揭秘Longhorn Server:身份与访问控制

阿呆和阿瓜

【IT168 专稿】在许多企业中，有关身份和访问控制的管理都被排在一个优先级很高的地位，因为随着企业结构的日益复杂，员工需要使用不同类型的设备访问公司网络系统和资源。然而又由于很多系统之间并没有连接起来，所以同一个用户往往要保存多种验证凭证。维护这些多样的凭证将是一件复杂、费时的事情，同时如果管理不当，也会增加安全隐患。    对此，微软并非无动于衷，无论是SSO，还是ADFS，都是针对这一问题的技术改进，微软并将这些技术统一为身份和访问控制解决方案，用于帮助组织管理用户的身份验证和相关权限。在解决安全和易用性等问题的同时，该方案还能帮助企业提升自身的生产力，降低IT开销，减少身份和访问控制的复杂性，而在即将面世的Longhorn Server中，这方面会得到更全面的增强——微软Longhorn Server 和 Windows Vista 在微软身份和访问控制解决方案的基础上，增加了许多新的特性和技术来帮助组织提高运行效率，加固安全性能。总的来说，新的解决方案的功能主要集中在以下三个方面：

• 新的目录服务
• 增强的验证方式
• 新的信息保护方式

一、 新的目录服务
    活动目录是Windows平台的一个核心的部件，活动目录服务提供了一种管理组成网络环境的各种对象的标志和关系的方法。Windows Server系统使得活动目录能够更为简单地管理、迁移和部署。同时活动目录的目录服务提供了单一登录的能力，并且为整个网络架构提供了一个集中的信息知识库，大大地简化了用户和计算机的管理，并提供了更好的网络资源访问方式。
    从Windows 2000 Server中首次引入，到Windows Server 2003得到完善，越来越多的企业开始规划自己的目录结构，面对更加多样的应用场景，新一代的Longhorn Server目录服务提供了更加灵活、更加安全的功能特性。其中包括：解决分支机构安全问题的只读域控制器，增强管理力度的目录服务审核，降低管理风险的服务器核心角色，以及全新的服务架构等特性。下面我们逐一加以介绍：

1）只读域控制器
    在Longhorn Server的Active Directory Domain Services (ADDS)中，最重要的一项改进就是只读域控制器（RODC）。一个只读域控制器允许用户简单的部署一台挂接了只读域数据库的域控制器，这样的部署将非常适合于那些物理环境无法有效保护域控制器安全的场合，如企业的分支机构。
    一个只读域控制器上存储着与可写域控制器相同的所有对象和属性，然而只读域控制器却没有本地修改的权限，这些改变必须经由一个可写的域控制器来完成，然后将它复制到只读域控制器上，这样的设计有效的避免了AD森林中由于域控制器之间的复制可能造成的风险。
    管理员同时也可以配置一台只读域控制器来存储用户凭证的缓存（cache），通过缓存技术，提高了分支机构用户的生产效率，减少了身份验证过程中经由慢速链路（WAN）所产生的延迟。同时ADDS还维护了一套只读域控制器上完整的用户凭证的列表，一旦一台只读域控制器出现了问题，管理员只需要为只读域控制器上存储的所有用户做一次密码重置就可以排除可能出现的安全隐患。
2）目录服务审核
    管理员现在拥有一个全新的目录服务更改审核策略子类，这个审核策略将会捕获到全部的目录对象的变化，以及它们的属性的变化。管理员可以清晰的知道谁，在什么时间，对那些对象或者是属性进行了修改，并且还可以看到这些数据的开始值和结束值。
    目录服务审核将在Windows 的事件日志中体现出来，当然用户也可以将这个策略与Microsoft Operations Manager或者其他的第三方工具联合在一起使用，这些详细的审核信息将大大简化企业内针对目录服务跟踪管理的工作量，同时也将提升组织内部的审核监管能力。
3）服务器核心角色
    服务器核心角色（Server Core role）是Longhorn Server 中一种全新的安装选项，它旨在通过一个非常简单的管理界面来维护特定的基于角色的服务，ADDS和活动目录轻量目录服务（Active Directory Lightweight Directory Services）都被包含在服务器核心角色版本中，通过这一版本用户可以降低管理和服务的要求，从而降低在Windows Server “Longhorn”安装过程中针对管理层面的攻击。
4）基于服务的ADDS
    ADDS在Longhorn Server中是基于服务的，它可以通过微软管理控制台（MMC）以及命令行的方式开启或者关闭。基于服务的ADDS通过降低离线操作的时间简化管理，例如离线的磁盘碎片整理或者是备份操作。该功能也增强了其他服务的能力，例如那些在域控制器上需要保持激活状态才可以进行的ADDS维护。而当域控制宕机的时候，用户也可以通过发现操作快捷的连接到其他的域控制器上。

阿呆和阿瓜

二、 增强的验证方式
    微软在其操作系统的身份验证技术方面一贯投入很大的精力，甚至希望将其自己的验证发展成为跨平台的业界标准。在Longhorn Server中这一方案又有了实质性的增强，从已经发布的Windows Vista中的Card Space技术，我们便可以看到微软已经做好了将其身份认证系统推广到客户和企业用户的准备，作为下一代平台的服务器端产品，Longhorn Server也在后台的技术上做了全面的增强。
1）Cryptography API
    Longhorn Server中新一代的Cryptography API(CNG)应用了一套全新的基础架构，该架构将执行National Security Agency’s Suite B协议，活动目录的证书服务（Active Directory Certificate Services）将更好的发挥其优势。Cryptography API将在一段时间内替代Windows之前版本的CryptoAPI。在AD CS中经典的密码算法通过certificate service providers (CSPs)继续提供服务，而新的加密算法，例如：椭圆曲线加密算法（ECC）则通过CNG key providers进行支持。
2）粒状管理模式
    AD CS提供了一个新的安全特性，在这个管理模式下，管理员可以控制证书的登记，以及申请管理，这些管理特性与AD DS安全组整合在一起，共同完成对于证书的管理工作。
3）V3 证书模板
在AD CS中，V3模板证书模板替代了之前Windows版本中的V1、V2版本，它们都会支持Longhorn Server 中的CNG加密算法，V3模板同时提供了更加安全的方式用于用户鉴别域控制器，并且实现客户端与服务器端AD CS相关通讯的加密操作。
4）企业级公共密钥基础架构（PKI）管理
    在Windows Server 2003的资源工具包中的PKIView工具，现在已经在Longhorn Server 中被作为一个AD CS安装的MMC snap-in直接出现。PKIView可以与证书颁发机构一起通过一个统一的管理界面来管理企业中的PKI，依靠一套统一的Unicode字符集解决了地理位置的限制。在统一的管理界面中，管理员可以实现：

• 在一个简单的，分级界面中完成完整的PKI架构的管理，展现一个AD DS的拓扑结构。
• 在查看父子关系的时候，当一个根CA被选中时，所有的子CA的细节都会显示在树中。
• 通过统一界面直接管理每个节点。
• 在整个企业PKI树结构中，通过颜色节点来标示整个CA结构的健康情况。

5）支持最新标准
    Longhorn Server中AD CS支持最新的标准，其中包括在线证书状态协议（OCSP）、事件分发点扩展（IDP CRL）以及简单证书登记协议（SCEP）。

阿呆和阿瓜

三、新的信息保护方式
    除去系统自身特性的增强，对于数据信息的保护也是操作系统关注的重点之一，如何快速、安全的访问不同分支机构的信息，如何为数据进行授权，如何防止信息泄漏，在Longhorn Server的设计中得到了相应的解答。
1） 联盟协作
    活动目录联盟服务 (ADFS)提供了基于 Web 的 extranet 验证/授权、单一签名登陆 (SSO) 和针对 Windows Server 环境的联合的身份服务，从而提高了在涉及 B2C extranet、intracompany (多森林的) 联盟和 B2B internet 联盟的场景中、现有活动目录部署的价值。而Longhorn Server是继Windows Server 2003 R2之后又一款全面符合整合联盟权限管理服务的平台，通过活动目录权限管理服务（AD RMS）与活动目录联合服务（AD FS）整合在一起简便的管理外部的协作框架。
    在Longhorn Server之前的Windows版本中，如果IT管理员要维护一个外部协作组织的权限管理，就必须要在内部为这些组织的用户维护一个二级的证书凭证。非常典型的例子就比如域账户或者一些通过Passport整合的账户。当通过AD FS的AD RMS特性来整合这些凭证的时候，外部用户访问一些受保护的文档时则只需要经由它们自己组织的授权就可以实现。这样就减少了一些不必要的凭证的维护工作。一旦这些外部用户被授权之后，AD RMS策略将会强制执行，同时AD RMS会自动为外部用户提供适合的权限来访问组织内部收到保护的文件。管理员可以管理这些外部用户的所有操作，甚至可以制定不同的模板来适应于多合作伙伴的管理模式，Longhorn Server中的同盟权限管理服务还全面适用于Windows SharePoint Services 3.0的部署环境，并且可以支持低级别的AD RMS客户端。
2）公共管理主题
    在Longhorn Server 中AD RMS的管理变得更加的友好，之前的基于Web界面的管理模板被更加常用的MMC snap-in工具所替代。除此之外，AD RMS的管理还增加了更多的说明和指导，在任务向导的界面中提供了“需求”、“推荐”、“配置选项”等链接，4个新的安全组则允许管理员将AD RMS的管理任务委派给特定的用户或者组。
3）Windows BitLocker 数据保护
    每一年都会有成百上千的没有安全配置的计算机丢失、被盗或者被淘汰。丢失或者被盗的计算机上的数据很容易被窃取——只需要将它安装在其他的操作系统下面，或者将磁盘移动到其他的机器上就可以轻松看到数据，这显然极不利于信息保护。
    BitLocker Drive Encryption是Longhorn Server和Windows Vista中的一个硬件级别的数据保护特性，用来在未授权的环境下保护计算机上的数据。通过加密整个Windows卷，它可以防止未授权的用户破坏Windows文件、系统文件来访问数据，或者通过离线的方式查看安全磁盘中的信息。
    BitLocker的部署和使用都很简单，它通过一个授权的管理员安全、简单的进行恢复。它使用Trusted Platform Module (TPM) version 1.2进行安全加密密钥保护。在计算机加载处理时检查和测试密钥组件。系统和硬件的整合在机器引导之前就需要做检查，如果系统文件或者数据被修改，那么计算机将不能被引导。BitLocker特性在活动目录中集中管理和存储加密密钥。同时它也允许IT管理员通过USB密钥或者一个隔离的文件来存储加密密钥。
    BitLocker同样提供了一个选项来锁定通常的引导处理，直到用户提供一个PIN码或者还有正确解密密钥的USB设备。这些额外的安全方法都提供了多种验证方式和保证，这样计算机从休眠状态恢复回来时只有提供了PIN码或者USB设备才能正常启动。
    综上所述，通过上述多种新技术，我们看到‘身份和访问控制解决方案’在Longhorn Server中得到了极大的增强，微软希望这些改进可以进一步帮助企业增强竞争力。而在对21家大型企业所做的“身份和访问控制解决方案”项目进行的调查也显示：拥有10000名员工的企业在实施了‘身份和访问控制解决方案’之后三年的时间里，ROI(投资回报)往往可以达到近300%!“身份和访问控制解决方案”的应用不仅能为用户带来更低的管理成本、更低的信息风险发生概率、更好的法规遵从，并能更快地交付增值的IT服务。相信随着Longhorn Server的上市，随着企业规模的不管扩大，对于信息化依赖程度的不断增强，会有越来越多的企业开始关注、购买和使用符合自身发展的身份和访问控制解决方案产品。

云杉上的蝴蝶

新的身份控制是确实能提高安全性，我和往常一样在Admini用户下把整个E区作为MyDocument的目标路径。
然后创建一个Power User 做日常操作，同样把整个E区作为MyDocument的目标路径，完了要E区下原有的目录对这个Power User变成只读的了。非要手动授权才能保存文件！