文章作者:Sowhat
备受瞩目的Windows Server 2003即将面世了。24日在上海举行了《构造企业未来,微软Windows server 2003技术预览大会》 ,在那里,我拿到了一张Windows Server2003 RC2版(简体中文预览版)。
微软到底在Windows Server 2003里注入了那些新的技术呢?下面就让我带你一起去体验功能强大,震撼人心的Windows Server 2003。
首先,让我们来看看微软对它的定位:“Windows Server 2003是有史以来最强大的操作系统平台,用以连接各类应用程序,网络应用与WEB服务,满足从工作组级到数据中心级的客户需求。”怎么样?短短数语,已经把Server 2003的彪悍勾画出来了吧。
大家都看到了,这次微软对它的命名还是与以往小有不同,比如Windows 2000 Server,为什么呢?
这是因为这次发行的4个版本都是Server版。我来简单介绍一下:
Windows Server 2003标准版,主要用于小型商业环境的网络操作系统;
Windows Server 2003企业版,非常适合中型到大型的服务器;
Windows Server 2003 Datacenter版,适用于数据库,企业资源规划软件,高容量事实交易处理等场合;
Windows Server 2003 WEB版是 该系列中一个新的单一用途的版本,主要用于建立和管理WEB应用程序,网页和XML Web Services。
同时还有企业版和Datacenter版的64位版本发行。
说到这里,想必有好多人已经急了,“你罗里巴嗦,说了半天,还没说到‘实质’呢……” *^_^*,不要急,我知道,大家最关心的是,Windows Server 2003在安全性方面有那些提高。好,我们一起来看。
大家应该听说过,微软在2002年2-3月花了60天的时间,进行"可信赖计算"代码复查,以增强其安全性。而Windows Server 2003是复查后的第一个被发布的重要操作系统,那么其安全性究竟如何呢?
俗话说“安全是一个整体”,那我们来看看,微软在是怎样把在Windows Server 2003这个整体中实现其安全性的。
IIS6.0
大家应该听说过,这次的IIS是微软重新设计的系统,是一个完全不同于以前版本的全新的IIS。其实呢,它只是作为“应用程序服务器”的一个组件出现的。(见图1)
先看看它在可靠性和可扩展性方面的改善和提高:
首先,它采用了新的处理架构,IIS6.0可以自动探测到内存泄露(这就是说,它会在运行之前自动检查缓存,防止溢出)非法访问及其它错误。当类似情况发生的时候,其底层架构提供了容错与按需重启流程处理的能力,这点也很重要,当IIS里某个程序出错的时候,它可以保证整个IIS的正常运行,不会因此而宕掉,而且还可以按需要和设置来决定是否重启这个出错的程序。
其次,IIS6.0能够检控日常工作流程,应用及网络站点。它既可以检测工作流程状态也可以基于多种情况包括在线运行时间,指定的计划表,请求的数目及内存的消耗来重复利用工作流程。
第3,IIS6.0改善了操作系统内部资源的利用方式。举例来说:IIS6.0不需要在初始化状态预先分配资源,在同一台IIS6.0的主机上可以运行更多的的站点,大量的工作流程可以被同时激活处理。它比以前的版本的IIS启动和关闭服务器所许的时间更短。很明显,它的这些措施都有效地提高了站点的可扩展性。
第4,IIS6.0采用了新内核模式驱动--HTTP.SYS。这是Windows Server 2003提出的一个新的内核模式驱动,为HTTP解析与缓存提供了增强的可扩展性能。IIS6.0建立在HTTP.SYS上并被专门调较以提高WEB服务器的吞吐量,另外,在特殊情况下,HTTP.SYS可直接在内核中请求处理。
还有一个最大的区别,那就是,IIS5.0是默认安装在Windows 2000 Server上的,而IIS6.0默认并不被安装在Windows server 2003上,(见图2)而是需要管理员进行手动选择的进行安装,单从这点来说,就显著的提高了安全性。
另外,IIS6.0中,有个“孤立状态”(Isolating Mode)的说法,这是为了确保已有应用程序的兼容性,让IIS6.0以IIS5.0的模式运行。
大家还记得IIS5.0中Lock down吗?(不记得了?没听过?晕!不了解的读者可以到微软的TECHNET中查阅。)在IIS6.0中有与此类似之处,IIS6.0默认安装后是以"锁定状态"运行(被全面锁定),即相当与在以前的IIS5.0,5.1版本下运行了IIS Lock Down的状态。这就意味着默认系统的安全性被设为最大.
值得一提的是,IIS6.0中XML格式与无格式的metabase为服务器的严重故障提供了改良的备份与恢复,同时也提供了改善的排错与metabase的故障恢复能力。
IIS6.0的性能同样有很大的进步。根据RC1版的评测,IIS6.0在双CPU环境下性能是IIS5.0的1.5倍,在四CPU环境下,性能是IIS5.0的2.5倍。
活动目录
我们来看看Windows Server 2003在活动目录的安全性方面做了那些改进:跨森林验证,跨森林授权,交叉认证的增强,IAS和跨森林验证,凭证管理器,软件限制策略等等。
额外的安全特性,使得管理多森林和跨域信任关系更加容易。
以以下3个特性为例简单说明:
跨森林的信任关系是有别于现有Windows信任关系的跨森林的安全管理以及验证,用户可以在不用牺牲单一登录功能的情况下,访问其他森林的资源,并且由于只需在用户所在的森林中维护它的用户ID和口令,因此管理也被大大的简化。这对于一些需要在某些分工司或区域拥有自己森林的场景提供了更好的灵活性,同时也有利于对活动目录的维护。
Windows Server 2003 提供了一个新的凭证管理器,这就提供了一个放置用户凭证,包括口令和X.509证书的安全存储位置。这将提供给用户一个统一的单点登陆方式的体验,包括用户漫游。
我觉得最有趣的是它的软件控制策略。软件控制策略用来规范位置和不被信任的软件的使用,使用软件控制策略,管理员可以指定哪些软件可以运行,哪些不可以运行。通过设定防止在运行时遭到病毒感染或恶意攻击,从而保护当前计算机应用环境不被非信任的的软件影响。
当你实施软件控制策略以后,每个软件都会有一个HASH值,以此来校验该软件是否被允许执行,这样,一个不被允许的软件,即使你对它进行复制,其复件依然不可以运行。
管理员可以在GPO(组策略)中对于某个软件定义一个缺省的安全级别,未加约束或者是不允许,从而控制它是否运行,此外你还可以在某些软件的缺省安全级别中添加一些额外的规则。
数据存储和保护
1,加密文件系统。正如我们在Windows 2000 Server中看到的一样,加密文件系统(EFS)是一种用来在NTFS卷上存储加密文件的技术。加密文件和文件夹象其他文件或文件夹一样容易使用---对授权用户而言是透明的,而其他人则无法访问。EFS对于那些可能要面对计算机丢失或失窃风险的移动用户而言益处更大,它可以防止一个未经授权的人访问加密的文件或文件夹,即便这个入侵者采用物理方式侵入了计算机。
而Windows Server 2003在EFS方面的改进,主要包括授权额外的用户访问加密文件,以及像恢复WEB文件夹中的加密文件一样访问加密拖机文件。
2,自动恢复系统(ASR).自动恢复系统能够实现裸机恢复并保证服务器数据的恢复,包含“系统状态”的一致性。使用修复模式,ASR确保服务器能在发生错误时自动恢复为错误发生前的状态。Windows的备份应用程序能够轻松的让系统恢复ARS的功。另外,结合RIS(远程安装服务),ASR可以在没有用户干涉的情况下提供高效的跨网络自动完成系统恢复的功能。
说到RIS,我顺便提一下,在Windows Server 2003中,管理员可以通过RIS服务器用Risetup和RiPrep来部署Windows2000,WindowsXP专业版,及Windows Server2003(不包括Windows 2000 Datacenter版和Windows Server 2003 Datacenter版),而且,管理员可以功过RIS利用Risetup来部署Windows XP 64位版本和Windows Server 2003 64 位版本。而大家知道,在以前,RIS只限于桌面操作系统,如Windows 2000 Professional。这是微软在Windows Server 2003中的又一个技术创新。
3,“打开文件”备份。我们都知道,在Windows 2000中,在开始备份操作之前,必须先关闭要被备份的文件。而Windows Server 2003的备份工具支持“打开文件”备份,因为现在使用影子副本的备份方式确保了被用户访问的任何打开文件能够同时被备份。
这对广大网管人员来说,绝对是个好消息.这意味着,备份工作不一定非得要等到,大家都下班的时候再进行备份操作。
网络及通讯方面
IPv6:
IPv6是TCP/IP协议网络层协议的下一版。IPv6解决了IPv4中现存的有关地址损耗,安全,自动配置,延展性问题。windows server 2003提供的IPv6协议驱动具有很高的产品质量,广泛的API支持(Windows Sockets ,RPC[remote procedurec all],和IPHelper)以及IPv6系统元件,如Microsoft Internet Explorer,Telnet client,FTP client,IIS 6.0文件共享,打印机共享。同时,IPv6技术为IPv6/IPv4共存技术提供支持。
网际协议安全:
使用跨越NAT基于IPSec保护应用程序的困难已经被over NAT消除了。windows server 2003允许第2层隧道协议(L2TP) over IPSec (L2TP/IPSec)或IPSec连接通过NAT,这种能力基于最新的IETF标准作业。管理员也可以使用这个特性在没有向VPN服务器要求的情况下,安全的进行周围网络 Micorosoft Exchange服务器与内部网运行Exchange服务器进行交换,以及安全进行周围网络应用服务器与在Internet上的伙伴应用服务器进行交换.
安全方面新增功能
高信度计算。
病毒的存在及软件安全性是现存的一个连续性的挑战。为了解决该问题,微软在其所有产品使用了高可信度计算作为关键技术。高可信度计算为设备的 开发提供了一个框架,这些由计算机及软件给予动力的设备就如同每天在家使用的家用电器和日用品一样安全可靠。尽管现在真正的高可信度计算平台还未出现,经过 了重新设计的Windows server 2003正朝向这一目标迈出了坚实的一步。
CRL(Common Language Runtime).
CRL软件引擎是Windows Server 2003提升可靠性并确保安全计算环境的关键要素。降低了由通常编程引起的Bug和安全漏洞的数量,因而也减少了可供攻击者利用的漏洞。CRL检验应用程序是否能够正常运行,并检查具备适当的安全许可,确保代码仅完成适当的操作。它通过检查代码下载和安装的位置,它是否拥有可信的开发商的数字签名后代码时候曾被改动,来完成上述任务。
其他
关机的“理由”(见图3)
在Windows Server 2003中,关机必须要有个“理由”。在以前版本的Windows中,我们可以直接通过选择“关闭系统”来关闭计算机。在Windows Server 2003中,使用了一项新的故障跟踪技术--关机跟踪器,因此你在关机之前,必须找个理由--关闭事件跟踪器系统状态数据。Windows提供这样的功能,即可在用户启动的系统重新启动之前检测到将要接近或超过的服务器系统资源限制。此信息对于了解服务器失败的根本原因非常重要,同时还有助于了解导致用户重新启动的性能降低的原因。关闭时间跟踪器功能可捕获基本的系统 状态信息,以及在计算机重新启动之前所有的进程状态信息。当用户决定重新启动计算机并从关闭事件跟踪起选择计划外的原因时,该功能将捕获关于每个进程、页面文件、磁盘和系统资源的整体使用情况等一系列参数,该功能是通过GPO(组策略)进行管理。
终端服务器
在改进Terminal Server方面,Windows server 2003将使用RDP5.2(在XP中的RDP5.1的升级)。Windows Server 同样支持XP的远程协助功能这个新的版本将支持文件重定向功能,高色彩支持,分辨率可以达到1600 x 1200,带给大家一个更清亮的用户界面。通过WMI和组策略提高管理性能,更好的扩展性,和一个新的远程桌面客户端支持远程桌面客户端支持远程桌面在一个窗口中运行,一个IE,或者一个MMC控制台。XP用户使用一台基于Windows Server 2003的终端服务器还拥有方便的自动再连接功能。
改进的磁盘检查命令
在Windows Server 2003中,磁盘检查命令CHHDSK.exe的性能比Windows 2000提供的版本快20%到30%。
在Windows 卷(NTFS或者FAT文件系统)上的查错程序提高了可靠性及错误处理能力以确保程序只能在严重错误发生及用户通过命令行开始错误检测命令时运行。Windows Server 2003中的CHKDSK也可以用于Windows 2000 Server
命令行工具
微软在Windows Server 2003中提供了大量的命令行的管理工具,通过这些程序的使用,管理员可以完成一些在GUI方式下较难完成或无法完成的任务。
在Windows Server 2003中有一个叫做Inuse.exe的程序,它是做什么用的呢?不知道你有没有碰到过这种情况:当你需要替换系统中的某个文件,但系统又提示你该文件正在被使用,无法替换,重新启动后,依然如故。是不是头大了?不用急,有了Inuse.exe,它可以实现在重新启动的时候替换加载到内存中的文件。
更多更好的命令行小工具,在Windows Server 2003中等着你去体验.
Reliability Service(可靠性服务)
Windows Server 2003 包含了Microsoft可选的可靠性服务,这项技术之前只在微软公司内部使用,以使客户从微软的服务器得到可靠的数据,并且加以分析,并可提供可靠性和实用性报告。
结束语
草草数字,不可能把Windows Server 2003的所有新技术,新特性都描述出来。但是正所谓"管中窥豹,可见一斑",通过我上面举的几个方面,我想大家应该可以感受到Windows Server 2003技术上的巨大创新和安全性方面的提高。
据悉,Windows Server 2003 将于4月份正式发行,而其中文版也将在5月底6月初发行。让我们拭目以待。
(jz:ps,原文无图,觉得缺失图片不影响理解。)
