3)设备安装控制
另一个困扰业务系统的安全问题是USB设备的广泛流行。无论文件服务器的安全级别有多高,文档自我毁损功能有多好,以及无论对保密文档采取何种内部控制措施,一个用户只需要简单地插入一个USB磁盘,就能复制走数据,且完全可以绕过物理安全检测。
众所周知,企业的磁盘中通常包含了非常敏感的信息,但这些信息却往往被人存放在USB移动硬盘或笔记本电脑等容易泄密的地方。这一问题已日益严重,有的公司为了禁止使用USB设备,甚至在USB端口上抹上胶水。
而在Longhorn Server中,管理员有权禁止安装新设备,包括U盘、外部移动硬盘等。管理员还可以根据设备类型或设备ID来设置一些规则,如只允许安装鼠标和键盘,不允许安装其他设备;或者只允许安装某种品牌的产品,不允许安装其他品牌的设备。这些都可以通过组策略(Group Policy)来设置,而且都是在计算机层面进行设置的。
4)带有高级安全特性的Windows防火墙
与Windows XP SP2一样,当初Windows Server 2003 SP1也带有Windows防火墙。不过,微软将防火墙和Service Pack 1捆绑在一起,只是权宜之计。现在,微软全新的Windows防火墙拥有高级安全特性,并将防火墙和IPsec管理组合形成了一个方便的MMC snap-in,如图2所示。
图2 MMC snap-in高级安全的Windows防火墙 为了减少冲突,更好的协调过滤器和IPsec,防火墙引擎的体系结构也已经改头换面。它新增了更多规则性功能后,您可以显性指定安全要求,比如说认证和加密。凭借一个per-AD计算机或者用户组基础,您可轻而易举地配置设置。
外部过滤器也初次登台——在前版本的Windows防火墙中只有一个内部过滤器。此外,镜像支持也有所改善——基于单台电脑,当一台机器连接一个域时,系统将自动产生镜像文件,包括私有网络连接镜像和一个公共网络连接镜像,比如说无线热点(wireless hot spot)。此外,策略导入导出非常简单,维持了多台电脑防火墙配置管理的一致性和方便性。 |