 |
|
茫茫網海中的冷日
發生過的事,不可能遺忘,只是想不起來而已! |
|
|
恭喜您是本站第 1675135
位訪客!
登入 | 註冊
|
|
|
|
| 發表者 |
討論內容 |
冷日
(冷日) |
發表時間:2005/3/23 18:17 |
- Webmaster
- 註冊日: 2008/2/19
- 來自:
- 發表數: 15771
|
- [分享]Windows Server 2003 SP1跳板計畫二部曲
- Windows Server 2003 SP1跳板計畫二部曲
接替Windows XP SP2的氣勢,Windows Server 2003 SP1除了繼續提升Windows環境安全性,也替Small Business Server 2003、64位元延伸系統、R2等新版新作預先鋪路。
微軟正式發布Windows XP SP2距今已超過半年,2月8日這一天,Windows Server 2003 Service Pack 1終於到了發表候選版本第二版(Release Candidate 2)的階段。從XP SP2到2003 SP1這兩項重大更新,原先這都是為了提供給Windows下一個階段的要角Longhorn,所設定的強化安全性計畫,微軟命名為跳板計畫(Springboard initiative)。第一回合由Windows XP SP2在去年8月領軍殺出,當時Windows防火牆與其他軟體相容性,曾經引發一些爭議;第二回合則由Windows Server 2003 SP1壓軸,除集結2003上市至今的所有重大更新,以及套用與回應XP SP2帶來的安全性改良與管理能力調整,這一次2003 SP1的更新,如果去除掉與XP SP2相呼應的部分,其實整體新增的功能很有限。
先前XP SP2在個人端演出過幾回延遲發布的戲碼,因為微軟表示需要更多額外的時間測試,也就造成輿論開始聯想2003 SP1的既定發布行程可能受此影響,不過在新的年度,Windows Server 2003即將展開繁忙的新里程。
緊接在2003 SP1之後,與它最親密的Windows Small Business Server 2003(SBS2003)當然也將隨之發布SP1。在2005年微軟還將以SP1為基礎,陸續再發表64位元延伸系統(64-bit Extended Systems)專用的Windows Server 2003及Windows Server 2003 R2;同時將針對高效能運算環境,為x64的處理器平臺,特別推出Windows Server 2003 Compute Cluster Edition(CCE)。
2003 SP1雖然完成了跳板計畫的階段性任務,卻同時也為微軟進軍64位元延伸系統揭開序曲,接著才會迎向2007年的Windows Server Longhorn。
英文版3月底發行,中文版在4月底
目前Windows Server 2003 SP1 RC2,微軟在官方下載中心只開放英、德、日文等語言供大眾下載,中文測試光碟需向微軟索取。臺灣微軟伺服器平臺事業部產品行銷經理孫憶明表示,如果沒有延誤的話,微軟預計在3月底正式發布SP1英文版,中文版將在4月底現身,隔2個月後SBS 2003 SP1將依照既定時程推出。孫憶明說,SBS 2003 Premium 版SP1內含的ISA Server 2000英文版,屆時也會升級為ISA Server 2004中文版,既有SBS用戶如已使用ISA Server,到時候可能需重新安裝或升級ISA Server。
雖然Windows防火牆預設為關閉,微軟卻仍要面對處理伺服器應用程式相容性議題。例如Exchange、BizTalk、SQL Server等微軟伺服器系統的應用程式,預計隨2003 SP1陸續發布相應的Service Pack,只是目前還不確定影響的範圍。
新功能以輔助安全性設定與更新為主
XP SP2石破天驚地塞給個人端一堆數不清的全新功能,相較之下2003 SP1低調很多。也許因為許多新功能須經由個人端驗證,或者伺服器的重點在管理與穩定性,因此跳板計畫的第二階段,2003 SP1反倒小心翼翼只端出安裝後安全性更新(Post-Setup Security Updates,PSSU)和安全性設定精靈(Security Configuration Wizard,SCW)2道新菜。
安裝後安全性更新:2003 SP1並不像XP SP2在安裝後重新開機過程中,出現設定畫面要求使用者選擇自動更新,再接續開機的程序。SP1在完成初步安裝,第一次登入系統且連上網路時,PSSU首先會提示管理者套用重要的安全性更新套件,並引導設定系統自動更新的組態,完成2個步驟之後,伺服器會主動關閉所有進入伺服器的連線(inbound connection),假如PSSU沒有設定完成,下次登入時還會再啟動提醒管理者,「管理您的伺服器」功能選單也不會自動顯示,不過管理者還是可以手動從開始功能表中執行管理。
假如透過自動安裝(unattended setup)的方式或透過群組原則安裝,設定中包含預設啟用Windows防火牆時,PSSU就不會在首次登入時出現。「安裝後安全性更新」並不會出現在「開始」功能表中,只在特定的時機出現。
微軟認為,在「系統新安裝後」及「套用最新安全性更新前」的這2段時間內,Windows伺服器很容易因為這段空窗期,受到網路安全威脅挾持。因此2003 SP1會在這兩個時刻,暫時啟用Windows防火牆,而且封鎖所有進入伺服器的連線,直到新電腦「完全套用」最新的安全性更新為止。更新後,防火牆預設值仍舊維持關閉,除非管理者指定開啟防火牆。
安全性設定精靈:提供圖形化的精靈引導工具,藉由Windows Server 2003現有的伺服器角色架構,設定伺服器應具備的服務和網路埠等安全性,SCW將快速停用非必要的服務或網站延伸功能,封鎖用不到的通訊埠與網路卡,修改登錄值,以及設定稽核設定值。除了圖形化介面,SCW也提供命令列工具scwcmd.exe,可搭配使用分析、設定、登錄、還原、轉換與檢視等6種參數,並且支援設定與分析遠端伺服器群組。
安全性設定精靈會詢問一些有關伺服器角色的設定值,然後關閉執行這些角色所不需要的服務和通訊埠,協助設定細部服務的安全性,降低Windows 伺服器的受攻擊面。設定精靈採用可擴充的XML格式的安全範本知識庫,以定義不同的伺服器角色,管理者可根據需求建立範本,或是匯出範本,複製安裝到多部電腦。微軟本身也為本身的伺服器應用軟體,在安全設定資料庫中預先定義了50種以上的伺服器角色,包括Exchange Server、SQL Server等。
微軟將安全性設定精靈定位為選用元件,安裝完SP1,系統不會主動加入安全性設定精靈的功能,管理者須從控制臺內新增/移除程式的「新增移除Windows元件」中,手動加入Security Configuration Wizard元件。在開始功能表內的系統管理工具中,你也可以找到安全性設定精靈的程式捷徑。
在英文版RC2,SCW各個步驟可以運作得很正常。不過在中文版RC2中,我們無法透過SCW來建立新的安全性,系統會出現「程式庫未登錄」的訊息,表示目前無法處理安全性資料庫。
Windows防火牆預設為關閉
XP SP2推出全新的Windows防火牆,2003 SP1也跟進,兩種系統的防火牆作用幾乎相同,不過SP1畢竟要考量伺服器環境,Windows 防火牆預設值是關閉的,必須手動啟用才能開始保護系統。
Windows防火牆整合PSSU和SCW的新功能之外,同時也順勢落實一些安全管理需求。
新的群組原則物件:先前的網際網路防火牆在Windows中只擁有1個群組原則物件,限制在DNS網域中使用網際網路連線防火牆。新的Windows防火牆帶來14個新的群組原則物件,例如保護所有網路連線、不允許例外、定義程式例外等。
系統開機時刻安全性:過去版本的網際網路防火牆,因受限於服務的相依性,例如等待系統載入使用者模式與套用政策,導致防火牆無法及時在網路堆疊來臨前,發揮過濾的效果。
SP1為防火牆增列了一條「開機時間原則」(boot-time Policy)的靜態規則,允許電腦在使用DNS、DHCP或與網域控制站互動時,取得政策設定。開機時會先套用開機時間原則,當防火牆啟用之後,再自動移除開機時間的原則過濾器,並且套用系統執行時的防火牆規則。不過假如Windows防火牆服務預設為停用或手動啟用,開機時間原則的設計即無法適用。
從資源工具中獨立的遠端存取隔離
由於Windows伺服器本身具備架設虛擬私人網路(VPN)的服務,當伺服器作為網路出入口時,如果能夠在趁機對VPN連線的用戶端電腦的安全性作好把關,可提升企業網路的安全度。
遠端存取隔離服務,能夠針對不符合目前安全更新要求的電腦,自動限制VPN使用者的網路連線存取。微軟表示用戶端檢測(VPN Client Inspection)將可以要求用戶端維持一定程度的安全性,查驗連線端電腦是否具備符合要求的Service Pack與安全性更新、防毒軟體與更新病毒碼、Windows防火牆,以及是否啟用以密碼防護的螢幕保護程式等。微軟雖然早在去年公布供驗證指令碼(VBScript)的範例,不過這部分看來需要管理者自行依需求手動調整。
這種網路存取隔離控制並非全新概念,先前已涵蓋在Windows Server 2003的資源工具內。SP1發布後,微軟將正式宣布支援。如果管理者想應用,須手動從「新增/移除Windows元件」中加入管理與監控工具內的連線管理員系統管理組件(Connection Manager Administration Kit,CMAK),以及網路服務中的遠端存取隔離服務,取得通知元件Rqc.exe和接聽元件Rqs.exe。
遠端存取隔離服務非僅止於此,微軟計畫在未來繼續強化,擴充為網路存取防護(Network Access Protection,NAP)和區域網路隔離(LAN quarantine)。
Active Directory、IIS微幅調整
SP1為Active Directory改良了11種新的功能,例如安裝DNS伺服器的安裝媒介改善、支援虛擬伺服器中架設網域控制站、提升網域控制站的名稱解析,以及簡化伺服器中繼資料移除過程等。
IIS 6.0在安全性與效能有新的進展。IIS 6.0的組態設定資訊存放在Metabase中,原先系統即具備Metabase 歷程記錄設定功能,能夠自動追蹤儲存到磁碟的Metabase變更。SP1提供的Metabase稽核功能,會進一步將稽核事件發布在Windows的安全事件記錄中,記載變更的項目、時間、操作者、成敗及遠端變更的時間。IIS也強化幾項追蹤的功能,例如目前HTTP要求執行的狀態、HTTP要求經過IIS元件、IIS Admin service的啟動與關閉。IIS集中監控記錄所採用的格式,也將支援W3C延伸記錄檔格式。
強化IE、DEP與RPC、DCOM
2003 SP1承襲了XP SP2強化的網路安全性,舉凡IE資訊列、附加元件管理、限制ActiveX安裝等。在Windows Server 2003,如果不想受到「增強式安全性設定」的限制,很多人為了能更流暢地瀏覽各網站,往往會選擇將IE的安全性預設層級調降為中安全性,不過在中文版RC2,你將無法調低安全性。奇妙的地方在於英文版RC2沒有這種限制,預設層級設定為中安全性,除非強迫套用(Apply)高安全性。
如果瀏覽器無法調低安全性,為了兼顧方便和安全性,我們認為也許該順勢換成Mozilla Firefox,對於將Windows Server 2003當成日常工作與技術開發平臺的人員來說,會比較方便。
SP1同樣具備了資料執行防止(DEP)功能,能監視與判斷程式是否安全地使用系統記憶體。XP SP2預設值只為基本的Windows程式和服務開啟DEP,而2003 SP1安裝後,將為所有的Windows程式和服務開啟DEP。資料執行防止可設定例外清單,是否防護基本或全部服務,管理者都可以依照需求手動調整,假如取消DEP,系統也會有嚴重警告。
為了提升遠端程序呼叫(Remote Procedure Calls,RPC)服務的安全性,2003 SP1加入一組新的登錄機碼RestrictRemoteClients,可以修改所有系統中所有採用RPC介面的行為,減少遠端匿名存取RPC。
DCOM安全認證模型也受到強化。當程式開啟時,系統會比對電腦存取控制清單(ACL)。新的認證方式為所有程式呼叫提供了最低的授權標準,可區別使用者是否具備存取系統服務的權限,防範匿名攻擊。
Service Pack與R2未來定位
微軟將Service Pack定位為用戶環境必須安裝的更新套件,至於Windows Server R2將背負不同性質的任務。R2同樣以Windows Server 2003 SP1為基礎延伸,將針對一般企業分公司或外駐點提供特殊環境的伺服器部署與管理,預計會提供邦聯式的身分辨識(Active Directory Federation Services)、版權管理服務(Rights Management Services),以及行動工作者與居家工作者的存取模式。
孫憶明認為,R2不是一個全新而人人必要的版本,也不等於Service Pack或是一個標準化的基礎版本。R2並不特重更新與功能集結發行,而且每個企業不一定都有需要用到或購買。相對地,微軟反而會希望,所有的用戶都應盡量套用Service Pack更新套件。
在2003 SP1發表後,跳板計畫算是大功告成,2005年微軟伺服器平臺後續一波的主力戰場,將會極力主推64位元延伸系統的應用。文⊙李宗翰
Windows伺服器產品藍圖
2005年上半
Windows Server 2003 SP1
Windows Small Business Server 2003 SP1
Windows Server 2003 for 64-bit Extended Systems
Feature packs:Windows Update 服務
2005下半
Windows Server 2003 "R2"
Windows Storage Server "R2"
Windows Small Business Server "R2"
Windows Server 2003 Compute Cluster Edition Windows Server Longhorn Beta 1
2006
Windows Server Longhorn Beta 2
Windows Server 2003 SP2
2007
Windows Server Longhorn
2009
Windows Server Longhorn R2
http://shoppingguide.ithome.com.tw/special/special2005-03-23-003.html
|
|
|
|
|
|
