Windows Server 2008白皮书(三)

程管理以及安全增强

Windows Server 2008 提供各种新特征以及增强部分，改善安全，为IT专业人士应对分支办公室中的服务器管理问题提供更好的远程管理。

引入Server Core
首先，Windows Server 2008管理员可以选择安装有特殊功能的Windows Server最小安装，无须安装不必要的特点。Server Core为运行一个或更多下列服务角色提供环境，这些角色是分支办公室中常配置的：

• 动态主机配置协议（DHCP）服务器
• 域命名系统（DNS）服务器
• 文件服务器
• 活动目录域服务(AD DS)
• 活动目录轻量级目录服务 (AD LDS)
• 视窗媒体服务
• 打印管理
• 视窗服务器虚拟化
Server Core安装选择仅安装可执行文件以及支持动态连接图书馆（DLLs）的子集。需特别指出的是，只有受到支持的服务器角色要求的特点才会安装。例如，视窗浏览器用户界面，或"shell,"并不作为Server Core的一部分进行安装。相反，使用基于Server Core的服务器时，默认用户界面为指令提示。

Server Core 为公司中的用户而设，这些公司拥有多个服务器，有些服务器仅需要执行制定任务，或在高安全需求的环境中要求对服务器的攻击为最小。

管理Server Core服务器
Server Core没有绘图用户界面，也没有运行应用的能力，是运行受支持角色以及提供特定功能的最小安装。使用Server Core安装的管理体验也会有所不同。Server Core要求管理员从本地或远程命令行用终端服务远程桌面连接初始配置系统，或使用脚本方法，如无人值守安装。还可以使用支持远程连接的MMC snap-ins或命令行工具远程管理服务器。

Server Core不是应用平台，用户不能在Server Core安装上运行也不能配置服务器应用。Server Core安装可以仅运行受支持的服务器角色以及管理工具。

Server Core支持管理工具开发也不支持代理，分为三类：

• 远程管理工具：这些工具不要求任何更改，只要使用Server Core 安装中支持的协议之一，与远程管理工作站（如远程过程调用，RPC）进行交流即可。
• 本地管理工具与代理：这些工具可能要求进行更改，才能与Server Core安装合作，因为这些工具不能拥有任何设定命令行解释器的位置，也没有用户界面依靠，更没有使用管理代码。

The Windows Server 2008软件开发工具箱（SDK）包括Server Core 安装支持的APIs列表。

Server Core的主要优点
Server Core 为分支办公室提供下列关键优点：

• 减少软件维护：Server Core仅安装需要的，以拥有可管理的服务器运行受支持的服务器角色，所以服务器要求更少的软件维护，如安装更新。
• 减少攻击表面：由于安装了更少文件以及在服务器上运行，因此更少的攻击向量暴露在网络中，攻击表面也更少。此外，如果发现文件中的安全缺陷，该文件未安装在本地服务器中，更新就不必进行。这样就极大地减少了风险同时增强了可靠性。
• 减少管理：由于更少文件安装在基于Server Core的服务器中，也就不存在对不需要的成份进行管理与更新。
• 所需磁盘空间更少。Server Core仅使用大约1GB的磁盘空间进行安装。
Windows Server 2008使管理员减少安全风险，并使用Server Core安装简化对远程服务器的管理，为分支办公室提供特定的功能。

BitLocker 驱动加密
BitLocker 驱动加密是Windows Server 2008中一项关键新安全特征，保护分支办公室中的服务器，Windows Vista Enterprise 以及 Windows Vista Ultimate 版本中也有，为漫游用户提供客户计算机与移动计算机的保护。BitLocker为磁盘驱动内容加密，保护运行另一个操作系统的人或运行其它软件工具的人，免受文件破坏以及系统保护或执行脱机文件查看，文件存储在受保护的驱动中。

BitLocker加强数据保护，有两大特征：系统卷加密，以及为early-boot成份进行完整性检测。只要这些成分不受干预，同时加密驱动位于原始计算机中，检测early-boot成份的完整性有助于保证数据加密得到执行。

BitLocker提供锁定正常导入程序的选择，直到用户提供PIN，很像ATM卡的PIN；或者用户插入包括按键材料的USB闪驱。增强的安全措施为多种因素认证以及确保电脑不重新启动或休眠后继续工作，直到接入正确的PIN或USB闪驱

BitLocker还提供增强的恢复选择，拥有整合进early boot components的灾难恢复控制台，进行数据修补。在默认设置中，BitLocker不要求用户行动，可以远程自动进行自我激活。BitLocker为企业提供安全、便捷又可管理的数据保护方案。

BitLocker解决偷窃数据或遭到丢失、偷盗或不恰当关机的威胁。分支办公室中，由于服务器的物理安全不能总是得到保障，所以BitLocker解决这些问题十分重要。整个系统卷得到加密，包括交换与休眠文件，后者为分支办公室的远程服务器提供更多安全。

集中的打印机管理
Windows Server 2008包括打印管理，是MMC snap-in，使管理员在即使是分支办公室这样的远程地点，只要是公司内，就可以从单一界面对打印机进行管理、监控并进行故障检修，促进远程地点装置集中管理，而远程地点通常缺少甚至没有IT人员在场管理任务。更多关于打印管理信息，请参阅第七章：服务器管理。

Windows PowerShell
Windows PowerShell命令行设定命令行解释器的位置以及脚本语言帮助IT专业人士自动操作常见任务。Windows PowerShell使用新的注重管理的脚本语言，拥有超过120个标准命令行工具，以及一致的语法与效用，允许IT专业人士控制系统管理更轻松，同时加速自动化，即使在远程地点如分支办公室，也可以做到。更多PowerShell信息，请参阅第七章：服务器管理。

视窗远程管理
视窗远程管理（Windows Remote Management）提供低带宽，可使用脚本的方法轻松管理远程地点的服务器。视窗远程管理员执行微软WS-管理协议。WS-管理协议是标准的基于SOAP的协议，允许硬件以及操作系统相互合作。管理员可以使用视窗远程管理脚本对象、视窗远程管理命令行工具、或视窗远程管理设定命令行解释器的位置命令行工具，从位于分支办公室的远程计算机管理数据（关于对象信息，如磁盘、网络适配器、服务或程序）。更多关于视窗远程管理的详细信息，请参阅第五章：安全与政策执行