我们可以通过以下几个方面来验证Windows Server 2008如何为企业保障信息安全。
一、 权限管理服务
熟悉Windows Server 2003的朋友,相信对RMS(权限管理服务)都不会陌生,它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。在Windows Server 2008中,这一重要特性得以改进和提升,微软把它称之为AD RMS(Active Directory Rights Management Services),即活动目录权限管理服务。相对于2003下的RMS有了较大的改进与提升,例如:不需要单独下载即可安装等等。
AD RMS 系统包括基于 Windows Server 2008 的服务器(运行用于处理证书和授权的 Active Directory 权限管理服务 (AD RMS) 服务器角色)、数据库服务器以及 AD RMS 客户端。AD RMS 系统的部署为组织提供以下优势:
1) 保护敏感信息。如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS,从而帮助保护敏感信息。用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。组织可以创建子自定义的使用策略模板(如"机密 - 只读"),这些模板可直接应用于上述信息。
2) ***性保护。AD RMS 可以增强现有的基于外围的安全解决方案(如防火墙和访问控制列表 (ACL)),通过在文档本身内部锁定使用权限、控制如何使用信息(即使在目标收件人打开信息后)来更好地保护信息。
3) 灵活且可自定义的技术。独立软件供应商 (ISV) 和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器(如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器),与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案(如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查)中
AD RMS 中的功能:
在Windows Server 2008中,通过使用 服务器管理器,可以设置 AD RMS 的以下组件:
- Active Directory Rights Management Services。Active Directory 权限管理服务 (AD RMS) 角色服务是一项必需的角色服务,用于安装发布和使用受权限保护的内容所用的 AD RMS 组件。
- 联合身份验证支持。联合身份验证支持角色服务是一项可选的角色服务,允许联合身份借助 Active Directory 联合身份验证服务来使用受权限保护的内容。
简要部署AD RMS
(一)硬件和软件注意事项
安装 AD RMS 服务器角色时,系统会同时安装必需的服务,其中的一项就是 Internet 信息服务 (IIS)。AD RMS 还需要一个数据库(如 Microsoft SQL Server),该数据库可与 AD RMS 在同一服务器上运行,也可以在远程服务器和 Active Directory 域服务林中运行。
下表介绍了运行具有 AD RMS 服务器角色的基于 Windows Server 2008 服务器的***硬件要求和建议。
下表介绍了运行具有 AD RMS 服务器角色的基于 Windows Server 2008 服务器的软件要求。对于通过启用操作系统上的功能可以满足的要求,可通过安装 AD RMS 服务器角色根据需要配置这些功能。
(二)正式部署AD RMS
接下来,开始正式配置安装AD RMS服务器。
1. 安装一台Windows Server 2008,计算机名称为"WS2008-ADRMS"。
2. 配置TCP/IP属性登录系统后,单击"开始",单击"控制面板",双击"网络和共享中心",单击"查看状态"。单击"属性"。在"本地连接 属性"窗口中双击"Internet协议版本4(TCP/IPv4)"。输入相关信息。
3. 将WS2008-ADRMS加入到域。单击"开始",右键点击"我的电脑",单击"属性"。单击"改变设置"。在"系统属性"窗口中单击"更改"。输入要加入的域名,单击"确定"。输入一个有权限加入域的用户和密码。***进行确认并重启计算机即可。
4. 将用户"ADRMS-admin"添加到本地Administrators(管理员)组中。
5. 添加 AD RMS Server 角色使用" ADRMS-admin "登录到"ADRMS"服务器上。单击"开始",点击"管理工具",单击"服务器管理器"。在"用户帐户控制"窗口单击"继续"。单击"添加角色";在"添加角色向导"中单击"下一步";
6.勾选"Active Directory Rights Management Services"后单击"添加必需的角色服务"。系统自动勾选相关的服务,单击"下一步",出现"Active Directory Rights Management Services简介",单击"下一步"。选择安装的角色服务,默认为"Active Directory仅限管理服务器",单击"下一步"。选择"新建AD RMS群集",单击"下一步"。
7. 在"配置数据库"页面,选择"使用其他数据库服务器",单击"选择",输入数据库服务器名称后单击"确定"。在"数据库实例"中选择"默认",并单击"验证"。***单击"下一步"。在"服务帐户"页面中,单击"指定"。在"添加角色向导"窗口输入前面创建的用户和密码。单击"确定"。
8.在"群集键存储"页面,保持默认选择"使用AD RMS集中管理的密钥存储",单击"下一步"。在"群集密钥密码"页面输入一个密码。在"群集网站"页面,选择"默认网站",单击"下一步"。在"群集地址"页面,选中"使用未加密的连接(https://)", "端口"采用默认的"80",单击"验证"。***单击"下一步"。
9.在"许可证证书名称"页面输入一个名称。在"SCP注册"页面,保持默认的"立即注册AD RMS服务连接点"。出现"Web服务器简介(IIS)"页面,单击"下一步"。系统列出相关的web服务器的角色服务。单击"下一步"。在"确认"页面对相关信息进行总览,没问题的话就单击"安装"。系统会显示正在进行安装的过程。成功后会显示一个信息页面,其中要求必须注销后再重新登录才可以管理AD RMS。单击"关闭"并注销系统。
重新登录后,单击"开始",单击"管理工具",单击"Active Directory Rights Management Services"。在"用户帐户控制"窗口单击"继续"。打开AD RMS管理器。在此可对AD RMS进行相关的管理操作。
管理 AD RMS
在Windows Server 2008中,由于有了服务器管理器的存在,众多任务的管理已经变得相当简单。服务器角色使用 Microsoft 管理控制台 (MMC) 管理单元来进行管理。使用 Active Directory Rights Management Services 控制台可以管理 AD RMS。具体打开方式为:单击"开始",指向"管理工具",然后单击"Active Directory Rights Management Services"即可。
二、 防火墙
与以前Windows版本中的防火墙相比,Windows Server 2008中的高级安全防火墙(WFAS)有了较大的改进,首先它支持双向保护,可以对出站、入站通信进行过滤。
其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。而且WFAS还可以实现更高级的规则配置,你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配,则具有高级安全性的Windows防火墙执行规则中指定的操作,即阻止连接或允许连接。如果数据包与规则中的标准不匹配,则具有高级安全性的Windows防火墙丢弃该数据包,并在防火墙日志文件中创建条目(如果启用了日志记录)。
对规则进行配置时,可以从各种标准中进行选择:例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多,具有高级安全性的Windows防火墙匹配传入流量就越精细。
下面我们一起来了解一下如何来配置Window Server 2008的防火墙。
利用MMC单元进行管理
这种方式可以让你在一个界面中同时配置防火墙设置和IPSec设置,还可以在监视节点中查看当前应用的策略、规则和其它信息。
从启动菜单的管理工具中找到高级安全Windows防火墙,点击打开MMC管理单元。Windows 2008的高级安全Windows防火墙使用出站和入站两组规则来配置其如何响应传入和传出的流量;通过连接安全规则来确定如何保护计算机和其它计算机之间的流量,而且可以监视防火墙活动和规则。
下面我们来通过实际例子查看一下如何配置这几个规则。
首先从入站规则开始,假如我们在Windows Server 2008上安装了一个Apache Web服务器,默认情况下,从远端是无法访问这个服务器的,因为在入站规则中没有配置来确认对这些流量“放行”,下面我们就为它增加一条规则。
打开高级安全Windows防火墙,点击入站规则后从右边的入站规则列表中我们可以看到Windows Server 2008自带的一些安全规则,在这儿可以看到,我们可以基于具体的程序、端口、预定义或自定义来创建入站规则,其中每个类型的步骤会有细微的差别。第三步指定对符合条件的流量进行什么操作,接下来选择应用规则的配置文件和为规则指定名称后,规则就创建好了。
连接安全包括在两台计算机开始通信之前对它们进行身份验证,并确保在两台计算机之间正在发送的信息的安全性。具有高级安全性的 Windows 防火墙包含了 Internet 协议安全 (IPSec) 技术,通过使用密钥交换、身份验证、数据完整性和数据加密(可选)来实现连接安全。
对于单个服务器来说,可以使用高级安全Windows防火墙管理控制单元来对防火墙进行设置,以上的方法还算适用。但是如果在你的企业网络中有大量计算机需要设置,就应该使用下面这种更高效的方法。
在一个使用活动目录(AD)的企业网络中,为了实现对大量计算机的集中管理,你可以使用组策略来应用高级安全Windows防火墙的配置。组策略提供了高级安全Windows防火墙的完全功能的访问,包括配置文件、防火墙规则和计算机安全连接规则。
实际上,在组策略管理控制台中为高级安全Windows防火墙配置组策略的时候是打开的同一个控制单元。值得注意的是,如果你使用组策略来在一个企业网络中配置高级安全Windows防火墙的话,本地系统管理员是无法修改这个规则的属性的。通过创建组策略对象,可以配置一个域中所有计算机使用相同的防火墙设置。
使用Netsh advfirewall命令行工具,虽然图形化配置界面比较简单直观,但是对于一些有经验的系统管理员来说,则往往更喜欢使用命令行方式来完成它们的配置工作,因为后者一旦熟练掌握的话,可以更灵活更准确更迅速的实现配置任务。
Netsh是可以用于配置网络组件设置的命令行工具。具有高级安全性的Windows防火墙提供netsh advfirewall工具,可以使用它配置具有高级安全性的Windows防火墙设置。使用netsh advfirewall可以创建脚本,以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows 防火墙设置。还可以使用netsh advfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。
通过以上Windows Server 2008功能及管理工具,能够方便为企业信息的安全与信息管理,为企业高速发展保驾护航。
【编辑推荐】