Windows Server 2008作為Windows server 2003的繼任者（雖然之前有Windows NT server和Windows 2000 server，但由于技術(shù)進(jìn)步較大，因此比較安全方面的提高實(shí)際意義不大），我認(rèn)為其是符合大家的期望的。

作為新一代Windows Server。Windows Server 2008通過(guò)加強(qiáng)操作系統(tǒng)和保護(hù)網(wǎng)絡(luò)環(huán)境提高了安全性。通過(guò)加快IT系統(tǒng)的部署與維護(hù)、使服務(wù)器和應(yīng)用程序的合并與虛擬化更加簡(jiǎn)單、提供直觀管理工具，Windows Server 2008還為IT專業(yè)人員提供了靈活性。Windows Server 2008為任何組織的服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)奠定了最好的基礎(chǔ)。

Microsoft Windows Server2008用于在虛擬化工作負(fù)載、支持應(yīng)用程序和保護(hù)網(wǎng)絡(luò)方面向組織提供最高效的平臺(tái)。它為開(kāi)發(fā)和可靠地承載Web應(yīng)用程序和服務(wù)提供了一個(gè)安全、易于管理的平臺(tái)。從工作組到數(shù)據(jù)中心，Windows Server2008都提供了令人興奮且很有價(jià)值的新功能，對(duì)基本操作系統(tǒng)做出了重大改進(jìn)。

使用 Windows Server 2008，IT 專業(yè)人員能夠更好地控制服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，從而可以將精力集中在處理關(guān)鍵業(yè)務(wù)需求上。增強(qiáng)的腳本編寫功能和任務(wù)自動(dòng)化功能（例如，Windows PowerShell）可幫助 IT 專業(yè)人員自動(dòng)執(zhí)行常見(jiàn) IT 任務(wù)。通過(guò)服務(wù)器管理器進(jìn)行的基于角色的安裝和管理簡(jiǎn)化了在企業(yè)中管理與保護(hù)多個(gè)服務(wù)器角色的任務(wù)。服務(wù)器的配置和系統(tǒng)信息是從新的服務(wù)器管理器控制臺(tái)這一集中位置來(lái)管理的。IT 人員可以僅安裝需要的角色和功能，向?qū)?huì)自動(dòng)完成許多費(fèi)時(shí)的系統(tǒng)部署任務(wù)。增強(qiáng)的系統(tǒng)管理工具（例如，性能和可靠性監(jiān)視器）提供有關(guān)系統(tǒng)的信息，在潛在問(wèn)題發(fā)生之前向 IT 人員發(fā)出警告。

作為其客戶端的Windows Vista和Windows 7，Windows server 2008提供比以往更加增強(qiáng)的安全功能。包括，改進(jìn)的防火墻，硬盤加密，擴(kuò)展活動(dòng)目錄控制，網(wǎng)絡(luò)訪問(wèn)控制和ISV安全編程能力等等許多其他更新和改進(jìn)的安全技術(shù)。

1．全新及改進(jìn)的Windows防火墻和高級(jí)安全特色

Server 2008包括了一個(gè)新的增強(qiáng)版本的Windows防火墻，相比最初隨Windows XP SP2發(fā)布的版本其具有更多提高的組件。微軟提供給管理員一個(gè)基于主機(jī)狀態(tài)全功能的防火墻解決方案，以便進(jìn)行高級(jí)配置。傳入和傳出過(guò)濾器可以配置為跨過(guò)高級(jí)規(guī)則過(guò)濾源地址和目標(biāo)地址、端口、服務(wù)、協(xié)議甚至接口。防火墻被預(yù)配置為拒絕所有來(lái)自外部網(wǎng)絡(luò)的非源請(qǐng)求但允許所有對(duì)外通訊。盡管你可以像之前的Windows防火墻一樣通過(guò)控制面板配置基本設(shè)置，但你無(wú)法訪問(wèn)高級(jí)配置。
高級(jí)配置任務(wù)必須通過(guò)使用微軟管理控制臺(tái)中的“高級(jí)安全Windows 防火墻“來(lái)完成。
IPsec集成也是Windows防火墻的新特色。其使IPsec配置更為簡(jiǎn)單并且避免與防火墻規(guī)則發(fā)生沖突，因?yàn)閮烧呤墙?jīng)由相同的接口編程的。

 
2．BitLocker-安全與保護(hù)的探索

Windows server 2008包含BitLocker驅(qū)動(dòng)器加密工具，其具有兩個(gè)關(guān)鍵技術(shù)來(lái)保護(hù)敏感數(shù)據(jù)，驅(qū)動(dòng)器加密和引導(dǎo)完整性檢查。雖然服務(wù)器不像筆記本電腦那樣容易被偷竊，但是仍有很多硬件丟失和數(shù)據(jù)盜竊的情況發(fā)生，像硬件維修或更換工作地點(diǎn)發(fā)生的丟失等。Bitlocker允許管理員像加密當(dāng)前服務(wù)器上的任何數(shù)據(jù)卷一樣加密整個(gè)操作系統(tǒng)卷，這包括Windows操作系統(tǒng)，休眠和頁(yè)面文件，應(yīng)用程序和應(yīng)用程序使用的數(shù)據(jù)。但是操作系統(tǒng)卷和數(shù)據(jù)卷不能分開(kāi)解密，如果操作系統(tǒng)卷解密了，數(shù)據(jù)卷也同時(shí)被解密。并且在此需要說(shuō)明的是，Bitlocker只能加密邏輯驅(qū)動(dòng)器，無(wú)法加密物理驅(qū)動(dòng)器。而且Bitlocker不隨Windows server 2008默認(rèn)安裝，在某些服務(wù)器環(huán)境中也不需要，其也不支持群集配置。Bitlocker整合了TPM規(guī)格，提供硬件級(jí)別上的脫機(jī)篡改完整性證明。Bitlocker配置提供了一個(gè)簡(jiǎn)單易用的向?qū)?。管理員也可以使用WMI接口，其支持腳本。
恢復(fù)控制臺(tái)允許個(gè)人輕松使用正確的密鑰或PIN碼訪問(wèn)加密系統(tǒng)。

3．NAP-保持健康網(wǎng)絡(luò)的挑戰(zhàn)

今天，在連接和移動(dòng)環(huán)境中阻止不安全電腦的訪問(wèn)和可能的商業(yè)內(nèi)部網(wǎng)絡(luò)感染是一項(xiàng)持續(xù)的挑戰(zhàn)。網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）是一個(gè)新的平臺(tái)允許管理員通過(guò)一套管理員定義的系統(tǒng)健康規(guī)則動(dòng)態(tài)的控制計(jì)算機(jī)網(wǎng)絡(luò)訪問(wèn)。
NAP提供了三個(gè)方法：
健康狀態(tài)驗(yàn)證–通過(guò)為所有計(jì)算機(jī)連接入網(wǎng)絡(luò)進(jìn)行定義和驗(yàn)證
健康策略允許– 通過(guò)提供資源以允許計(jì)算機(jī)滿足健康要求
限制訪問(wèn)– 通過(guò)提供給非允許的和無(wú)法升級(jí)以滿足要求的電腦限制的網(wǎng)絡(luò)資源
NAP極大地減少了保持機(jī)構(gòu)內(nèi)部計(jì)算機(jī)升級(jí)到最新安全應(yīng)用的負(fù)載，它還在減少可能由于未知健康狀態(tài)的外部或偶爾的計(jì)算機(jī)訪問(wèn)造成的安全破壞的同時(shí)允許遠(yuǎn)程計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)資源。

4．ASLR技術(shù)和其它增強(qiáng)的安全功能

地址空間格局的隨機(jī)化 (ASLR)是一種安全設(shè)計(jì)機(jī)制。在Windows server 2008中引入了ASLR安全特性。它的原理就是在當(dāng)一個(gè)應(yīng)用程序或動(dòng)態(tài)鏈接庫(kù)，如kernel32.dll，被加載時(shí)，如果其選擇了被ASLR保護(hù)，那么系統(tǒng)就會(huì)將其加載的基址隨機(jī)設(shè)定。這樣，攻擊者就無(wú)法事先預(yù)知?jiǎng)討B(tài)庫(kù)，如kernel32.dll的基址，也就無(wú)法事先確定特定函數(shù)，如VirtualProtect的入口地址了。在Windows XP或Windows 2000上，這些函數(shù)的入口地址是固定的，即攻擊者事先可以確定的。ASLR是系統(tǒng)一級(jí)的特性。系統(tǒng)動(dòng)態(tài)庫(kù)，如kernel32.dll，加載地址，是在系統(tǒng)每次啟動(dòng)的時(shí)候被隨機(jī)設(shè)定的。

其他Windows server 2008中集成的安全增強(qiáng)功能包括增強(qiáng)的活動(dòng)目錄，其改善了身份，認(rèn)證和權(quán)限管理，和遠(yuǎn)程域服務(wù)器的域控制模式。還有改進(jìn)的終端服務(wù)，其能夠共享單個(gè)應(yīng)用程序而不是整個(gè)桌面并且允許經(jīng)由https的安全遠(yuǎn)程連接。還包括改進(jìn)的IIS安全功能和支持256位AES加密的Kerberos身份驗(yàn)證協(xié)議。Read-Only Domain Controller (RODC)：這是 Windows Server 2008 操作系統(tǒng)中的一種新型域控制器配置，使組織能夠在域控制器安全性無(wú)法保證的位置輕松部署域控制器。

RODC 維護(hù)給定域中 Active Directory 目錄服務(wù)數(shù)據(jù)庫(kù)的只讀副本。在此版本之前，當(dāng)用戶必須使用域控制器進(jìn)行身份驗(yàn)證，但其所在的分支辦公室無(wú)法為域控制器提供足夠物理安全性時(shí)，必須通過(guò)廣域網(wǎng) (WAN) 進(jìn)行身份驗(yàn)證。在很多情況下，這不是一個(gè)有效的解決方案。通過(guò)將只讀 Active Directory 數(shù)據(jù)庫(kù)副本放置在更接近分支辦公室用戶的地方，這些用戶可以更快地登錄，并能更有效地訪問(wèn)網(wǎng)絡(luò)上的身份驗(yàn)證資源，即使身處沒(méi)有足夠物理安全性來(lái)部署傳統(tǒng)域控制器的環(huán)境。

Failover Clustering：這些改進(jìn)旨在更輕松地配置服務(wù)器群集，同時(shí)對(duì)數(shù)據(jù)和應(yīng)用程序提供保護(hù)并保證其可用性。通過(guò)在故障轉(zhuǎn)移群集中使用新的驗(yàn)證工具，您可以測(cè)試系統(tǒng)、存儲(chǔ)和網(wǎng)絡(luò)配置是否適用于群集。憑借 Windows Server 2008 中的故障轉(zhuǎn)移群集，管理員可以更輕松地執(zhí)行安裝和遷移任務(wù)，以及管理和操作任務(wù)。群集基礎(chǔ)結(jié)構(gòu)的改進(jìn)可幫助管理員最大限度地提高提供給用戶的服務(wù)的可用性，可獲得更好的存儲(chǔ)和網(wǎng)絡(luò)性能，并能提高安全性。

總的來(lái)說(shuō)，微軟的新的操作系統(tǒng)提供了急需的增強(qiáng)的安全功能。

【編輯推薦】

1. 選擇Windows Server 2008的理由
2. Windows Server 2008理念和規(guī)劃
3. 淺談Windows Server 2008應(yīng)用
4. 基于Windows Server 2008環(huán)境中一些管理測(cè)試
5. Windows Server 2008為企業(yè)的信息安全保駕護(hù)航