Windows服務器
安全保障
播報
編輯Windows服務器容器技術憑借著其輕量級的資源需求、快速部署和巨大的可擴展性優勢吸引IT行業的重大關注。不過Windows服務器其中一種最流行的容器引擎是基于Linux平臺的Docker,Windows服務器正努力去解決一些重要的安全問題。Windows服務器的Docker的安全問題起源于容器實例之間隔離的缺失。從最簡單的角度來看,每一個Windows服務器容器都共享同一個宿主OS內核,函數庫和文件。如果一個Windows服務器惡意程序或者其他安全事故突破了其中一個容器而且訪問到根OS,那么這個OS下面運行的所有容器都有可能受到危害。一個Windows服務器容器在運行的時候可以直接和宿主內核進行通信,而且Linux也不會對Windows服務器主要內核進行拆分子系統或者子設備,也不會去保護Windows服務器。這意味著如果你可以和內核或者設備進行通信的話,你就有可能危害整個Windows服務器系統。盡管Docker承諾了未來會發布Windows服務器安全方面的改善,下面還是給大家介紹一些保護Windows服務器的Hyper-V容器的策略。1. 限制Windows服務器容器使用你了解和信任的Windows服務器機構的工具,避免使用任何你在Internet上找到的有趣的Windows服務器工具或者其他的東西。2. 勤奮地測試和應用Linux補丁和安全更新。相信OS支持,就像Red Hat Enterprise Linux可以幫助你找到和修復Windows服務器漏洞一樣。3. 有可能地使用非root的身份來運行Windows服務器容器,而且一旦可以的話就去除root權限。不管怎樣,都要想象Windows服務器容器中的root權限是和Windows服務器容器外的root權限是一樣的。Windows服務器中的Hyper-V容器使用了Hyper-V來首先創建一個VM作為Windows服務器隔離。一旦VM建立好了,可以安裝Linux OS和Docker引擎來支持Windows服務器容器運行。這是一種Windows服務器嵌套虛擬化的方式。如果Windows服務器容器和之上的Linux OS受到危害,那么整個Windows服務器安全問題只會影響到Hyper-V VM內部。雖然Windows服務器容器這個概念已經存在很多年了,但是Docker引擎引起了人們對這項Windows服務器技術的新的興趣。微軟希望它的Windows服務器使用原生的容器和Windows服務器嵌套虛擬化,把Windows服務器容器從Linux部署環境遷移到Windows服務器的環境中。Windows服務器也承諾引入合理化管理和改進Windows服務器容器實例間的隔離,幫助組織擁抱和擴張Windows服務器容器的部署。IT員工應該很快就可以在技術預覽版本嘗試Hyper-V容器,并且為采用Windows服務器和Docker容器做好計劃。 [3]
用戶策略
播報
編輯雖然在Windows服務器系統中,微軟官方發布了許多新的功能和特性,但是在Windows服務器用戶組策略功能上卻與以前的系統版本沒有大的變化。盡管微軟公司有可能在Windows服務器和Windows 10中引入一些特殊的組策略功能,但是整個Windows服務器組策略架構仍沒有改變。在Windows服務器系統中,系統用戶和用戶組策略,Windows服務器管理功能仍然存在(見圖 1)。這些Windows服務器組策略設置權限可以在域、用戶組織單位OU、站點或本地計算機權限層級上申請。Windows服務器預覽版2中的組策略編輯器圖 1. Windows服務器預覽版2中的組策略編輯器與之前的Windows服務器版本相比,Windows服務器系統在組策略配置方式上發生改變。在Windows服務器系統中,微軟鼓勵用戶使用最簡便的方式配置服務器操作系統。Windows服務器使用圖形化進行配置管理并不是最優的方式(見圖2)。Windows服務器在操作系統安裝選項下的描述中就解釋到:如需考慮需要與以后的Windows服務器系統版本兼容的情況,推薦用戶在安裝Windows服務器操作系統的同時,選擇安裝本地管理工具。Windows服務器圖2. 安裝Windows服務器系統時,微軟推薦不要安裝本地管理工具這種安裝方式隨之帶來的問題是:怎樣訪問組策略編譯器。對于不同的安裝式,你需要使用不同的方法。因為本文測試環境使用的是Windows服務器預覽版,所以現在文中用到的方法以后也可能會發生變化。但是如果你已經安裝好了本地管理工具軟件,那么訪問用戶組策略的方式與Windows服務器系統下使用的方式相似。現在,甚至對于已安裝本地管理工具軟件的Windows服務器系統來說,系統管理仍不方便。使用者除了通過命令提示窗口和服務管理器的接口外,已沒有其它方式,因為沒有系統桌面,沒有開始菜單(見圖3):Windows服務器圖3. 這就是Windows服務器 預覽版2中的系統管理界面在Windows服務器預覽版2中,仍然保留了大部份Windows服務器風格的管理工具,但是想訪問那些管理工具卻不能憑以前的經驗。例如在Windows服務器系統管理器,雖然設置了到Windows服務器本地安全配置服務的鏈接,卻沒有把用戶域組策略的功能包含進來。如果你想訪問Windows服務器用戶管理和部份本地安全策略,你需要切換到Windows命令提示界面,進入到C:%systemroot%system32目錄,然后執行GPEDIT.MSC命令(見圖4):Windows服務器圖4. 你可以在命令提示界面中使用GPEDIT.MSC命令,以加載Windows服務器用戶策略編輯器。對于沒有安裝本地管理工具的Windows服務器操作系統來說,你只有選擇使用Windows服務器遠程終端管理用戶組策略或使用PowerShell命令。如果你想通過Windows服務器遠程終端管理用戶組策略,你至少需要一個已裝安裝好Windows服務器本地管理工具的終端。在Windows服務器終端操作系統的命令提示符中,鍵入MMC命令。加載完成管理界面后,從文件菜單中選擇“添加/刪除”組件。當你完成相應選擇后,Windows服務器系統將給你一列組件清單。從組件清單中,選擇“組策略對象編輯器”,并點擊“增加”按鈕。然后系統會提示你,需要選擇管理哪臺Windows服務器系統的組策略。點擊“瀏覽”按鈕,并選中需要遠程管理Windows服務器用戶組策略的系統(見圖5):Windows服務器圖5. 點擊瀏覽按鈕,然后選擇你想編輯的Windows服務器組策略另外一種方法是通過PowerShell命令來編輯管理用戶組策略。在Windows服務器中,提供了一個完整的PowerShell軟件模塊用于Windows服務器用戶組策略的管理。但是PowerShell用戶組策略模塊不會被默認安裝,除非Windows服務器系統被配置為域控制器或Windows服務器系統中已經安裝用戶組策略管理終端軟件。微軟現在仍沒有發布官方文檔,說明在Windows服務器系統中哪些條件下,PowerShell用戶組策略功能模塊可用。當Windows服務器系統開始正始發布時,大部份公司很有可能選擇Windows服務器遠程管理用戶組策略的方式,而不是選擇安裝本地管理工具包。雖然PowerShell也是一種可行的方案,但是在小規模的IT環境中,Windows服務器圖形化管理方式明顯更有效率。 [4]