2023年11月27日发(作者:)
Windows Server 2008 R2指导手册
Windows Server 2008 R2是Windows Server的最新版本,如今已经交付使用。如微
软Hyper-V这样的虚拟化功能受到了许多关注。在这一期服务器技术手册中,我们将主要
介绍Windows Server 2008 R2的新功能,分析其中比较重要的功能,以及提供一些实施
技巧供大家参考。
Windows Server 2008 R2新功能
Windows 7和Windows Server 2008 R2如今已可用。Windows Server 2008 R2包含
大量有效的改进,旨在降低运营Windows服务器的成本。这两款新操作系统有哪些新功能
能使你的环境受益?
Windows Server 2008 R2十大新功能分析
Windows 7和Server 2008 R2新功能解析
Windows Server 2008 R2:降耗功能分析
Server 2008 R2实施技巧
随着Windows Server 2008 R2的发布,微软在终端服务和Remote Desktop Services
(RDS)里有何改进?要升级到新操作系统,如何考虑容量规划?
分析Windows Server 2008 R2的终端服务
Windows Server 2008 R2的DFS改进分析
如何为Windows Server 2008 R2实施容量规划?
部署Windows Server 2008 R2的优劣势分析
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 2 of 18
Windows Server 2008 R2安全
AppLocker背后的概念对于Windows环境来说不是全新的。有了AppLocker和SRP,
网络环境的单个操作系统获得了集中管理的策略架构,决定运行执行的精确可执行文件和
DLL。
Windows Server 2008 R2里AppLocker安全功能解析(上)
Windows Server 2008 R2里AppLocker安全功能解析(下)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 3 of 18
Windows Server 2008 R2十大新功能
Windows Server 2008 R2是Windows Server的最新版本,几周后就可供使用。如微
软Hyper-V这样的功能受到了许多关注,不过还有几个其他的功能也很好。
下面让我们来看看Windows Server 2008 R2的其中十个功能:
一、即插即用,Windows Server 2008 R2在相同硬件上比Windows Server 2003和
Windows Server 2008的能耗少,不需要额外的配置。只是不同的操作系统,在相同的硬
件上能耗减少10%到15%。
二、包含在Windows Server 2008 R2里的IIS 7.5支持Server Core上的.NET。先
前版本的Server 2008最大缺陷在于缺少对在基于Server Core的Web服务器上运行管理
代码的支持。现在新版本解决了这个问题。
三、微软新的BranchCache功能在允许节省数据行和带宽成本的同时,加速分支机构
用户对文件的感知访问。在这样的环境里,用户可能要求在你不能提供的数据行增加访问
速度。在分支机构进行缓存能帮助提升生产力,并且提升用户体验。
四、Windows Server 2008 R2和Windows 7增强了远程桌面协议(RDP),允许更平
滑的媒体播放和多显示器支持等。使得在虚拟机里运行远程播放的体验就像在本地使用实
体机那样好。
五、Windows Server 2008 R2里的Agile VPN功能允许虚拟专用网络连接在VPN通道
的离散点之间产生多路径。如果出现问题,Agile VPN使用其他网络路径确保通道畅通,
而不需要中断。
六、你可以在可移动驱动上使用BitLocker消除信息泄露的隐患。这不只是Windows
7或Windows Server 2008 R2的功能。如果你使用BitLocker保持可移动驱动,
BitLocker to Go阅读器也被复制到驱动。这提供向后兼容性,因此,如果用户输入正确
的密码,运行Windows XP Service Pack 2或者更高版本的机器能阅读加密内容。
七、Offline Files功能在连接中断时,能帮助移动用户维持对网络共享文件的访
问,现在该功能能在网络连接缓慢时使用。这在不影响用户体验的同时降低了网络流量。
八、IIS 7.5现有拥有最佳实践分析器(BPA)。Microsoft Exchange Server、
Windows Small Business Serve和其他服务器产品早已拥有BPA。BPA本身将扫描环境,
对比大量的不同元素与已知的最佳实践状态,交付结果并快速检查你的配置。
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 4 of 18
九、Windows Server 2008 R2也包含对PowerShell功能的加强。Windows
PowerShell 2.0包括240个以上的预内置cmdlets,还有新的图形用户界面和测试工具。
十、Windows Server 2008 R2不需要新的客户端访问许可(CAL)。相对说来,旧有
的Windows Server 2008 CAL仍然有效。
(作者:Jonathan Hassell 译者:唐琼瑶 来源:TechTarget中国)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 5 of 18
Windows 7和Server 2008 R2新功能
Windows 7和Windows Server 2008 R2如今已可用,现在是时候决定这两款新操作系
统对您的企业能带来哪些潜在受益。
首先,你可能想知道每款产品的新功能,然后对你架构中需要改进的地方分类,最后
做出一个投资回报率(ROI)分析。这样才能确定哪些新功能能解决你目前的问题。
我不能提供每个人都能解决的问题集合,但是我知道这两款产品中的一些“杀手锏”
功能,并解释它们如何让环境受益。
同时需要这两个平台的新功能
Windows 7和Windows Server R2里的一些最好的功能只能在企业结合使用这两种操
作系统时才可用。记住,Windows 7和Windows Server 2008 R2都来自相同的代码结构。
Server 2008 R2本身是一个新的操作系统,不是从2008版本升级。事实上,目前没有从
2008升级到2008 R2的路径。此外,R2只能用于x64平台上。Windows 7可用从Vista升
级,并非常类似“Vista”,但它拥有新功能。
这两款产品的杀手锏功能是DirectAccess和BranchCache。
DirectAccess是网络功能,为远程用户提供改进的远程访问体验。一旦设置,它消除
了启动VPN链接和登录以访问公司网络资源的恼人过程。此外,管理远程客户端更容易,
因为DirectAccess不需要VPN连接到互联网,这使得对所有客户端进行打补丁和防病毒
更容易。
也有对传统VPN的改进。如果一个用户正在下载文件,网络连接断了,当恢复网络连
接时将重新开始。
BranchCache是微软提升分支办公室体验的最新尝试。下面是BranchCache的两种核
心配置。
Distributed Cache(分布式缓存)模式允许客户端在没有服务器的情况下从中心网
站的文件服务器上下载文件,并在本地缓存。然后,当另一个客户端请求相同的文
件,服务器重新定向请求道远程站点里已经缓存过该文件的客户端,允许本地复
制。对于如何追踪目前的文件版本有众多的问题,如果超出了几个站点该怎么办。
同样,这从本质上将每个客户端转换成迷你文件服务器,这可能会影响客户端的性
能。
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 6 of 18
Hosted Cache(主机缓存)模式与Distributed Cache模式类似,不过所有文件被缓
存在服务器上而不是单个客户端。我明白分布式模式可能带来的好处,因为它不需
要服务器。但是如果站点上有一台服务器,为什么不使用DFS呢?
Windows 7的新功能
Windows 7里有两个对ROI有用的功能:BitLocker-To-Go和Boot from VHD。
BitLocker-To-Go使得加密USB驱动更容易。这些驱动传输数据很方便,但是容易丢失。
考虑到恢复敏感数据的成本或丢失用户信心的损失,还是慎用为妙。
Boot from VHD允许虚拟磁盘镜像组成计算机,并存储在USB驱动上。然后计算机能
从VHD启动。当然,硬件必须支持USB启动,但是启动单个机器到多重配置和操作系统对
于实验、培训和测试很有用,甚至对于数据恢复也是一样。
也有一些很酷的Aero功能,包括我最喜欢的:side by side对比。拖一个窗口到屏
幕右下边,它将窗口大小变成屏幕的一半。拖另一个窗口到屏幕左下边,它将窗口大小变
成屏幕的另一半。又快又简单。从titlebar摇动一个屏幕,其他窗口都消失。重复操作
就可找回。用户喜欢这些功能。
Windows Server 2008 R2的其他功能
Active Directory添加了三个有用的功能:Active Directory Best Practices
Analyzer、Active Directory Recycle Bin和PowerShell V2。
自从微软提供Exchange BPA,我们就在期待Best Practice Analyzer,这个功能非
常有价值。站在ROI的角度,AD BPA能轻易帮助解决AD问题,并降低宕机时间。它能指
出配置、服务包等的明显差别,并且向前移动问题分析。
Active Directory Recycle Bin在延迟对象删除的同时,使得对象退回AD更容易。
站在灾难恢复的角度,这能在降低用户宕机和帮会组AD管理的同时减少恢复误删对象的
时间。
用于AD的PowerShell V2有管理Server Core机器的能力。这是很大的改进,增强
了管理员控制和管理Server Core的能力。使管理员更有效率地工作,但是实际的ROI可
能难以计算。
IE8里的其他功能你也可能考虑。读读说明看看那些符合你的需求和架构,然后尝试
使用。Server 2008 R2和Windows 7在微软下载站点上已可用。我把它们都下载在
Hyper-V和VMware workstation的虚拟机上。不过Virtual Server不支持x64子机。
你可以在线找到一些有用的资源,包括Windows 7功能说明、Windows 7列表和
Windows 7技术博客。
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 7 of 18
Windows Server 2008 R2降耗功能
Windows Server 2008 R2包含大量有效的改进,旨在降低运营Windows服务器的成
本。这些年来,大家强调对环境的关心、能源成本和日常开支,值得重视的领域之一就是
服务器能源消耗。
随着数据中心的增长和服务器变得又有弹性又便宜,能源使用率问题就凸现了,它占
了公司预算的大部分。
不过即使钱不是首要考虑因素,数据中心本身可能受到它们大小的约束。这不仅只限
制了设备里放置的计算机数量,也限制了有多少机器在任何给定时间就能活动。通过节省
能源,公司能在相同地点放置更多机器而不会增加能源消耗。
因此,Windows Server 2008 R2相比运行在旧有Windows Server 2003或2008版本
的相同配置服务器,是如何节约能耗的?主要有三种方式:
可调整的处理器速度:Windows Server 2008 R2有个新功能是调整处理器的ACPI效
能状态。在ACPI能源架构里有支配速度、性能和能源使用的状态。
使用现代服务器级处理器,操作系统能在多个处理器系统上更改单个处理器效能状
态,因此能控制运行系统所需的能源。
使用多核降低系统使用的处理器能源:通过使用叫做Core Parking的功能,Windows
Server 2008 R2通过多核处理器减少能源消耗。该功能移动处理器工作负载,将其整合到
尽可能少的核心上。然后暂停未使用的核心。
降低SAN系统组件的能耗:Windows Server 2008 R2使得将集中存储带入网络很容
易,降低每台服务器上多驱动加速并随时准备接受服务请求的需要。
SAN在能源使用率里更有效,因为它们由更高容量的驱动组成,需要的开销更少,提
升了容量转换成能源的比率。此外,由于任何服务器都能使用SAN里的可用空间,这样就
更少浪费磁盘空间。Windows Server 2008 R2包括许多旨在与SAN容易交互的功能,也包
括集群服务。
这些能源消耗调整的一些功能也出现在Windows Server 2008 SP2里,意味着许多现
有的Windows Server 2008用户能利用这些功能。不过比较Windows Server 2003与
Windows Server 2008 R2,能源消耗的对比是最明显的。
(作者:Jonathan Hassell 译者:王越 来源:TechTarget中国)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 8 of 18
Windows Server 2008 R2的终端服务
微软将在2009年底发布虚拟桌面基础架构(VDI)产品,它是继VMware、思杰之后发
布VDI产品的第三家虚拟化厂商。即将发布的还有Windows Server 2008 R2,微软将添加
必要的编排和管理组件到终端服务(Terminal Services)和Hyper-V hypervisor,以便
打造低成本的VDI。
随着Windows Server 2008 R2的发布,微软的VDI将包括几个你所熟悉的组件集
成。这些组件中最引人注目的组件就是Hyper-V和Terminal Services,或者现在为人熟
知的Remote Desktop Services(RDS)。在本文中,TechTarget中国的特约虚拟化专家
Greg Shields将解释Terminal Services组件是如何集成在Windows Server 2008 R2里
的,又是如何编排和管理微软VDI部署的。
Hyper-V与RDS:宿主桌面的两个关键组件
在Windows Server 2008 R2里,Hyper-V为宿主桌面提供了虚拟化平台。因此,任何
微软VDI部署的第一步是决定——然后部署你所需的支持虚拟机的Hyper-V服务器的数
量。
第二个必要组件是微软的远程桌面服务(RDS)。这个重新命名的RDS通过支持到传
统演示虚拟化服务器的连接扩展了Terminal Services,还支持宿主桌面。
RDS通过增加以前叫做Terminal Services Session Broker(或者TS Session
Broker)的来完成。在Windows Server 2008的RTM版本中,TS Session Broker将用户
指向正确的有类似服务器配置的终端服务。使用R2,RDS Session Broker也能将用户指
向所分配的Hyper-V虚拟机。RDS Session Broker在环境中起着关键作用。
Remote Desktop Gateway与Remote Desktop Web Access
Windows Server 2008 R2包含其他的Terminal Services功能。Remote Desktop
Gateway和Remote Desktop Web Access现在分别重新命名为RD Gateway和RD Web
Access。这两种服务的结合提供了基于Web的机制,给用户显示所分配的应用和宿主桌面
的清单。在以前,添加RD Gateway在环境中能通过加密连接让你跨Web传输应用与桌
面。
对于终端用户,Windows Server 2008的RTM版本的体验并未改变。为了连接应用,
用户登陆到RD Web Access服务器,然后选择应用。宿主桌面在界面上显示为可点击的图
标,为用户提供无缝的连接机制。RD Web Access服务器随着本身增加的新功能而改变外
形。这些更改中最明显的就是基于Silverlight的用户界面。此外,它支持更多数量的可
扩展性的点。
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 9 of 18
为微软VDI部署准备虚拟机
在数据中心里,给用户准备虚拟机时就发生了更改。从管理上来说,有两种方法为用
户配置虚拟机。第一种是直接通过叫做私有虚拟桌面的分配完成。使用这个机制,管理员
能在Hyper-V主机上创建虚拟机。那台虚拟机然后能通过RemoteApp和Desktop(RAD)
Connection Manager控制台直接分配给用户。创建虚拟机后,用户就能在RD Web Access
里的连接中看见属于自己的私有桌面。
用户和桌面之间一对一的映射很有用,如果你计划让用户和桌面长期一起工作。不过
为某个用户创建专门的桌面是不满足微软提供遗留应用支持的目标。因此微软将用户从某
个桌面分离,并在资源池中创建可用的虚拟机来代替。这就形成合并的虚拟桌面,为用户
提供了交互应用的地方,不需要管理那么多的桌面。
合并的虚拟桌面使得管理更加轻松,因为在需要更新的时候可以将所有虚拟机脱机。
合并的虚拟桌面目的在于实施相互克隆,使用通用准则创建一套虚拟机。如果这些克隆需
要在创建后更新,可以通过配置控制机制(如Group Policy、ConfigMgr等)单个修改。
或者由于资源池里的虚拟机是故意没有状态的,就可以丢掉克隆。这样做能对源虚拟机作
出更改,并重新创建所需的克隆。对于大型环境来说,微软建议Application
Virtualization(或App-V)作为机制。
在这两种情况下,通过使用远程桌面服务漫游文档可以将用户资料从单个虚拟机抽离
出来。这些漫游资料类似于传统的Terminal Services漫游资料,Terminal Services已
经使用了很多年。
相对于思杰最近利用XenDesktop宣布其进入VDI领域,微软进入VDI领域更有竞争
力,它使用了成熟的技术,并将它们定义为更高级的应用。在这系列的下一篇文章中,我
将介绍如何一步步使用Windows Server 2008 R2、Hyper-V和RDS建立VDI部署。
(作者:Greg Shields 译者:唐琼瑶 来源:TechTarget中国)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 10 of 18
Windows Server 2008 R2的DFS改进分析
分布式文件系统(DFS)多年来都是Windows Server的一部分,随着时间逐步成熟,
也遗留下某些可扩展性问题。
例如,当DFS扩展到大型环境,你会发现配置、管理和检修系统忧郁部署范围的扩展
变得异常复杂。
幸好微软在Windows Server 2008 R2里解决了这些可扩展性和检修问题。
可扩展性增强
一般来说,Windows Server 2008 R2里对DFS的可扩展性改进最适合有多个分支办公
室的组织。
三种类型的组织通常有一个中心枢纽技术,这意味着他们的DFS服务器位于主要办公
室,服务器的内容复制到分支办公室类似的DFS服务器。
这种类型架构的问题在于如果主要办公室的DFS服务器遭遇灾难,那么所有分支办公
室都会受到影响。
虽然在主要办公室创建额外的复制品可能是一种解决方案,取决于复制拓扑的配置,
这些额外复制品可能不能对分支办公室进行更新。
另一种解决方案是全网络技术,不过,这种方式很少用,因为额外的WAN链接和复制
流量的卷费用很高。
所以,组织的最终解决方案是使用两个主要办公室创建副本。这样的话,就容易理解
为什么R2里最受欢迎的新功能是DFS支持故障转移集群。基本上,集合主要办公室的枢
纽服务器能防止分支办公室副本由于枢纽服务器故障而不能使用。
Windows 2008 R2里DFS的另一个改进是创建只读复制文件夹的功能。
过去,如果你需要分支办公室的用户访问复制文件夹的数据,但不想他们更改数据,
你需要使用访问控制列表(ACL)授权某个用户只读访问权。这对管理员来说很麻烦,尤
其是如果分支办公室的人员流动大。
新的替换方法是在分支办公室创建DFS副本,包含只读复制文件夹,与授予用户对传
统复制文件夹只读访问权有相同的功能。
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 11 of 18
新的故障检修功能
在DFS的更新版本里,微软也扩展了命令行工具,包括以下新功能:
第一个扩展就是文件函数功能( FILEHASH)。有了该功能,通过查看
文件函数是否一致,可以对比文件授权副本与副本本身。
此外,新的Replication State功能( REPLSTATE)允许你分析副本服
务目前的状态。这样可以查看哪些文件正在更新。
另一个新功能——ID Record( IDRECORD)背后的思想就是每个包含副
本文件夹的文件和文件夹在服务器的数据库里有相应的ID记录,链接着有用的数据,如
版本和时间信息。
有了该功能,你能确定文件或文件夹的记录号及记录号上的精确信息。为了一致性,
如果你想比较存储在DFS副本上的文件,这个功能非常有用。
总体说来,微软在Windows Server 2008 R2里对DFS作的更改提升了可扩展性,并
使得DFS更容易检修。
(作者:Brien M. Posey 译者:常涛 来源:TechTarget中国)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 12 of 18
为Windows Server 2008 R2实施容量规划
随着Windows 7和Windows Server 2008 R2的发布,如果最终需要升级到新操作系
统,IT经理不得不考虑未来的容量规划。
这些新的微软操作系统平台比起以前的处理器都是基于不同的代码结构,这会影响到
运行它们的硬件。
表1显示Windows Server 2008和2008 R2的基本硬件要求。尽管这些要求类似,但
最重要的差别在于2008 R2受限于x64和安腾平台,这就需要你做出规划。微软说过不会
生产任何x86(32位)服务器产品。Exchange 2007和后来的产品只能运行在x64平台
上。由于需要64位的要求,使用Windows Server 2008 R2的IT经理需要一个硬件规划
策略。
表s 2008和2008 R2硬件需求
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 13 of 18
新64位技术极大地最大化硬件投资。硬件技术现在已经超过32位技术好些年了,因
为32位架构只能记录232字节(4GB)物理内存。由于服务器很容易就多次超过4GB内
存,这个操作系统限制了使用物理资源的能力。
因此,拥有16GB物理RAM、32位架构的服务器只能处理4GB。当由操作系统和应用存
储的指令没有更多空间存储在物理内存的地址单元,它们存储在虚拟内存里。这使用存在
于磁盘上的“页文件”完成。我们所指的是物理内存加上页文件才是“虚拟内存”。
为了执行页文件里的指令,指令必须移动到使用现有指令腾出的物理地址以释放空
间。这称为分页,相对直接从物理内存执行指令会降低性能。你可以使用一些技巧释放一
小点内存,但这是拆东墙补西墙,并会导致更多分页。
另一方面,64位架构能记录264字节(16Exabyte)的物理内存。这允许应用和操作
系统功能载入物理内存(只要你有足够的物理空间),执行指令更快。
虽然x64技术允许32位Windows操作系统运行其上,但是你需要64位Windows利用
内存寻址的优势。如果你有4GB或者更少RAM,你有可能使用32位Windows。记住,32位
应用能以叫做WOW(Windows 对Windows)的模拟模式运行在x64 Windows上很重要。它
们可能比在32位平台上快,不过这取决于应用,为x64写的应用必须利用64位技术。注
意,16位应用不能再运行在x64平台上。
当然,Exchange Server会利用64位架构的优势,域控制器和虚拟服务器技术也是条
件。你可以配置64位DC在内存里存储整个(AD数据库),在大型AD部署的DC
性能里造成很大差别。虚拟服务器技术现在能映射大量的物理内存,使得将更多虚拟机放
在同个主机上成为可能。这让物理机使用得更有效率。
(作者:Gary Olsen 译者:唐琼瑶 来源:TechTarget中国)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 14 of 18
部署Windows Server 2008 R2的优劣势分析
尽管有这些优势,x64技术不能解决所有的性能问题。诸如CPU速度和磁盘I/O这些
因素也能影响性能。但是Windows Server 2008是基于32位技术的最新版本。
下面是部署2008 R2服务器的缺点:
不能从Windows Server 2008 32位升级。(注意,从任何Windows的x86版本到
x64没有升级选项,这对域控制器的迁移提出了挑战。)
活动目录将需要一个架构升级以部署2008 R2 DC。
需要新的服务包和安全更新。这将增加变更管理的复杂性,使得Windows 2003、
2008和2008 R2有各自的补丁包和服务包。
遗留的16位应用不能运行在2008 R2上。或许是时候遗弃这些应用了。
不是所有的应用因为x64技术而注意到重要的差别。你必须有你自己的基准。
当然,R2需要产品激活。
部署2008 R2服务器的优点如下:
所有的64位内存寻址优势比以前的好得多。这允许Windows和应用真正使用服务
器的所有内存。
对2008版本故障转移集群的提升。
对Hyper-V虚拟化功能的改进。
PowerShell V2包括许多新的Active Directory cmdlets。
BranchCache和DirectAccess新功能的部署。DirectAccess和VPN在组织的远程
访问部署方面有潜在的巨大经济收益。
总之,Windows Server 2008 R2是一个新的操作系统版本,也是未来Windows部署的
方向。当部署容量规划时,确定查看你公司的64位服务器技术路线图。这样可以获得更
好的应用性能和硬件使用率,尤其是虚拟化方面的应用。
(作者:Gary Olsen 译者:唐琼瑶 来源:TechTarget中国)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 15 of 18
Windows Server 2008 R2里AppLocker安全功能解析(上)
如今在谈到IT安全软件时,群众的智慧都倒退了。由于销售软件需求的驱动,好像
它能真正保护你的环境,安全软件添加了更多牌子商标而不是创建真实的保护。
想一想你桌面所安装的安全解决方案类型。杀毒软件、反恶意软件,甚至防火墙解决
方案都需要插件,因为你的核心操作系统没有在第一地点受到正确的保护。桌面上那些从
来不应该执行的代码被允许运行,这是由于Windows操作系统本身性质造成的。
因此,大量的软件公司已经开发了智能的解决方案用于保护系统,避免恶意软件执行
的威胁。通过扫描恶意软件在系统上的出现,并积极查看它的电子签名,这些解决方案利
用反冲的方式保护系统的安全。事实上,它们只有在传染已经开始时才运行。然后才尽最
大努力清理混乱并预防未来还会发生这样的情况。
这种方法的问题在于操作系统本身。作为一个旨在执行代码的实体,不管代码尝试做
什么,你可以说核心操作系统是恶意软件存在的原因。如果没有在其上运行操作系统,现
在的恶意软件编写者没有平台执行他们的违法行为。
所以反冲解决方案需要被替换成在第一时间前瞻性的防止代码。
试想这样的情形,管理员决定代码做什么,并不能在系统上启用。如果你不被运行执
行,就不会运行。无论代码是恶意软件、游戏、不适当和禁用的软件,或者甚至是
Microsoft Office的最新版本,这样的系统能让你对网络上的软件执行保持最终控制。这
样的环境将从每个执行预防任何不适当,因为操作系统核心不允许发生。
这样的安全解决方案就是微软的新AppLocker功能。
AppLocker背后的概念对于Windows环境来说不是全新的。根据Group Policy's
Software Restriction Policies(SRP),AppLocker是技术里的高级进步,在先前版本
里没有多大注意。有了AppLocker和SRP,网络环境的单个操作系统获得了集中管理的策
略架构,决定运行执行的精确可执行文件和DLL。
在下文中,我们将介绍白名单的作用。
(作者:Greg Shields 译者:唐琼瑶 来源:TechTarget中国)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 16 of 18
Windows Server 2008 R2里AppLocker安全功能解析(下)
在上文中我们介绍了微软Windows Server 2008 R2里的新安全解决方案AppLocker,
本文将接续学习如何利用AppLocker保持环境安全。
想想你环境里目前的每个代码是如何实际操作的。为了代码能运行,一些类型的执行
文件必须具体化到系统上。可执行文件的有效负载完成一些常规工作。那样的工具可以运
行Office应用。可以是业务应用。过一会,可以变成Solitaire的文件。无论
哪种情况,完成任务的唯一方法是运行可执行文件。
在正常环境里,任何可执行文件自动运行。这是与Windows操作系统一起设计的,启
用它以维持用户可能需要运行的应用的兼容性。不过,这样的做法使得恶意软件很容易运
行。
AppLocker通过在可执行文件被允许运行在系统之上之前,需要预先批准改变了这种
情况。有了AppLocker,只要可执行文件试图运行,就会在预先批准列表检查。如果可执
行文件位于列表上,就可以在系统上运行。如果没有,代码就不能执行。这可以是常规
ESX文件,也可以是用于高安全环境的DLL文件。
很明显,维持那样的列表需要管理团队作出努力。创建和维持这样的列表需要警觉,
关键确保用户不能引入不必要或者未经许可的软件进入你的域环境。AppLocker利用三种
类型的规则帮助正确识别应用:
路径规则通过宿主的位置进行定义可执行文件。这个位置由具体的文件名或路径组
成,或者包含通用符。例如,如果你知道你经常想要微软Word的文件执行
默认位置,你能创建一个规则允许%PROGRAMFILES%Microsoft
。
或者,你想允许这个路径里所有可执行文件运行,使用%PROGRAMFILES%Microsoft
OfficeOffice12*.路径规则通用符缓解白清单的创建,但是通用符的使用会造成安全架
构里明显的漏洞。
文件散列规则对路径规则进行了改进,但是失去了灵活性。有了文件散列规则,每个
被允许的文件用密码写的散列必须专门进入这个规则。通过创建散列规则,你能确保恶意
软件补丁文件不能运行,或者在这个位置的文件不能运行。
虽然这种方法本质上在安全方面很可靠,但是当文件由于定期更新合理变更时会有负
面影响。例如,使用新路径或服务包更新,文件需要新散列以便保留在获批
准的白清单上。
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 17 of 18
发行人规则迟早派得上用场,当你应用的文件已经由于软件厂商而数字化设计后。由
于过去数位标记文件的证书是证明文件真实性的方式,你可以确保这些文件来自合法的软
件厂商。至于更高颗粒度,发行人规则伴随着递加佣金和用户值选项,让每个文件通过发
行人、产品名字、文件名字和文件版本的组合进行批准。
AppLocker通过与组策略的整合获取集中控制功能。创建规则和交付AppLocker策略
是一项任务,通过组策略管理编辑器完成,确保任何目标桌面只要接收到就强制实施策
略。
虽然AppLocker已经作为一个技术,在以前以SRP的形式出现,阻碍它发展的一个问
题就是如何定义哪些可执行文件应该位于白清单上。没有管理员想配置应用执行阻碍解决
方案,然后很快发现他们缺失了一些关键应用。
为了解决这些问题,AppLocker的组策略向导装备有自动化生产规则的机制。另一个
有用的应用是审计模式的结合,用来监控应用使用而不是实际的防止任何应用执行。编辑
模式进一步确保你对哪些可执行文件进行限制做出了正确决策。
微软如今把AppLocker包含在所有Windows Server 2008 R2版本里,除了Web和
Foundation Edition,还有Windows 7 Ultimate和Enterprise Editions。另一方面,如
果你寻找启动迁移的原因,AppLocker能是一个有效的业务理由。
(作者:Greg Shields 译者:唐琼瑶 来源:TechTarget中国)
TT服务器技术专题之Windows Server 2008 R2指导手册 Page 18 of 18
发布评论