Windows Server 2008 - szybciej i bezpieczniej
- Józef Muszyński,
-
- Thomas Henderson,
-
- Rand Dvorak,
- 07.04.2008
Monitorowanie związków bezpieczeństwa
Server Manager zastępuje kilka narzędzi systemu Windows Server 2003, w tym: Manage Your Server, Configure Your Server oraz Add or Remove Windows Components.
Usługi działające na dowolnym serwerze opartym na roli są rozdzielane i włączane za pośrednictwem Server Manager - zarówno przez interfejs GUI, jak i CLI.
Role, od momentu ich włączenia, mogą być w łatwy sposób zmieniane. Wersja CLI pozwala na wcześniejsze przygotowanie początkowych lub zdalnych zmian roli dla administratorów. Server Manager zawiera istotne ulepszenia w stosunku do wcześniejszych aplikacji zarządzania: kontroluje gruntownie zależności aplikacyjne zanim dokona instalacji, modyfikacji, usunięć lub innych zmian.
Już na starcie można doświadczyć wyższego poziomu zabezpieczeń dotyczących ról serwera - podczas instalacji Windows Server 2008 silne hasło administratora jest teraz wymagane domyślnie.
Przekonstruowano Active Directory Certificate Services, łącząc je z ustawieniami Group Policy, co ułatwia wdrożenie, wykrywanie i pamiętanie certyfikatów. Infrastruktura kluczy publicznych, która w edycjach Windows Server 2003 była trudna do ustawienia, monitorowania i utrzymania, została w istotnym zakresie ulepszona, a wybór zarządzania certyfikatami (obejmujący pamiętanie, wydawanie i weryfikowanie certyfikatów) jest szerszy niż wcześniej.
Po stronie plusów należy też odnotować szyfrowanie IPSec, które może być teraz używane z pewną liczbą wcześniej niedostępnych metod kryptograficznych, takich jak protokół Diffie-Hellmana czy Advanced Encryption Standard. Windows Server 2008 może zapewniać pełne usługi szyfrowania w sieci.
Server Manager - sumaryczny ogląd ról i mechanizmów
GPO może teraz definiować dopuszczalne adresy IP serwera, pozwalając serwerom na proste ignorowanie całego ruchu z wyjątkiem specyficznych adresów, dzięki czemu obniża przestrzeń potencjalnego ataku. Zasady polityki dla specyficznych tras są dziedziczone przez wszystkie klienty i serwery przypisane do sieci kontrolowanej przez Active Directory, co z kolei pozwala na łatwiejsze rozróżnianie możliwych działań napastnika w "szumie" ogólnego ruchu.
Chociaż taka kontrola dopuszczania ruchu sama w sobie nie zmniejsza efektu ataków TCP SYN DoS, to inne ustawienia TCP/IP Windows Server 2008 mogą być użyte do ograniczenia efektu ataków DDoS, skupiających się na połączeniach TCP.
Wydajność
Konfigurowanie NAP
Stosy TCP/IP klienta i serwera, obejmujące zarówno tcpip.sys, jak i starszy zestaw Winsock API, zostały uaktualnione. Stos interakcji sieciowych, NDIS (Network Driver Interface Specification), także został uaktualniony z wersji 5.6 do wersji 6.0. Stos TCP/IP zawiera wbudowane, a nie emulowane, wsparcie IPv6. Wybór obsługi IPv4 czy IPv6 jest działaniem wymiennym, ale zarządzanie jest identyczne.