Windows服务器

安全保障

播报

编辑Windows服务器容器技术凭借着其轻量级的资源需求、快速部署和巨大的可扩展性优势吸引IT行业的重大关注。不过Windows服务器其中一种最流行的容器引擎是基于Linux平台的Docker，Windows服务器正努力去解决一些重要的安全问题。Windows服务器的Docker的安全问题起源于容器实例之间隔离的缺失。从最简单的角度来看，每一个Windows服务器容器都共享同一个宿主OS内核，函数库和文件。如果一个Windows服务器恶意程序或者其他安全事故突破了其中一个容器而且访问到根OS，那么这个OS下面运行的所有容器都有可能受到危害。一个Windows服务器容器在运行的时候可以直接和宿主内核进行通信，而且Linux也不会对Windows服务器主要内核进行拆分子系统或者子设备，也不会去保护Windows服务器。这意味着如果你可以和内核或者设备进行通信的话，你就有可能危害整个Windows服务器系统。尽管Docker承诺了未来会发布Windows服务器安全方面的改善，下面还是给大家介绍一些保护Windows服务器的Hyper-V容器的策略。1. 限制Windows服务器容器使用你了解和信任的Windows服务器机构的工具，避免使用任何你在Internet上找到的有趣的Windows服务器工具或者其他的东西。2. 勤奋地测试和应用Linux补丁和安全更新。相信OS支持，就像Red Hat Enterprise Linux可以帮助你找到和修复Windows服务器漏洞一样。3. 有可能地使用非root的身份来运行Windows服务器容器，而且一旦可以的话就去除root权限。不管怎样，都要想象Windows服务器容器中的root权限是和Windows服务器容器外的root权限是一样的。Windows服务器中的Hyper-V容器使用了Hyper-V来首先创建一个VM作为Windows服务器隔离。一旦VM建立好了，可以安装Linux OS和Docker引擎来支持Windows服务器容器运行。这是一种Windows服务器嵌套虚拟化的方式。如果Windows服务器容器和之上的Linux OS受到危害，那么整个Windows服务器安全问题只会影响到Hyper-V VM内部。虽然Windows服务器容器这个概念已经存在很多年了，但是Docker引擎引起了人们对这项Windows服务器技术的新的兴趣。微软希望它的Windows服务器使用原生的容器和Windows服务器嵌套虚拟化，把Windows服务器容器从Linux部署环境迁移到Windows服务器的环境中。Windows服务器也承诺引入合理化管理和改进Windows服务器容器实例间的隔离，帮助组织拥抱和扩张Windows服务器容器的部署。IT员工应该很快就可以在技术预览版本尝试Hyper-V容器，并且为采用Windows服务器和Docker容器做好计划。 [3]

用户策略

播报

编辑虽然在Windows服务器系统中，微软官方发布了许多新的功能和特性，但是在Windows服务器用户组策略功能上却与以前的系统版本没有大的变化。尽管微软公司有可能在Windows服务器和Windows 10中引入一些特殊的组策略功能，但是整个Windows服务器组策略架构仍没有改变。在Windows服务器系统中，系统用户和用户组策略，Windows服务器管理功能仍然存在（见图 1）。这些Windows服务器组策略设置权限可以在域、用户组织单位OU、站点或本地计算机权限层级上申请。Windows服务器预览版2中的组策略编辑器图 1. Windows服务器预览版2中的组策略编辑器与之前的Windows服务器版本相比，Windows服务器系统在组策略配置方式上发生改变。在Windows服务器系统中，微软鼓励用户使用最简便的方式配置服务器操作系统。Windows服务器使用图形化进行配置管理并不是最优的方式（见图2）。Windows服务器在操作系统安装选项下的描述中就解释到：如需考虑需要与以后的Windows服务器系统版本兼容的情况，推荐用户在安装Windows服务器操作系统的同时，选择安装本地管理工具。Windows服务器图2. 安装Windows服务器系统时，微软推荐不要安装本地管理工具这种安装方式随之带来的问题是：怎样访问组策略编译器。对于不同的安装式，你需要使用不同的方法。因为本文测试环境使用的是Windows服务器预览版，所以现在文中用到的方法以后也可能会发生变化。但是如果你已经安装好了本地管理工具软件，那么访问用户组策略的方式与Windows服务器系统下使用的方式相似。现在，甚至对于已安装本地管理工具软件的Windows服务器系统来说,系统管理仍不方便。使用者除了通过命令提示窗口和服务管理器的接口外，已没有其它方式，因为没有系统桌面，没有开始菜单(见图3)：Windows服务器图3. 这就是Windows服务器 预览版2中的系统管理界面在Windows服务器预览版2中，仍然保留了大部份Windows服务器风格的管理工具，但是想访问那些管理工具却不能凭以前的经验。例如在Windows服务器系统管理器，虽然设置了到Windows服务器本地安全配置服务的链接，却没有把用户域组策略的功能包含进来。如果你想访问Windows服务器用户管理和部份本地安全策略，你需要切换到Windows命令提示界面，进入到C:%systemroot%system32目录，然后执行GPEDIT.MSC命令（见图4）：Windows服务器图4. 你可以在命令提示界面中使用GPEDIT.MSC命令，以加载Windows服务器用户策略编辑器。对于没有安装本地管理工具的Windows服务器操作系统来说，你只有选择使用Windows服务器远程终端管理用户组策略或使用PowerShell命令。如果你想通过Windows服务器远程终端管理用户组策略，你至少需要一个已装安装好Windows服务器本地管理工具的终端。在Windows服务器终端操作系统的命令提示符中，键入MMC命令。加载完成管理界面后，从文件菜单中选择“添加/删除”组件。当你完成相应选择后，Windows服务器系统将给你一列组件清单。从组件清单中，选择“组策略对象编辑器”，并点击“增加”按钮。然后系统会提示你，需要选择管理哪台Windows服务器系统的组策略。点击“浏览”按钮，并选中需要远程管理Windows服务器用户组策略的系统(见图5)：Windows服务器图5. 点击浏览按钮，然后选择你想编辑的Windows服务器组策略另外一种方法是通过PowerShell命令来编辑管理用户组策略。在Windows服务器中，提供了一个完整的PowerShell软件模块用于Windows服务器用户组策略的管理。但是PowerShell用户组策略模块不会被默认安装，除非Windows服务器系统被配置为域控制器或Windows服务器系统中已经安装用户组策略管理终端软件。微软现在仍没有发布官方文档，说明在Windows服务器系统中哪些条件下，PowerShell用户组策略功能模块可用。当Windows服务器系统开始正始发布时，大部份公司很有可能选择Windows服务器远程管理用户组策略的方式，而不是选择安装本地管理工具包。虽然PowerShell也是一种可行的方案，但是在小规模的IT环境中，Windows服务器图形化管理方式明显更有效率。 [4]