隨著云技術(shù)和服務(wù)器虛擬化在數(shù)據(jù)中心的變得越來(lái)越重要，很多管理員都接到了利用現(xiàn)有Server 2008 R2安裝來(lái)保證新環(huán)境安全的任務(wù)。

　　Windows Server平臺(tái)有很多功能可以幫助工程師鎖定他們的環(huán)境并且讓這個(gè)環(huán)境可用于虛擬化或云部署。記住，盡管用戶是從不同的位置來(lái)訪問(wèn)一個(gè)集中的工作負(fù)載，但是這個(gè)實(shí)例仍然處于Windows Server環(huán)境中，并且受到Windows環(huán)境的潛在控制。

　　活動(dòng)目錄和組策略對(duì)象都是實(shí)用的工具，它們可以幫助鎖定面向云的環(huán)境。

　　雖然管理員現(xiàn)在看到用到的都是新型終端，但是很多核心安全實(shí)踐方案仍然是相同的。工程師仍然使用現(xiàn)在可用的現(xiàn)存技術(shù)工作來(lái)鎖定他們的環(huán)境。

　　確?；顒?dòng)目錄安全。擁有一個(gè)安全的活動(dòng)目錄環(huán)境會(huì)創(chuàng)造更具活力、能按業(yè)務(wù)需求增長(zhǎng)的云基礎(chǔ)設(shè)施。在Server 2008 R2里面，活動(dòng)目錄為提供登錄認(rèn)證的企業(yè)創(chuàng)建一個(gè)安全界線?；顒?dòng)目錄創(chuàng)建一個(gè)分等級(jí)架構(gòu)，包括活動(dòng)目錄林、林中的域、DNS以及每個(gè)域中的組織單元。

　　計(jì)劃一次安全DNS服務(wù)器部署時(shí)，工程師首先應(yīng)該收集環(huán)境的信息。記住，部署Windows Server 2008 R2時(shí)，規(guī)劃、設(shè)計(jì)和測(cè)試一直都非常重要。在規(guī)劃階段，工程師收集關(guān)鍵的環(huán)境信息，這些信息幫助工程師來(lái)確定基礎(chǔ)設(shè)施內(nèi)的安全特質(zhì)。這些信息應(yīng)該包括內(nèi)部和外部域的結(jié)構(gòu)和等級(jí)，針對(duì)這些域名授權(quán)的DNS服務(wù)器識(shí)別，以及網(wǎng)絡(luò)中用于主機(jī)地址解析的DNS客戶端需求。

　　通過(guò)這些信息，工程師可以了解使用了哪些功能，從而鎖定他們的環(huán)境。針對(duì)云環(huán)境部署安全AD和DNS時(shí)還應(yīng)該考慮以下內(nèi)容：

　　與WAN/Cloud/Internet的聯(lián)系。在數(shù)據(jù)中心內(nèi)部，并不是所有服務(wù)器都面向網(wǎng)絡(luò)，也不是所有服務(wù)器都提供云服務(wù)。這種情況下，如果在互聯(lián)網(wǎng)上不需要你的網(wǎng)絡(luò)主機(jī)來(lái)解析名稱，那么消除內(nèi)部DNS服務(wù)器與互聯(lián)網(wǎng)的所有聯(lián)系。在這種DNS設(shè)計(jì)中，你可以使用你網(wǎng)絡(luò)中完全托管的私有域名空間，內(nèi)部DNS服務(wù)器為根域和一級(jí)域名托管區(qū)域。這種配置中，DNS服務(wù)器不會(huì)使用互聯(lián)網(wǎng)根名稱主機(jī)，因此要配置根提示來(lái)引導(dǎo)它們只指向內(nèi)部的DNS根。

　　區(qū)域傳輸相關(guān)的工作。DNS是一個(gè)非常重要的功能。這也是要確保部署中每個(gè)元素都安全的原因。如果不需要就關(guān)閉區(qū)域傳輸，通過(guò)這種方法，工程師提供了一個(gè)更安全的DNS環(huán)境。但是如果需要區(qū)域傳輸，它們也只應(yīng)該出現(xiàn)在特定的IP地址。開(kāi)啟到任意服務(wù)器上的區(qū)域傳輸都可能會(huì)帶來(lái)一些安全隱患。旨在開(kāi)啟區(qū)域傳輸?shù)墓艨赡軙?huì)暴露你的DNS，并且允許內(nèi)部發(fā)生的惡意侵入。這也是區(qū)域傳輸相關(guān)的工作、鎖定和限制是規(guī)劃過(guò)程中一個(gè)重要部分的原因。

　　管理綜合AD區(qū)域。使用綜合目錄區(qū)域時(shí)可用的安全增強(qiáng)功能包括訪問(wèn)控制列表和安全動(dòng)態(tài)更新。你不能使用綜合目錄區(qū)域，除非DNS服務(wù)器也是一個(gè)域控制器。Windows 2008 Server Core是一個(gè)不包含GUI的Windows服務(wù)器版本。所有Server Core的管理都通過(guò)命令行或通過(guò)腳本來(lái)執(zhí)行。運(yùn)行Server Core安裝的服務(wù)器支持以下服務(wù)器角色：

　　●活動(dòng)目錄域服務(wù)(AD DS)

　　●活動(dòng)目錄證書(shū)服務(wù)(AD CS)

　　●活動(dòng)目錄輕目錄服務(wù)(AD LDS)

　　●DHCP Server

　　●DNS Server

　　●文件服務(wù)

　　●打印服務(wù)

　　●流媒體服務(wù)

　　●IIS

　　●Hyper-V

　　你也許還通過(guò)從其它服務(wù)器的微軟管理控制臺(tái)(MMC)工具連接到Server Core來(lái)管理一些功能。

　　部署組策略對(duì)象(GPO)。GPO是一個(gè)強(qiáng)大的工具，它幫助管理員鎖定服務(wù)器、其它機(jī)器以及面向云的虛擬機(jī)。使用組策略時(shí)，管理員可以針對(duì)計(jì)算機(jī)和用戶的群組來(lái)管理配置，包括的選項(xiàng)針對(duì)基于注冊(cè)表的策略設(shè)置、安全設(shè)置、軟件部署、腳本、文件夾重定向、遠(yuǎn)程安裝服務(wù)和IE維護(hù)。通過(guò)使用組策略，工程師可以部署軟件包并保證計(jì)算機(jī)和用戶的安全。當(dāng)工作師用到策略設(shè)置、多個(gè)策略間的相互作用及繼承選項(xiàng)等因素時(shí)，GPO可以快速變復(fù)雜。和所有部署一樣，必須執(zhí)行仔細(xì)的規(guī)劃、設(shè)計(jì)和測(cè)試。在用到面向云的Windows服務(wù)器時(shí)這尤為正確。好的規(guī)劃工程師能夠提供企業(yè)需要的標(biāo)準(zhǔn)化功能、安全和管理控制。

　　Windows Server主控圖像控制。有些環(huán)境中，基于云的Windows服務(wù)器是完全虛擬化的。這些基礎(chǔ)設(shè)施中的一些可能需要這些圖像獲得認(rèn)證且不會(huì)被更改，比如醫(yī)療。在這種情況中，工程師可以創(chuàng)建一個(gè)主控黃金圖像快照。然后他們可以克隆這個(gè)圖像并在測(cè)試環(huán)境中對(duì)這個(gè)克隆圖像應(yīng)用補(bǔ)丁和更新。接著他們可以在獨(dú)立的服務(wù)器上測(cè)試來(lái)觀察是否有與更新不兼容的問(wèn)題。即使是在生產(chǎn)環(huán)境中，如果一個(gè)補(bǔ)丁失效或者是產(chǎn)生了一個(gè)管理缺陷，服務(wù)器管理員也可以輕松地回滾到最近工作正常的Windows環(huán)境。為了達(dá)到認(rèn)證的目的，主控圖像可以安全地存儲(chǔ)環(huán)境中的某個(gè)位置，工程師知道這個(gè)位置不會(huì)進(jìn)行變更。

　　隨著Windows Server技術(shù)繼續(xù)改良，更多的工具可以幫助管理員成功地部署并鎖定他們的環(huán)境。由于每個(gè)環(huán)境都是獨(dú)一無(wú)二的，必須在開(kāi)發(fā)云活動(dòng)之前進(jìn)行基于安全的仔細(xì)規(guī)劃。Windows Server平臺(tái)適應(yīng)環(huán)境需求的能力也另人印象深刻。但是要真正地利用這些服務(wù)器平臺(tái)提供的功能集，還需要取決Windows管理員對(duì)自己環(huán)境的理解。