Windows Server 2008 R2 和Windows 7客戶端一起使用時可以提供更好更安全的計(jì)算環(huán)境，DirectAccess是Windows7的一項(xiàng)新功能，該功能可以允許用戶在沒有VPN的情況下建立一個遠(yuǎn)程連接， 而Remote Workspace以及Presentation Virtualization和Remote Desktop Gateway功能可以允許用戶隨時隨地安全可靠地訪問其公司臺式電腦。本文中，我們將探討這些功能如何讓Server 2008 R2/Windows 7組合幫助企業(yè)提高Windows網(wǎng)絡(luò)的安全性。
　　由于微軟公司對可信賴計(jì)算的重視，每種新版本的服務(wù)器和客戶端操作系統(tǒng)都在變得更加安全。Windows Server 2008，特別是其最新代表R2為IT管理員提供了很多內(nèi)置安全機(jī)制。但是，保護(hù)服務(wù)器安全還只是解決了一半安全問題。客戶端也常常成為攻擊者的攻擊對象，尤其是在現(xiàn)在的現(xiàn)狀下，用戶們都使用筆記本在公司外面訪問公司資源而完全不受IT部門的控制。如果你的企業(yè)需要一種高水平的安全保障(在目前的合規(guī)環(huán)境下，誰不想希望保障安全性?)，你應(yīng)該事先部署Windows 7客戶端以及Windows Server 2008 R2，現(xiàn)在讓我們看看可以如何利用這些先進(jìn)的安全功能。
　　注意：
　　很多企業(yè)的政策就是等到第一個服務(wù)包(SP)發(fā)行之后再部署新的客戶端操作系統(tǒng)，那么我們需要等待SP1發(fā)布后再部署Windows7嗎?Gartner公司并不支持這種做法，windows 7的SP1對于系統(tǒng)的穩(wěn)定性和安全性并沒有影響。
　　DirectAccess
　　如何允許遠(yuǎn)程用戶安全連接到公司網(wǎng)絡(luò)并在不造成安全威脅的情況下訪問他們所需要的資源呢?最常見的解決方案就是建立一個VPN服務(wù)器，VPN能夠通過公共網(wǎng)絡(luò)(互聯(lián)網(wǎng)) 提供一個安全加密的渠道進(jìn)行通信，那么，使用VPN有什么問題呢?VPN解決方案為最終用戶增加了操作的復(fù)雜性，在某些情況下，用戶必須在客戶端機(jī)器上安裝一些特殊軟件，并且必須為每次session建立VPN連接，他們必須輸入認(rèn)證證書或者使用智能卡，并且有時候連接不能成功，有時還會掉線需要重新連接等問題。
　　DirectAccess解決了驗(yàn)證用戶身份的麻煩，第一次驗(yàn)證身份成功后，之后就能進(jìn)行自動連接，而不會降低安全性。另外支持雙條件驗(yàn)證，可以使用智能卡或者生物識別技術(shù)登錄到網(wǎng)絡(luò)。DirectAccess可以同時驗(yàn)證計(jì)算機(jī)和用戶本身，并且DA將創(chuàng)建兩個Ipsec通道，其中一個通道只能使用計(jì)算機(jī)證書，該通道將允許計(jì)算機(jī)訪問DNS服務(wù)器和域控制器以下載組策略和請求用戶驗(yàn)證，另一個通道則需要計(jì)算機(jī)證書和用戶證書，能夠允許用戶訪問內(nèi)部資源和應(yīng)用程序服務(wù)器。
　　DA的session既可以在客戶端和DA服務(wù)器/Ipsec網(wǎng)關(guān)服務(wù)器之間進(jìn)行加密，也可以進(jìn)行端對端加密(一直到應(yīng)用服務(wù)器端，如 Exchange服務(wù)器等)。這里的注意事項(xiàng)就是，對于端對端加密，應(yīng)用服務(wù)器運(yùn)行的Windows Server 2008 或者2008 R2必須配置為使用Ipv6和Ipsec。
　　DirectAccess使用的是Ipv6，Ipv6是用于加密在互聯(lián)網(wǎng)發(fā)送信息的下一代互聯(lián)網(wǎng)Ipsec協(xié)議(3DES，AES)，但這并不是說你必須運(yùn)行Ipv6網(wǎng)絡(luò)來使用DA，因?yàn)樗�也同樣包括Ipv6/Ipv4過度技術(shù)。Windows 7和Windows Server 2008 R2支持一種被稱為IP-HTTPS的新技術(shù)，該技術(shù)可以將ipv6封包加入到Ipv4 HTTPS的session中，這使位于web proxy或者防火墻后面的計(jì)算機(jī)也能夠進(jìn)行連接。有了VPN，NAP(網(wǎng)絡(luò)接入保護(hù))可以用來確保計(jì)算機(jī)在接入公司網(wǎng)絡(luò)前的即時安全更新、反病毒等。
　　DirectAccess的另一個優(yōu)點(diǎn)就是能夠讓用戶進(jìn)行控制，DA可以讓IT管理員在即使沒有連接到VPN的情況下也能管理遠(yuǎn)程系統(tǒng)，可以通過遠(yuǎn)程計(jì)算機(jī)連接到互聯(lián)網(wǎng)隨時隨地運(yùn)用新的組策略或者分發(fā)軟件更新，即使用戶沒有登錄。這使遠(yuǎn)程計(jì)算機(jī)能夠及時響應(yīng)公司的政策，另外，也可以限制特定用戶訪問內(nèi)部資源的范圍。
　　RemoteApp和Desktop
　　RemoteApp是Remote Desktop Services的執(zhí)行功能，該功能可以當(dāng)用戶在Remote Desktop服務(wù)器上運(yùn)行的時候讓應(yīng)用程序就像在本地計(jì)算機(jī)運(yùn)行一樣，這屬于展示虛擬化(presentation virtualization)的一種形式。這與傳統(tǒng)的終端服務(wù)有所不同，傳統(tǒng)服務(wù)是通過終端服務(wù)器來共享整個用戶桌面，而現(xiàn)在個人應(yīng)用程序也可以以共享的形式提供給用戶。RemoteApp是Windows Server 2008中推出的功能，而Windows 7中的RemoteApp & Desktop (RAD)則為我們提供了桌面和虛擬化應(yīng)用程序的整合。
　　有了RemoteApp & Desktop連接，管理員可以方便地向使用Windows 7客戶端計(jì)算機(jī)的用戶提供 Remote App程序和虛擬化桌面，這些資源將出現(xiàn)在客戶端的開始菜單中，就像本地資源一樣。
　　那么，安全優(yōu)勢在哪里呢?虛擬化應(yīng)用程序可以接受IT管理員更加嚴(yán)格的控制，你不再需要擔(dān)心運(yùn)行在個人計(jì)算機(jī)上的大量應(yīng)用程序是否已進(jìn)行安全更新，這樣也就沒有因?yàn)檫\(yùn)行未修復(fù)程序而造成的安全威脅。管理員可以添加或者移除資源，并且RemoteApp & Desktop Connection將在用戶的客戶端計(jì)算機(jī)上進(jìn)行自動更新。
　　大家可以通過以下連接下載部署RemoteApp和Desktop Connection的詳細(xì)步驟：http://www.microsoft.com/downloads/details.aspx?FamilyID=2F5B9705-BC09-466E-882B-7227CBB39183&displaylang=en
　　Remote Desktop Gateway是Terminal Services Gateway的代替品，在Windows Server 2008 R2 標(biāo)準(zhǔn)版、企業(yè)版和數(shù)據(jù)中心版中發(fā)揮著服務(wù)器的作用，遠(yuǎn)程用戶可以通過啟用Remote Desktop訪問遠(yuǎn)程桌面服務(wù)器或者其他計(jì)算機(jī)，它通過HTTPS使用RDP來創(chuàng)建互聯(lián)網(wǎng)上的安全加密連接，Server 2008 R2 RD Gateway同時還支持選項(xiàng)功能，可以讓你限制遠(yuǎn)程桌面客戶端只能連接到使用安全設(shè)備重新定向的遠(yuǎn)程桌面服務(wù)器，這有助于避免遠(yuǎn)程客戶端上的惡意軟件蔓延到企業(yè)機(jī)器。
　　在Windows Server 2008 R2 和Windows 7上運(yùn)行的最新版本的RDP Protocol (RDP v7)同樣提供圖形渲染和多媒體功能以提供更好的桌面服務(wù)，例如，現(xiàn)在支持Aero玻璃效果，多顯示器、DirectShow等，并且性能也整體提高了。
　　AppLocker
　　AppLocker是Windows 7 和Server 2008 R2 中的新功能，取代了難以操作和范圍有限的舊的Software Restriction Policies，AppLocker為用戶提供更好的靈活性，并且其規(guī)則更加難以規(guī)避。AppLocker允許你創(chuàng)建規(guī)則來控制哪些文件可以運(yùn)行，并可以將這些規(guī)則運(yùn)用與特定的用戶或者組(擔(dān)不是計(jì)算機(jī)。)
　　你可以根據(jù)文件屬性(如發(fā)行者、產(chǎn)品名稱、文件名稱或者文件版本)來制定規(guī)則，這些都在數(shù)字簽名(發(fā)行者規(guī)則)中可以找到，你還可以基于目錄路徑來限制程序(路徑規(guī)則)，或者你可以使用加密hash來鑒定想要控制的程序(hash規(guī)則)，你還可以為這些規(guī)則類型創(chuàng)建例外情況。
　　在默認(rèn)情況下(也被認(rèn)為是安全做法)，AppLocker配置為拒絕所有文件，除了那些明確允許的文件外。
　　更好的BitLocker
　　BitLocker驅(qū)動器加密最早出現(xiàn)在Vista系統(tǒng)中，這對筆記本來說是個很不錯的功能，但是其作用也是有限的，只能用于加密系統(tǒng)分區(qū)。在 Server 2008 和Vista SP1中，該加密功能則可以加密其他分區(qū)(非系統(tǒng))。現(xiàn)在，Server 2008 R2 和Windows 7中，BitLocker可以用于加密可移動驅(qū)動器。由于USB驅(qū)動已經(jīng)無處不在，這個功能將有助益提高安全性，因?yàn)閱T工在USB上攜帶公司數(shù)據(jù)將帶來很大的風(fēng)險(xiǎn)，USB的可攜帶性讓其很容易丟失和被盜。
　　Windows Server 2008 R2和Windows 7的BitLocker To Go新功能可以讓IT管理員使用組策略迫使用戶在寫入移動驅(qū)動器前啟用BitLocker，使更加安全�；謴�(fù)密鑰可以存儲在Active Directory中。你同樣可以阻止用戶連接非加密USB驅(qū)動器到計(jì)算機(jī)，政策可以在以下路徑配置：Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives。
　　總結(jié)
　　Windows操作系統(tǒng)的每個版本都添加了新的安全功能，目前Windows Server 2008 R2和即將發(fā)布的Windows 7則成為安全關(guān)注重點(diǎn)，與Windows客戶端操作系統(tǒng)以往版本不同的是，在測試階段的windows7已經(jīng)被證明是非常穩(wěn)定和安全，因此企業(yè)們(尤其是那些仍然在使用XP系統(tǒng)的企業(yè))應(yīng)該考慮盡早部署這個組合。