隨著云技術(shù)和服務(wù)器虛擬化在數(shù)據(jù)中心的變得越來越重要，很多管理員都接到了利用現(xiàn)有Server 2008 R2安裝來保證新環(huán)境安全的任務(wù)。

　　Windows Server平臺有很多功能可以幫助工程師鎖定他們的環(huán)境并且讓這個環(huán)境可用于虛擬化或云部署。記住，盡管用戶是從不同的位置來訪問一個集中的工作負(fù)載，但是這個實(shí)例仍然處于Windows Server環(huán)境中，并且受到Windows環(huán)境的潛在控制。

　　活動目錄和組策略對象都是實(shí)用的工具，它們可以幫助鎖定面向云的環(huán)境。

　　雖然管理員現(xiàn)在看到用到的都是新型終端，但是很多核心安全實(shí)踐方案仍然是相同的。工程師仍然使用現(xiàn)在可用的現(xiàn)存技術(shù)工作來鎖定他們的環(huán)境。

　　確保活動目錄安全。擁有一個安全的活動目錄環(huán)境會創(chuàng)造更具活力、能按業(yè)務(wù)需求增長的云基礎(chǔ)設(shè)施。在Server 2008 R2里面，活動目錄為提供登錄認(rèn)證的企業(yè)創(chuàng)建一個安全界線。活動目錄創(chuàng)建一個分等級架構(gòu)，包括活動目錄林、林中的域、DNS以及每個域中的組織單元。

　　計(jì)劃一次安全DNS服務(wù)器部署時，工程師首先應(yīng)該收集環(huán)境的信息。記住，部署Windows Server 2008 R2時，規(guī)劃、設(shè)計(jì)和測試一直都非常重要。在規(guī)劃階段，工程師收集關(guān)鍵的環(huán)境信息，這些信息幫助工程師來確定基礎(chǔ)設(shè)施內(nèi)的安全特質(zhì)。這些信息應(yīng)該包括內(nèi)部和外部域的結(jié)構(gòu)和等級，針對這些域名授權(quán)的DNS服務(wù)器識別，以及網(wǎng)絡(luò)中用于主機(jī)地址解析的DNS客戶端需求。

　　通過這些信息，工程師可以了解使用了哪些功能，從而鎖定他們的環(huán)境。針對云環(huán)境部署安全AD和DNS時還應(yīng)該考慮以下內(nèi)容：

　　與WAN/Cloud/Internet的聯(lián)系。在數(shù)據(jù)中心內(nèi)部，并不是所有服務(wù)器都面向網(wǎng)絡(luò)，也不是所有服務(wù)器都提供云服務(wù)。這種情況下，如果在互聯(lián)網(wǎng)上不需要你的網(wǎng)絡(luò)主機(jī)來解析名稱，那么消除內(nèi)部DNS服務(wù)器與互聯(lián)網(wǎng)的所有聯(lián)系。在這種DNS設(shè)計(jì)中，你可以使用你網(wǎng)絡(luò)中完全托管的私有域名空間，內(nèi)部DNS服務(wù)器為根域和一級域名托管區(qū)域。這種配置中，DNS服務(wù)器不會使用互聯(lián)網(wǎng)根名稱主機(jī)，因此要配置根提示來引導(dǎo)它們只指向內(nèi)部的DNS根。

　　區(qū)域傳輸相關(guān)的工作。DNS是一個非常重要的功能。這也是要確保部署中每個元素都安全的原因。如果不需要就關(guān)閉區(qū)域傳輸，通過這種方法，工程師提供了一個更安全的DNS環(huán)境。但是如果需要區(qū)域傳輸，它們也只應(yīng)該出現(xiàn)在特定的IP地址。開啟到任意服務(wù)器上的區(qū)域傳輸都可能會帶來一些安全隱患。旨在開啟區(qū)域傳輸?shù)墓艨赡軙┞赌愕腄NS，并且允許內(nèi)部發(fā)生的惡意侵入。這也是區(qū)域傳輸相關(guān)的工作、鎖定和限制是規(guī)劃過程中一個重要部分的原因。

　　管理綜合AD區(qū)域。使用綜合目錄區(qū)域時可用的安全增強(qiáng)功能包括訪問控制列表和安全動態(tài)更新。你不能使用綜合目錄區(qū)域，除非DNS服務(wù)器也是一個域控制器。Windows 2008 Server Core是一個不包含GUI的Windows服務(wù)器版本。所有Server Core的管理都通過命令行或通過腳本來執(zhí)行。

　　部署組策略對象(GPO)。GPO是一個強(qiáng)大的工具，它幫助管理員鎖定服務(wù)器、其它機(jī)器以及面向云的虛擬機(jī)。使用組策略時，管理員可以針對計(jì)算機(jī)和用戶的群組來管理配置，包括的選項(xiàng)針對基于注冊表的策略設(shè)置、安全設(shè)置、軟件部署、腳本、文件夾重定向、遠(yuǎn)程安裝服務(wù)和IE維護(hù)。通過使用組策略，工程師可以部署軟件包并保證計(jì)算機(jī)和用戶的安全。當(dāng)工作師用到策略設(shè)置、多個策略間的相互作用及繼承選項(xiàng)等因素時，GPO可以快速變復(fù)雜。和所有部署一樣，必須執(zhí)行仔細(xì)的規(guī)劃、設(shè)計(jì)和測試。在用到面向云的Windows服務(wù)器時這尤為正確。好的規(guī)劃工程師能夠提供企業(yè)需要的標(biāo)準(zhǔn)化功能、安全和管理控制。

　　Windows Server主控圖像控制。有些環(huán)境中，基于云的Windows服務(wù)器是完全虛擬化的。這些基礎(chǔ)設(shè)施中的一些可能需要這些圖像獲得認(rèn)證且不會被更改，比如醫(yī)療。在這種情況中，工程師可以創(chuàng)建一個主控黃金圖像快照。然后他們可以克隆這個圖像并在測試環(huán)境中對這個克隆圖像應(yīng)用補(bǔ)丁和更新。接著他們可以在獨(dú)立的服務(wù)器上測試來觀察是否有與更新不兼容的問題。即使是在生產(chǎn)環(huán)境中，如果一個補(bǔ)丁失效或者是產(chǎn)生了一個管理缺陷，服務(wù)器管理員也可以輕松地回滾到最近工作正常的Windows環(huán)境。為了達(dá)到認(rèn)證的目的，主控圖像可以安全地存儲環(huán)境中的某個位置，工程師知道這個位置不會進(jìn)行變更。

　　隨著Windows Server技術(shù)繼續(xù)改良，更多的工具可以幫助管理員成功地部署并鎖定他們的環(huán)境。由于每個環(huán)境都是獨(dú)一無二的，必須在開發(fā)云活動之前進(jìn)行基于安全的仔細(xì)規(guī)劃。Windows Server平臺適應(yīng)環(huán)境需求的能力也另人印象深刻。但是要真正地利用這些服務(wù)器平臺提供的功能集，還需要取決Windows管理員對自己環(huán)境的理解。