| 摘要:Windows Server2008 R2的推出,对于微软技术的爱好者来说可能是天大的福音…… |
相信我们也都清楚,Windows Server 2008R2在功能和特性上都基于先前的Windows Server 2008,并进一步得到了增强和完善。当然这种在技术上的改进、增强和完善,不仅仅是说增加了几个新特性,而是作为Windows Server 2008R2本身定位于企业客户,是为企业量身定做的解决方案,是一种企业级的解决方案。
作为Windows Server 2008R2的众多使用者之一,我深感新版本的操作系统带来的优越性;今天主要从企业不同的应用角度和应用需求与大家分享下Windows Server 2008R2带给企业的安全性体现。
企业中面临的安全性挑战
谈到安全、安全性,可能我们都会神经紧张起来,这是每个人,每个用户,每个企业最担心顾虑的问题,无疑这是个复杂的问题。每个企业都希望自己的网络环境是安全的,是绝对安全的,经常听很多企业客户谈论,我们的企业网络需要保障系统安全、网络安全、信息传递安全和数据安全等等,有没有一种完全的解决方法和方案呢?这就需要讲到Windows Server 208R2带给我们的基于纵深的安全特性了,它着实能帮助我们解决不少企业安全问题。
企业中的系统安全体现
我们知道系统安全是局域网络中管理和维护的重中之重任务,而我们平时的管理维护工作中对于服务器运行安全方面的考虑,最常见的方法就是安装网络防火墙、安装一些专业级的杀毒软件以及各种反间谍工具等。
当然,并不是说这种方法不可行,只是每次依靠这种第三方的外来力量保护服务器的系统安全,确实让很多的系统管理员感到种种的不便。先不考虑是不是所有的企业都能花费巨资购买正版专业级网络防火墙、专业的杀毒软件了。我们经常会听到,某某病毒爆发、某某蠕虫爆发或是某某公司集团被黑客攻击等类似事件,甚至更加离谱会听到有人说某某专业级杀毒软件竟然误把系统文件当病毒杀了导致服务器操作系统崩溃。
针对系统管理员的这种种困惑和难题,Windows Server 2008R2针对其系统自身进行了安全强化,并对其自带的防火墙功能进行了强化。利用高级安全Windows防火墙,为服务器提供双向的网络通讯筛选,阻止未经授权的出站和入站访问;同时利用其身带的Microsoft Windows Defender对恶意程序和间谍软件进行扫描,全方位确保服务器本身的安全,减少对外来力量保护的依赖,尽可能的避免依赖第三方保护程序带来的意外不安全影响,为企业服务器系统安全增加了多一层的保护。
企业中的网络安全体现
网络安全亦是企业环境中不可小视的问题,企业用户连入Internet的同时,也就随之而来面临了各种各样的网络威胁,对于此我们的一般方法就是通过各种防火墙技术将这些外来安全威胁阻止掉;但对于企业内部的网络连接威胁,企业网络管理员往往也就束手无策了,再加上企业用户的安全意识较低,网络安全问题就更加严重了。不可避免的,出于企业业务需要,很多企业经常会有来宾访问,这些外来用户如果携带了自己的笔记本,就可以直接连接到企业内部的网络中,而不会受到防火墙和各种外部访问策略的限制,如果这些笔记本中携带了恶意的应用程序、病毒、木马等,就会直接对企业内部网络安全造成影响。OK,那么如何才能限制这些用户和企业里安全意识较低的用户带来的这种安全风险呢?在Windows Server 2008R2中为我们提供了一个非常强大的新功能:网络访问保护,也就是我们经常听到的NAP(Network Access Protection)。利用NAP这个新功能来保护客户端用户以及外来用户对于企业服务器网络的访问,确保整个网络的访问过程是达到一定安全级别的。
那么NAP是怎么样实现这种健康网络访问,实现企业网络安全的呢?当然,NAP的这种网络访问保护和防火墙是不同的,防火墙是通过网络通讯接口,比如IP、端口之类来控制访问连接,主要控制的是用户的网络行为;而NAP则是通过安全策略来控制连入网络中所有用户客户端的状态。可能有人会把NAP的这种安全策略与防火墙的策略去对比,其实准确的讲防火墙的策略应该称之为规则策略,通过这种规则策略监控用户的行为是否符合当前的规则限制,从而执行相应的控制操作;而NAP的安全策略更象是验证用户客户端是否达到某个在安全方面的特性的要求;如有的安全策略要求用户客户端必须打开安全更新,有的要求防火墙处于启用状态,等等;NAP就是根据这种评估用户客户端是否符合当前的安全标准来管理是否让用户访问企业内部网络资源。简单的讲NAP就是利用这种健康策略验证来保护企业网络资源访问的,从而对企业网络安全起到强有力的保护和管理。
企业中的信息传递安全体现
当然,如果要谈到企业信息传递安全,别的不用多说,这里不得不提到的就是在企业中对于Windows Server 2008R2中的Direct Access的应用了。Direct Access功能真的可以说是轻松帮助我们IT部门实现了——对企业用户不论他们目前处在什么网络位置上都可以自由的访问公司内部网络中的资源文件、数据和应用程序,而再不必通过以前传统的VPN访问方式,避免了很多时候这些用户根本就不知道怎样进行VPN连接,还得远程打电话进行指导的难题,同时也克服了以往VPN方式中存在的很多局限性;现在能过使用DirectAccess可以自动地将在外地办公的用户计算机和公司内网服务器之间建立起一个双向的连接。
对于这种远程访问方式可以说是降低了远程用户的操作复杂性,再也不必担心远程用户不会使用的难题,并且同时Direct Access使用了IPSec进行计算机之间的验证和加密,安全性方面就有了保障;同时为了得到更高的安全保证,我们还在这基础之上用上之前提到的NAP,这样一来对于需要进行Direct Access访问的用户就必须要符合系统健康要求后,才能允许他连接到企业内部,使用公司内部网络资源;当然更方便的——也允许我们IT部门在后台对企业的DirectAccess服务器进行相关配置,定义当用户远程连接登录之前限制用户和应用程序可以访问到的服务器,这样一来在远程访问的安全性方面就有了保障;Windows Server 2008R2这项功能可以说是帮助了我本人不少忙,很简单的就实现了企业中经常出差在外的用户或是在家办公用户访问企业网络资源的难题,而且还有效的解决了企业对于这些经常漫游在企业网络外的公司机密资源信息的担忧,对这些信息进行了安全监督和数据保护,并且安全性相对于VPN有了更高的保障。
企业中的数据安全体现
而对于数据安全,WindowsServer2008R2也提供了很多解决方法,比如我们常听到的Bitlocker、Bitlockertogo、Applocker等,都是能很容易的就帮助我解决了在企业里对于本地磁盘数据安全、移动存储设备数据安全等一系列数据安全问题,轻松限制企业中的用户——允许他们可以使用哪些应用程序,不可以使用哪些应用程序,有效的对一些重要数据进行保护,即便是我们经常担心的——丢了计算机、移动硬盘或是U盘后会造成的企业机密数据信息泄露,现在也大可完全放心了,这一切担忧,新技术统统帮忙搞定,计算机丢了、移动硬盘丢了、U盘丢了都没关系,里面的数据没有正确的密码,得不到解密是打不开的,看不了的。应用了Bitlocker、Bitlockertogo后对于用户的业务数据安全性便得到了有效的保障;即便是安全意识较低的用户也可以限制他不能运行未知的恶意软件,保证数据的不被恶意程序删除;这是做为管理员的我们切身体会到的。
全方位的安全考虑
另外还有大家都熟悉的,Windows Server 2008带给我们其他的新功能特性,如活动目录回收站、多元密码策略、ServerCore、hyer-v、RODC、增加改进的Windows Server Back、组策略等等功能角色,都是不错的安全性体现,真可谓是从安全的各个方面出发,纵深为安全提供解决方案;当然对于Windows Server 2008带来的安全性和稳定性是不可分的,两者是本来就是相辅相成的,稳定性促进了进一步的安全性,安全性加强了服务器的高稳定性。
讲了这么多,不知道各位有没有觉得啰嗦,说的都是大家早已熟悉的东西,但是对于Windows Server 2008R2,使用后还就是有着说不完的优越感可言。希望我的这些体会也是各位的体验!
责任编辑:月儿
评论表单加载中...
