帮酷LOGO

Microsoft Windows 图形

其他安全功能

本主题概述了 Windows Server 2003 家族中的其他安全功能。它包括以下三部分内容:自 Windows Server 2003(不带 SP1)以来的新功能与更新功能自 Windows NT 4.0 以来的新功能与更新功能以及自 Windows 2000 以来的新功能与更新功能

有关身份验证和智能卡支持功能的信息,请参阅身份验证和智能卡支持。有关新增安全功能的详细信息,请参阅新增安全功能。有关指向此版本中这些功能详细信息的链接,请参阅新功能

Windows Server 2003 家族提供了多种功能,您可以使用这些功能来创建稳健、灵活的安全系统。这些功能包括内置到 Active Directory 中的文件加密和安全功能。有关可用的身份验证种类的信息,请参阅身份验证和智能卡支持

自 Windows Server 2003(不带 SP1)以后的新功能与更新功能

带有 SP1 的 Windows Server 2003 提供了以下改进功能(与不带 SP1 的 Windows Server 2003 相比),这些功能有助于提供更强的安全性支持:

安全配置向导
安全配置向导 (SCW) 通过如下方法可降低 Microsoft Windows 服务器的攻击面:即向用户询问一系列旨在确定服务器功能要求的问题,然后禁用该服务器正在执行的角色不需要的功能。降低攻击面除了作为一种基本安全性最佳操作,它还有助于增加多个 Windows 系统,以及减少在出现安全问题的情况下需要立即更新的系统数量。详细信息,请参阅安全配置向导
Windows 防火墙
Windows 防火墙采用的是一种宿主防火墙技术。作为宿主防火墙,Windows 防火墙可运行在各个客户端和服务器上。它可以保护客户端和服务器免受通过外围网络或起源于组织内部的网络攻击(如特洛伊木马攻击、端口扫描攻击以及蠕虫病毒)。像许多防火墙技术一样,Windows 防火墙也是一种基于状态检测的防火墙。同时,Windows 防火墙还能够检测并筛选 Internet 协议版本 4 (IPv4) 和 Internet 协议版本 6 (IPv6) 通讯。除非未经请求的传入通讯是对主机发出的请求的响应(请求的通讯)或者是经特别许可的通讯(例外通讯),否则它将被丢弃。可以通过配置 Windows 防火墙设置,根据端口号、应用程序名或服务名来指定例外通讯。除了某些 Internet 控制消息协议 (ICMP) 消息,Windows 防火墙允许所有其他出站通讯。

Windows Server 2003 的原始发行版中未包含 Windows 防火墙。带有 SP1 的 Windows Server 2003 的所有版本中包含有 Windows 防火墙。

只有 Windows Server 2003, Standard Edition 的原始发行版和 32 位版本的 Windows Server 2003, Enterprise Edition 的原始发行版中包含有 Internet 连接防火墙。

有关详细信息,请参阅 Windows Server 技术中心(http://www.microsoft.com/)

数字身份管理服务 (DIMS) 和凭据漫游
DIMS 和凭据漫游可使用户在登录到任何加入域且运行带有 SP1 的 Windows Server 2003 计算机时,拥有可供应用程序和服务使用的所有证书和私钥,同时获得无缝且隐性式用户体验。管理员可以使用组策略来启用凭据漫游,从而可以自动与 Active Directory 用户对象同步用户证书和私钥,并复制这些用户证书和私钥。有关详细信息,请参阅 Windows Server 技术中心(http://www.microsoft.com/)
Windows Server 2003 保密信息
带有 SP1 的 Windows Server 2003 提供初始版本的 Windows Server 2003 中所没有的组策略设置。您可以在称为"Internet 通信管理"的新节点下的组策略对象编辑器中找到专用于帮助保护您隐私的新设置。在"Internet 通信管理"下的设置用于帮助您控制 Windows 组件与 Internet 通信的方式。带有 SP1 的 Windows Server 2003 的新增设置之一是"限制 Internet 通信",您可以使用此设置来同时控制多个与隐私有关的设置。有关隐私的详细信息,请参阅 TechNet 网站上的"Using Windows Server 2003 in a Managed Environment"(在受管环境中使用 Windows Server 2003)。(http://www.microsoft.com/)
为终端服务连接启用身份验证
使用带有 SP1 的 Windows Server 2003,您可以配置终端服务连接以使用用于服务器身份验证和加密的传输层安全性 (TLS)。TLS 通常是指安全套接字层/传输层安全性 (SSL/TLS)。默认情况下,在安装 SP1 时不启用 TLS。有关详细信息,请参阅 Microsoft 网站上的"Terminal Services Security"(终端服务安全)。

自 Windows NT 4.0 以后的新功能与更新功能

Windows Server 2003 家族提供了如下改进功能(与 Windows NT 4.0 相比),这些功能有助于提供更强的安全性支持:

加密文件系统
加密文件系统 (EFS) 补充了其他访问控制方式,并为数据提供了更高水平的保护。EFS 作为集成的系统服务运行,便于进行管理,使系统难以遭攻击,并且对用户是透明的。详细信息,请参阅加密文件系统
Internet 协议安全
可以用 Internet 协议安全 (IPSec) 来保证 Intranet 中的通讯安全,也可以用它来创建跨 Internet 的安全虚拟专用网络 (VPN) 解决方案。IPSec 是由 Internet 工程任务组 (IETF) 设计、用于加密 TCP/IP 通信的工业标准。详细信息,请参阅 Internet 信息服务

自 Windows 2000 以后的新功能与更新功能

Windows Server 2003 家族提供了如下改进功能(与 Windows 2000 相比),这些功能有助于提供更强的安全性支持:

TCP/UDP 端口所有权
新的 netstat 命令选项显示了拥有传输控制协议/用户数据报协议 (TCP/UDP) 端口的进程。可用此功能来配置安全服务器、安全审核和性能改进。
加密文件系统改进功能
已经用多种方法改进了加密文件系统 (EFS)。要使用较大的密钥才能获得更强大的加密算法。可以授予多个用户共享加密文件的权限。可以通过 EFS 加密脱机文件,以便保护本地缓存的文档。详细信息,请参阅加密文件系统
软件限制策略
使用软件限制策略,通过标识并指定允许哪些应用程序运行,您可以保护计算机环境免受不可信代码的侵扰。详细信息,请参阅软件限制策略
Internet 协议安全监视改进功能
Internet 协议安全 (IPSec) 监视改进功能包括 Microsoft 管理控制台 (MMC) 管理单元,此管理单元提供有关 IPSec 策略配置和活动安全状态的详细信息。此功能替换了 Windows 2000 中的 Ipsecmon.exe 监视程序。详细信息,请参阅 Internet 协议安全 (IPSec)


上传人:

分享于 2011-03-15 10:01:59

浏览:48  赞: 0

Copyright © 2011 HelpLib All rights reserved.   
内容合作 | 联系我们 | 关于我们 | 版权声明  |  如果智培  |  酷兔英语 站点地图
京ICP备05059198号-3