Windows Server 2016 虽然在Windows Server 2016系统中,微软官方发布了许多新的功能和特性,但是在用户组策略功能上却与以前的系统版本没有大的变化。尽管微软公司有可能在Windows Server 2016和Windows 10中引入一些特殊的组策略功能,但是整个组策略架构仍没有改变。 [5] 用户组策略 在Windows Server 2016系统中,系统用户和用户组策略,管理功能仍然存在(见图 1)。这些组策略设置权限可以在域、用户组织单位OU、站点或本地计算机权限层级上申请。 图1 图1 与之前的版本相比,Windows Server 2016系统在组策略配置方式上发生改变。在Windows Server 2016系统中,微软鼓励用户使用最简便的方式配置服务器操作系统。使用图形化进行配置管理并不是最优的方式(见图2)。在操作系统安装选项下的描述中就解释到:如需考虑需要与以后的系统版本兼容的情况,推荐用户在安装Windows操作系统的同时,选择安装本地管理工具。 图2 图2 这种安装方式随之带来的问题是:怎样访问组策略编译器。对于不同的安装式,你需要使用不同的方法。因为本文测试环境使用的是Windows Server 2016预览版,所以现在文中用到的方法以后也可能会发生变化。但是如果你已经安装好了本地管理工具软件,那么访问用户组策略的方式与Windows Server 2012系统下使用的方式相似。 现在,甚至对于已安装本地管理工具软件的Windows Server 2016系统来说,系统管理仍不方便。使用者除了通过命令提示窗口和服务管理器的接口外,已没有其它方式,因为没有系统桌面,没有开始菜单(见图3): 图3 图3 在Windows Server 2016预览版2中,仍然保留了大部份Windows Server 2012 R2风格的管理工具,但是想访问那些管理工具却不能凭以前的经验。例如在系统管理器,虽然设置了到本地安全配置服务的链接,却没有把用户域组策略的功能包含进来。如果你想访问用户管理和部份本地安全策略,你需要切换到Windows命令提示界面,进入到C:%systemroot%system32目录,然后执行GPEDIT.MSC命令(见图4): 图4 图4 对于没有安装本地管理工具的操作系统来说,你只有选择使用远程终端管理用户组策略或使用PowerShell命令。如果你想通过远程终端管理用户组策略,你至少需要一个已装安装好本地管理工具的终端。在终端操作系统的命令提示符中,键入MMC命令。加载完成管理界面后,从文件菜单中选择“添加/删除”组件。当你完成相应选择后,Windows系统将给你一列组件清单。从组件清单中,选择“组策略对象编辑器”,并点击“增加”按钮。然后系统会提示你,需要选择管理哪台系统的组策略。点击“浏览”按钮,并选中需要远程管理用户组策略的系统见图5: 图5 图5 另外一种方法是通过PowerShell命令来编辑管理用户组策略。在Windows Server 2012中,提供了一个完整的PowerShell软件模块用于用户组策略的管理。但是PowerShell用户组策略模块不会被默认安装,除非系统被配置为域控制器或系统中已经安装用户组策略管理终端软件。微软现在仍没有发布官方文档,说明在Windows 2016系统中哪些条件下,PowerShell用户组策略功能模块可用。 当Windows Server 2016系统开始正始发布时,大部份公司很有可能选择远程管理用户组策略的方式,而不是选择安装本地管理工具包。虽然PowerShell也是一种可行的方案,但是在小规模的IT环境中,图形化管理方式明显更有效率。 [6] Windows Server 五个至关重要的安全更新 Windows Server 2016已经差不多到来。现在已经有预览版了,它也被称为Windows Server Technial Preview,最终版本计划将在2016年年初发布。不管你现在对Windows Server 2016有什么计划,想一想新版本中的一些变化和提升对企业安装带来的安全影响也是好的。 每当微软发布一个新的操作系统(OS),想一想该公司是如何不同地对待安全问题的以及这个新的操作系统可能会怎样损坏掉。从Windows Server 2008 R2开始,Windows Server服务器操作系统出厂的时候就具备一些弹性。不过有5个即将来临的Windows Server 2016安全变化将会引起企业Windows Server管理员和安全专家的注意。 Windows Server 2016将会有一个很强大的通过Microsoft Passport的认证选项,它依赖于Azure的公钥和私钥对、在线公钥管理和终端的Trusted Platform Module芯片。在功能上还加强了活动目录联合服务(ADFS)和Azure Active Directory(AAD),其中包括了Lightweight Directory Access Protocol、访问控制策略和单点登录。 在2014年一项称为Just Enough Administration的新PowerShell工具被引进,Windows Server也将会是可用的。JEA让管理员能在特定的任务中执行更多详细的限制,以防止“斯诺登”这类情况的发生。 Windows Server 2016通过Internet Information Server 10.0(IIS 10.0)来支持HTTP/2,它支持拒绝服务(DoS)保护以及包含了一些诸如包头压缩、协议块大小和流量控制等特性。Windows Server并不会修正应用层的潜在漏洞,例如SQL注入和弱登录机制,不过对Web保护来说也是必不可少的一步。 Windows Defender在出厂的时候已经安装好而且启用了,即使是非图形化界面(GUI)的操作系统版本。我经常看到一些服务器并没有任何防病毒的保护,从而造成负面的影响。 Telnet服务器并没有包括在内。微软意识到人们还是会使用一些很容易受到攻击的服务,因为这是他们了解的服务而且这些服务本来就已开启。鉴于现在telnet在大部分网络环境中很普遍,我推测它的缺陷在短期内是不会消失的。不过至少微软在自身方面想方法修补这些可确定的问题。 Windows Server 2016还有其他一些除了安全方面之外的弹性特征。包括灾难恢复、虚拟机、网卡容错和存储质量保证等等这些几乎对所有机构和使用案例都有益的特性。这些Windows Server 2016的特性不会让你内部的网络环境变得复杂或者安全,不过它肯定会让你离你的(安全)目标更近一些。 现在你已经对Windows Server 2016的安全变化有了一些了解,那么可以开始想一想现在和未来的一些项目能够从这些特性里面获得哪些收益。现在很少有企业案例是使用Windows Server 2012的。Metra GUI坏名声的消散以及Windows Server 2016的到来将会成为下一个重要的事情。也许对于很多现存的Windows Server 2003服务器来说提供了一个好的升级路线。