過去
微軟一直以在操作系統上捆綁許多額外特性而著稱
這些額外特性大多數是以缺省的服務訪問權限進行安裝的
Windows Server
打破了這種傳統的模式
在Windows
Server缺省情況下能夠運行的二十多種服務被關閉或者使其以更低的權限運行
在WS
K
中
兩個最重要的安全特性的革新在於直接處理IIS和Telnet服務器
IIS和Telnet在缺省的情況下都沒有安裝
並且這兩個服務是在兩個新的帳戶下運行
新帳戶的權限比正常系統帳戶的權限要低
如果惡意的黑客危及到這兩個服務時
這種改變將直接改善服務器的安全性
與IIS和Telnet上的服務帳戶改進一起
WS
K
還包含了大量的新的安全特性
也許
這些新的安全特性將是你決定升級到Windows Server
的決定因素
新特性 Internet連接防火牆(ICF) ICF是一個軟件防火牆
它為你的網絡服務器提供了基本的端口安全性
它與你當前的安全設備一起工作
給你的關鍵的基礎設施增加了一層保護
軟件限制策略 軟件限制策略使用策略和強制執行機制
來限制系統上運行的未授權的可執行程序
這些限制是一些額外的手段
以防止用戶執行那些不是該公司標准用戶軟件套件中的程序
網頁服務器的安全性 當裝載了IIS
的缺省安裝時
網頁服務器的安全性將達到最大化
新的IIS
安全特性包括可選擇的加密服務
高級的摘要認證以及可配置的過程訪問控制
新的摘要安全包 新的摘要安全包支持在RFC
中定義的摘要認證協議
該包對IIS和活動目錄(AD)提供了更高級的保護
改善了以太局域網和無線局域網的安全性 不論連接的介質是什麼
基於IEEE
X規范改進了以太局域網和無線局域網的安全性
促進了用戶和計算機的安全認證和授權
這些改進也支持公鑰證書和智能卡的自動注冊
使得能夠對傳統的位於或者橫跨公共場所的網絡進行訪問控制
例如大學校園的廣域網(WAN)和橫穿大城市的政府廣域網(WAN)
憑證管理器 對於所有的用戶憑證
包括口令密碼和X
證書
憑證管理器提供了一個安全的倉庫
這個特性使得單一的簽名特性可以獲得多個領域的信任
Internet認證服務器和遠程認證撥號用戶服務器(IAS/RADIUS) Internet認證服務器和遠程認證撥號用戶服務器(IAS/RADIUS)控制遠程的用戶認證和授權訪問
對於不同的連接類型
例如撥號上網
虛擬專用網(VPNs)以及防火牆連接
該服務都是很實用的
FIPS廣為認可的內核模式加密算法 聯邦信息處理標准(FIPS)算法支持SHA
DES
DES和一個隨機數發生器
這種政府級的加密模式用於加密通過VPN使用第二層隧道協議(L
TP)和IP安全(IPSec)建立的連接
這種連接或是從客戶端到服務器
或是從服務器到服務器
或是從網關到網關
改進的SSL客戶端認證 安全套接字層(SSL)客戶端認證的改進使得會話速度可以提高
%
而且多個進程可以緩存和共享會話
這樣可以減少用戶對應用程序的認證
從而減少應用程序服務器上的網絡通信量和CPU工作周期
增強的EFS 加密文件服務(EFS)的改進允許管理員和用戶提供給多個用戶訪問多組加密文件的可能
它還提供了額外的文件存儲保護和最大數量的用戶容量
最後的思考 除了這些新的安全特性之外
微軟已經發行了一個安全配置管理器
用於將整個操作系統的安全選項集合成一個管理控制台
微軟已經花費了大量的時間來告訴公眾有關它在安全方面采取的新行動
甚至包括對這個服務器的發行版進行的大量的安全性改進
然而
在對WS
K
測試了一個月之後
對於新的安全特性
我沒有看到任何有重大意義的增值價值
IIS和Telnet的改變是一個良好的開端
但是WS
K
仍然是微軟的產品
這也就意味著要想取得我的信任還有很長的路要走
我在這裡著重突出了WS
K
的安全特性
以幫助你判斷微軟是否實現了他的初衷並且已經最終發布了一個安全的產品——或者它是否仍是一個缺乏強安全性的焦點
我的建議
如果你想在你的企業中配置WS
K
暫時不要著急
等等再說
在生產網絡上配置新的操作系統之前
讓黑客們與其較量一段時間然後等待其在安全性方面的修復再做決定
From:http://tw.wingwit.com/Article/Common/201311/5165.html
