Windows Server 2008 R2 和Windows 7客戶端一起使用時可以提供更好更安全的計算環(huán)境，DirectAccess是Windows7的一項新功能，該功能可以允許用戶在沒有VPN的情況下建立一個遠程連接， 而Remote Workspace以及Presentation Virtualization和Remote Desktop Gateway功能可以允許用戶隨時隨地安全可靠地訪問其公司臺式電腦。本文中，我們將探討這些功能如何讓Server 2008 R2/Windows 7組合幫助企業(yè)提高Windows網絡的安全性。
　　由于微軟公司對可信賴計算的重視，每種新版本的服務器和客戶端操作系統(tǒng)都在變得更加安全。Windows Server 2008，特別是其最新代表R2為IT管理員提供了很多內置安全機制。但是，保護服務器安全還只是解決了一半安全問題�？蛻舳艘渤３３蔀楣�擊者的攻擊對象，尤其是在現(xiàn)在的現(xiàn)狀下，用戶們都使用筆記本在公司外面訪問公司資源而完全不受IT部門的控制。如果你的企業(yè)需要一種高水平的安全保障(在目前的合規(guī)環(huán)境下，誰不想希望保障安全性?)，你應該事先部署Windows 7客戶端以及Windows Server 2008 R2，現(xiàn)在讓我們看看可以如何利用這些先進的安全功能。
　　注意：
　　很多企業(yè)的政策就是等到第一個服務包(SP)發(fā)行之后再部署新的客戶端操作系統(tǒng)，那么我們需要等待SP1發(fā)布后再部署Windows7嗎?Gartner公司并不支持這種做法，windows 7的SP1對于系統(tǒng)的穩(wěn)定性和安全性并沒有影響。
　　DirectAccess
　　如何允許遠程用戶安全連接到公司網絡并在不造成安全威脅的情況下訪問他們所需要的資源呢?最常見的解決方案就是建立一個VPN服務器，VPN能夠通過公共網絡(互聯(lián)網) 提供一個安全加密的渠道進行通信，那么，使用VPN有什么問題呢?VPN解決方案為最終用戶增加了操作的復雜性，在某些情況下，用戶必須在客戶端機器上安裝一些特殊軟件，并且必須為每次session建立VPN連接，他們必須輸入認證證書或者使用智能卡，并且有時候連接不能成功，有時還會掉線需要重新連接等問題。
　　DirectAccess解決了驗證用戶身份的麻煩，第一次驗證身份成功后，之后就能進行自動連接，而不會降低安全性。另外支持雙條件驗證，可以使用智能卡或者生物識別技術登錄到網絡。DirectAccess可以同時驗證計算機和用戶本身，并且DA將創(chuàng)建兩個Ipsec通道，其中一個通道只能使用計算機證書，該通道將允許計算機訪問DNS服務器和域控制器以下載組策略和請求用戶驗證，另一個通道則需要計算機證書和用戶證書，能夠允許用戶訪問內部資源和應用程序服務器。
　　DA的session既可以在客戶端和DA服務器/Ipsec網關服務器之間進行加密，也可以進行端對端加密(一直到應用服務器端，如 Exchange服務器等)。這里的注意事項就是，對于端對端加密，應用服務器運行的Windows Server 2008 或者2008 R2必須配置為使用Ipv6和Ipsec。
　　DirectAccess使用的是Ipv6，Ipv6是用于加密在互聯(lián)網發(fā)送信息的下一代互聯(lián)網Ipsec協(xié)議(3DES，AES)，但這并不是說你必須運行Ipv6網絡來使用DA，因為它也同樣包括Ipv6/Ipv4過度技術。Windows 7和Windows Server 2008 R2支持一種被稱為IP-HTTPS的新技術，該技術可以將ipv6封包加入到Ipv4 HTTPS的session中，這使位于web proxy或者防火墻后面的計算機也能夠進行連接。有了VPN，NAP(網絡接入保護)可以用來確保計算機在接入公司網絡前的即時安全更新、反病毒等。
　　DirectAccess的另一個優(yōu)點就是能夠讓用戶進行控制，DA可以讓IT管理員在即使沒有連接到VPN的情況下也能管理遠程系統(tǒng)，可以通過遠程計算機連接到互聯(lián)網隨時隨地運用新的組策略或者分發(fā)軟件更新，即使用戶沒有登錄。這使遠程計算機能夠及時響應公司的政策，另外，也可以限制特定用戶訪問內部資源的范圍。
　　RemoteApp和Desktop
　　RemoteApp是Remote Desktop Services的執(zhí)行功能，該功能可以當用戶在Remote Desktop服務器上運行的時候讓應用程序就像在本地計算機運行一樣，這屬于展示虛擬化(presentation virtualization)的一種形式。這與傳統(tǒng)的終端服務有所不同，傳統(tǒng)服務是通過終端服務器來共享整個用戶桌面，而現(xiàn)在個人應用程序也可以以共享的形式提供給用戶。RemoteApp是Windows Server 2008中推出的功能，而Windows 7中的RemoteApp & Desktop (RAD)則為我們提供了桌面和虛擬化應用程序的整合。
　　有了RemoteApp & Desktop連接，管理員可以方便地向使用Windows 7客戶端計算機的用戶提供 Remote App程序和虛擬化桌面，這些資源將出現(xiàn)在客戶端的開始菜單中，就像本地資源一樣。
　　那么，安全優(yōu)勢在哪里呢?虛擬化應用程序可以接受IT管理員更加嚴格的控制，你不再需要擔心運行在個人計算機上的大量應用程序是否已進行安全更新，這樣也就沒有因為運行未修復程序而造成的安全威脅。管理員可以添加或者移除資源，并且RemoteApp & Desktop Connection將在用戶的客戶端計算機上進行自動更新。
　　大家可以通過以下連接下載部署RemoteApp和Desktop Connection的詳細步驟：http://www.microsoft.com/downloads/details.aspx?FamilyID=2F5B9705-BC09-466E-882B-7227CBB39183&displaylang=en
　　Remote Desktop Gateway是Terminal Services Gateway的代替品，在Windows Server 2008 R2 標準版、企業(yè)版和數據中心版中發(fā)揮著服務器的作用，遠程用戶可以通過啟用Remote Desktop訪問遠程桌面服務器或者其他計算機，它通過HTTPS使用RDP來創(chuàng)建互聯(lián)網上的安全加密連接，Server 2008 R2 RD Gateway同時還支持選項功能，可以讓你限制遠程桌面客戶端只能連接到使用安全設備重新定向的遠程桌面服務器，這有助于避免遠程客戶端上的惡意軟件蔓延到企業(yè)機器。
　　在Windows Server 2008 R2 和Windows 7上運行的最新版本的RDP Protocol (RDP v7)同樣提供圖形渲染和多媒體功能以提供更好的桌面服務，例如，現(xiàn)在支持Aero玻璃效果，多顯示器、DirectShow等，并且性能也整體提高了。
　　AppLocker
　　AppLocker是Windows 7 和Server 2008 R2 中的新功能，取代了難以操作和范圍有限的舊的Software Restriction Policies，AppLocker為用戶提供更好的靈活性，并且其規(guī)則更加難以規(guī)避。AppLocker允許你創(chuàng)建規(guī)則來控制哪些文件可以運行，并可以將這些規(guī)則運用與特定的用戶或者組(擔不是計算機。)
　　你可以根據文件屬性(如發(fā)行者、產品名稱、文件名稱或者文件版本)來制定規(guī)則，這些都在數字簽名(發(fā)行者規(guī)則)中可以找到，你還可以基于目錄路徑來限制程序(路徑規(guī)則)，或者你可以使用加密hash來鑒定想要控制的程序(hash規(guī)則)，你還可以為這些規(guī)則類型創(chuàng)建例外情況。
　　在默認情況下(也被認為是安全做法)，AppLocker配置為拒絕所有文件，除了那些明確允許的文件外。
　　更好的BitLocker
　　BitLocker驅動器加密最早出現(xiàn)在Vista系統(tǒng)中，這對筆記本來說是個很不錯的功能，但是其作用也是有限的，只能用于加密系統(tǒng)分區(qū)。在 Server 2008 和Vista SP1中，該加密功能則可以加密其他分區(qū)(非系統(tǒng))�，F(xiàn)在，Server 2008 R2 和Windows 7中，BitLocker可以用于加密可移動驅動器。由于USB驅動已經無處不在，這個功能將有助益提高安全性，因為員工在USB上攜帶公司數據將帶來很大的風險，USB的可攜帶性讓其很容易丟失和被盜。
　　Windows Server 2008 R2和Windows 7的BitLocker To Go新功能可以讓IT管理員使用組策略迫使用戶在寫入移動驅動器前啟用BitLocker，使更加安全�；謴兔荑�可以存儲在Active Directory中。你同樣可以阻止用戶連接非加密USB驅動器到計算機，政策可以在以下路徑配置：Computer Configuration\Policies\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives。
　　總結
　　Windows操作系統(tǒng)的每個版本都添加了新的安全功能，目前Windows Server 2008 R2和即將發(fā)布的Windows 7則成為安全關注重點，與Windows客戶端操作系統(tǒng)以往版本不同的是，在測試階段的windows7已經被證明是非常穩(wěn)定和安全，因此企業(yè)們(尤其是那些仍然在使用XP系統(tǒng)的企業(yè))應該考慮盡早部署這個組合。