Windows Server 2008 技术概述(9)

Windows 防火墙高级安全功能
Windows Server 2008 中具有高级安全性的 Windows 防火墙是基于主机的状态防火墙，它依据其配置和当前运行的应用程序来允许或阻止网络通信，从而保护网络免遭恶意用户和程序的入侵。

一项新功能是支持防火墙对传入和传出通信进行拦截。例如，网络管理员可以对新的 Windows 防火墙配置一组例外情况，阻止所有通信发送到特定端口（如已知的由病毒软件使用的端口）或者发送到包含敏感内容或不希望被访问的内容的地址。这样可以使计算机免遭可能通过网络传播的病毒的入侵，并使网络免遭可能试图从出现安全问题的系统传播的病毒的入侵。

由于增加了大量 Windows 防火墙配置选项，因此增添了名为“具有高级安全性的 Windows 防火墙”的新 MMC 管理单元以简化管理。通过这一新的管理单元，网络管理员可以在客户端工作站和服务器上远程配置 Windows 防火墙设置（这在不具有远程桌面连接的早期版本中是无法实现的），从而简化了远程配置和管理。

在 Windows Server 早期版本中，Windows 防火墙和 IPsec 是分别配置的。由于基于主机的防火墙和 Windows 中的 IPsec 都能够阻止或允许传入通信，因此创建的防火墙例外和 IPsec 规则可能会重叠或矛盾。Windows Server 2008 中新的 Windows 防火墙使用相同的 GUI 和命令行命令合并了这两种网络服务的配置。防火墙和 IPsec 设置的这种集成简化了防火墙和 IPsec 配置，有助于防止出现策略重叠和矛盾设置。

BitLocker 驱动器加密
BitLocker 驱动器加密是 Windows Server 2008 中一个重要的新功能，可帮助保护服务器、工作站和移动计算机。Windows Vista Enterprise 和 Windows Vista Ultimate 版本中也提供了 BitLocker，用于保护客户端计算机和移动计算机。BitLocker 可对磁盘驱动器的内容加密。这样可以防止未经授权的使用者通过运行并行操作系统或运行其他软件工具绕过文件和系统保护，或者对存储在受保护驱动器上的文件进行脱机查看。

BitLocker 通过将两个主要子功能相结合增强了数据保护：系统卷加密和对早期引导组件的完整性检查。它对整个系统卷加密，包括交换和休眠文件，从而提高了分支机构中远程服务器的安全性。BitLocker 解决了从丢失、被盗或不适当地淘汰的 PC 中窃取或泄露数据的威胁。BitLocker 还有助于组织遵守政府法规（如 Sarbanes-Oxley 和 HIPAA），这些法规要求对安全和数据保护进行极高标准的维护。

企业 PKI (PKIView)
Windows Server 2008 和 Windows Vista 操作系统提供了大量公钥基础结构 (PKI) 增强功能。Windows PKI 的所有方面的可管理性都有所增强，吊销服务已经过重新设计，并且对注册的攻击面也有所降低。

PKI 增强功能包括：
• 企业 PKI (PKIView)：最初是 Microsoft Windows Server 2003 Resource Kit 的一部分（曾称为 PKI Health 工具），现在，PKIView 是 Windows Server 2008 的一个 Microsoft 管理控制台 (MMC) 管理单元。它用于分析 CA 的运行状态，并可查看在 AD CS 中发布的 CA 证书的详细信息。

• 联机证书状态协议 (OCSP)：基于联机证书状态协议 (OCSP) 的联机响应程序可用于管理和分发传统 CRL 不是最佳解决方案时的吊销状态信息。联机响应程序可以在单台计算机上或联机响应程序组中进行配置。

• 网络设备注册服务 (NDES)：在 Windows Server 2008 中，网络设备注册服务 (NDES) 是 Microsoft 基于简单证书注册协议 (SCEP) 实现的。该协议是一种使软件可以在网络设备（如路由器和交换机）上运行的通信协议，如果没有该协议，在网络上将不能通过身份验证来注册证书颁发机构 (CA) 颁发的 x509 证书。

• Web 注册：与早期版本相比，新的 Web 注册控制更安全、更易于编写脚本并且更易于更新。

• 组策略和 PKI：组策略中的证书设置使管理员能够从域中所有计算机的一个中央位置管理证书设置。