Windows Server 2003 предоставляет следующие возможности, обеспечивающие повышенную надежность.
| Возможность | Описание |
| Брандмауэр Интернета | Брандмауэр Интернета, предназначенный для использования в малом бизнесе, обеспечивает базовую защиту компьютеров, напрямую подключенных к Интернету или к сегменту локальной сети.Брандмауэр доступен для подключений по локальной сети, коммутируемого доступа, VPN и PPPoE. Предусмотрена интеграция брандмауэра с общим доступом к Интернету или службой маршрутизации и удаленного доступа. |
| Балансировка нагрузки сети для IPSec | Функция балансировки нагрузки сети в Windows Server 2003 теперь поддерживает трафик протокола IPSec. Администраторы могут использовать балансировку нагрузки сети на группе серверов для обеспечения надежного и мощного горизонтального масштабирования приложений, защищенных с помощью IPSec, и шлюзов Windows VPN.Для VPN-шлюзов отныне поддерживаются как VPN на базе L2TP, защищенные IPSec-шифрованием, так и VPN-соединения на базе PPTP. |
| Безопасность доступа к сети при использовании протокола 802.1X | В Windows Server 2003 реализована модель безопасности, основанная на поддержке протокола 802.1X, которая гарантирует, что любой физический доступ будет осуществляться с проверкой подлинности и шифрованием трафика. Компании, использующие точки или коммутаторы беспроводного доступа по протоколу 802.1X, могут быть уверены, что подключение и обмен пакетами с защищенными сетями будут разрешены только доверенным системам.Поскольку в беспроводных сетях стандарта 802.1X используется динамическое определение ключей, шифрование данных в них значительно более надежно благодаря устранению многих проблем, связанных с надежностью ключей WEP, которые используются в сетях IEEE 802.11.Используя протокол PEAP, разработанный корпорацией Майкрософт как проект интернет-стандарта IETF, компании могут организовывать беспроводной доступ с проверкой подлинности и шифрованием, при котором будут использоваться пароли доменов Windows, не развертывая инфраструктуру сертификатов и сохраняя совместимость с любыми точками беспроводного доступа по протоколам IEEE 802.11 и 802.1X.С помощью IAS компании могут также предоставлять доступ к Интернету пользователям-"гостям", используя проверку подлинности по протоколу 802.1X, или загружать конфигурацию системы в сети с проверкой подлинности. Администраторы теперь могут устанавливать карантин для запросов на подключение, не предоставивших действительных учетных данных при проверке подлинности, изолируя обмен данными по сети в конкретном диапазоне адресов или виртуальной локальной сети (VLAN), например, в Интернете или сегменте сети с загрузкой конфигурации. |
| Поддержка прокси-серверов RADIUS и балансировки нагрузки в IAS | IAS поддерживает прокси-серверы RADIUS, обеспечивая гибкую переадресацию на основе правил, избирательную переадресацию запросов для проверки подлинности и учета на другие RADIUS-серверы, а также возможность принуждения клиента к обязательному использованию туннеля с проверкой подлинности пользователя или без нее.Возможность переадресации можно использовать при подключении пользователей из не доверяющих друг другу лесов или доменов. Поддержка прокси-серверов в IAS позволяет также балансировать трафик проверки подлинности RADIUS между несколькими IAS-серверами, обеспечивая масштабируемость и отказоустойчивость с географическим разнесением. |
Базируясь на фундаменте, заложенном в Windows 2000, семейство Windows Server 2003 предоставляет новые и усовершенствованные возможности работы в сети и является одной из самых гибких операционных систем на сегодняшнем рынке.
Новые возможности системы безопасности Windows Server 2003
На современных предприятиях произошел переход от традиционных локальных сетей к сочетанию сетей интранет и экстранет с Интернетом, в результате чего особенно актуальной стала задача повышения безопасности систем. Для обеспечения безопасности вычислительной среды операционная система Windows Server 2003 предоставляет множество новых средств, а также совершенствует средства, впервые появившиеся в операционной системе Windows 2000 Server.
Концепция защищенных компьютерных систем
Ввиду широкого распространения компьютерных вирусов вопросы безопасности программного обеспечения требуют постоянного внимания. Поэтому корпорация Майкрософт рассматривает концепцию защищенных компьютерных систем как инициативу первостепенной важности, распространяющуюся на все разрабатываемые продукты. Концепция защищенных компьютерных систем — это структура для разработки устройств, управляемых компьютерами и программным обеспечением, которые должны быть так же безопасны и надежны, как обычные устройства и приспособления, используемые в быту. Хотя на сегодняшний день платформа защищенных компьютерных систем существует лишь в проекте, фундаментальная переработка Windows Server 2003 представляет собой твердый шаг к воплощению этого замысла в жизнь.
Программное ядро Common Language Runtime (CLR) является ключевым элементом Windows Server 2003, который повышает надежность и гарантирует безопасность вычислительной среды. Оно позволяет сократить число неполадок и прорех в системе безопасности, возникающих из-за обычных ошибок программирования. В результате становится меньше уязвимых мест, которые могут быть использованы злоумышленниками для атаки.
Компонент Common Language Runtime проверяет приложения на возможность безошибочной работы и на наличие соответствующих разрешений безопасности, тем самым предотвращая выполнение программами нежелательных операций. В частности, проверяется, из какого источника был загружен или установлен код, имеет ли он цифровую подпись доверенного разработчика и не подвергался ли изменению со времени подписания.
Платформа Windows Server 2003 отличается повышенной безопасностью и экономической эффективностью, которые необходимы в бизнесе.
| Преимущества | Описание |
| Снижение затрат | Снижение затрат обеспечивается за счет упрощения работы со средствами управления безопасностью, такими как списки доступа и диспетчер учетных данных. |
| Реализация открытых стандартов | Протокол IEEE 802.1X позволяет легко защитить беспроводные локальные сети от угрозы перехвата данных внутри предприятия. |
| Защита мобильных компьютеров и других новых устройств | Такие средства безопасности, как шифрованная файловая система (EFS), службы сертификатов и автоматическая подача заявок по смарт-картам, облегчают защиту самых разных устройств.EFS — это базовая технология для шифрования и дешифровки файлов в томах NTFS. Открывать зашифрованный файл и работать с ним может только тот пользователь, который зашифровал его. Служба сертификатов — это составляющая ядра операционной системы, позволяющая предприятию организовать собственный центр сертификации, выдавать цифровые сертификаты и управлять ими.Функции автоматической подачи заявок по смарт-картам и саморегистрации обеспечивают повышенную безопасность для корпоративных пользователей, добавляя дополнительный уровень проверки подлинности, что в сочетании с упрощением работы со средствами безопасности должно найти широкое применение на предприятиях, выдвигающих вопросы безопасности на первый план. |
Новые возможности и усовершенствования
Семейство Windows Server 2003 обеспечивает следующие преимущества:
1. Более безопасная платформа для бизнеса
2. Наилучшая платформа для инфраструктуры открытых ключей
3. Возможность безопасной работы предприятия через Интернет
Более безопасная платформа для бизнеса
Windows Server 2003 содержит много новых возможностей и усовершенствований, которые в совокупности создают более безопасную платформу для бизнеса.
| Возможность | Описание |
| Брандмауэр Интернета | Безопасность работы в Интернете обеспечивается в Windows Server 2003 с помощью программного брандмауэра, носящего название "Брандмауэр Интернета". Он обеспечивает защиту компьютеров, подключенных к Интернету напрямую или расположенных за компьютером службы общего доступа в Интернет, на котором и работает данный брандмауэр. |
| Безопасный сервер IAS/RADIUS | Сервер проверки подлинности в Интернете (IAS) представляет собой RADIUS-сервер, управляющий проверкой подлинности и авторизацией пользователей. Он также управляет подключениями к сети с помощью всевозможных технологий — коммутируемого доступа, виртуальных частных сетей (VPN) и брандмауэров. |
| Безопасные беспроводные и проводные (на базе Ethernet) локальные сети | Windows Server 2003 позволяет осуществлять проверку подлинности и авторизацию пользователей, подключающихся к беспроводным и проводным (на базе Ethernet) локальным сетям. Это возможно благодаря поддержке в Windows Server 2003 протоколов IEEE 802.1X. (Стандартами IEEE 802 определяются методы доступа в локальные сети и управления ими.) |
| Политики ограниченного использования программ | Windows Server 2003 позволяет системному администратору устанавливать политики, предотвращающие запуск на компьютере определенных программ.Например, можно запретить запуск конкретных приложений, используемых на всем предприятии, из любого другого места, кроме определенного каталога. Политики ограниченного использования программ можно также использовать для предотвращения запуска зараженного или вредоносного кода. |
| Усовершенствования в системе безопасности серверов в проводных (на базе Ethernet) и беспроводных локальных сетях | Windows Server 2003 обеспечивает безопасность как проводных (на базе Ethernet), так и беспроводных сетей, которые соответствуют стандарту IEEE 802.11 и поддерживают открытые сертификаты, развертываемые с помощью автоматической подачи заявок или смарт-карт.Эти усовершенствования позволяют осуществлять управление доступом в сетях Ethernet общественных учреждений — например, универмагов или аэропортов. Кроме того, поддерживается проверка подлинности компьютеров в среде, использующей расширяемый протокол проверки подлинности (EAP). |
| Повышенная безопасность веб-сервера | Обеспечение информационной безопасности является проблемой первостепенной важности для всех организаций. С целью повышения безопасности веб-серверов для конфигурации IIS 6.0 при установке по умолчанию настраивается максимальный уровень безопасности: в этом случае сервер работает в режиме блокировки.К числу передовых функций безопасности IIS 6.0 относятся возможность выбора криптографических служб, расширенная краткая проверка подлинности и гибкое управление доступом для процессов. Эти и многие другие новые возможности IIS 6.0 позволяют безопасно вести бизнес в Интернете. |
| Шифрование базы данных автономных файлов | Теперь имеется возможность шифровать базу данных автономных файлов. Это — усовершенствование по сравнению с Windows 2000, где кэшированные файлы нельзя было шифровать.Эта функция поддерживает шифрование и дешифровку всей базы данных. Для настройки параметров шифрования необходимы административные привилегии. |
| FIPS-совместимый криптографический модуль в режиме ядра | Этот криптографический модуль работает как драйвер в режиме ядра и реализует криптографические алгоритмы, признанные соответствующими стандарту FIPS. Эти алгоритмы включают SHA-1, DES, 3DES и утвержденный генератор случайных чисел.FIPS-совместимый криптографический модуль в режиме ядра позволяет правительственным организациям развертывать отвечающие стандарту FIPS 140—1 безопасные системы на базе протокола IPSec, используя:VPN-клиент и сервер протокола L2TP/IPSecL2TP/IPSec-туннели для межшлюзовых VPN-соединенийIPSec-туннели для межшлюзовых VPN-соединенийСквозное шифрование сетевого трафика между клиентом и сервером и двумя серверами с помощью IPSec |
| Новый сокращенный пакет безопасности | Новый сокращенный пакет безопасности использует протокол краткой проверки подлинности, а также RFC 2617 и RFC 2222. Эти протоколы поддерживаются как IIS, так и службой Active Directory®. |
| Повышение общесистемной безопасности | Значительного повышения общесистемной безопасности удалось достичь за счет следующих усовершенствований:Повышение производительности более чем на 35 процентов при использовании SSL.IIS не устанавливается по умолчанию. Для развертывания IIS необходимо сначала установить его с помощью средства "Установка и удаление программ" на панели управления. Контроль буфера в Microsoft Visual Studio®. (Ошибки переполнения буфера часто используются злоумышленниками для компрометации системы.) |
| Диспетчер учетных данных | Диспетчер учетных данных в Windows Server 2003 обеспечивает безопасное хранение учетных данных пользователей, включая пароли и сертификаты X.509.Это обеспечивает единоразовую регистрацию для пользователей, в том числе и мобильных. Прикладной программный интерфейс Win32® позволяет клиентским и серверным приложениям получать учетные данные пользователя. |
| Усовершенствования в системе проверки подлинности клиента SSL | В Windows Server 2003 кэш SSL-сеанса может совместно использоваться множеством процессов. Тем самым сокращается необходимость повторно вводить учетные данные при работе с приложениями, и экономятся ресурсы процессора на сервере приложений. |