IIS的区别
现在微软Windows Server 2008中集成的IIS 7相 比IIS 6进行了大幅改进,IIS 7中 内置了一个appcmd.exe命令行工具,这种命令行工具为网管员简化了常用的Web服务器管理任务,并且将一些高级操作的过程变得更加简单(这 种 操作方式和Apache差不多)。比如 我们只需要输入一个命令就可以列出等待时间超过500毫秒的Web服 务器请求,从而利用相关信息来调试那些性能欠佳 的应用。不仅如此,IIS 7的稳定性相比IIS 6也大大提高,基本不会出现以前IIS 6那 种莫名其妙的当机问题。
以前我们对IIS 6进行管理都需要先远程登录服务器,然后启动IIS程 序再开始操作。现在,IIS 7的管理界面支持HTTP远 程管理,从而可以像浏览网页一样在浏览器里管理IIS系统。而且由于只是通过HTTP访问服务器,无须在服务器上打开其他端 口,减少了一些不安全因素,同时也避免了登录服务器后的一些误操作。
IIS 7还有一个崭新的特性:采用模块化的安装方式来构建核心服务。在IIS 6中,所有功能都是内置默认的,很难扩展或替代其中任何部分。IIS 7由40多个不同的特性模块组成,默认安装仅安装一半的模块,管理员可有选择性地 决定增减相关特性模块。这种方式比较灵活,不仅大大节约了安装时间,而且减少了其他服务程序的运行数量,减小了被攻击面,提高了服务器的安全性。
IIS 7首次完全公开并完全部件化——你 可以只安装你所需要的组件,因此更轻,响应更多且更不易被攻击。IIS管理界面也完全重新设计。核 心的改进包括:
*全新的组件结构
在IIS历史上,首次,管理员尝试了可完全控制IIS的哪 些部分被安装并在特定时间运行。你可以运行你所需的特定服务。这样系统也会更安全,并 且易于管理,程序的执行情况也会更好。Fast CGI支持意味着PHP和其他运行时间语言被 快速执行,安装Windows的机子之前没有这一功能。
*灵活的扩展模式
IIS 7使得开发者可以进入一个全新的APIs套装——可直接与IIS沟通,这使得模块开发和定制更容易 进行。开发者甚至可以进入内部结构、脚本,甚至可以登录并管理IIS域——为勇于尝试的管理员和第三方软件供应商开了很多通路以扩展IIS的 功能。
*简化结构以及应用软件的配置功能
结构可以通过XML文件完全完成。中心IIS结构可以通过多个文件进 行扩展,使得很多网站和应用软件运行在相通的服务器上但是相互独立,但是其 结构仍易于管理。微软公司最钟爱IIS 7的组件是用相同配置的机器建立网络田,因为新的服务器田已经联机了,管理员可以轻松采用XCOPY同 时通过新的服务器转移当前结构文件。其次,新服务器 上安装的IIS与现有服务器上的相同。这或许 是最大的好处,也是IIS 7进行的更新中最受欢迎之处。
跟Active Directory——实现了使管理员分配许可以执行确定的管理功能很像,IIS管理员可以将一些功能的管理任务委托给其他人,例如网站所有者。
*更多有效的管理功能
你不会再在大量标签和对话框中寻 找一个你需要更改的设置。创建一个新的网站只有一个对话框,增加一个应用软件池同样只有一个对话框。所有的工具以及功能都在控制台的敏感区域。IIS Manager完全进行了重新设计,同时加入了一个新的管理有效性命令行:appcmd.exe。
这一更改使得IIS的功能可与Apache的 产品媲美,易管理性和模块性都很好。
网络的改进
Windows Server 2008小组进行了特别的努力以改进网络 性能和有效性。第一次,本地IPv4和IPv6支 持同时具有了双IP层结构。如果你已经在Windows Server 2003服务器上配置了IPv4和IPv6,你就知道进行交互操作有多麻烦。
通过将TCP/IP的个部分更好地整合,IPSec通信安全得到了提高。硬件得到了更有效的利用并且加快了网络传输的速度。智能协调系统和优化算法有规 律地运行以确保高效通信,同时APIs到网络协议栈更直接地显现,使得开发者更容易与网络协议栈进 行沟通。让我们看看进行的改进。
TCP/IP网络协议栈的改进:我之前间接 提到过,Windows Server 2008的很多改进是对TCP/IP网络协议栈的改变。其中一项改进是自动协调TCP窗 口的大小:Windows Server 2008可以通过每个连接来自动调整接收窗口的大小,提 高同一网络上服务器间大型数据传输的效率。微软公司引用了如下例子:在10 Gigabit以太网 络上,信息包的规模可以达到6 Megabytes。
Windows Server 2003的失效网关检测法则只稍稍进行了改 良:Windows Server 2008当前经常试图通过其所认为的失效网关来进行TCP传输。如果传输没有出现问题,Windows则 将默认网关自动改变为之前检测的失效网关(现在是 有有效网关)。同时Windows Server 2008支持从CPU到网络界面卡处理线路的脱机网络处理功能,这就解放了
CPU,使其可以管理其他处理程序。
网络扩展也得到了改进。在之前的Windows Server版本上,一个网 络接口卡(NIC)仅与单一物理处理器相连接。然而,有了正确的网络卡,Windows Server 2008支持扩展网络接口卡,同时伴随着多个CPU之间的传输——这一功能被称为接收端调节(receive-side scaling)。这实现了单一网络接口卡(位于高速下载服务器)可接收更大规模的通信量。这一功 能尤其对多处理器服务器有利,因为通过增加处理器或者网络接口卡,而不用增加整台的服务器,通信量即可增加。
终端服务的改进:网络软件越来 越流行。除了如下三个详细介绍的新功能,工作组也改进了核处理功能,这包括对Terminal Services功 能的单一签署,监控范围的和对此功能的绝对支持,与Windows System Resource Manager整合以更好的监控执行情况和资源利用情况,以及实现TS和客户机的无 缝连接。
NAP:网络访问保护(NAP)能避免不健康的计算机访问企业网络并造成损害。企业用户可以利用NAP自行配置客户端的健康要求,并可更新或者修正不符合标准的计算机,然后允许其连接到企业网络上。其实NAP就相当于一个可以评估客户端健康的软件,只要网管配置好健康策略,在发现不符合相关标准的计算机后,NAP就会起作用,限制这些不符合标准的计算机访问网络,保护局域网中的其他计算机。
Windows Server 2008有三个核心的新功能。第一个是Terminal Services Remote App。这一功能几年前是由Citrix Meta Frame提供的,Windows Server 2008将支持开箱即用功能来解释TS支持的服务器上直接运行的程 序,但是在本地Windows复本内进行整合,增加了重新设置大小的应用软件窗口区域, Alt-Tab交换功能,远程组装系统tray icon组 件等等。用户并不知道他们的应用软件被寄存在其他地方,除非响应经常比较慢,比如因为网络延时或者服务器超载。
Windows Server 2008的第二个核心功能是管理员创建.RDP文档——这是Terminal Services连接(用户读和用来 给特定程序配置一个RDP成分)基于文本文 件。他们也可创建.MSI文件,其最大的优点是.MSI文 件传统上可轻松通 过自动系统管理方式(例如Systems Management Server, Group Policy和IntelliMirror等 等)进行配置。
第三个核心功能是终端服务网关(Terminal Services Gateway)。 这一功能使得用户可以从英特网的任意一个网络入口进入存放于Terminal Services的 应用软件,通过一个经过加密的HTTPS通道来保障其安全性。这一网关可以穿过防火墙发送连接,也 可正常通过NAT转换环境——在过去这一技 术是受阻的。
这样公司就不需要给远程用户配置VPN通路,目的仅为了访问Terminal Services服务器。其次,自从数据经HTTPS进 行发送,几乎所有人(甚至在RDP协议受防 火墙阻挡的地区)都可以访问这一部分。管理员可以建立连接授权政策——详细说明被允许通过TS网关服务器来访问TS的用户组。
最后的一项核心功能是TS网络访问功能(TS Web Access),这一功能使管理员可在网页上公开显示可实现的远程终端服务的程序(TS Remote Programs)。这一功能是和终端服务远程软件
(Terminal Services Remote App)功能同时工作的。用户可以浏览他们 想运行的应用软件列表,点击,然后就可以无缝嵌入这一应用软件——利用了终端服务远程程序 (Terminal Services Remote App)的所有功能,然而保留了这一功能:在同一Web Access站点存有其他程序。这一服务可以分清由同一用户放置的多个程序应该被放置在相同的Terminal Services部分,这样资源管理会轻松一些,同时你甚至可以利用内置Web组件将SharePoint站内的TS Web Access进行整合。
Active Directory:只读域控制器
Windows Server 2008引入了只读域控制器理念,这一理念对 于分公司和其他地区(服务器充当域控制器,不能采用保护数据中心其他服务器的办法进行物理保护)。只读域控制器有一个Active Directory的 只读复本,这就实现了快速登录和快速获取验证,节省了网络资源,同时也有长期安全益处。没有入侵者可以对一个分公司快速访问域控制器 (接着会被复制到公司主菜单)进行更改,因为这一域控 制器是只读的。这一只读域控制器也可以缓存分公司用户提交的报告并通过用户的登录请求,但是只有一种提交方式可通过正轨的可写入的域控制器,然而,由于安 全原因,这一缓存在Password Replication Policy中被设置成默认值。
从Windows被 研发出来,安全问题就一直困扰着微软公司,但是在近几年, 随着越来越多的人联网,越来越多的漏洞被发现。事实上,每月的系统补丁发布是涉及不够严密的结果。这些类型的缺陷是微软希望在Windows Server 2008系统中避免的。
你将看到Windows Server 2008进行了很多更新,包括提高了 进入内核的层级数目,分开服务以降低缓冲器超载的可能,同时减少高风险特权层以减少受攻击层面的规模。
而操作系统的基础设计更改,Windows Server 2008组也设计 了一些排除安全隐患和病毒入侵的功能,同时也设计了防止企业数据泄露和被夺取的功能。让我们看看这些功能改进:
操作系统文件保护:一个新的功 能,确保了服务器导入处理的完整进行。Windows Server 2008创建了一个基于正在 采用的内核文件的确认钥,这是你的系统和驱动器一个特定的硬件提取层,始于导入阶段。在这一密钥创建后,如果任何后期导入文件更改,操作系统将被告知并中 止这一导入处理,这样你就可以进行问题纠正。
操作系统文件保护也扩展了每个磁盘驱动器上的二进制影像。这种模式的操作系 统文件保护包括了一个文件系统过滤器驱动——可读下载在 内存上的每一页,检查无用信息同时确认任何试图下载到保护过程的图像(一般来说对攻击最敏感)。这些杂乱信息被存放在一个特 定的系统目录下,或者存放在一个嵌入驱动器上的一个安全文件X.509证明。如果任何测试结果都失 败了,操作系统文件保护将中止这一处理过程以保证服务器安全。这一保护避免了疑似病毒的入侵。
Bit Locker:驱动器加密需求是最近 安全性 保护的流行方式,同时在Windows Vista和Windows Server 2008中微软公司都增加了被称为Bit Locker的功能。
Bit Locker是设计在特定的环节——窃贼可能获取到硬盘物理通路。没有加密术,黑客就可以轻松导入 另一个操作系统或者运行攻击工具并访问文件, 这样就完全绕开了 NTFS文件系统许可。Windows 2000 Server和Windows Server 2003中的加密文件系统(Encrypting File System)有了进一步的改进,通常扰乱了驱动器上的bit,但是进行文件加密的密钥不像想象中那样安全性强。有了Bit Locker,密钥被存放在系 统主板的Trusted Platform Module芯 片上,或者是在导入前插入的USB闪存驱动器上。
Bit Locker已经彻底完成:当被激 活的时候,可对整个Windows进行加密,包括用户数据和系统文件、休眠文件、页面文件和临时文 件。导入过程自身也受Bit Locker的保护,这一功能创建了一个基于个人导入文件所有权的信 息。因此如果已经修正并被替换, 比如,一个Trojan文件, Bit Locker将 找出问题并阻止导入。相对于EFS的 局限性,这的确有了很大进步,同时一个很明显的改进在于未经加 密的驱动器系统安全的提高。
设备安装控制:另一个困扰企业 的安全问题是USB拇指驱动的增多。无论你将文件服务器的许可设定的多安全,无论你将文档的销毁功 能设置的多细致,也无论你在 eyes-only文档上采用了何种类型的内置控制,一个用户可以 轻 易地将一个拇指驱动插入USB端口并复制数据,从而完全绕过了企业的物理安全系统。
这些驱动器里通常包括一些企业中敏感度非常高的信息。但是却经常发现安全性 不高。问题很明显,一些企业将弃用的USB端口用浇水粘住。这是一种有效的方法,但是却很不整洁。
对于Windows Server 2008系统,一个管理员必须有能力阻止 所有新设备安装,包括USB拇指驱动、外置硬盘驱动和其他新设备。你可以轻松地在配置一台服务器的 同时不安装任何新设备。基于设备级别或者设备的ID,你也可以设置一些特例,比如,允许安装键盘 和 鼠标,但是其他外置设备都禁制安装。或者你可以允许特定ID的设备安 装。以上都可以通过Group Policy进行配置,同时这些政策都是计算机级别的设置。
Windows防火墙有着更先进的安 全性:Windows Server 2003 Service Pack 1的Windows Firewall版本和Windows XP Service Pack 2的完全相同。作为一时的权宜之计,微软暂且将Service Pack 1和这一款防火墙进行了绑定,公司方面说,他们将进行防火墙开发,并在下一版本的Windows中 进行改进。
拥有Advanced Security功能的新款Windows防 火墙将防火墙和IPSec管理功能 结合进便利的微软管理控制台(Microsoft Management Console) 管理 插件。防火墙驱动被重新建构以与过滤器和IPSec相协调。有了更多的管理功能,这样你可以更方便 地指定明确的安全需求,比如验证和加密。
设置可构建在每个Active Directory计算机或者用户组基础上。 外置过滤器已经被激活,除了Windows Firewall之前版本的内置过滤器外什么都没有。 对每台计算机的总体支持也得到了提升,当前有一个何时机器被连接到区域的概况,一份个人网络连接的概况和公共网络连接(如无线热区)的概况。可引入相关政策,这就实现了多个 计算机防火墙结构的协调和简单管理。
网络访问保护:病毒和恶意软件 在运行在用户区域之前即被软件拦截,但是保护的终极目标应该是实现这些病毒软件完全无法进入网络。在Windows Server 2008中,管理员将根据基线对计算机进行检查。如果发现计算机存在问题,则这一系统不能访问网络,也就是被隔离,直到用 户修复其机器,才被获准进入健康区域。
这一功能被称为网络访问保护(Network Access Protection)功 能,这一功能可以被拆分为三个核心部分:
健康政策确认
——试图连接到网络的机子经检查并检验其特定健康标准(由 管理员设定)的合理性。
健康政策的服从可用于检查配置,没有进行验证的计算机可通过Systems Management Server或其他管理软件(例如Microsoft Update或Windows Update)自 动更新或者确认。
访问限制——NAP的 强制装置。可以实现在仅监控模式下运行NAP,这一模式将连接到网络计算机的从规和确认声明进行了 记录。但是处于活动模式的计算机无法进行确认,这些 计算机则被加入网络的访问限制区域(这一区域 阻隔几乎所有网络访问并限制了一系列特定的hardened服务器(包含了使服务 器正常运行最常见的工具)。看图三来了 解一些控制(准 予、限制和禁制网络访问)的 大概情况。
了解到NAP是进行 检查的唯一平台,在配置了Windows Server 2008后很多部分仍是需要的。这些需求 包括系统安全代理(system health agents)以及系统安全验证(system health validators),这些确保了每台客户机都经检查和验证。Windows Vista系 统发布时将系统安全代理和验证设置成了缺省值,这样就可自行定制。
易管理性改进:服务器仅在管理员合理配 置的情况下有效。传统上Windows Server产品相当容易操作,但是Windows Server 2008对于最初的设置和结构有了很大的改进。
对于查看服务器的信息来说,考虑到其稳定性和整合性以及对安装任务的管理(见 图五),还有其经提高的解决修复结构故障能力,服务器管理家 (Server Manager)是一个one-stop shop。Server Manager替代了Configure Your Server、Manage Your Server和Security Configuration Wizard界面。其集中了多种MMC 3.0快照技术,使得你可以看到什么任务和 功能被安装到了指定的机器上,同时给你一份管理相关组件的文 件。
CNG:作为下一代加密技术的CNG,是Windows Server 2008提 供的相比其他加密方式更加可靠的加密方法。它提供了一种高灵活性的加盟开发平台,可以让高端用户在其他相关加密中创建、更新并使用定制加盟算法。CNG采用美国政府的
Suite加密算法,其中包括加密、数字签名、密匙交换和哈希算法等加密 手段。
精准密码策略和账户锁定策略:在Windows 2000和Windows 2003的 活动目录域中,我们只能够在Default Domain Policy中为所有用户配置应用一 个 密码策略和账户锁定策略,如果我们需要为一些特殊的用户制定不同的密码和账户锁定策略,我们只能够通过创建新域的方法,因为以前一个域只能够使用一个密码 和账户锁定策略。
Windows Server 2008 ADDS 中新增了一项功能,称为 精准密码策略,可以用它在域中定义多个密码策略,并且将它应用到用户或者全局安全组中。
虚拟化技术
现在,网管们可以利用WSV方便地建立虚拟机(VM,Virtual Machine),实现一机 多用,这可以大大提高服务器硬件的使用效率,节省企业的服务器采购 支出。WSV允许虚拟机运行在仅具备所需权限的服务账户上, 可以确保虚拟机操作系统与主机操作系统互不干扰。这样即便某个虚拟机出现了问题,它对其它虚拟机造成的影响也是有限的。
虚拟化技术可以让一台服务器变成多台虚拟服务器:此外,Windows Server 2008还有基于64位Hypervisor的轻量级低开销虚拟化架构。 这个架构支持虚拟化技术的硬件(Intel 和AMD的 相应技术)使得虚拟化操作系统具有更高的性能。如果企业用户使用支持Hypervisor技 术的硬件,可以提升虚拟机的性能,不会出现拥有多个 虚拟机,而每个虚拟机的性能却不能满足实际应用需求的情况。
存储特性三大改进
对于Windows Server 2008 ,微软做出了多项改善措施,尤 其是在服务器的基本存储机制方面。我将谈论三点改善措施,并解释为何他们具有典型意义。补充一点,我将重点阐述其在存储方面的改善。
SMB 2.0:SMB 2.0首次面世是在Windows Vista中, 名为Common Internet File System (CIFS),现在包含在Windows Server 2008并 具备多项改善。其中最受关注的特性为支持symbolic links,这种特征一直以来都是UNIX系 统管理员最为钟爱的。同时SMB2.0也 支持在一个网络包中发送多重命令,从而大幅降低对于网络带 宽的占用。
磁盘加密锁:在Windows Server 2008中包含有Bit Locker Drive Encryption(磁盘加密锁)软件。此软件同时也附加在Windows Vista企 业版与旗舰版中,但针对Windows Server 2008,微软 强化了该软件的技术特性(预计在Vista SP1中也将具备该特性)。完整磁盘加密是将整个Windows磁盘区作运算加密, 让非相关人士无法通过从另一个操作系统开机,或用软件攻击破解的方式,来侵 入文件和系统保护。 Vista时仅能加密系统分区,Windows Server 2008中加以强化可以给多个分区加密。
自修复NTFS分 区:曾几何时,为了运行chkdsk.exe去修正在NTFS分 区中一个细小的错误必须重启文件服务器。为了这项工作,你必须预计服务器的重启时间,短则耗时几个小 时,但出现意外的话你必须打断用户,因为重启需要耗时一整天。现在,Windows Server 2008具 备了NTFS在线修复工具。虽然不是一个万金油,但它确实能够修正许多以往需要运行
chkdsk并重启才能解决的问题。自修复NTFS在 Windows Server 2008中 被默认打开。回首过去,这项功能实在是太实用了。
易管理性改进
服务器仅在管理员合理配置的情况下有效。传统上Windows Server产 品相当容易操作,但是Windows Server 2008对于最初的设置和结构有了很大的改 进。
对于查看服务器的信息来说,考虑到其稳定性和整合性以及对安装任务的管理(见 图五),还有其经提高的解决修复结构故障能力,服务器管理家 (Server Manager)是一个one-stop shop。Server Manager替代了Configure Your Server、Manage Your Server和Security Configuration Wizard界面。其集中了多种MMC 3.0快照技术,使得你可以看到什么任务和 功能被安装到了指定的机器上,同时给你一份管理相关组件的文 件。
Windows配置服务(Windows Deployment Services)
多数管理员开始喜欢远 程安装服务(Remote Installation Services),Windows 2000 Server和Windows Server 2003的新增功能。其提供了定制安装功能同时很轻松即可去除这一功能。在Windows Server 2008中,微软从根本上修订了远程安装服务并重新命名为Windows Deployment Services。
Windows Deployment Services采 用了PXE和 一个操作系统的TFTP。但是 当前其也在安装流程中包括进来Windows PE——一个图像的前终端,替换了难看且功能很少基 于文本的蓝屏设置语句(从Windows NT 3.0开 始一直采用)。你尅创建很多不同的图像,同时将其存放在Windows Deployment Services机上,同时你可以直接将这些图片通过网络单播或多播输出给企业的网络用户。