过去,微软一直以在操作系统上捆绑许多额外特性而著称,这些额外特性大多数是以缺省的服务访问权限进行安装的。Windows Server 2003打破了这种传统的模式,在Windows 2000 Server缺省情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行。
在WS2K3中,两个最重要的安全特性的革新在于直接处理IIS和Telnet服务器。IIS和Telnet在缺省的情况下都没有安装,并且这两个服务是在两个新的帐户下运行,新帐户的权限比正常系统帐户的权限要低。如果恶意的黑客危及到这两个服务时,这种改变将直接改善服务器的安全性。
与IIS和Telnet上的服务帐户改进一起,WS2K3 还包含了大量的新的安全特性,也许,这些新的安全特性将是你决定升级到Windows Server 2003的决定因素。
新特性
Internet连接防火墙(ICF)
ICF是一个软件防火墙,它为你的网络服务器提供了基本的端口安全性。它与你当前的安全设备一起工作,给你的关键的基础设施增加了一层保护。
软件限制策略
软件限制策略使用策略和强制执行机制,来限制系统上运行的未授权的可执行程序。这些限制是一些额外的手段,以防止用户执行那些不是该公司标准用户软件套件中的程序。
网页服务器的安全性
当装载了IIS 6.0的缺省安装时,网页服务器的安全性将达到最大化。新的IIS 6.0安全特性包括可选择的加密服务,高级的摘要认证以及可配置的过程访问控制。
新的摘要安全包
新的摘要安全包支持在RFC2617中定义的摘要认证协议。该包对IIS和活动目录(AD)提供了更高级的保护。
改善了以太局域网和无线局域网的安全性
不论连接的介质是什么,基于IEEE 802.1X规范改进了以太局域网和无线局域网的安全性,促进了用户和计算机的安全认证和授权。这些改进也支持公钥证书和智能卡的自动注册,使得能够对传统的位于或者横跨公共场所的网络进行访问控制,例如大学校园的广域网(WAN)和横穿大城市的政府广域网(WAN)。
凭证管理器
对于所有的用户凭证,包括口令密码和X.509证书,凭证管理器提供了一个安全的仓库。这个特性使得单一的签名特性可以获得多个领域的信任。
Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)
Internet认证服务器和远程认证拨号用户服务器(IAS/RADIUS)控制远程的用户认证和授权访问。对于不同的连接类型,例如拨号上网,虚拟专用网(VPNs)以及防火墙连接,该服务都是很实用的。
FIPS-广为认可的内核模式加密算法
联邦信息处理标准(FIPS)算法支持SHA-1,DES,3DES和一个随机数发生器。这种政府级的加密模式用于加密通过VPN使用第二层隧道协议(L2TP)和IP安全(IPSec)建立的连接,这种连接或是从客户端到服务器,或是从服务器到服务器,或是从网关到网关。
改进的SSL客户端认证
安全套接字层(SSL)客户端认证的改进使得会话速度可以提高35%,而且多个进程可以缓存和共享会话。这样可以减少用户对应用程序的认证,从而减少应用程序服务器上的网络通信量和CPU工作周期。
增强的EFS
加密文件服务(EFS)的改进允许管理员和用户提供给多个用户访问多组加密文件的可能。它还提供了额外的文件存储保护和最大数量的用户容量。
最后的思考
除了这些新的安全特性之外,微软已经发行了一个安全配置管理器,用于将整个操作系统的安全选项集合成一个管理控制台。
微软已经花费了大量的时间来告诉公众有关它在安全方面采取的新行动。甚至包括对这个服务器的发行版进行的大量的安全性改进。然而,在对WS2K3测试了一个月之后,对于新的安全特性,我没有看到任何有重大意义的增值价值。IIS和Telnet的改变是一个良好的开端,但是WS2K3仍然是微软的产品,这也就意味着要想取得我的信任还有很长的路要走。
我在这里着重突出了WS2K3的安全特性,以帮助你判断微软是否实现了他的初衷并且已经最终发布了一个安全的产品――或者它是否仍是一个缺乏强安全性的焦点。我的建议:如果你想在你的企业中配置WS2K3,暂时不要着急,等等再说。在生产网络上配置新的操作系统之前,让黑客们与其较量一段时间然后等待其在安全性方面的修复再做决定。