win server 2016正式商用
微软在10月13日正式推出win server 2016,并宣布正式商用,作为微软全新一代的服务器操作系统和数据管理平台,它们不光构成了目前微软全球构建Azure的基础,也是未来一段时间微软助推企业用户升级,更好地和Azure互操作混合云的一个平台,同时,也为企业IT带来了无限可能。不管是在哪个win server操作系统中,安全始终是最为重要的问题,微软在Windows server 2016中也是大大的提高了其安全性。此次提高安全性的方式与以往不同,微软关闭漏洞修复,提供工具减少钓鱼网站证书危险,超级管理员和不可信的二进制文件的风险。
微软相关技术人员称在过去安全是技术的一部分,不过现在安全需要单独对峙,安全成为了单独的程序,这也意味着它将作为重点中的重点来对待。Windows Server 2016旨在三个主要领域提供更好的安全性:特权账户,虚拟机安全,用户服务器和云操作系统的安全。
屏蔽虚拟机
对于所有优势,虚拟化造成了一些大问题,最值得注意的是单点故障。没有人对这个问题做过统计,即使我们已经知道这个问题几十年了,它是一个单点攻击。如果进入虚拟化主机,可以访问运行的所有50个或更多虚拟机,这将是一场灾难。攻击者可以窃取一整套封装在一个简单文件中的系统,可以将VM复制到USB上并在任何地方运行,因为VM不知道什么是有效的硬件和结构。任何本地管理员都可以撤消客户任何的自我保护,加密VM。
虚拟机在敏捷性方面非常棒,但在安全性方面并不是很优秀。在具有物理服务器的原始模型中,谁可以访问?答案是服务器管理员。但随着虚拟机的发展,突然有更多的人,更多不同的角色可以访问设备,并能够复制和查看数据。这是一个真正的挑战,特别是在托管环境中,微软设计了屏蔽虚拟机,只有虚拟机管理员可以访问。
虚拟安全模式使用硬件虚拟化来保护虚拟机免受本地管理员的破坏(这是Windows 10和Windows Server 2016用于保护登录凭据的相同技术)。如果是本地管理员,可以看内存中的一切,使用虚拟安全模式,在windows内核周边创建一个微小的包围,这意味着本地管理员无法通过内存窥探查找加密虚拟机的凭据。
主机监护服务是一个关键的基础设施,它运行在一个单独的域中,不与基础设施中的任何内容共享信任,它测量架构中服务器的引导过程,确保没有恶意软件进入,引导过程中没有被污染。同时监视代码完整性,以便只有被允许的进程才能运行。
外部攻击
就像美国国防部和英国国防部等政府机构正在计划采用屏蔽式虚拟机,当执行通用标准时,我们总是问的问题是,你对流氓管理员做了什么?我们一直说我们知道这个问题,但很难解决。微软一直在寻找如何在Azure和Windows Server上解决流氓管理问题。
Device Guard是一种新型的代码完整性策略,它限制了二进制文件的运行,而且不再只是应用于用户,它现在可以保护自己免受管理滥用,如果管理员篡改代码完整性策略并重新启动服务器,它会故意蓝屏。除此之外,Windows Server 2016还增加了另一个客户端功能 - Windows Defender反恶意软件。
微软希望除了基础架构以外的应用层面对网络访问和mapping配置可以完全通过网络来定义。大家把职权分清楚,网络的人只负责接入、核心交换,包括VLAN划分,而在网上应用层面的网络隔离、防火墙、负载均衡这些安全策略都通过软件定义。微软逐步把运营Azure上很好的基础设施管理工具、代码、经验都产品化,慢慢带入到企业级的产品里。同时根据企业用户反馈,又能够帮助Azure去运营更好的云服务,这是一个良性循环。
总体来说,微软在Windows server 2016的安全问题上可谓是下足了功夫,面对数字化转型为各行各业用户带来的发展机遇,微软正全力推进云计算、大数据、智能等技术领域的创新与应用,这是微软混合云推广的重要里程碑。
相关推荐:win server2016价格