(luò)訪問技術(shù)，從而對應(yīng)到相應(yīng)的NAP策略。

NAP 強制點

NAP強制點是一個服務(wù)器或硬件設(shè)備，它向NAP客戶端計算機提供某個級別的網(wǎng)絡(luò)訪問權(quán)限。每個NAP強制技術(shù)的執(zhí)行都對應(yīng)使用不同類型的NAP強制點。在使用 802.1X 強制的 NAP 中，NAP 強制點是兼容 IEEE 802.1X 的交換機或無線訪問點。IPSec、DHCP 和 RD 網(wǎng)關(guān)強制方法的 NAP 強制服務(wù)器也必須運行配置為 RADIUS 代理或 NAP 健康策略服務(wù)器的 NPS。使用 VPN 強制的 NAP 不要求在 VPN 服務(wù)器上安裝 NPS?？梢栽谀硞€網(wǎng)絡(luò)上使用一種、幾種或者所有執(zhí)行方法。

健康注冊管理機構(gòu)（HRA）

健康注冊機構(gòu)（HRA）負責驗證客戶端憑據(jù)，然后將證書申請轉(zhuǎn)發(fā)到代表客戶端的證書機構(gòu)（CA）。通過檢查網(wǎng)絡(luò)策略服務(wù)器（NPS），HRA 可驗證證書申請以確定 NAP 客戶端是否與網(wǎng)絡(luò)健康要求兼容。如果發(fā)現(xiàn)客戶端兼容，HRA 將從 CA 申請?zhí)厥忸愋偷淖C書（稱為健康證書）。由 NAP 客戶端計算機使用的健康證書用于受 IPSec 保護的網(wǎng)絡(luò)上的通信。在此功能中，HRA 將作為 NAP 強制服務(wù)器，使用 NAP Internet 協(xié)議安全（IPSec）強制方法。

NAP 健康策略服務(wù)器

NAP健康策略服務(wù)器是一臺運行 Windows Server 2008 或 Windows Server 2008 R2 的計算機，并且已安裝和配置了NPS角色服務(wù)，用于評估NAP客戶端計算機的健康狀況。所有的NAP強制技術(shù)至少需要一個健康策略服務(wù)器。NAP健康策略服務(wù)器使用策略和設(shè)置對 NAP客戶端計算機提交的網(wǎng)絡(luò)訪問請求進行評估。

NAP修正服務(wù)器

NAP 修正服務(wù)器能夠向被判斷為不安全的客戶端計算機提供安全更新服務(wù)。當然，標識為安全的的客戶端計算機也可以訪問修正服務(wù)器。NAP修正服務(wù)器的示例包括：

防病毒簽名服務(wù)器。如果健康策略要求計算機必須有最新的防病毒簽名，則標識為不安全的計算機必須具有對提供這些更新的服務(wù)器的訪問權(quán)限。

Windows Server Update Services。如果健康策略要求計算機必須有最新的安全更新或其他軟件更新，可以通過將 WSUS 放置在更新網(wǎng)絡(luò)上來提供這些更新。

System Center 組件服務(wù)器。System Center Configuration Manager 管理點、軟件更新點和分發(fā)點用于承載使計算機兼容所需的軟件更新。使用配置管理器部署 NAP 時，支持 NAP 的計算機要求訪問運行這些站點系統(tǒng)角色的計算機才能下載其客戶端策略、掃描軟件更新安全性以及下載所需的軟件更新。

域控制器。不安全的計算機可能會要求訪問位于不安全網(wǎng)絡(luò)上的域服務(wù)以進行身份驗證，以便從組策略下載策略或維護域配置文件設(shè)置。

DNS 服務(wù)器。不安全的計算機必須具有對DNS的訪問權(quán)限才能解析主機名。

DHCP 服務(wù)器。當不安全網(wǎng)絡(luò)上的客戶端 IP 配置文件更改或 DHCP 租用過期時，不安全的計算機必須具有訪問 DHCP 服務(wù)器的權(quán)限。

服務(wù)器問題疑難解答。配置更新服務(wù)器組時，可以選擇提供包含有關(guān)如何使計算機符合健康策略的說明的疑難解答 URL?？梢詾槊總€網(wǎng)絡(luò)策略提供不同的 URL。這些 URL 必須能夠在更新網(wǎng)絡(luò)上訪問。

其他服務(wù)?？梢栽诟戮W(wǎng)絡(luò)上提供對 Internet 的訪問權(quán)限，使不安全的計算機能夠訪問更新服務(wù)，如Internet上的Windows Update和其他Internet資源。

系統(tǒng)健康驗證程序（SHV）

系統(tǒng)健康驗證程序（SHV）用于在NPS服務(wù)器上定義健康要求，并和收到的客戶端系統(tǒng)健康代理（SHA）做對比，以檢測客戶端是否滿足健康要求。在NAP上有很多種SHV和SHA類型。Windows Server 2008自帶的SHV（WSHV）可以進行以下方面的健康要求篩選：

防火墻：如果啟用此要求，客戶端計算機必須有已向 Windows 安全中心注冊并為所有網(wǎng)絡(luò)連接啟用的防火墻。

病毒防護：如果啟用此要求，客戶端計算機必須滿足下列要求：已安裝防病毒應(yīng)用程序，已向 Windows 安全中心注冊并已啟用。還必須對客戶端計算機進行檢查，以確保防病毒簽名文件隨時更新。

間諜軟件防護：如果啟用此要求，客戶端計算機必須滿足下列要求：已安裝反間諜軟件應(yīng)用程序，已向 Windows 安全中心注冊并已啟用。還必須對客戶端計算機進行檢查，以確保反間諜軟件簽名文件隨時更新。間諜軟件防護僅適用于運行 Windows Vista 或 Windows 7 NAP 的客戶端。

自動更新：如果啟用此要求，必須配置客戶端計算機才能檢查來自 Windows Update 的更新?？梢赃x擇是否下載并安裝這些更新。

安全更新保護：如果啟用此要求，客戶端計算機必須基于與 Microsoft 安全響應(yīng)中心（MSRC）中的安全嚴重性分級匹配的四個可能的值中的一個值來安裝安全更新。客戶端還必須按指定的時間間隔檢查這些更新?？梢允褂?Windows Server Update Services（WSUS)、Windows Update 或同時使用兩者來獲取安全更新。

NAP 健康要求服務(wù)器

健康要求服務(wù)器是能夠向一個或多個系統(tǒng)健康驗證程序（SHV）提供健康策略要求和健康評估信息的計算機。如果 NAP 客戶端計算機報告的健康狀態(tài)能夠在不咨詢其他設(shè)備的情況下通過 NPS 的驗證，則不需要健康要求服務(wù)器。例如，WSUS 在用于 Windows 安全健康驗證程序（WSHV）時被認為不是健康要求服務(wù)器。即使管理員能夠使用 WSUS 指定客戶端計算機必須有哪些更新，該客戶端計算機仍會報告自己是否已安裝了這些更新。在這種情況下，WSUS 將作為更新服務(wù)器，而不是健康要求服務(wù)器。

使用配置管理器SHV部署NAP時也要使用健康要求服務(wù)器。配置管理器SHV將聯(lián)系全局編錄服務(wù)器，通過檢查向 Active Directory 域服務(wù)發(fā)布的健康狀態(tài)參考來驗證客戶端的健康狀態(tài)。因此，部署配置管理器SHV后，域控制器將用作健康要求服務(wù)器。其他SHV也可以使用健康要求服務(wù)器。

圖5 NAP系統(tǒng)架構(gòu)示意圖

在圖5所示的NAP系統(tǒng)中，客戶端上的系統(tǒng)健康代理（SHA）創(chuàng)建一些健康聲明（SoH），并將這些聲明發(fā)送給NPS服務(wù)器上相應(yīng)的系統(tǒng)健康驗證程序（SHV）；SHV則與策略服務(wù)器（NPS）進行通信，確定SoH里面提供的安全狀況是否符合安全策略的要求。如果符合，則允許該計算機全面訪問公司網(wǎng)絡(luò)資源。如果不符合，該計算機被連接到受限網(wǎng)絡(luò)，通過修正服務(wù)器運行狀況更新，直到滿足NPS服務(wù)器上的安全策略要求，才能重新進入公司網(wǎng)絡(luò)。

BitLocker驅(qū)動器加密

我們第一次知道BitLocker驅(qū)動器加密這個東西，是在Windows Vista上。通過對硬盤數(shù)據(jù)的全卷加密，BitLocker能夠保障個人計算機、企業(yè)計算機上存儲數(shù)據(jù)的安全。相比購買硬件的花費，更令企業(yè)擔心的是丟失或被盜計算機上存儲的數(shù)據(jù)，只需要把硬盤裝載在另一臺計算機中，就能夠很輕松的讀取硬盤中的數(shù)據(jù)，甚至是受EFS保護的數(shù)據(jù)，也無法保證萬無一失。誰也不希望看到自己的文件被公開叫賣。

BitLocker可以通過TPM芯片（集成在主板上的安全信息存儲芯片，用于提供該主板的唯一標識）、USB密鑰盤（含有密鑰資料的 USB 閃存驅(qū)動器）和PIN碼這三種識別信息的其中一個或多個的組合（多因素身份驗證）來驗證磁盤的工作環(huán)境是否是經(jīng)過授權(quán)的。BitLocker提供的保護，包括以下兩種：

加密整個 Windows 操作系統(tǒng)卷，包括用戶數(shù)據(jù)和系統(tǒng)文件、休眠文件、頁面文件以及臨時文件。通過 BitLocker 可以選擇鎖定正常的引導過程，直至用戶提供 PIN碼或插入USB密鑰盤為止。這項安全措施也支持多因素身份驗證，并確保在提供正確的 PIN 碼或 USB密鑰盤之前計算機不會從關(guān)機或休眠狀態(tài)中被啟動或恢復。

對于存儲在加密卷上的非Microsoft應(yīng)用程序和用戶數(shù)據(jù)，通過進行全卷加密提供相同級別的防護。BitLocker的加密是卷級別的，因此，即使磁盤被掛接在別的計算機上，通過別的操作系統(tǒng)進行訪問也無法獲取磁盤內(nèi)被加密的資料。我認為，此項安全措施對于因資產(chǎn)管理的原因報廢或回收的存儲設(shè)備具有非常實際的保護意義，被BitLocker加密的磁盤，不需要進行數(shù)據(jù)擦除就可以做回收處理，不用擔心數(shù)據(jù)會被惡意讀取。

BitLocker 的易用性并沒有因為它堅固的安全性受到影響，微軟提供了一個用于設(shè)置和管理的向?qū)В▓D6），并通過Windows 管理規(guī)范（WMI）界面提供了用腳本實現(xiàn)的可擴展性和可管理性。另外，由于BitLocker明顯加速了對磁盤的安全清理過程，實際上簡化了計算機的重復利用。

圖6 BitLocker配置向?qū)?/p>

由 BitLocker 所保護的計算機的日常使用對用戶來說是完全透明的。而且，即使發(fā)生很少可能出現(xiàn)的系統(tǒng)鎖定（也許是由硬件故障或直接攻擊而引起的），BitLocker也會提供一個簡單而有效的恢復過程。此類情況包括許多事件，例如將含有加密的操作系統(tǒng)卷的硬盤驅(qū)動器移動到另一臺計算機或更換系統(tǒng)主板。此時，恢復向?qū)詣訂樱⑾蚰闼饕謴兔荑€，恢復密鑰是一組字母和數(shù)字的組合，在啟用BitLocker時，由向?qū)С绦蜃詣由?，因此，需要妥善保管這組密鑰。

總之，使用 Windows Server 2008 BitLocker 驅(qū)動器加密功能顯著增強了公司的數(shù)據(jù)保護策略，通過保護休眠數(shù)據(jù)幫助組織達到日益嚴格的保密要求，并且在對設(shè)備進行淘汰處理時提升了安全性并節(jié)省了成本。

擁有強大的安全保障，還不足以成就Windows Server 2008的絕對優(yōu)勢，管理員們都希望自己面對的是一部聰明的機器，她界面簡潔，易學易用。畢竟，被要求從本來就很有限的時間里騰出大量的時間來學習和部署新的功能和服務(wù)，是不會令人愉快的。

Windows系統(tǒng)的易用性一直是有目共睹的，除了經(jīng)過優(yōu)化的新風格系統(tǒng)界面和高集成度的管理工具，以及舉世矚目的Hyper-V，Windows Server 2008還提供了相當多的新功能和新工具，這些新的特性可以帶給管理員前所未有的輕松體驗。

PMC(Print Management Console，打印管理控制臺)。

這個功能最先是在 Windows Server 2003 R2中發(fā)布的。但是與在Windows Server 2003 R2版本中不同的是，Windows Server 2008中，PMC成為了一個原生的功能，且每個用戶都可以使用。PMC被添加為微軟管理控制臺(MMC)的一部分，可以允許每個管理員從一個單一的控制臺監(jiān)測到整個企業(yè)內(nèi)的每一臺打印機。此外，管理員還可以利用組策略來將打印機映射到特定的用戶群組，從而使得該組無需實際安裝打印機即可使用。

WinRS(Windows Remote Shell，Windows遠程Shell)。

還記得Telnet嗎？為了在 Windows Server 2003中連接到遠程計算機上的命令行界面，管理員必須使用Terminal服務(wù)。而所謂的Terminal服務(wù)很好，但是可擴展性并不是很好，需要連接到每一臺遠程計算機上的控制臺。WinRS則可以創(chuàng)建到任何遠程計算機的安全連接，并且只需要從單個控制臺進行這一切操作。這將給管理員帶來顯著的時間成本的降低。

事件推進。

這個特性對在客戶端運行Windows Vista/Windows 7的企業(yè)用戶有意義。事件推進功能將一些被選中的計算機的日志聚合起來并且推進到中央控制臺，從而使得管理員的管理更加高效。比如說，管理員收到了客戶端用戶的求救，用戶說他看見了一個代號為“事件51”的報錯信息顯示在其屏幕上，這就表明這個用戶遇到了登錄問題。

與此前在局域網(wǎng)中應(yīng)用嗅探技術(shù)以便偵測安全等問題不同，管理員只需要簡單地在服務(wù)端的控制臺中“訂閱”客戶端計算機的事件信息即可，這樣那些客戶端機器就會自動發(fā)送管理員所需求的信息到控制臺中。

新的粒度密碼策略。

在活動目錄中，域是一個安全分界線。作為Windows Server的先期版本，Windows Server 2003的安全分界線被限定為每個域擁有一個密碼策略。這是一個比較受限的措施，因此在Windows Server 2008中已經(jīng)被取消?，F(xiàn)在管理員無需通過創(chuàng)建新域來獲得一個新的密碼策略，只需要為特定的群組或者用戶設(shè)定密碼策略即可。如果CEO或者CIO們需要更為嚴格的密碼策略，就為他們分配獨立的用戶組，并在其上新建一個更嚴格的密碼策略，這在Windows Server 2008中很容易達成。

群組策略的改進。

在Windows Server 2008中，群組策略有兩處改進，這都是管理員們關(guān)注的問題。第一個改進是用于群組策略設(shè)置的可搜索的數(shù)據(jù)庫。很多管理員都曾使用過Excel表來追蹤其群組策略的設(shè)置。設(shè)若有數(shù)千條類似的設(shè)置，那么顯然通過Excel表的方式將會帶來很大的麻煩?，F(xiàn)在，通過群組策略管理控制臺，管理員能夠搜索策略，無需Excel 幫忙，從而顯著提升效率。

第二個對群組策略的升級是在群組策略設(shè)置中添加注解的能力。在設(shè)置中添加注解將不僅幫助當前的管理員，也能幫助未來的管理員進行有關(guān)群組策略的故障檢測。比如說，在管理員配置群組策略時，管理員能夠添加注解，為什么需要配置如此特別的策略。今后，如果需要進行故障檢測或者重新配置該策略時，那么該管理員或者其繼任者能夠明白配置該策略的來龍去脈。此外，當管理員進行群組策略建模時，為策略模型添加注解，指出不同的策略的不同含義，那些注解將來能夠在報表中顯示出來，簡化群組策略的管理。

潛在的網(wǎng)絡(luò)速度提升。

網(wǎng)絡(luò)承載著傳遞更多數(shù)據(jù)的重任。自1995年以來，能夠在一個包中被發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)包大小都維持在64KB，其數(shù)據(jù)傳輸流量大概在 5MB大小。這就好像一個大卡車里面只裝了一個很小的箱子在到處行駛，盡管車很大，但是根本沒有提高運輸能力。今天的網(wǎng)絡(luò)也是如此，如果網(wǎng)絡(luò)的傳輸能力很強，但是數(shù)據(jù)包的大小依然很小，那么也沒有太大的意義。在Windows Server 2008中幾乎重寫的網(wǎng)絡(luò)堆棧包活了一些全新的技術(shù)，比如說允許更大的數(shù)據(jù)包進入網(wǎng)絡(luò)等。同時，它也可以即時改變網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包的大小，使得其在傳輸時更具效率。數(shù)據(jù)包大小的上限被修改為512KB，這一改動能夠轉(zhuǎn)化為大概40MB的吞吐量。換句話說，如果網(wǎng)絡(luò)被正確地配置和調(diào)優(yōu)之后，最快能夠以相當于此前8倍的速度運行。這的確是一項令人激動的改進！

當然，如果你仍然癡迷于基于命令行界面的管理方式，Windows Server 2008還提供了全命令行界面的Server Core版本供你選擇，你可以用非常低的配置來搭建Server Core版的Windows Server 2008，而其功能和互操作性與圖形界面版本的Window Server 2008沒有區(qū)別。

優(yōu)秀的接班人——Windows Server 2008

前不久，微軟發(fā)布了即將終止包括Windows 2000、Windows XP和Windows Vista幾個版本在內(nèi)的歷史版本技術(shù)支持工作的通知。而作為新時期的當家花旦，Windows Server 2008已經(jīng)迎來了他的升級版本——Windows Server 2008 R2。

如果你已經(jīng)對Windows Server 2003家族建立了相當?shù)男湃危踔琳J為2003已經(jīng)很完美，那么，想想Windows Vista 或Windows 7里強大的可靠性監(jiān)視程序和任務(wù)管理器、高級防火墻、以假亂真的Windows XP Mode（僅Windows 7提供）以及固若金湯的BitLocker，你是不是覺得，2003已經(jīng)老了？

諸多的新功能中，高級安全Windows防火墻、活動目錄審核、只讀域控制器（RODC）、網(wǎng)絡(luò)訪問保護（NAP）和可以在服務(wù)器上部署的BitLocker這幾項功能，共同為基于Windows Server 2008搭建的網(wǎng)絡(luò)保駕護航，它們成就了Windows Server 2008的最佳安全性體驗。

高級安全Windows防火墻

為了保護服務(wù)器操作系統(tǒng)和運行于其上的各種服務(wù)，我們構(gòu)建了各種軟、硬件防火墻系統(tǒng)，并且不惜犧牲系統(tǒng)性能，在每臺服務(wù)器上運行防護軟件。因為即使是強大的ISA，也無法精細到對每臺服務(wù)器提供單機保護。而基于Windows 5.0核心的XP、2003操作系統(tǒng)自帶的Windows防火墻，曾經(jīng)給我們帶來了希望——它們存在于每臺服務(wù)器和客戶端上，是否可以給我們提供完美的保護呢？結(jié)果是，因為設(shè)計架構(gòu)的限制，Windows防火墻并沒有提供完整的網(wǎng)絡(luò)防護，而且這個遺憾一直持續(xù)到Windows Server 2008的發(fā)布。

Windows Server 2008攜帶的高級安全Windows防火墻帶來了一些新的特性和改進，包括允許創(chuàng)建入站和出戰(zhàn)通訊的防火墻規(guī)則，像ISA那樣為程序或數(shù)據(jù)包制定入站和出戰(zhàn)策略以及與IPSec的結(jié)合的能力。

高級安全Windows防火墻提供了新的圖形化界面。還記得XP和2003中那個Windows防火墻選項卡嗎？現(xiàn)在你可以跟她說再見了，在Windows Server 2008中，你要通過一個管理控制臺單元來配置這個高級防火墻。

在這個界面中，你可以創(chuàng)建、修改和刪除規(guī)則，對規(guī)則進行配置時，可以從各種標準中進行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標準疊加在一起；添加的標準越多，高級安全Windows防火墻匹配傳入流量就越精細。比如你可以利用高級安全Windows防火墻來過濾沖擊波病毒包或者是禁止QQ數(shù)據(jù)通過。

當傳入數(shù)據(jù)包到達計算機時，高級安全Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指 定的標準。如果數(shù)據(jù)包與規(guī)則中的標準匹配，則高級安全Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標準不匹配，則高級安全Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目（如果啟用了日志記錄）。你還可以為域、特定對象或者全部對象分別創(chuàng)建不同的匹配策略。

高級安全Windows防火墻的匹配規(guī)則可以提供雙向的保護，即對出站、入站通信均進行過濾，然后攔截有威脅的數(shù)據(jù)包。這樣不但保護計算機自身不被攻擊，也能阻止已受感染的計算機不能輕易的發(fā)起攻擊，避免更大的損失。

高級安全Windows防火墻還將Windows防火墻功能和Internet 協(xié)議安全（IPSec）集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護（完整性和加密）以及身份驗證設(shè)置。

順便提一下，因為Windows Server 2008對IPSec做了不少的改進，不僅提供了新的IPv6協(xié)議支持，還支持新的加密方法。并且被集成到系統(tǒng)各個安全部分，諸如剛剛提到的高級安全Windows防火墻、NAP甚至群集服務(wù)中。更難得的是，IPSec的配置界面相比之前有了很大的簡化，降低了部署的難度，更利于企業(yè)部署IPSec，降低了企業(yè)的成本，微軟還為IPSec擴展了事件和性能監(jiān)視器的計數(shù)器，管理員可以能夠通過性能監(jiān)視器對IPSec進行相應(yīng)的監(jiān)控，有效的提高維護效率。

活動目錄審核

在安全性要求較高的場合，我們可以使用組策略中的審核策略，來記錄用戶的各種可能會影響安全性的行為。通過審核策略，我們就可以識別惡意猜解密碼或者攻擊某個服務(wù)的嘗試。先前的審核策略包含了對于文件資源、用戶賬戶和目錄訪問的審核記錄（圖2），但這些記錄只能告訴我們什么時候誰來過，卻不知道到訪者究竟做了什么。相對于文件夾和文件對象，用戶在活動目錄對象上能做的事情更多，而且影響也更大，我們需要記錄他們的具體行為。以便在排除故障時，清楚地回溯歷史操作。

Windows Server 2008中實現(xiàn)的活動目錄審核能夠通過對系統(tǒng)訪問控制列表（SACL）的修改。查看用戶對于活動目錄對象的訪問和修改，在Windows Server 2008中是默認就啟用的，審核功能既能夠?qū)徍顺晒Φ牟僮?，也能夠?qū)徍耸〉牟僮?，這樣就能夠最大限度的保障活動目錄的安全性。與在Windows 2000 Server和Windows Server 2003中只有一種審核策略來審核目錄服務(wù)訪問不同，用來控制審核目錄服務(wù)事件是被啟用或者禁用的單一審核策略在Windows Server 2008中被劃分成四個子類別，它們分別是：

目錄服務(wù)訪問（Directory Service Access）

目錄服務(wù)更改（Directory Service Changes）

目錄服務(wù)復制（Directory Service Replication）

詳細的目錄服務(wù)復制（Detailed Directory Service Replication）

正因為新的審核子類——目錄服務(wù)更改的出現(xiàn)，AD DS對象屬性的更改才能被審核。我們能夠?qū)徍说母念愋捅患毣絼?chuàng)建，修改，移動以及反刪除。這些事件都將被記錄在安全日志中。

在AD DS中新的目錄服務(wù)更改審核策略子類增加了以下的功能：

當對對像的屬性修改成功時，AD DS會紀錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個以上的值時，只有作為修改操作結(jié)果變化的值才會被記錄。

如果新的對像被創(chuàng)建，屬性被賦予的時間將會被記錄，屬性值也會被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如SAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。

如果一個對像被移動到同一個域中，那么先前的以及新的位置（以distinguished name 形式）將被記錄。當對象被移動到不同域時，一個創(chuàng)建事件將會在目標域的域控制器上生成。

如果一個對象被反刪除，那么這個對象被移動到的位置將會被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會被記錄。

利用活動目錄審核的目錄服務(wù)復制子策略，我們還可以監(jiān)視活動目錄的復制工作，哪些發(fā)生了，哪些未發(fā)生，以及復制了什么等，對于操作主控的管理、復制鏈接的效率調(diào)優(yōu)，這些審核記錄無疑都具有相當?shù)膮⒖純r值。

只讀域控制器（RODC）

2008年起源于美國的金融危機之所以能如此大規(guī)模如此迅速的擴散至全球，跨國/跨地區(qū)的貿(mào)易集團功不可沒。因為業(yè)務(wù)需要，企業(yè)對遍布各地的分支機構(gòu)早已習以為常，而隨著地區(qū)業(yè)務(wù)的深入開展，分支機構(gòu)承擔的工作也在不斷調(diào)整深化，越來越多的應(yīng)用需要在分支機構(gòu)部署。然而，這些地方也許沒有域控制器，或者他們有域控制器但是沒有足夠的物理安全保障、網(wǎng)絡(luò)帶寬以及專門的技術(shù)人員來提供支持。這就使得分支機構(gòu)很可能成為黑客的突破點，進而攻擊整個企業(yè)網(wǎng)絡(luò)。

只讀域控制器（RODC）就是針對上述的隱患而設(shè)計的。

顧名思義，RODC本身是一臺域控制器，但是存儲于這臺域控制器里的數(shù)據(jù)庫是被寫保護的，無法對數(shù)據(jù)庫中的數(shù)據(jù)做任何更改操作，所有對AD數(shù)據(jù)庫的修改操作，只能在可寫的域控上進行，然后這些修改再通過復制拓撲復制到RODC上。而且，在默認情況下，RODC 不保存任何賬戶信息和密碼。這樣的話，即使 RODC 受到安全攻擊，管理員們也無需擔心入侵者更改安全配置或利用服務(wù)器上保存的信息訪問整個網(wǎng)絡(luò)。

RODC使用的復制拓撲是單向的，即只能從可寫域控制器復制到RODC，沒有任何屬性的更改會被直接寫入RODC，所以，任何更改都不會從RODC發(fā)起，作為復制伙伴的可寫域控制器也就不會產(chǎn)生從RODC“拉”數(shù)據(jù)的操作。這不僅意味著上述的惡意用戶通過攻擊在分支結(jié)構(gòu)的RODC，在其上進行的操作的結(jié)果不會被復制到森林的其余部分，而且這一體制也減少了樞紐站點里的橋頭服務(wù)器的工作量，以及為了監(jiān)視復制所產(chǎn)生的數(shù)據(jù)量。RODC的單向復制同時應(yīng)用于AD DS及分布式文件系統(tǒng)（DFS）的復制。

前面提到，RODC上不會保存賬戶信息和密碼，實際上，在默認情況下，RODC上還是會存放少量的賬戶信息，不過RODC只存儲它自己的計算機賬戶和一個用于這臺RODC的特殊的Kerberos 票據(jù)授權(quán)（KRBTGT）賬戶，此賬戶是被可寫域控制器用來驗證RODC身份的。如果需要在RODC上存儲用戶憑據(jù)或者計算機憑據(jù)的話，你需要在RODC上允許這些憑據(jù)被緩存。因為RODC一般是總是放置在比較小的分支機構(gòu)，所以被允許憑據(jù)緩存的計算機賬戶和用戶賬戶應(yīng)該都不多。這樣即使RODC被偷了，我們只會丟失那些緩存在RODC上的憑據(jù)。如果你連這些賬戶信息也非常在乎，在發(fā)現(xiàn)RODC被偷走之后，你可以立即在可寫域控上將RODC的計算機賬戶刪除，在刪除時還可以對緩存在該RODC上的憑據(jù)進行密碼重設(shè)，這樣丟失掉的這些憑據(jù)就沒有任何作用了。

RODC還支持一種稱為“管理員角色分離”的功能，我們可以使用該功能來指派一個普通的域用戶成為RODC的本地管理員。這樣這個特定的域用戶就擁有了對分支機構(gòu)的RODC服務(wù)器進行一些系統(tǒng)維護或管理操作的權(quán)限，例如安裝安全更新或者驅(qū)動程序。這個功能的好處在于：此用戶在域中其他機器或者任何可讀寫的域控制器上并沒有用戶權(quán)利。而在以前的AD中，所有DC都是可讀寫的，DC上的本機管理事實上是使用域管理員賬戶的。這使得分支機構(gòu)用戶可以有效的管理RODC而不會影響整個域的安全性。

為了進一步減少對分支機構(gòu)和總部之間網(wǎng)絡(luò)的占用，你還能在RODC上安裝DNS服務(wù)。安裝在RODC上的DNS也是只讀的，它能夠復制其他DNS使用的所有程序目錄分區(qū)，包括ForestDNSZones以及DomainDNSZones。這樣，就使得用戶能夠像查詢其它DNS服務(wù)器一樣進行名稱解析和服務(wù)位置查詢。

總之，RODC的實現(xiàn)，為需要在分支機構(gòu)部署域服務(wù)的管理員們，提供了即完整又安全的解決方案。

網(wǎng)絡(luò)訪問保護（NAP）

要問到Windows Server 2008最吸引眼球的功能，網(wǎng)絡(luò)訪問保護（NAP）絕對當之無愧！

現(xiàn)如今，令管理員非常頭痛的事是：如何在一個充斥著家庭計算機、出差用戶、來訪客戶等不在他們控制范圍的各種移動客戶端的網(wǎng)絡(luò)中確保安全性？這些計算機很可能存在沒有及時安裝關(guān)鍵補丁、沒有啟用防火墻、沒有及時升級病毒庫等非常嚴重的安全隱患，當他們接入公司內(nèi)網(wǎng)的時候，勢必給企業(yè)內(nèi)網(wǎng)的安全帶來非常大的考驗。好在NAP及時出現(xiàn)在我們的視線中。

要想描述清楚NAP系統(tǒng)是不容易的，簡單來說NAP是一組服務(wù)器的集合，其核心服務(wù)器稱為網(wǎng)絡(luò)策略服務(wù)器（NPS），配合NPS工作的有健康注冊管理機構(gòu)（HRA）、安全修正服務(wù)器以及運行在客戶端的安全狀況收集程序——系統(tǒng)健康代理（SHA）等。一個典型的NAP系統(tǒng)通常有以下幾個部分：

NAP客戶端

若要訪問網(wǎng)絡(luò)，首先由NAP代理從運行在NAP客戶端計算機本地的系統(tǒng)健康代理（SHA）收集有關(guān)該客戶端健康狀況的信息。NAP代理是一種在本地計算機上運行的服務(wù)，能夠收集來自 SHA 的信息。安裝在客戶端計算機上的每SHA都提供當前設(shè)置或設(shè)計用于監(jiān)視的活動的相關(guān)信息。NAP代理服務(wù)將匯總該計算機的健康狀態(tài)信息并將此信息傳遞給一個或多個NAP強制客戶端。強制客戶端是與 NAP 強制點交互以便在網(wǎng)絡(luò)上進行訪問或通信的軟件。

強制技術(shù)

可用于作為判斷依據(jù)決定如何匹配NAP策略的五種網(wǎng)絡(luò)訪問技術(shù)。這五種網(wǎng)絡(luò)訪問技術(shù)是：

Internet 協(xié)議安全性（IPSec）。

802.1X

VPN

DHCP

遠程桌面網(wǎng)關(guān)（RD 網(wǎng)關(guān)）

每個NAP策略都可以指定到某一種網(wǎng)絡(luò)訪問技術(shù)，當客戶端接入網(wǎng)絡(luò)后，就會被判斷出其使用了那種網(wǎng)絡(luò)訪問技術(shù)，從而對應(yīng)到相應(yīng)的NAP策略。

NAP 強制點

NAP強制點是一個服務(wù)器或硬件設(shè)備，它向NAP客戶端計算機提供某個級別的網(wǎng)絡(luò)訪問權(quán)限。每個NAP強制技術(shù)的執(zhí)行都對應(yīng)使用不同類型的NAP強制點。在使用 802.1X 強制的 NAP 中，NAP 強制點是兼容 IEEE 802.1X 的交換機或無線訪問點。IPSec、DHCP 和 RD 網(wǎng)關(guān)強制方法的 NAP 強制服務(wù)器也必須運行配置為 RADIUS 代理或 NAP 健康策略服務(wù)器的 NPS。使用 VPN 強制的 NAP 不要求在 VPN 服務(wù)器上安裝 NPS?？梢栽谀硞€網(wǎng)絡(luò)上使用一種、幾種或者所有執(zhí)行方法。

健康注冊管理機構(gòu)（HRA）

健康注冊機構(gòu)（HRA）負責驗證客戶端憑據(jù)，然后將證書申請轉(zhuǎn)發(fā)到代表客戶端的證書機構(gòu)（CA）。通過檢查網(wǎng)絡(luò)策略服務(wù)器（NPS），HRA 可驗證證書申請以確定 NAP 客戶端是否與網(wǎng)絡(luò)健康要求兼容。如果發(fā)現(xiàn)客戶端兼容，HRA 將從 CA 申請?zhí)厥忸愋偷淖C書（稱為健康證書）。由 NAP 客戶端計算機使用的健康證書用于受 IPSec 保護的網(wǎng)絡(luò)上的通信。在此功能中，HRA 將作為 NAP 強制服務(wù)器，使用 NAP Internet 協(xié)議安全（IPSec）強制方法。

NAP 健康策略服務(wù)器

NAP健康策略服務(wù)器是一臺運行 Windows Server 2008 或 Windows Server 2008 R2 的計算機，并且已安裝和配置了NPS角色服務(wù)，用于評估NAP客戶端計算機的健康狀況。所有的NAP強制技術(shù)至少需要一個健康策略服務(wù)器。NAP健康策略服務(wù)器使用策略和設(shè)置對 NAP客戶端計算機提交的網(wǎng)絡(luò)訪問請求進行評估。

NAP修正服務(wù)器

NAP 修正服務(wù)器能夠向被判斷為不安全的客戶端計算機提供安全更新服務(wù)。當然，標識為安全的的客戶端計算機也可以訪問修正服務(wù)器。NAP修正服務(wù)器的示例包括：

防病毒簽名服務(wù)器。如果健康策略要求計算機必須有最新的防病毒簽名，則標識為不安全的計算機必須具有對提供這些更新的服務(wù)器的訪問權(quán)限。

Windows Server Update Services。如果健康策略要求計算機必須有最新的安全更新或其他軟件更新，可以通過將 WSUS 放置在更新網(wǎng)絡(luò)上來提供這些更新。

System Center 組件服務(wù)器。System Center Configuration Manager 管理點、軟件更新點和分發(fā)點用于承載使計算機兼容所需的軟件更新。使用配置管理器部署 NAP 時，支持 NAP 的計算機要求訪問運行這些站點系統(tǒng)角色的計算機才能下載其客戶端策略、掃描軟件更新安全性以及下載所需的軟件更新。

域控制器。不安全的計算機可能會要求訪問位于不安全網(wǎng)絡(luò)上的域服務(wù)以進行身份驗證，以便從組策略下載策略或維護域配置文件設(shè)置。

DNS 服務(wù)器。不安全的計算機必須具有對DNS的訪問權(quán)限才能解析主機名。

DHCP 服務(wù)器。當不安全網(wǎng)絡(luò)上的客戶端 IP 配置文件更改或 DHCP 租用過期時，不安全的計算機必須具有訪問 DHCP 服務(wù)器的權(quán)限。

服務(wù)器問題疑難解答。配置更新服務(wù)器組時，可以選擇提供包含有關(guān)如何使計算機符合健康策略的說明的疑難解答 URL?？梢詾槊總€網(wǎng)絡(luò)策略提供不同的 URL。這些 URL 必須能夠在更新網(wǎng)絡(luò)上訪問。

其他服務(wù)?？梢栽诟戮W(wǎng)絡(luò)上提供對 Internet 的訪問權(quán)限，使不安全的計算機能夠訪問更新服務(wù)，如Internet上的Windows Update和其他Internet資源。

系統(tǒng)健康驗證程序（SHV）

系統(tǒng)健康驗證程序（SHV）用于在NPS服務(wù)器上定義健康要求，并和收到的客戶端系統(tǒng)健康代理（SHA）做對比，以檢測客戶端是否滿足健康要求。在NAP上有很多種SHV和SHA類型。Windows Server 2008自帶的SHV（WSHV）可以進行以下方面的健康要求篩選：

防火墻：如果啟用此要求，客戶端計算機必須有已向 Windows 安全中心注冊并為所有網(wǎng)絡(luò)連接啟用的防火墻。

病毒防護：如果啟用此要求，客戶端計算機必須滿足下列要求：已安裝防病毒應(yīng)用程序，已向 Windows 安全中心注冊并已啟用。還必須對客戶端計算機進行檢查，以確保防病毒簽名文件隨時更新。

間諜軟件防護：如果啟用此要求，客戶端計算機必須滿足下列要求：已安裝反間諜軟件應(yīng)用程序，已向 Windows 安全中心注冊并已啟用。還必須對客戶端計算機進行檢查，以確保反間諜軟件簽名文件隨時更新。間諜軟件防護僅適用于運行 Windows Vista 或 Windows 7 NAP 的客戶端。

自動更新：如果啟用此要求，必須配置客戶端計算機才能檢查來自 Windows Update 的更新?？梢赃x擇是否下載并安裝這些更新。

安全更新保護：如果啟用此要求，客戶端計算機必須基于與 Microsoft 安全響應(yīng)中心（MSRC）中的安全嚴重性分級匹配的四個可能的值中的一個值來安裝安全更新?？蛻舳诉€必須按指定的時間間隔檢查這些更新?？梢允褂?Windows Server Update Services（WSUS)、Windows Update 或同時使用兩者來獲取安全更新。

NAP 健康要求服務(wù)器

健康要求服務(wù)器是能夠向一個或多個系統(tǒng)健康驗證程序（SHV）提供健康策略要求和健康評估信息的計算機。如果 NAP 客戶端計算機報告的健康狀態(tài)能夠在不咨詢其他設(shè)備的情況下通過 NPS 的驗證，則不需要健康要求服務(wù)器。例如，WSUS 在用于 Windows 安全健康驗證程序（WSHV）時被認為不是健康要求服務(wù)器。即使管理員能夠使用 WSUS 指定客戶端計算機必須有哪些更新，該客戶端計算機仍會報告自己是否已安裝了這些更新。在這種情況下，WSUS 將作為更新服務(wù)器，而不是健康要求服務(wù)器。

使用配置管理器SHV部署NAP時也要使用健康要求服務(wù)器。配置管理器SHV將聯(lián)系全局編錄服務(wù)器，通過檢查向 Active Directory 域服務(wù)發(fā)布的健康狀態(tài)參考來驗證客戶端的健康狀態(tài)。因此，部署配置管理器SHV后，域控制器將用作健康要求服務(wù)器。其他SHV也可以使用健康要求服務(wù)器。

客戶端上的系統(tǒng)健康代理（SHA）創(chuàng)建一些健康聲明（SoH），并將這些聲明發(fā)送給NPS服務(wù)器上相應(yīng)的系統(tǒng)健康驗證程序（SHV）；SHV則與策略服務(wù)器（NPS）進行通信，確定SoH里面提供的安全狀況是否符合安全策略的要求。如果符合，則允許該計算機全面訪問公司網(wǎng)絡(luò)資源。如果不符合，該計算機被連接到受限網(wǎng)絡(luò)，通過修正服務(wù)器運行狀況更新，直到滿足NPS服務(wù)器上的安全策略要求，才能重新進入公司網(wǎng)絡(luò)。

BitLocker驅(qū)動器加密

我們第一次知道BitLocker驅(qū)動器加密這個東西，是在Windows Vista上。通過對硬盤數(shù)據(jù)的全卷加密，BitLocker能夠保障個人計算機、企業(yè)計算機上存儲數(shù)據(jù)的安全。相比購買硬件的花費，更令企業(yè)擔心的是丟失或被盜計算機上存儲的數(shù)據(jù)，只需要把硬盤裝載在另一臺計算機中，就能夠很輕松的讀取硬盤中的數(shù)據(jù)，甚至是受EFS保護的數(shù)據(jù)，也無法保證萬無一失。誰也不希望看到自己的文件被公開叫賣。

BitLocker可以通過TPM芯片（集成在主板上的安全信息存儲芯片，用于提供該主板的唯一標識）、USB密鑰盤（含有密鑰資料的 USB 閃存驅(qū)動器）和PIN碼這三種識別信息的其中一個或多個的組合（多因素身份驗證）來驗證磁盤的工作環(huán)境是否是經(jīng)過授權(quán)的。BitLocker提供的保護，包括以下兩種：

加密整個 Windows 操作系統(tǒng)卷，包括用戶數(shù)據(jù)和系統(tǒng)文件、休眠文件、頁面文件以及臨時文件。通過 BitLocker 可以選擇鎖定正常的引導過程，直至用戶提供 PIN碼或插入USB密鑰盤為止。這項安全措施也支持多因素身份驗證，并確保在提供正確的 PIN 碼或 USB密鑰盤之前計算機不會從關(guān)機或休眠狀態(tài)中被啟動或恢復。

對于存儲在加密卷上的非Microsoft應(yīng)用程序和用戶數(shù)據(jù)，通過進行全卷加密提供相同級別的防護。BitLocker的加密是卷級別的，因此，即使磁盤被掛接在別的計算機上，通過別的操作系統(tǒng)進行訪問也無法獲取磁盤內(nèi)被加密的資料。我認為，此項安全措施對于因資產(chǎn)管理的原因報廢或回收的存儲設(shè)備具有非常實際的保護意義，被BitLocker加密的磁盤，不需要進行數(shù)據(jù)擦除就可以做回收處理，不用擔心數(shù)據(jù)會被惡意讀取。

BitLocker 的易用性并沒有因為它堅固的安全性受到影響，微軟提供了一個用于設(shè)置和管理的向?qū)В▓D6），并通過Windows 管理規(guī)范（WMI）界面提供了用腳本實現(xiàn)的可擴展性和可管理性。另外，由于BitLocker明顯加速了對磁盤的安全清理過程，實際上簡化了計算機的重復利用。

由 BitLocker 所保護的計算機的日常使用對用戶來說是完全透明的。而且，即使發(fā)生很少可能出現(xiàn)的系統(tǒng)鎖定（也許是由硬件故障或直接攻擊而引起的），BitLocker也會提供一個簡單而有效的恢復過程。此類情況包括許多事件，例如將含有加密的操作系統(tǒng)卷的硬盤驅(qū)動器移動到另一臺計算機或更換系統(tǒng)主板。此時，恢復向?qū)詣訂樱⑾蚰闼饕謴兔荑€，恢復密鑰是一組字母和數(shù)字的組合，在啟用BitLocker時，由向?qū)С绦蜃詣由桑虼?，需要妥善保管這組密鑰。

總之，使用 Windows Server 2008 BitLocker 驅(qū)動器加密功能顯著增強了公司的數(shù)據(jù)保護策略，通過保護休眠數(shù)據(jù)幫助組織達到日益嚴格的保密要求，并且在對設(shè)備進行淘汰處理時提升了安全性并節(jié)省了成本。

擁有強大的安全保障，還不足以成就Windows Server 2008的絕對優(yōu)勢，管理員們都希望自己面對的是一部聰明的機器，她界面簡潔，易學易用。畢竟，被要求從本來就很有限的時間里騰出大量的時間來學習和部署新的功能和服務(wù)，是不會令人愉快的。

Windows系統(tǒng)的易用性一直是有目共睹的，除了經(jīng)過優(yōu)化的新風格系統(tǒng)界面和高集成度的管理工具，以及舉世矚目的Hyper-V，Windows Server 2008還提供了相當多的新功能和新工具，這些新的特性可以帶給管理員前所未有的輕松體驗。

PMC(Print Management Console，打印管理控制臺)。

這個功能最先是在 Windows Server 2003 R2中發(fā)布的。但是與在Windows Server 2003 R2版本中不同的是，Windows Server 2008中，PMC成為了一個原生的功能，且每個用戶都可以使用。PMC被添加為微軟管理控制臺(MMC)的一部分，可以允許每個管理員從一個單一的控制臺監(jiān)測到整個企業(yè)內(nèi)的每一臺打印機。此外，管理員還可以利用組策略來將打印機映射到特定的用戶群組，從而使得該組無需實際安裝打印機即可使用。

WinRS(Windows Remote Shell，Windows遠程Shell)。

還記得Telnet嗎？為了在 Windows Server 2003中連接到遠程計算機上的命令行界面，管理員必須使用Terminal服務(wù)。而所謂的Terminal服務(wù)很好，但是可擴展性并不是很好，需要連接到每一臺遠程計算機上的控制臺。WinRS則可以創(chuàng)建到任何遠程計算機的安全連接，并且只需要從單個控制臺進行這一切操作。這將給管理員帶來顯著的時間成本的降低。

事件推進。

這個特性對在客戶端運行Windows Vista/Windows 7的企業(yè)用戶有意義。事件推進功能將一些被選中的計算機的日志聚合起來并且推進到中央控制臺，從而使得管理員的管理更加高效。比如說，管理員收到了客戶端用戶的求救，用戶說他看見了一個代號為“事件51”的報錯信息顯示在其屏幕上，這就表明這個用戶遇到了登錄問題。

與此前在局域網(wǎng)中應(yīng)用嗅探技術(shù)以便偵測安全等問題不同，管理員只需要簡單地在服務(wù)端的控制臺中“訂閱”客戶端計算機的事件信息即可，這樣那些客戶端機器就會自動發(fā)送管理員所需求的信息到控制臺中。

新的粒度密碼策略。

在活動目錄中，域是一個安全分界線。作為Windows Server的先期版本，Windows Server 2003的安全分界線被限定為每個域擁有一個密碼策略。這是一個比較受限的措施，因此在Windows Server 2008中已經(jīng)被取消?，F(xiàn)在管理員無需通過創(chuàng)建新域來獲得一個新的密碼策略，只需要為特定的群組或者用戶設(shè)定密碼策略即可。如果CEO或者CIO們需要更為嚴格的密碼策略，就為他們分配獨立的用戶組，并在其上新建一個更嚴格的密碼策略，這在Windows Server 2008中很容易達成。

群組策略的改進。

在Windows Server 2008中，群組策略有兩處改進，這都是管理員們關(guān)注的問題。第一個改進是用于群組策略設(shè)置的可搜索的數(shù)據(jù)庫。很多管理員都曾使用過Excel表來追蹤其群組策略的設(shè)置。設(shè)若有數(shù)千條類似的設(shè)置，那么顯然通過Excel表的方式將會帶來很大的麻煩?，F(xiàn)在，通過群組策略管理控制臺，管理員能夠搜索策略，無需Excel 幫忙，從而顯著提升效率。

第二個對群組策略的升級是在群組策略設(shè)置中添加注解的能力。在設(shè)置中添加注解將不僅幫助當前的管理員，也能幫助未來的管理員進行有關(guān)群組策略的故障檢測。比如說，在管理員配置群組策略時，管理員能夠添加注解，為什么需要配置如此特別的策略。今后，如果需要進行故障檢測或者重新配置該策略時，那么該管理員或者其繼任者能夠明白配置該策略的來龍去脈。此外，當管理員進行群組策略建模時，為策略模型添加注解，指出不同的策略的不同含義，那些注解將來能夠在報表中顯示出來，簡化群組策略的管理。

潛在的網(wǎng)絡(luò)速度提升。

網(wǎng)絡(luò)承載著傳遞更多數(shù)據(jù)的重任。自1995年以來，能夠在一個包中被發(fā)送出去的網(wǎng)絡(luò)數(shù)據(jù)包大小都維持在64KB，其數(shù)據(jù)傳輸流量大概在 5MB大小。這就好像一個大卡車里面只裝了一個很小的箱子在到處行駛，盡管車很大，但是根本沒有提高運輸能力。今天的網(wǎng)絡(luò)也是如此，如果網(wǎng)絡(luò)的傳輸能力很強，但是數(shù)據(jù)包的大小依然很小，那么也沒有太大的意義。在Windows Server 2008中幾乎重寫的網(wǎng)絡(luò)堆棧包活了一些全新的技術(shù)，比如說允許更大的數(shù)據(jù)包進入網(wǎng)絡(luò)等。同時，它也可以即時改變網(wǎng)絡(luò)傳輸中的數(shù)據(jù)包的大小，使得其在傳輸時更具效率。數(shù)據(jù)包大小的上限被修改為512KB，這一改動能夠轉(zhuǎn)化為大概40MB的吞吐量。換句話說，如果網(wǎng)絡(luò)被正確地配置和調(diào)優(yōu)之后，最快能夠以相當于此前8倍的速度運行。這的確是一項令人激動的改進！

當然，如果你仍然癡迷于基于命令行界面的管理方式，Windows Server 2008還提供了全命令行界面的Server Core版本供你選擇，你可以用非常低的配置來搭建Server Core版的Windows Server 2008，而其功能和互操作性與圖形界面版本的Window Server 2008沒有區(qū)別。

 【編輯推薦】

1. Windows Server 2008組策略安全實踐手冊
2. Windows Server 2008 R2中如何托管服務(wù)賬號
3. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
4. Windows Server 2008 R2安全性能體驗
5. Windows Server 2008 R2中托管服務(wù)帳號的方法