Windows Server 2012 中安全和身份标识的改进 - Windows Server 2012 技术白皮书

在有效增加灵活性并降低成本的同时，混合云的实现、移动办公人员以及与第三方商业伙伴更紧密的合作等因素导致需要具备一个能渗透的网络外围。当组织将更多的资源从内网移动到云端，并且开放防火墙允许外部的移动办公人员和商业伙伴访问网络时，管理安全、标识和访问控制就成为 IT 专业人员更大的挑战。此外，由于监管要求，如健康保险流通与责任法案（HIPAA）隐私规则和 2002 年萨班斯 - 奥克斯利法案（SOX）变得更加严格，合规性变得更加昂贵。

为了应对这些挑战，Windows Server 2012 通过下列新增和改进的功能，使得您能更容易，并能用更低的成本保护宝贵的数字资产的安全，满足合规性要求：

• 动态访问控制（DAC）。DAC 是一个新功能，可在文件服务器上实现满足业务和监管要求的自动化的信息管理。
• Active Directory 服务新特性。 部署、管理和虚拟化在此版本中均有所改善。Active Directory 域服务负责存储数据和管理用户与域之间的通信，包括用户登录过程，身份验证和目录搜索。
• Hyper-V 可扩展虚拟交换机。 Hyper-V 是 Windows Server 中的一个角色，该技术使得多个服务器可运行在一台主机的虚拟环境中。Hyper-V 新的可扩展交换机功能为在虚拟环境中的多租户数据安全提供了改进。

本文为IT专业人士提供了有关 Windows Server 2012 中安全和身份标识管理技术的介绍。

使用老版本 Windows Server 保护数字资产

IT 专业人士今天面临的一个主要障碍是，有数量庞大的重复性工作需要完成，特别是当涉及大量物理或虚拟桌面环境时。手动配置不仅费时，还有很大可能会导致错误和配置疏忽，影响系统的安全性。在老版本Windows Server中，微软的工作重点是努力减少这种类型的工作。例如，带有Service Pack1（SP1）的 Windows Server 2008 R2 包含以下改进：

• 文件分类架构（FCI）。这个新的基础架构通过对文件添加标记实现分类，使 IT 专业人士能够依据文件在企业中的价值，更轻松地管理文件中的非结构化数据。
• Active Directory 域服务。 作为信息保护解决方案的一部分，Active Directory域服务得到了改进，使得域控制器更容易部署在组织内部和云中。
• 系统管理和安全。 Windows PowerShell 2.0 中的命令行接口使专业人士在桌面部署和管理中涉及的很多常见任务得以实现自动化。

使用 Windows Server 2012 保护数字资产

在 Windows Server 2012 中，微软基于以前的改进，使其配置、管理、用户的监控、资源与设备的管理更加容易，借此可提高安全性并实现自动化审计。此外，Windows Server 2012 在安全和身份标识管理方面包括以下新增和改进的功能：

• 动态访问控制（DAC）。DAC 让您在整个组织中，依据共享文件和访问这些文件的用户特点，自动地控制访问和审计。它使用声明来完成高级别的访问控制。包含在安全令牌中的声明，由用户或设备的声明组成，例如名称或是类型、部门、安全检查等等。您可以使用用户声明，设备声明和文件分类标签来集中控制和审计文件的访问，就像使用权限管理服务 (RMS) 在您整个组织中保护信息一样。
• Active Directory 域服务。Active Directory 域服务在混合云的基础架构中是非常重要的，因为它满足了在安全、合规和访问控制方面更严格的需求。进一步来说，不像许多竞争对手提供的云服务，要求用户使用由服务提供商托管的单独一套凭据，Active Directory 域服务只为用户提供一套凭据，保证用户访问资源的连续性，无须关注资源是在内部还是在云中。全新的部署向导和克隆虚拟域控制器的支持使得 Active Directory 域服务更加容易虚拟化，以及在本地和远程部署。Active Directory 域服务集成了 Winows Power Shell 3.0的支持 ，当您在服务管理工具的界面执行任务时，可以捕获和记录 PowerShell 的命令语句，改进手动任务的自动化。Active Directory 服务其它的新特性还包括桌面激活支持和组托管服务帐户。
• Hyper-V 的可扩展交换机。为私有云和基础架构即服务 (Iaas) 环境提供更安全和稳定的计算环境，Windows Server 2012 中新的 Hyper-V 可扩展交换机增强了安全性和隔离性。 它提供基于策略的软件控制，支持隔离多租户和维护安全。

本文下文将详细介绍这些新功能。