-
-
[转帖]Windows Server 2012安全性:是时候升级了吗?
-
发表于: 2013-3-16 09:38 2496
-
http://www.cnw.com.cn/security-websecurity/htm2013/20130315_265946.shtml
虽然最近得到大量媒体的关注,但是Windows 8并不是微软在2012年秋季的唯一重大发布。这家位于雷蒙德的巨头还发布了最新版本的服务器软件Windows Server 2012。
仍在运行2008版本的企业可能会怀疑2012版本是否真有那么多的新特性,值得企业去购买升级版本,而所有运行Windows Server软件的组织中,安全性是他们最关心的问题。现在让我们分析一下Windows Server 2012的安全特性,从而确定现在是否有足够的理由升级到最新的版本。
从安全角度看,Windows Server 2012有了很大的进步,它包含的重大新安全特性和改进,包括验证与身份认证、授权与隔离和数据保护。有一些新特性也在Windows 8中使用,其中包括安全启动(Secure Boot)。在系统启动时,安全启动只允许带有数字签名的统一可扩展固件接口(Unified Extensible Firmware Interface, UEFI)驱动程序或启动程序执行,这样可以防止启动工具劫持设备。另一个保护系统启动安全的特性是预先启动反恶意软件(Early Launch Anti-Malware, ELAM),它保证只有已知且带有数字签名的反恶意软件程序可以在安全启动结束之后马上执行。这样可以防止假的反病毒程序在启动过程中执行。
BitLocker驱动器加密在Windows Server 2012上使用更简单。在网络保护模式中,只要服务器连接网络并加入到正常的Active Directory域中,它就会自动解锁磁盘。现在DNSSEC的实现是完全支持互操作的,并且更容易配置。其他管理工具(如Solution Accelerators)提供了集中的安全基线管理特性,它可以简化和加快安全设置。他们包括Microsoft安全评估工具、Microsoft基准安全分析器和Microsoft安全规范管理器。
支持声明和云认证的Kerberos也进行了简化,有用于部署细致的密码策略的界面。托管服务帐户现在支持自我维护,它带有超长密码,每隔30天自动重置一次。对于自己运行Web服务器的公司而言,互联网信息服务 (IIS) 8包含了新的自动化安全响应。例如,动态IP限制允许IIS自动基于自定义条件阻挡恶意IP地址,而且也有更好的沙箱方式将单个应用程序部署到多租赁安全沙箱中。
有一个信息安全领域是大多数组织都很难处理好的,那就是数据分类,特别是要保证每一个文件都应用正确的安全设置。Windows Server 2012采用新的授权与审计引擎来解决这个问题。它的特点是高级文件与文件夹权限,它使用以动态访问控制、声明和基于表达式的访问控制实体和集中授权与审计规则(也称为中央访问策略)。
文档可以根据其内容或Active Directory属性进行自动分类。例如,权限管理服务可以配置为自动加密所有包含健康保险流通与责任法案(HIPAA)信息的文档。按设备、用户和群组分类的文档访问可以根据其属性(也称为声明)进行控制,它们可用于验证与授权。
几乎所有对象(包括用户、群组或计算机)都可以分配一个或多个声明,包括运行Windows 8且MAC地址为00-xx-00的笔记本电脑,以及身份为在家工作的销售经理用户。复杂规则也可以轻松创建(例如,销售经理在家里工作时可以从Windows 8设备访问中级或低级保密的数据,但是他们必须在公司里才能访问高级保密的数据)。分类可以与任何感知分类的Windows Server 2012服务共同协作。这个功能很大程度改进了大多数组织的分类与数据处理策略的实施效果。
中央访问策略运行在Active Directory上,所以集中部署和管理很简单。毫无疑问,通过一些测试就能够完全理解使用用户声明、设备声明和资源属性设置的条件表达式的功能,它们确实可用于实现更精细的企业数据控制。
虽然在考虑升级时必须分析不同的个体环境,但是Windows Server 2012比2008进步很大,不仅仅在安全特性方面有进步,策略配置与实现方面也有很大简化。它为强大和正确配置的安全控制方面进行了功能改进,加大了攻击难度。微软的最新服务器软件肯定考虑了安全问题,但它的前期应用还是会引发关于安全的很多争议。
虽然最近得到大量媒体的关注,但是Windows 8并不是微软在2012年秋季的唯一重大发布。这家位于雷蒙德的巨头还发布了最新版本的服务器软件Windows Server 2012。
仍在运行2008版本的企业可能会怀疑2012版本是否真有那么多的新特性,值得企业去购买升级版本,而所有运行Windows Server软件的组织中,安全性是他们最关心的问题。现在让我们分析一下Windows Server 2012的安全特性,从而确定现在是否有足够的理由升级到最新的版本。
从安全角度看,Windows Server 2012有了很大的进步,它包含的重大新安全特性和改进,包括验证与身份认证、授权与隔离和数据保护。有一些新特性也在Windows 8中使用,其中包括安全启动(Secure Boot)。在系统启动时,安全启动只允许带有数字签名的统一可扩展固件接口(Unified Extensible Firmware Interface, UEFI)驱动程序或启动程序执行,这样可以防止启动工具劫持设备。另一个保护系统启动安全的特性是预先启动反恶意软件(Early Launch Anti-Malware, ELAM),它保证只有已知且带有数字签名的反恶意软件程序可以在安全启动结束之后马上执行。这样可以防止假的反病毒程序在启动过程中执行。
BitLocker驱动器加密在Windows Server 2012上使用更简单。在网络保护模式中,只要服务器连接网络并加入到正常的Active Directory域中,它就会自动解锁磁盘。现在DNSSEC的实现是完全支持互操作的,并且更容易配置。其他管理工具(如Solution Accelerators)提供了集中的安全基线管理特性,它可以简化和加快安全设置。他们包括Microsoft安全评估工具、Microsoft基准安全分析器和Microsoft安全规范管理器。
支持声明和云认证的Kerberos也进行了简化,有用于部署细致的密码策略的界面。托管服务帐户现在支持自我维护,它带有超长密码,每隔30天自动重置一次。对于自己运行Web服务器的公司而言,互联网信息服务 (IIS) 8包含了新的自动化安全响应。例如,动态IP限制允许IIS自动基于自定义条件阻挡恶意IP地址,而且也有更好的沙箱方式将单个应用程序部署到多租赁安全沙箱中。
有一个信息安全领域是大多数组织都很难处理好的,那就是数据分类,特别是要保证每一个文件都应用正确的安全设置。Windows Server 2012采用新的授权与审计引擎来解决这个问题。它的特点是高级文件与文件夹权限,它使用以动态访问控制、声明和基于表达式的访问控制实体和集中授权与审计规则(也称为中央访问策略)。
文档可以根据其内容或Active Directory属性进行自动分类。例如,权限管理服务可以配置为自动加密所有包含健康保险流通与责任法案(HIPAA)信息的文档。按设备、用户和群组分类的文档访问可以根据其属性(也称为声明)进行控制,它们可用于验证与授权。
几乎所有对象(包括用户、群组或计算机)都可以分配一个或多个声明,包括运行Windows 8且MAC地址为00-xx-00的笔记本电脑,以及身份为在家工作的销售经理用户。复杂规则也可以轻松创建(例如,销售经理在家里工作时可以从Windows 8设备访问中级或低级保密的数据,但是他们必须在公司里才能访问高级保密的数据)。分类可以与任何感知分类的Windows Server 2012服务共同协作。这个功能很大程度改进了大多数组织的分类与数据处理策略的实施效果。
中央访问策略运行在Active Directory上,所以集中部署和管理很简单。毫无疑问,通过一些测试就能够完全理解使用用户声明、设备声明和资源属性设置的条件表达式的功能,它们确实可用于实现更精细的企业数据控制。
虽然在考虑升级时必须分析不同的个体环境,但是Windows Server 2012比2008进步很大,不仅仅在安全特性方面有进步,策略配置与实现方面也有很大简化。它为强大和正确配置的安全控制方面进行了功能改进,加大了攻击难度。微软的最新服务器软件肯定考虑了安全问题,但它的前期应用还是会引发关于安全的很多争议。
赞赏
他的文章
看原图
赞赏
雪币:
留言: