管理使用者身分識別是現今許多企業的首要優先順序。人們需要使用不同類型的裝置,以存取公司網路中多樣的系統與資源,但由於許多系統無法彼此互相通訊,因此同一個人擁有多重身分識別的情況相當普遍,因而使管理這些重複的身分識別變得極為複雜、浪費時間及增加因錯誤而造成的安全性風險。
概觀
Microsoft Identity and
Access 解決方案是設計來協助企業管理使用者身分識別及存取權限的一套平台技術和產品,由於這些解決方案均著重於安全性及容易使用方面,因此有助於企業提高生產力、降低IT成本,及排除身分識別及存取管理的複雜度。
Microsoft Identity and Access 解決方案分為5個不同的領域:
-
簡化使用者和裝置的管理。
-
超越使用者名稱和密碼的安全存取。
-
跨越組織界限安全地進行協同作業。
-
隨時隨地保護機密資料。
-
自動化身分識別和存取管理。
Windows Server 2008 係以 Microsoft Identity and
Access 為基礎,擴充多項嶄新功能和技術,協助企業改善營運效率、簡化法規遵循以及強化安全性。
目錄服務有何新功能
唯讀網域控制站:唯讀網域控制站(RODC)是 Windows Server 2008 中 Active Directory Domain Services(AD
DS)最重要的新增功能之一,是一個可輕易部署存放網域資料庫唯讀複本的網域控制站。RODC 特別適合用在網域控制站的實體安全性無法確保的地點、網路連線能力可能會對生產力造成負面影響之處,或者用在其他應用程式必須在網域控制站中執行並需要由伺服器系統管理員(此管理員最好不是 Domain
Admins 群組的成員)維護的地方。上述所有情境都是分公司部署時常見的情況。
RODC 擁有與可寫入網域控制站相同的物件和屬性,然而,源自本機的變更並不會套用到 RODC 複本本身,而是這些變更會先套用到可寫入網域控制站後,再複寫回 RODC,如此即可透過資料複本避免分公司對資料所做的更改可能會破壞或損毀 AD 樹系的情形。
系統管理員還可專為儲存(快取)使用者憑證特別設定一個 RODC。當使用者首次嘗試驗證進入 RODC 時,RODC 會將請求轉送到可寫入的網域控制站,若驗證成功,RODC 還會要求一份使用者憑證的複本,「密碼複寫原則」(Password
Replication Policy)會判斷憑證是否允許在 RODC 上進行複寫與快取,當憑證被快取後,在使用者再度嘗試登入時,登入要求便可由 RODC 直接服務,直到經由複寫收到後續的憑證變更通知。憑證快取可減緩分公司常遇到的廣域網路(WAN)延遲或網路連線能力問題所造成的影響,進而提升使用者的生產力。
AD DS 還會維持一份存放於 RODC 內的所有憑證清單,若 RODC 曾受到危害,系統管理員亦可對所有存放於 RODC 內的使用者憑證強制執行密碼重設。
RODC 還有一項委派功能提升的特點,可將安裝和管理工作委派給分公司的非系統管理人員,分公司的人員即可透過將伺服器連接至由系統管理員預先產生的 RODC 帳戶完成安裝,此功能可讓分公司網域控制站免於使用發行前中繼站台(Staging
Site),或者避免派送安裝媒體與網域系統管理員至分公司。
Active Directory Federation Services:Active Directory Federation
Services(AD FS)是 Windows Server 2008 作業系統的伺服器角色之一。您可以使用 AD
FS 建立具高延展性、網際網路擴充性及安全性的身分識別存取解決方案,並可跨多平台運作,包括 Windows 以及非 Windows 環境,且由於 AD
FS 含有一項原則匯入/匯出的功能,因而將更易於在結盟合作夥伴之間建立信任合作關係。AD FS 亦新增了一個成員資格提供工具,讓您能利用以角色為基礎的授權方式,授權 SharePoint
Services 和 Rights Management Services(RMS)給結盟合作夥伴的使用者,以及讓系統管理員可透過群組原則(Group
Policy)限制聯邦式服務的部署,且 AD FS 目前亦可支援不同的憑證註銷檢查設定。
目錄服務稽核:系統管理員現可經由新的「目錄服務變更」(Directory Service Changes)
稽核原則子類別進行精細的稽核。「目錄服務變更」稽核原則會擷取發生在「目錄服務」物件或其屬性內的新舊變更值,以便讓系統管理員能夠確實瞭解誰做了變更、何時發生變更、哪些物件和/或屬性已經變更以及開始和結束值為何。「目錄服務」稽核會被擷取存放在 Windows
Event Log 中,並可經由 Microsoft Operations
Manager 或其他協力廠商工具加以整合或採取行動,此詳細的紀錄層級將有助於簡化「目錄服務」變更管理追蹤,以及增強企業的法規遵循。
伺服器核心(Server Core)角色:AD DS 和 Active Directory Lightweight Directory Services(AD LDS)是 Windows Server
2008 伺服器核心安裝所支援的角色,伺服器核心是新的安裝選項,可用以建立低維護的環境,是一項最適合以角色為基礎的特定服務。伺服器核心是專為降低管理和服務需求而設計,同時也可限制 Windows
Server 2008 安裝的攻擊表面。
以服務為基礎的 AD DS:AD DS 在 Windows Server 2008 內是以服務為基礎,其可使用 Microsoft
Management Console(MMC)嵌入式管理單元(snap-in)或經由命令列停止與啟動 AD DS。以服務為基礎的 AD
DS 可降低執行離線作業所需的時間(例如離線磁碟重組或經授權的還原),進而簡化管理工作,此外 AD DS 還可在進行 AD
DS 維護期間,讓網域控制站內執行的其他服務保持於作用狀態,進而改善這些服務的可用性,而專門聯繫至已停止運作之網域控制站的任何用戶端,亦均可經由查詢輕易地與另一個網域控制站聯絡。
AD DS Snapshot Viewer:Snapshot Viewer 可顯示隨時擷取下來的 AD
DS 快照中的物件資訊,協助您找出被意外刪除的物件。您可以在網域控制站上檢視這些快照,而無需將網域控制站啟動為 Directory Services Restore
Mode,即可藉由比對物件在不同快照內的各種狀態,更輕鬆地決定要使用哪一個 AD DS 備份,還原被刪除的物件。
精細密碼和帳戶鎖定原則(Account Lockout Policy):精細密碼原則允許您針對單一網域的不同使用者群指定多重密碼原則,以及運用不同的密碼限制和帳戶鎖定原則。
從媒體安裝:您可以使用從媒體安裝(IFM)選項在現有網域中安裝額外的網域控制站,以及減少安裝期間的資料複寫流量。
增強式驗證有何新功能
Cryptography API: Next Generation:Cryptography API: Next
Generation(CNG)是 Windows Server 2008 中一套全新的,且已實施 National Security Agency 的 Suite
B 協定建議的基礎架構應用程式設計介面(API),Active Directory Certificate Services(AD CS)可運用 CNG 處理密碼編譯需求,CNG 亦會長期取代舊版 Windows 中的 CryptoAPI。
在 AD CS 中,除了可經由 CNG 金鑰提供者支援如 Elliptic Curve Cryptography(ECC)等密碼編譯新演算法之外,還可經由憑證服務提供者(Certificate
Service Provider,CSP)支援傳統的密碼編譯演算法,此外,CNG 另具有一項獨特的功能,即為提供企業可視需要運用自訂密碼編譯演算法的能力。
精細的系統管理模式:AD
CS 採用新的安全性功能,可提供有關誰能註冊憑證、他們所能註冊的憑證為何,以及誰能獲得憑證的精細控制,這些管理功能可將 AD
DS 安全性群組整合至註冊代理程式與「憑證管理員」(Certificate Managers)的管理工作中。
V3 憑證範本:在 AD CS 中,V3 憑證範本已取代了存在舊版 Windows 內的 V1 與 V2 憑證範本。V3 憑證範本可支援最新的 Windows
Server 2008 CNG 密碼編譯演算法,還可提供網域控制站的用戶端更安全的驗證方法,並能將與用戶端和伺服器 AD CS 相關的通訊加密。
全企業的公開金鑰基礎結構(PKI)管理:PKIView 是 Windows Server 2003 Resource
Kit 的一部分,但現在若在 Windows Server 2008 中安裝 AD CS,PKIView 同樣會加入系統中成為一個 MMC 嵌入式管理單元。
PKIView 可在一個單一系統管理介面內結合重要必備的憑證授權單位(CA)管理工作,簡化企業的 PKI 管理。由於此整合式檢視可藉由透過 Unicode 字元支援提供全域支援來移除地理界限,因此利用此整合式介面,系統管理員可擁有:
-
完整 PKI 基礎架構的單一階層式檢視,內含所有已在 AD DS 拓撲登錄以及參與 AD DS 拓撲的 PKI 基礎架構。
-
父系/子系的關係檢視 ― 當特定 CA 根節點被選取後,在根節點樹狀結構內會詳細列出所有隸屬其下的 CA。
-
擁有直接管理介面範圍內每個節點的能力。
-
以顏色標記標示 CA、樹狀結構,或整個企業 PKI 的整體健康狀態。
支援最新的標準:Windows Server 2008 中的 AD CS 可支援最新的標準,包括 Online Certificate Status Protocol(OCSP)、Issuing Distribution Point Extension(IDP CRL),以及 Simple
Certificate Enrollment Protocol(SCEP)。
資訊保護有何新功能
同盟協同作業:Windows Server 2008 提供了第一套全面整合 Federated Rights Management
Services 解決方案的設計。此整合結合了 Active Directory Federation Services(AD FS)與 Active
Directory Rights Management Services(AD RMS)各個層面,提供一個部署簡易的外部協同作業架構。
在 Windows Server
2008 推出前,與外部企業進行受權限保護的協同作業,需由IT系統管理員在內部維護一套供外部使用者使用的第二憑證集,這些整合通常是網域帳戶或某種形式的「護照」整合,但在運用 AD RMS 與 AD FS 的功能整合後,主領域(網域控制站)即會在外部使用者最初嘗試存取企業內的受保護內容時進行驗證,因而可排除維護一份重複憑證集的需求。
當這些外部使用者通過驗證,將會強制套用 AD RMS 原則,AD RMS 亦會自動提供適當的內容授權給外部使用者,讓外部使用者能存取企業內的受保護內容,但系統管理員對這些外部使用者如何與企業內容互動將擁有精細的控制,並可定義可套用於多重合作夥伴關係上的範本。在 Windows
Server 2008 內的 Federated Rights Management Services 能完全相容現有的 Microsoft Office SharePoint Server 2007 部署,並能完整支援位於下層的 AD RMS 用戶端。
通用管理主題:AD RMS 已轉變成更熟悉的管理架構,過去的 AD RMS Web 式系統管理介面則已演變成 MMC 嵌入式管理單元,此外,由於可提供快速連結至必要、建議及選擇性組態設定工作的工作導向介面,而使管理 AD
RMS 變得更有規則,因為其具有四個新的安全性群組,可讓系統管理員委派 AD RMS 管理工作給特定的使用者或群組。
Windows BitLocker Drive Encryption:Windows BitLocker Drive
Encryption 是一項資料保護功能,此功能在適用於用戶端電腦的 Windows Vista Enterprise 和 Windows Vista
Ultimate 以及所有 Windows Server 2008 版本中均有提供。Windows BitLocker Drive
Encryption 是 Microsoft 所提供的一項嶄新功能,可因應因 PC 硬體遺失、被竊或不當卸除而造成資料被竊或洩露的真實威脅。
Windows BitLocker Drive Encryption可防範欲將其他作業系統開機或執行駭客軟體工具的有心人士,入侵 Windows
Server 2008 檔案與系統保護或離線檢視存放於受保護磁碟機內的檔案,因為此功能可完美地運用 Trusted Platform
Module(TPM)1.2,保護資料和確保執行 Windows Server 2008 的電腦在系統離線時不會被修改。 Windows BitLocker
Drive Encryption 可藉由結合兩項主要子功能增強資料保護:完整磁碟機加密與較早啟動元件的完整性檢查。
進一步瞭解
Windows
BitLocker Drive Encryption。
