在允许用户使用自己的设备并将其接入到内部网络进行工作方面,企业收到了立竿见影的效果。“携带个人设备(BYOD)”的提议确实已经开启,不过,这在很多情况下会让Windows 服务器管理员们有点措手不及。
传统的工作模式中,服务器工程师的任务是保护其环境免受恶意攻击、数据丢失、入侵和基于服务器主机的危险。而现在,管理员则必须处理一些外来设备,并允许它们访问内部资源。无论用户使用什么样的终端设备,它都需要放在Windows服务器上。
调整现有的Windows 服务器安全实践
即使在企业环境中接入了一些新型的终端设备,工程师们仍然能够成功地保护环境的安全并有效地管理。下面是一些管理和加强BYOD环境安全的提示和最佳做法。
使用组策略(GPO)和活动目录(AD):在服务器管理方面,AD安全组在管理BYOD 环境时将会有很大作为。工程师们能够控制将哪些应用程序、桌面和工作负载传递到最终用户。管理员使用GPO也可以部署相应的客户端到最终用户。这对于无缝连接用户设备和保持一致的客户端工作体验非常重要。正确地使用GPO和AD安全组是有效管理BYOD 环境的第一步。
细致的权限监控:当用户登录到他们的环境时,可能会有文件夹映射和重定向。在 BYOD环境中用户可能仍需要一组要使用的文件夹。切记,在这种集中管理的环境中,任何终端设备都不能保存任何实际数据。尽管如此,适当的文件夹和共享管理非常重要。通过监控和管理现有文件夹的权限,可以最大限度地避免用户在使用自己的终端设备访问网络资源时犯错或意外地删除共享。
使用访问控制列表(ACL):访问控制是指授权用户、 组或计算机使用权利、 用户权限和审核对象访问网络对象的过程。ACL 可以迅速地成为服务器管理员监控和管理BYOD 环境的最有用工具之一。请记住,在Windows Server 2008中,包括来宾用户在内的每个人都可以读取和执行根目录中的文件。只有经过身份验证的用户才可以创建新的文件和文件夹,当用户创建好自己的文件或文件夹时,他们同时也获得了对它们的修改权限。在Windows Server 2008环境中灵活使用ACL可以真正帮助锁定来自 BYOD 硬件的访问。
此外,Windows Server 2008为管理员和开发人员提供了很多好用的工具来管理终端用户。相对于Windows Server 2003,Windows Server 2008的文件系统名称空间已被大幅修改。现在的用户数据保存在C:\Users目录中,而以前位于C:\Documents and Setting\ \中的其它文件和文件夹已经移走了。这有助于将文档文件和数据文件分隔开。现在开发人员可以在自己的配置文件中创建自己的文件夹,而不用将所有的数据文件全部保存在“我的文档”中。在Windows Server 2003环境中,针对所有用户应用程序的数据文件位于目录Documents and Settings\All Users\Application Data中,而到了Windows Server 2008,它被移到了一个名为%systemroot%\ProgramData的隐藏文件夹中。这些文件夹可以进一步对权限进行监控。这有助于防止用户配置文件意外删除或不必要的修改。
更新和管理:在虚拟化的环境中,需要时刻保持服务器补丁的更新。更新的方法有很多,例如WSUS,第三方软件、主镜像等等。保持Windows服务器的安全可以阻止BYOD设备产生的安全风险。即使用户使用自己的设备,他们仍然可以访问Windows服务器上的数据资源。所以这些服务器必须保持更新和备份。
镜像管理:许多管理员在虚拟化Windows服务器时都会创建主镜像的快照。然后,将其克隆成虚拟机,并在测试环境中对它应用修补程序和更新。这时更新可以在隔离的服务器上测试是否有任何不兼容问题。在生产环境中,如果补丁更新失败或有生产管理缺陷,服务器管理员可以将Windows环境回滚到上一个最近的版本。
终端访问和管理:除了应用或Web服务需要访问Windows服务器的情况外,保持Windows服务器前置有防火墙或访问网关很重要。在BYOD环境中用户能够从任何位置,在任何设备上,随时访问他们的工作环境。所以有必要创建一个连接策略,仅接受那些安装有最新客户端的某些类型设备的连接。这种管理有助于防止安全漏洞和改善用户体验。对服务器连接情况和资源使用状况的监控既适用于物理服务器,同样也适用于虚拟服务器。在BYOD环境的服务器管理方面,服务器负载的不均衡将会浪费Windows服务器环境的资源。管理员需要24小时的监控其环境中所有和特定服务器资源的使用情况。通过寻找瓶颈,然后隔离,工程师将能在故障影响到用户之前快速地发现并解决它们。
每个企业的环境都不一样,所以对BYOD活动的管理将会取决于环境中服务器的基础架构。然而,如果管理员主动仔细的规划并确保Windows服务器环境补丁的更新,相信他们在使用现有服务器工具的基础上一定能够提供一个强大的终端解决方案。
【编辑推荐】