科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道步入Windows Server 2008之门

步入Windows Server 2008之门

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

世人期待已久的WindowsServer 2008终于正式与大家见面了,这距离Windows Server 2003的第一次亮相已有五年之久。

作者:寿栋 芯语 来源:计算机世界报 2008年4月21日

关键字: Windows 2008 系统安全

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  安全性的改进

  自从Windows诞生那天起,安全问题就一直让微软成为被诟病的对象。在最近几年,随着网络的发展,更是有很多缺陷渐渐地被暴露了出来。因为产品

  本身的设计问题,打补丁已经成了微软产品使用者最常用的安全防范措施。这次,微软希望在新的Windows Server 2008中不再出现类似的问题,因此,Windows Server 2008在架构上有了很大的改变。

  首先,系统文件保护这项新特性是为了确保服务器启动过程的完整性。Windows Server 2008在启动过程中基于使用中的内核文件创建了一个验证码和一个特殊的硬件抽象层,以及启动期间的所有驱动。假如在后续的重启过程中发现这些文件被改动,操作系统便会知道并阻止重启过程,让用户能够进行必要的修复。另外,操作系统文件的保护也延伸到了那些存储在磁盘上的二进制图像文件。

  驱动器加密已经成为了最近一个比较流行的主题,微软一直在紧锣密鼓地加强这方面的研发。BitLocker便是用于驱动器加密的一种工具,其专门对付那些获得了物理驱动器访问权限的黑客。如果没有加密,黑客便可以简单地重启操作系统或者运行一个黑客工具来访问文件。Windows Server 2000和Windows Server 2003中的加密文件系统EFS(Encrypting File System)虽然有所进步,但是用于解密文件的密钥却没有得到应有的保护。

  而利用BitLocker,密钥就可以存储在Trusted Platform Module芯片上或者用于重启系统的USB闪存中。这样就能够加密整个Windows文件系列,包括用户数据和系统文件、休眠文件、页面文件以及临时文件等。同时,整个启动过程本身也被BitLocker保护。

  在Windows Server 2008中,管理员能够控制所有设备的安装,包括USB驱动程序、移动硬盘以及其他新设备的驱动程序。用户可以简单地部署一台机器,并且让所有的新设备都无法安装。当然,也可以基于设备种类或者设备ID来处理哪些设备可以安装。比如,只允许安装键盘和鼠标,或者可以只允许指定ID的设备安装,比如只允许安装某个品牌的产品。而这些都可以通过Group Policy来进行配置。

  管理性的改进

  很多管理员都很喜欢远程安装服务RIS(Remote Installation Services)。而在Windows Server 2008中,微软对RIS进行了彻底的修改,并且重命名为Windows部署服务——Windows Deployment Services(WDS)。

  WDS仍然通过预启动执行环境(PXE)和简单文件传输协议(TFTP)作用于操作系统,但是现在它还包括了Windows PE(一种图形方式的前端界面)来控制安装的过程,而不是采用原先的蓝屏方式安装。

  在以前版本的服务器操作系统中,如果想参看进程的状态,只有两种基本工具——任务管理器和性能监控器。而在Windows Server 2008中,这两种工具统一成为了一种,被称为性能诊断控制台PDC(Performance Diagnostics Console),这样更方便查看机器正在运行任务中的统计数据。

  另外,资源查看器(Resource View)变得更简单;稳定性监控器(Reliability Monitor)能够显示哪些事件导致了稳定性的降低;可靠性监控器(Reliability Monitor)将生成“稳定性指数”,其范围从1到10,用于指示系统的可靠程度;事件查看器(Event Viewer)被重新设计,允许访问当前服务器,甚至其他服务器上的日志。

  虚拟化的融入

  Hyper-V是微软提出的一种系统管理程序虚拟化技术,用微软自己的话来说是“下一代基于虚拟机管理器(Hypervisor)的虚拟化平台”,其与操作系统进行整合,以此来允许用户动态增加物理和虚拟资源。

  Hyper-V有三个主要组成部分: 虚拟机管理器、虚拟化堆栈和新的虚拟I/O模型。Windows虚拟机管理器主要是用来创建不同的分区,每一个虚拟化实例代码都会在各自的分区内运行;虚拟化堆栈和虚拟I/O模型用于提供与Windows自身以及所创建的各种分区之间的交互。

  这三个组成部分之间是相互协调工作的。Hyper-V中的服务器带有配备Intel VT或AMD-V辅助技术的处理机,Hyper-V使用这个服务器与虚拟机管理器进行交互。虚拟机管理器是Hyper-V软件中一个很小的层面,并直接在处理机中体现出来。该软件在处理机中抓住线程,使得主机操作系统可以在单一物理处理机上运行,并有效地管理多个虚拟机及多个虚拟操作系统。

  事实上,虚拟化的思想不仅仅在于消除机器的重叠和节省成本,还在于与未虚拟化的服务器相比,在服务上有更高的可用性。在这种背景下,Hyper-V还支持多客户机的集群。其可以将多个运行于Hyper-V组件的物理机组成集群,这样万一主机发生某种故障,虚拟化实例可以将故障转移到另一个主机上;还可以将虚拟机从一个物理主机移植到另一个物理主机,而不会发生停机,并且简化服务、计划和重组的过程,从而大大地减少了服务所带来的负面影响。

  最后,利用Windows Server 2008中新的镜像磁盘功能,可以在多个位置上设置集群。也就是说,可以分别在世界上的不同大陆板块之间设置集群,而没有必要一定要在它们之间拥有一个单一的共享磁盘。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章