windows server 2012在安全性方面的改进有哪些

安全一直是IT部门关注的重点，微软也通过不断聆听客户的声音将一些好的创新应用到Windows Server的最新版本中，而且使它们部署起来更加方便。所有这些现象背后是微软对一些关键技术的改进，如NTFS的改进以及对旧版本BIOS的替换以提供新的安全功能。一句话概括就是Windows Server 2012点亮了Windows在企业中的安全之路。

简化的DirectAccess

IT部门一直宣称要采用一体化的企业远程访问机制，但至今都没有在企业安全需求和用户使用便捷之间找到平衡点。DirectAccess，这个最早出现在Windows Server2008和Windows 7 中的功能，通过将VPN作为网络后台组件（类似于自动配置DHCP的 IP地址）来满足这一需求。

使用DirectAccess的问题在于安装和排错。微软用户访问网关，IPv6以及加密问题都可能导致整个部署失败。

Windows Server 2012在安全性方面已经通过将DirectAccess划归为远程访问服务器角色中的选项而大大降低了复杂性和部署成本，现在DirectAccess和VPN拥有相同的选项复选框。对DirectAccess的设置也都集成到远程访问管理控制台中。

DirectAccess的向导首先检查先决条件，并建立网络位置服务器，IP-HTTPS和IPv6转换服务，如NAT64。如今，由IPv6带来的烦恼已经大大减少。以前的部署需要查阅几十页的文档。现在，整个部署只需要一个向导，这对于DirectAccess的部署是非常有帮助的。

文件安全性的巨大提升

在将所有文件转到SharePoint后，有关文件，文件服务器和文件权限的问题仍然是持续改进的方向，单纯的增加一台Web服务器并不能完全阻止安全威胁。开始时，文件服务器中的服务器消息块（SMB）协议的版本较低，到了Windows Server 2012，它已经升级到SMB 3.0。

SMB 3.0不仅在性能上大大提升，以充分利用最新的网络。此外它还集成了数据加密。这里的加密并不像IPSec那样对每一个数据包都进行加密，这不但增加了实施和排错的压力，而且很少人有愿意承担。相反，它是文件或文件夹级别的加密。SMB 3.0使用AES-CCM加密和AES-CMAC签名。

启用加密只需要简单的勾选一个复选框就可以完成。需要注意的是，使用加密的客户端和服务器都必须支持SMB 3.0，这就意味着只有Windows Server 2012和Windows 8之间才能进行这种加密连接，这种对客户端的要求可能会需要一些时间。如果环境中所有的客户端上没有全部安装最新的操作系统，请不要启用加密，因为这会让旧版本的客户端无法访问。

动态访问控制（DAC）是另一种针对文件级权限的安全技术。今天的IT环境中对文件的访问来自于不同类型的设备，访问文件的用户更是跨越多个作业类型和组织。访问控制的要求也不再局限在防火墙内测，它已经延伸到Internet。

DAC的目的是解决由NTFS升级和文件服务带来的最新挑战。DAC在标准的文件和共享权限上增加了一层，它可以通过策略控制文件权限，文件权限中的组成员关系和标签可以混合使用。将Active Directory联合服务和通过权限管理服务（RMS）进行的身份管理结合起来，便可以将权限扩展的内部网络之外。

这种基于声明的系统能够进行访问控制，审计和加密。例如，在一个文件上的标签可以触发策略自动加密文件。一个标签也可以允许其它组成员访问，如R&D用户和特别项目组的成员。这对于那些有监管要求的访问控制，以及文件权限控制都非常有帮助。

这种控制也可以定义到设备级别，对于那些已经整合移动设备或者已经实施BYOD的公司来说，这真是太棒了。当系统按照用户身份，设备身份认证和策略进行定义时，文件权限的概念将更多地集中在策略的排列顺序上，而对于以前那种用户在不同用户组中产生权限冲突的情况，则越来越少。访问被拒绝的提示信息也得到了升级。现在，你可以自定义用户收到的消息内容，甚至可以将用户的访问请求也整合进去。

启动安全有保障

现在，即使在最基础的层面Windows也会得到保护。BIOS引导（BIOS boot strapper）技术已经被统一可扩展固件接口（UEFI）所替代，管理员可以利用它来进行安全引导。在某些芯片中，这项技术饱受有争议，因为它将锁定操作系统。对于Linux用户来说，这是一个麻烦，但对于企业IT人员来讲，它阻止了从未经授权的固件，驱动程序和操作系统中进行启动级别攻击的风险。

BitLocker功能的一个持续改进就是网络解锁模式，它可以通过域中的受信计算机通过网络连接来解锁BitLocker加密的驱动器。你也可以在安装Windows之前对驱动器进行加密，部署也因此变得更容易。此外，更改密码和PIN码不再需要管理员权限凸显了使用的便捷性。通过只加密已经使用的空间可以大大提高系统性能，并减少了因加密那些没有使用的空间而进行的不必要的等待。

Windows Server 2012在安全性方面的改进令人印象深刻。在这些改进中，有很多创新的理念，如DirectAccess以及NTFS中基于声明的访问模式等等。这些创新对于你的数据中心来说都是非常值得采用的。

服务器安全包括如下几个方面：

1、物理安全：服务器的硬盘，电源，主板，赖以维持服务器正常工作的硬件，都是需要进行定期维护确保安全的，只有保证这些硬件的绝对安全才能保证我们的服务器能正常运行。

2、软件安全：软件安全包括系统安全，服务安全，漏洞安全，密码安全，网络安全

①、系统安全：系统本身是有很多一般都是比较安全的只要我们打好足够的补丁，但是系统文件我们创建好的网站目录权限，系统盘的关键位置例如temp的位置的权限设置。

②、服务安全：注册表和服务项一定要仔细进行检查严禁远程修改。

③、密码安全：对于弱密码要立即进行修改，密码强度要有数字加英文以及特殊符号进行整改

④、网络安全：防cc，抗doss是我们服务器安全很常见的问题了。也是防止木马病毒的入侵的必要的手段。

⑤、资源安全：进行资源监控保证资源不被篡改入侵是针对服务器一项很重要的安全措施能够及时帮助我们找出被篡改的资源，以及进行告警来帮助我们更好的管理服务器安全。

其实，安全域的合理划分也可以有效应对网络安全事件。从目前的拓扑来看，并没有安全域这个概念。比如，web服务这一部分的服务器，可以规划一个DMZ域，数据库服务器可以规划为数据库域，核心交换可以规划维网络交换域。各个部门之间规划成业务处理域。等等。。这样的话，安全域和安全域之间要有明确的边界，在边界处合理部署防火墙，通过防火墙进行有效限制。

为了预防黑客攻击，仅仅通过安全域和合理划分还是不够的。安全产品可以弥补漏洞和其他脆弱点带来的威胁。网站首页被篡改，可以在web服务前段部署WAF，开启网页防篡改功能，WAF产品还可以有效的对sql注入，跨站等owasp统计的十大威胁。当然部分厂商的waf是可以绕过的，只需要通过某些组合，因此在产品测试期间，一个良好的测试工程师是很有必要的。在一个就是数据库审计也很有必要，毕竟公司数据库服务器曾受过攻击。数据库审计可以有效的对数据库进行行为审计，及时发现可疑行为。关于ddos防护，可以采用黑洞产品。通过防火墙来进行防ddos，当流量过大是防火墙产不多就已经死掉了（亲自测试），所有黑洞产品一般部署在防火墙之前。在谈一下防病毒。防病毒可以再网络当中部署防毒墙。最好的建议就是在每一个客户端上安装symantec杀毒软件（企业版）或者趋势的杀毒软件。

上面都是从防来讲的，其实我们也可以主动出击，防患于未然。通过数据库漏洞扫描。主机漏洞扫描web漏洞扫描系统，结合渗透测试，对网络做出合理的评价。

从题目当中，可以知道这是锐捷的出的题目，最好就是能够运用上锐捷的产品。锐捷的下一代防护墙将前面的大部分的功能结合在一起，锐捷下一代防火墙，避开安全产品糖葫芦是部署方式，可以同时开启功能。考虑到网络延迟的问题，因此锐捷的下一代防火墙是最佳选择。再价格方面也具有一定的优势。要是成本不考虑的话对现有的网络进行改造，不建议采用锐捷下一代防火墙。毕竟锐捷是从网络产品起步，跟其他安全厂家，绿盟。启明，天融信。迪普。。等。。。还存在部分差距。总体上讲，锐捷产品还是不错的。

以上回答并没有完全回答完毕，要是完全回答完了，估计可以出本书了、、、只是捡了几条相对重点来讲的。望采纳

---