当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows Server 2003全接触(3)

Windows服务器
实例讲解Windows 2003分区增容功能
WIN2003服务器端安全配置的一点简单经验
Windows 2003中快速建立ADSL拨号
远程如何修改Windows 2003系统机器名
微软揭示Windows 2003 R2关键性技术
Windows Server 2003组策略排障六法
感受Windows 2003 SP1安全配置向导功能
微软测试Windows Server 2003集群版
Win 2003系统传真功能的配置及使用
巧用Win 2003构筑校园网服务器防火墙
抢先看!WinServer 2003 R2 RTM发布
九招Windows 2003系统设置小技巧
巧施妙计—突破Win 2003系统的种种限制
巧妙启用Windows 2003的远程桌面功能
部署Windows Server 2003终端服务
在Win2003配置DNS的Internet访问
Windows 2003下提高FSO的安全性
Windows Server 2003 SP1 今日发布
微软将在HEC上发布Windows 2003 64-bit
快下载!值得装Windows 2003 SP1三大原因

Windows服务器 中的 Windows Server 2003全接触(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 40 ::
收藏到网摘: n/a

    六、安全性:
  我想我首先必须强调微软究竟想从Windows Server 2003上向世人证明什么。正如我们中有些人所知的那样,微软系统缺省状态以“充分开放”著称。我这么说是想表达什么意思呢?嗯,如果有人想要分析Windows 2000的话,他会发觉这个网络操作系统(NOS)在缺省状态下已安装了一些非必要但却很方便的特性。比如说,IIS、一个毫不安全的文件系统以及一个不安全的网页浏览器等等。

  进入到2002年1月份。大家请注意,比尔·盖茨说话了!他说了什么呢?请允许我归纳一下:我们的软件是不安全的。我们必须创建一种新的运算类型——让我们将它称之为“可信任计算”(Trustworthy Computing)。

  那么“可信任计算”确切指的什么呢?好吧,你可以简单地用微软提出的一个公式来理解:SD3+C。具体就是:设计成就安全(Secure by Design)、缺省巩固安全(Secure by Default)、部署实现安全(Secure in Deployment)和通信(Communication)。

  “设计成就安全”基本上可以这么理解:软件在发布之前力求不带有任何安全隐患。“缺省巩固安全”也就是说在产品发布时尽量减少许可权限。“部署实现安全”是当系统运行于公司网络期间采取一切有效的办法确保它的安全性。“通信”——实现网络间必要的数据通信。微软所说的通信是指关于补丁和安全漏洞的信息是如何发送给用户的以及修复行动的信息如何才能被更好地理解。

  让我们看一看2亿美元的投资给安全性能带来了什么样的改善!Windows 2003就是将会看到投资所带来的收获的第一个微软服务器产品。

  你可以从Windows 2003中看到众多十分超前的初步安全性。在使用这个网络操作系统的过程中,你经常会体会到微软今天的首要目标:安全。当你打开一些程序,比如IE浏览器时,你都会收到一些安全警告和建议:


  每当你安装一项新的服务时,系统会静待你运行一个向导来启用该功能。对!微软最终关闭了系统中的所有服务,你必须在需要时启动它。但别担心,它还不至于像Linux那样复杂。尽管每项功能都被关得死死的,但伴随新安全架构应运而生的新向导对用户十分有帮助,详细得可以明确地了解用户所需的操作。如此一来,在对系统进行安全设置时,你可以减少很多顾虑。我记得当年在操练Windows 2000新的安全特性时,要参考很多资料才下得了手。而Windows 2000已经算好了,Windows NT 4中的“信息VOID”更令人不敢恭维。但当你使用2003之后,你就轻松许多了!

  让我先来介绍一个简单而好用的新特性——有效权限(Effective Permission)。

  “有效权限”将总结出用户在某一对象上具有什么样的权限。该对象建立在所有和它的ACL(当用户及所有的用户组成员设置被应用时)相适应的安全设置的基础上。简单点说,当你进入2003中一个对象的的属性时,选择“安全”标签并点击“高级”按钮。你将会看到三个标签:权限(Permissions)、所有人(Owner)和“有效权限”。前两个是通用的,它们会被暂时选定。如果你进入“有效权限”标签,你可以对用户或组进行选择。当你选择了一个组或用户时,Windows将会分析对象可能被放置的所有次级组,并提供“有效权限”信息的一个精确摘要。

  信任机制(Trust):

  Windows Server 2003的“信任”同Windows 2000很相似。就如在Windows 2000中一样,2003中所有网域的信任具有传递性的特点。假如你的网络中有三个网域:网域A、B和C。如果A信任B,而B信任C,那么A也信任C。

  Windows Server 2003中新添加的功能有“Forest Trust”,它允许Forest与Forest之间的相互信任。这有什么作用呢?有了Forest Trust,你就再也不必在不同Forest的网域中建立信任,可以大大减少网络混乱以及人为错误所带来的潜在危险。另外,如果在网域的后端节点上添加一个网域时,该网域无需进一步设置就可以访问其他Forset中的资源。但Windows 2003中的Forest Trust在不同的Forest中并不具备传递性。

  Windows 2003同时还带有一个经过完全重新编写的IIS。IIS 6.0具有一系列全新特性,这将在本文的第七部分进行探讨。Windows 2003还建立了Common Language Runtime(CLR)。你可以要求CLR做什么呢?它可以核实软件是否可以在无错状态下运行,也可以核实是否具有适当的安全权限。“系统策略”(System Policies)也同样经过了重写,减少了Windows缺省安装下所运行的服务项目(共19个),同时还有多顶服务以更低的权限运行。
  “文件系统安全”(File System Security)被大幅度降低,用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序,给管理员提供对其网络的更多控制权。比如,MACS。MACS是Microsoft Audit Collect