过去微软一直以在操作系统上捆绑许多额外特性而着称这些额外特性大多数是以缺省的服务访问权限进行安装的Windows Server 打破了这种传统的模式在Windows Server缺省情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行
在WSK中两个最重要的安全特性的革新在于直接处理IIS和Telnet服务器IIS和Telnet在缺省的情况下都没有安装并且这两个服务是在两个新的帐户下运行新帐户的权限比正常系统帐户的权限要低如果恶意的黑客危及到这两个服务时这种改变将直接改善服务器的安全性
与IIS和Telnet上的服务帐户改进一起WSK 还包含了大量的新的安全特性也许这些新的安全特性将是你决定升级到Windows Server 的决定因素
新特性
Internet连接防火墙(ICF)
ICF是一个软件防火墙它为你的网络服务器提供了基本的端口安全性它与你当前的安全设备一起工作给你的关键的基础设施增加了一层保护
软件限制策略
软件限制策略使用策略和强制执行机制来限制系统上运行的未授权的可执行程序这些限制是一些额外的手段以防止用户执行那些不是该公司标准用户软件套件中的程序
网页服务器的安全性
当装载了IIS 的缺省安装时网页服务器的安全性将达到最大化新的IIS 安全特性包括可选择的加密服务高级的摘要认证以及可配置的过程访问控制
新的摘要安全包
新的摘要安全包支持在RFC中定义的摘要认证协议该包对IIS和活动目录(AD)提供了更高级的保护
改善了以太局域网和无线局域网的安全性
不论连接的介质是什么基于IEEE X规范改进了以太局域网和无线局域网的安全性促进了用户和计算机的安全认证和授权这些改进也支持公钥证书和智能卡的自动注册使得能够对传统的位于或者横跨公共场所的网络进行访问控制例如大学校园的广域网(WAN)和横穿大城市的政府广域网(WAN)
凭证管理器
对于所有的用户凭证包括口令密码和X证书凭证管理器提供了一个安全的仓库这个特性使得单一的签名特性可以获得多个领域的信任
Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)
Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)控制远程的用户认证和授权访问对于不同的连接类型例如拨号上网虚拟专用网(VPNs)以及防火墙连接该服务都是很实用的
FIPS广为认可的内核模式加密算法
联邦信息处理标准(FIPS)算法支持SHADESDES和一个随机数发生器这种政府级的加密模式用于加密通过VPN使用第二层隧道协议(LTP)和IP安全(IPSec)建立的连接这种连接或是从客户端到服务器或是从服务器到服务器或是从网关到网关
改进的SSL客户端认证
安全套接字层(SSL)客户端认证的改进使得会话速度可以提高%而且多个进程可以缓存和共享会话这样可以减少用户对应用程序的认证从而减少应用程序服务器上的网络通信量和CPU工作周期
增强的EFS
加密文件服务(EFS)的改进允许管理员和用户提供给多个用户访问多组加密文件的可能它还提供了额外的文件存储保护和最大数量的用户容量
最后的思考
除了这些新的安全特性之外微软已经发行了一个安全配置管理器用于将整个操作系统的安全选项集合成一个管理控制台
微软已经花费了大量的时间来告诉公众有关它在安全方面采取的新行动甚至包括对这个服务器的发行版进行的大量的安全性改进然而在对WSK测试了一个月之后对于新的安全特性我没有看到任何有重大意义的增值价值IIS和Telnet的改变是一个良好的开端但是WSK仍然是微软的产品这也就意味着要想取得我的信任还有很长的路要走
我在这里着重突出了WSK的安全特性以帮助你判断微软是否实现了他的初衷并且已经最终发布了一个安全的产品——或者它是否仍是一个缺乏强安全性的焦点我的建议如果你想在你的企业中配置WSK暂时不要着急等等再说在生产网络上配置新的操作系统之前让黑客们与其较量一段时间然后等待其在安全性方面的修复再做决定
