Windows Server 2008 技术概述(10)

下一代加密技术 (Cryptography Next Generation, CNG)
下一代加密技术 (CNG) 提供了灵活的加密开发平台，允许 IT 专业人员在与加密相关的应用程序（如 Active Directory 证书服务 (AD CS)、安全套接字层 (SSL) 和 Internet 协议安全 (IPsec)）中创建、更新和使用自定义加密算法。CNG 实施美国政府的 Suite B 加密算法，其中包括加密算法、数字签名算法、密钥交换算法和哈希算法。

CNG 提供了一组 API，可用于执行基本加密操作，如创建、存储和检索加密密钥。它还支持其他加密提供程序的安装和使用。CNG 使组织和开发人员既能够使用自己的加密算法，也能够实现标准加密算法。

CNG 支持现在的 CryptoAPI 1.0 算法集，还支持椭圆曲线加密 (ECC) 算法。美国政府的 Suite B 成果需要使用大量的 ECC 算法。

只读域控制器
只读域控制器 (RODC) 是 Windows Server 2008 操作系统中提供的一种新类型的域控制器，主要用于在分支环境中进行部署。通过 RODC，组织可以降低在无法保证物理安全的远程位置（如分支机构）中部署域控制器的风险。

除帐户密码外，RODC 可以驻留可写域控制器驻留的所有 Microsoft Active Directory 域服务 (AD DS) 对象和属性。不过，客户端无法将更改直接写入 RODC。由于更改不能直接写入 RODC，因此不会发生本地更改，作为复制伙伴的可写域控制器不必从 RODC 导入更改。管理员角色分离指定可将任何域用户委派为 RODC 的本地管理员，而无需授予该用户对域本身或其他域控制器的任何用户权限。

服务器和域隔离
在基于 Microsoft Windows 的网络中，管理员可以在逻辑上隔离服务器资源和域资源，以限制对通过身份验证和授权的计算机的访问。例如，可在现有的物理网络中创建一个逻辑网络，其中计算机共享一组相同的要求以便安全地通信。在这个逻辑上隔离的网络中，每台计算机必须向该隔离网络中的其他计算机提供身份验证凭据以便建立连接。

这种隔离可防止未授权计算机和程序不恰当地获取资源的访问权限。来自不属于隔离网络的计算机的请求将被忽略。服务器和域隔离可帮助保护特定的高价值服务器和数据，也可使托管计算机免遭未托管或恶意的计算机和用户破坏。

可使用以下两种类型的隔离保护网络：

• 服务器隔离：在服务器隔离方案中，使用 IPsec 策略将特定服务器配置为仅接受来自其他计算机的通过身份验证的通信。例如，可将数据库服务器配置为仅接受来自 Web 应用程序服务器的连接。

• 域隔离：要隔离域，管理员可以使用 Active Directory 域成员身份，确保作为域成员的计算机仅接受来自作为域成员的其他计算机的通过身份验证的安全通信。隔离网络仅由属于该域的计算机组成。域隔离使用 IPsec 策略为域成员（包括所有客户端计算机和服务器计算机）之间发送的通信提供保护。

摘要
通过 Windows Server 2008，组织可以使用基于安全功能（如网络访问保护）的策略获得前所未有的安全性。评估和控制连接计算机的运行状况和安全状态将为组织提供重要的安全改进。Windows Server 2008 中新的管理界面简化了配置和维护组织内多台服务器的管理过程，从而降低了管理企业的网络安全所需的成本。

集中式应用程序访问
简介
Windows Server 2008 对终端服务进行了改进和创新，它不再仅仅能够访问应用程序，而且允许用户在自己的桌面上并行运行远程应用程序和本地应用程序，从而改进了用户体验。它还提供了用于通过 Terminal Services Web Access 集中访问可用的应用程序的新选项。