Windows Server 2008 - szybciej i bezpieczniej

Windows Server 2008 - szybciej i bezpieczniej

Monitorowanie związków bezpieczeństwa

Przebudowano i przemianowano aplikację administracyjną Microsoft Server Manager, która teraz jest poszerzoną konsolą MMC (Microsoft Management Console), umożliwiającą przeglądanie informacji dotyczących działania serwera i korzystanie z narzędzi służących do zarządzania serwerem. Z konsoli administrator może instalować i usuwać poszczególne role oraz usługi serwera, a także rozbudowywać już zainstalowane role o nowe usługi.

Server Manager zastępuje kilka narzędzi systemu Windows Server 2003, w tym: Manage Your Server, Configure Your Server oraz Add or Remove Windows Components.

Usługi działające na dowolnym serwerze opartym na roli są rozdzielane i włączane za pośrednictwem Server Manager - zarówno przez interfejs GUI, jak i CLI.

Role, od momentu ich włączenia, mogą być w łatwy sposób zmieniane. Wersja CLI pozwala na wcześniejsze przygotowanie początkowych lub zdalnych zmian roli dla administratorów. Server Manager zawiera istotne ulepszenia w stosunku do wcześniejszych aplikacji zarządzania: kontroluje gruntownie zależności aplikacyjne zanim dokona instalacji, modyfikacji, usunięć lub innych zmian.

Już na starcie można doświadczyć wyższego poziomu zabezpieczeń dotyczących ról serwera - podczas instalacji Windows Server 2008 silne hasło administratora jest teraz wymagane domyślnie.

Przekonstruowano Active Directory Certificate Services, łącząc je z ustawieniami Group Policy, co ułatwia wdrożenie, wykrywanie i pamiętanie certyfikatów. Infrastruktura kluczy publicznych, która w edycjach Windows Server 2003 była trudna do ustawienia, monitorowania i utrzymania, została w istotnym zakresie ulepszona, a wybór zarządzania certyfikatami (obejmujący pamiętanie, wydawanie i weryfikowanie certyfikatów) jest szerszy niż wcześniej.

Po stronie plusów należy też odnotować szyfrowanie IPSec, które może być teraz używane z pewną liczbą wcześniej niedostępnych metod kryptograficznych, takich jak protokół Diffie-Hellmana czy Advanced Encryption Standard. Windows Server 2008 może zapewniać pełne usługi szyfrowania w sieci.

Windows Server 2008 - szybciej i bezpieczniej

Server Manager - sumaryczny ogląd ról i mechanizmów

Wtyczka do Server Manager - Windows Firewall MMC - pomaga w łatwiejszym konfigurowaniu i zarządzaniu bezpieczeństwem opartym na hoście. Windows Firewall w sieci Windows Server 2008 może być łatwo kontrolowana przez system egzekwowania Group Policy Objects (GPO) w ramach Active Directory. Możliwość wymuszania ustawień zapory w ramach domeny Active Directory zapewnia hierarchiczny mechanizm egzekwowania, chroniący ustawienia w oddziałach zamiejscowych lub zależnych serwerach przed zmianami wykonywanymi przez lokalnych administratorów. Jest to polityka "żelaznej ręki", która powinna podobać się osobom odpowiedzialnym za bezpieczeństwo całego systemu przedsiębiorstwa.

GPO może teraz definiować dopuszczalne adresy IP serwera, pozwalając serwerom na proste ignorowanie całego ruchu z wyjątkiem specyficznych adresów, dzięki czemu obniża przestrzeń potencjalnego ataku. Zasady polityki dla specyficznych tras są dziedziczone przez wszystkie klienty i serwery przypisane do sieci kontrolowanej przez Active Directory, co z kolei pozwala na łatwiejsze rozróżnianie możliwych działań napastnika w "szumie" ogólnego ruchu.

Chociaż taka kontrola dopuszczania ruchu sama w sobie nie zmniejsza efektu ataków TCP SYN DoS, to inne ustawienia TCP/IP Windows Server 2008 mogą być użyte do ograniczenia efektu ataków DDoS, skupiających się na połączeniach TCP.

Wydajność

Windows Server 2008 - szybciej i bezpieczniej

Konfigurowanie NAP

Wydajność sieciowych operacji we/wy testowano, używając zarówno emulowanego we/wy, jak i różnych testów obciążających (zob. "Jak testowano"). Przeprowadzone testy wykazały, że wydajność Windows Server została w wydaniu 2008 zwiększona, co widać zwłaszcza wtedy, gdy po stronie klienckiej używany jest system operacyjny Vista.

Stosy TCP/IP klienta i serwera, obejmujące zarówno tcpip.sys, jak i starszy zestaw Winsock API, zostały uaktualnione. Stos interakcji sieciowych, NDIS (Network Driver Interface Specification), także został uaktualniony z wersji 5.6 do wersji 6.0. Stos TCP/IP zawiera wbudowane, a nie emulowane, wsparcie IPv6. Wybór obsługi IPv4 czy IPv6 jest działaniem wymiennym, ale zarządzanie jest identyczne.


TOP 200