ws2012techwp-security

Windows Server 2012 技术白皮书 身份与安全 Windows Server 2012 技术白皮书——身份与安全 2 第 目录 Windows Server 2012 中安全和身份标识的改进 ................................................................ 4 使用老版本 Windows Server 保护数字资产 ............................................................ 4 使用 Windows Server 2012 保护数字资产 ........................................................... 5 动态访问控制 ................................................................................................................................. 6 分类 ................................................................................................................................ 7 访问控制 ........................................................................................................................ 8 中央访问策略结构 ................................................................................................... 9 中央访问策略和文件服务器 ................................................................................. 10 策略预期 ................................................................................................................. 11 拒绝访问修复 ......................................................................................................... 12 安全审计 ...................................................................................................................... 14 保护 .............................................................................................................................. 15 Active Directory 域服务 ........................................................................................................... 17 简化管理 ...................................................................................................................... 18 克隆部署 ...................................................................................................................... 19 更加安全的虚拟化域控制器 ...................................................................................... 19 Windows PowerShell 脚本自动生成 ...................................................................... 20 Active Directory 域中客户端的激活 ....................................................................... 20 组托管服务帐户 .......................................................................................................... 21 Hyper-V 可扩展虚拟交换机实现多租户安全和隔离........................................................... 23 私有 VLAN（PVLANs）隔离虚拟机 ....................................................................... 23 ARP 和 ND 中毒/欺骗保护........................................................................................ 25 Windows Server 2012 技术白皮书——身份与安全 3 第 DHCP 保护 ................................................................................................................. 25 用于网络隔离和计量的虚拟端口访问控制列表(ACLs) ............................................. 25 虚拟机的 Trunk 模式 .................................................................................................. 26 监视 .............................................................................................................................. 26 总结 ................................................................................................................................................ 27 © 2012 微软公司。保留所有权利。 Windows Server 2012 技术白皮书——身份与安全 4 第 Windows Server 2012 中安全和身份标识的改进 今天的组织需要灵活性以及迅速应对新机遇的能力，员工只需要访问数据和信息，而无须 关注使用的基础架构，网络，设备，或应用程序。与此同时，成本必须保持足够低。满足 这些需求的创新，例如虚拟化、多租户、以及基于云的应用，可在帮助组织最大限度地发 挥现有基础架构投资的同时，探索新的服务，完善管理，提高可用性。 在有效增加灵活性并降低成本的同时，混合云的实现、移动办公人员以及与第三方商业伙 伴更紧密的合作等因素导致需要具备一个能渗透的网络外围。当组织将更多的资源从内网 移动到云端，并且开放防火墙允许外部的移动办公人员和商业伙伴访问网络时，管理安全、 标识和访问控制就成为 IT 专业人员更大的挑战。此外，由于监管要求，如健康保险流通 与责任法案（HIPAA）隐私规则和 2002 年萨班斯 - 奥克斯利法案（SOX）变得更加严 格，合规性变得更加昂贵。 为了应对这些挑战，Windows Server 2012 通过下列新增和改进的功能，使得您能更容 易，并能用更低的成本保护宝贵的数字资产的安全，满足合规性要求：  动态访问控制（DAC）。DAC 是一个新功能，可在文件服务器上实现满足业务和监 管要求的自动化的信息管理。  Active Directory 服务新特性。 部署、管理和虚拟化在此版本中均有所改善。Active Directory 域服务负责存储数据和管理用户与域之间的通信，包括用户登录过程，身 份验证和目录搜索。  Hyper-V 可扩展虚拟交换机。 Hyper-V 是 Windows Server 中的一个角色，该 技术使得多个服务器可运行在一台主机的虚拟环境中。Hyper-V 新的可扩展交换机 功能为在虚拟环境中的多租户数据安全提供了改进。 本文为IT专业人士提供了有关 Windows Server 2012 中安全和身份标识管理技术的介 绍。 使用老版本 Windows Server 保护数字资产 IT 专业人士今天面临的一个主要障碍是，有数量庞大的重复性工作需要完成，特别是当 涉及大量物理或虚拟桌面环境时。手动配置不仅费时，还有很大可能会导致错误和配置疏 忽，影响系统的安全性。在老版本Windows Server中，微软的工作重点是努力减少这种 Windows Server 2012 技术白皮书——身份与安全 5 第 类型的工作。例如，带有Service Pack1（SP1）的 Windows Server 2008 R2 包含以 下改进：  文件分类架构（FCI）。这个新的基础架构通过对文件添加标记实现分类，使 IT 专 业人士能够依据文件在企业中的价值，更轻松地管理文件中的非结构化数据。  Active Directory 域服务。 作为信息保护解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 的一部分，Active Directory 域服务得到了改进，使得域控制器更容易部署在组织内部和云中。  系统管理和安全。 Windows PowerShell 2.0 中的命令行接口使专业人士在桌 面部署和管理中涉及的很多常见任务得以实现自动化。 使用 Windows Server 2012 保护数字资产 在 Windows Server 2012 中，微软基于以前的改进，使其配置、管理、用户的监控、 资源与设备的管理更加容易，借此可提高安全性并实现自动化审计。此外，Windows Server 2012 在安全和身份标识管理方面包括以下新增和改进的功能：  动态访问控制（DAC）。DAC 让您在整个组织中，依据共享文件和访问这些文 件的用户特点，自动地控制访问和审计。它使用声明来完成高级别的访问控制。 包含在安全令牌中的声明，由用户或设备的声明组成，例如名称或是类型、部门、 安全检查等等。您可以使用用户声明，设备声明和文件分类标签来集中控制和审 计文件的访问，就像使用权限管理服务 (RMS) 在您整个组织中保护信息一样。  Active Directory 域服务。Active Directory 域服务在混合云的基础架构中是 非常重要的，因为它满足了在安全、合规和访问控制方面更严格的需求。进一步 来说，不像许多竞争对手提供的云服务，要求用户使用由服务提供商托管的单独 一套凭据，Active Directory 域服务只为用户提供一套凭据，保证用户访问资源 的连续性，无须关注资源是在内部还是在云中。全新的部署向导和克隆虚拟域控 制器的支持使得 Active Directory 域服务更加容易虚拟化，以及在本地和远程部 署。Active Directory 域服务集成了 Winows Power Shell 3.0的支持 ，当您在 服务管理工具的界面执行任务时，可以捕获和记录 PowerShell 的命令语句，改 进手动任务的自动化。Active Directory 服务其它的新特性还包括桌面激活支持 和组托管服务帐户。  Hyper-V的可扩展交换机。为私有云和基础架构即服务 (Iaas) 环境提供更安全 和稳定的计算环境，Windows Server 2012 中新的Hyper-V可扩展交换机增强 了安全性和隔离性。 它提供基于策略的软件控制，支持隔离多租户和维护安全。 本文下文将详细介绍这些新功能。 Windows Server 2012 技术白皮书——身份与安全 6 第 动态访问控制 Windows Server 2012 的动态访问控制，为 IT 专业人士提供了新的方式来控制文件数 据的访问，并实现法规遵从。它提供了新一代的授权和审计控制，使用分类功能，让您对 文件服务器上的非结构化数据管理。 到现在为止，文件安全控制在文件和文件夹级别。用户日常管理着文件安全，IT 专业人士 拥有的控制权很少。然而在所有 Windows Server 2012 文件服务器上，通过使用动态访 问控制，您可以在域级别建立和实施安全策略，不管用户的操作，强制限制对敏感文件的 访问。例如，如果一个开发 工程 路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理 师意外地将机密文件发布到一个公开的共享文件夹中，这 些文件依然受到保护，防止未经授权用户的访问。 此外，安全审计功能也比以往更加强大，并且审计工具使得常见标准的合规更易证明，如 访问 HBI （卫生和生物医学信息）的信息标准，定期监控。 Windows Server 2012 提供了以下新的和增强的方式，控制您的文件访问，为授权用户 提供所需资源。下文将详细介绍这些功能。  分类。使用改进的文件分类基础架构，自动和手动实现文件分类。通过几种不同 的方式，可以对组织中文件服务器上的文件，手动或是自动的应用标签。  控制。通过集中访问控制实现信息治理。通过应用名为中央访问策略（CAPs）的 安全网络策略，可以控制机密文件的访问。CAPs是 Active Directory的一个新功 能，使您能够定义非常详尽的要求，在授予访问机密文件时，强制执行这些要求。 例如，通过定义用户的雇佣关系，全职或是承包商，访问方式，受管理的计算机 或是访客等等，您可以决定哪些用户可以访问组织内包含健康信息的文件。你甚 至可以要求使用智能卡提供双因素认证。当用户访问文件或是共享有问题时，中 央访问控制还提供了自动化辅助修复访问拒绝的能力。  审计。法规分析和遵从的文件访问审计。通过使用中央审计策略，您可以审计对 于文件的访问，例如，验证谁己经或试图获得高度敏感文件的访问权限。 Windows Server 2012 技术白皮书——身份与安全 7 第  保护。基于分类的加密。你可以通过应用权限管理服务（RMS），使用 RMS 加 密敏感的 Microsoft Office文档，实现自动保护。例如，您可以配置 DAC 自动 应用 RMS 保护所有包含HIPAA信息的文件。此功能需要用到企业中现有的RMS 环境。 DAC是建立在以下的技术：  一个新的可以处理条件表达式和中央策略的 Windows 授权和审计的引擎。  支持 Active Directory 域服务中用户声明和设备声明的 Kerberos。  文件分类基础架构（FCI）的改进。  RMS可扩展性的支持，使合作伙伴可以提供解决方案，加密第三方文件。 你可以使用 DAC API 扩展这些技术，并创建自定义的分类工具，审计软件等。 分类 建立安全文件访问策略的第一步是标识文件，然后通过文件包含的信息应用标签来分组文 件。在 Windows Server 2012中 ，将通过以下四种方式之一为文件应用标签：  基于位置。当一个文件存储在文件服务器上，它继承来自于父文件夹的标签。文 件夹的标签由文件夹所有者指定。  手动。通过 Windows 8 的文件浏览器接口或数据访问程序，用户和管理员可以 为文件手动应用标签。  自动。 依据文件的内容，Windows Server 2012 能够自动的为文件应用标签。 为大量文件应用标签时，这种方式是非常有效的。  通过应用程序的 API。应用程序可以对它管理的文件调用 APIs 来应用标签 。 例如，可以通过业务软件或是数据管理软件，将信息保存在文件服务器上并应用 标签。 Windows Server 2012 技术白皮书——身份与安全 8 第 访问控制 文件访问控制是通过一组在 Active Directory 域服务中集中管理的中央授权策略的访问 策略实现，并通过组策略部署到文件服务器完成的。您可以使用授权策略，以符合组织和 监管的要求。通过授权策略将用户和设备的声明与关于文件的标签信息相匹配，让您建立 完整的文件访问策略。 在老版本 Windows Server 中，声明只能在 Active Directory 联合服务中使用，基于 提交给 Active Directory 联合服务的属性，授权一个域中的用户使用不同的联合域中的 应用程序。在 DAC 中，声明的功能本质上是相同。此时有两种情况，声明包括一个或多 个有关用户或设备描述（例如姓名、身份、密钥、组、特权或能力），这些描述都包含在 一个可信赖的合作伙伴或是实体（比如 Active Directory 域服务）颁发并签名的安全令 牌中，用于授权用户或设备访问资源。若要创建声明属性，可使用 Active Directory 管 理工具或身份管理工具手动创建。在 DAC 的场景中，由 Active Directory 域服务颁发 令牌，而被访问的资源是一个文件。 在 DAC 中，声明可与逻辑策略结合，实现细粒度的控制，任意定义文件的子集。在下文 列举的两个例子中，即可运用这些策略： 为了获得高级别影响的业务信息，可能要求用户是一个专职的雇员，使用智能卡，从受管 理的设备登录访问。这些策略可以通过 Active Directory 域服务来定义和存储。在该场 景中，您必须做到以下几点：  标识和标记包含 HBI 信息的文件。  标识组织中的专职员工。  创建一个 CAP，并将它应用于组织中所有的文件服务器中包含 HBI 信息的文件。 · 在整个组织范围内要求实施文件限制访问的策略，所有包含个人标识信息 (PII) 的文件， 无论保存在什么位置，仅允许 HR 部门成员和文件所有者访问包含 PII 的文件。在这种 情况下，您必须做到以下几点：  标识和分类（标签）包含 PII 信息的文件。 Windows Server 2012 技术白皮书——身份与安全 9 第  确定人力资源组成员，他们将被允许查看 PII 信息。  创建一个中央策略 CAP，并将策略应用给组织内所有文件服务器中包含 PII 信 息的文件。 组织中由于不同的层级和不同的原因，都可以成为发起部署和执行授权策略的因素，例 如：  组织范围内的授权策略。通常大多数情况由信息安全办公室发起，这种类型的授 权策略一般都关系到整个组织，目的是满足合规或是其他更高级别的要求。例 如，高级别影响的文件只允许全职员工访问。  部门授权策略。 组织中的各个部门内可能需要实施特殊的数据管理需求。比如， 财务部门希望只允许财务部门的员工访问财务服务器  特定的数据管理策略。 这种类型的策略一般是满足组织中对于正在管理的信息进 行合规管理，比如阻止修改、删除处于保留或电子发现 (eDiscovery)状态的文 件。  需要知道的策略。这种类型的策略通常需要结合前面提到的策略类型。以下是两 个例子：  供应商应该只能够访问和编辑他们正在从事的项目所涉及的文件。  在金融机构，信息隔离很重要，分析师不能访问经纪人的信息，经纪人 也不能访问分析信息。 中央访问策略结构 Active Directory 域服务中存储的 CAP 应用于组织中的文件服务器，扮演着安全保护伞 的角色。这些策略的目的不是取代，而是补充本地访问策略，或用于文件和文件夹的任意 访问控制列表（DACL）。例如，如果一个本地 DACL 允许一个特定的用户访问，但一 个 CAP 策略同时应用于该文件并拒绝该用户访问，那么这个用户不能访问该文件。反之 亦然：如果一个 CAP 策略允许用户访问，而本地 DACL 拒绝了，用户就不能访问该文 件。文件的访问只有 DACL 和 CAP 同时允许时，才可能允许。 一个 CAP 可以包含很多的规则，每一条规则评估和部署都是作为 CAP 整体的一部分。 在 CAP 中的每个规则有以下逻辑部分： Windows Server 2012 技术白皮书——身份与安全 10 第  适用性。这是一个条件，定义规则应用于哪些文件。例如，条件可以定义为包含个 人信息标签的所有文件。  准入条件。这是一个或多个访问控制条目（ACE）的列表，定义谁可以访问数据， 例如，如果用户拥有高的安全等级，并且通过受管理的设备访问数据，那么他将拥 有允许读取和写入的权限。  下图显示了一个 CAP 规则的组成部分，以及他们如何结合起来，建立非常明确的 数据访问策略。 中央访问策略和文件服务器 下图显示了 Active Directory 域服务，文件服务器和用户的相互关系。Active Directory 域服务用于创建和存储 CAP 、用户声明、和属性定义；文件服务器，将应用这些策略； 用户，将试图访问文件服务器上的文件。 CAP 结构 Windows Server 2012 技术白皮书——身份与安全 11 第 下图显示了如何结合不同的规则（蓝色框）到一个 CAP（绿色框），然后应用于 组织中文件服务器的共享中。 给合多个策略到策略列表应用于资源 策略预期 当您想更改策略时，Microsoft Windows 允许您在运行现有策略时，平行测试这个计划 的策略的影响，而不需要应用这个策略。这个特性称之为策略预期，可供您评估一个新的 策略在生产环境的最终影响。 当您启用了策略预期功能后，Windows Server 2012 会继续使用当前的策略来授权用 户访问文件。但是如果计划的策略与当前应用的策略访问允许不相同时，系统日志中会 记录详细的信息，您可以使用这些事件日志去决定这个策略是否己经更改或是准备好部 署了。 Windows Server 2012 技术白皮书——身份与安全 12 第 拒绝访问修复 当然，拒绝访问只是一条有效中央访问控制策略的部分策略，而且有时候，当第一次访问被 拒绝后，必须授权访问的权限。当前，当用户访问被拒绝后，这个用户无法收到任何能够 帮助他获得访问的附加信息。这会给用户和桌面支持或管理员都带来痛苦。为了缓解这 种问题，Windows Server 2012 中的访问拒绝辅助修复功能能够给用户提供附加的信 息，同时有机会通过电子邮件发送访问请求信息给相应的文件所有者。拒绝访问修复减 少人工干预的需要授予用户对资源的访问提供以下三个不同的进程：  自助修复。如果用户能够确定问题并且纠正这个问题，他们就能获得访问权限， 这种情况对组织的影响很小，也不需要在组织的策略中添加任何例外。 Windows Server 2012 允许您创建一个通用的访问拒绝信息帮助用户在访问 拒绝时自助修复。这个信息包括 URLs 地址，将用户引导到组织中提供的自助 修复的网站  文件所有者修复。Windows Server 2012 允许您创建一个文件或是文件夹所 有者的分发列表，通过这个分发列表，用户就可以直接联系他们请求访问文件。 这个和 Microsoft SharePoint 模式类似，在 SharePoint 中，共享所有者接 收用户的申请访问文件的请求。修复的方式可以在文件或是文件夹中为用户添 加适当的权限开始。比如，一个文件的本地 DACL 允许特定的用户访问，而一 个 CAP 限制同一个用户访问，那么这个用户最终将无法访问这个文件。在 Windows Server 2012 中，当一个用户请求获得一个文件或是文件夹的访问权限 时，一封有关于请求的详细信息的电子邮件会发送到文件所有者。如果需要更多的 帮助，文件所有者可以将邮件转发给相应的 IT 管理员。  桌面支持和文件服务器管理员修复。当用户无法自助修复一个访问问题，同时文 件所有者也无法帮助这个用户时，这个问题可以通过桌面支持或是文件服务器管理 员手动进行纠正。这是成本最高和最耗时的修复方式。Windows Server 2012 提 供给用户查看文件或是文件夹有效权限的界面，简化排除访问错误问题。 下图显示了在访问被拒绝修复时涉及的一系列事件。 Windows Server 2012 技术白皮书——身份与安全 13 第 访问拒绝修复 当用户第一次访问文件被拒绝时，访问拒绝修复提供用户访问文件的方法： 1. 用户试图访问文件。 2. 由于用户没有授予适当的声明，服务器返回”拒绝访问”的错误信息。 3. 在一台运行 Windows 8 的电脑上，Windows 获取来自于文件服务器资源管理 器的消息，该消息提供了修复的选项，可能包括请求访问的链接。 4. 当用户满足了访问的条件（比如，签署了保密协议 NDA 或是提供了其它的验证）， 这个用户的声明将被更新并且可以访问文件。 Windows Server 2012 技术白皮书——身份与安全 14 第 安全审计 文件访问的安全审计，是最强大的帮助维护组织安全的工具。安全审计的一个核心目标就是 合规。比如，工业标准如 SOX、IPAA 及支付卡行业 (PCI) 要求组织遵循一套与数据安全 和隐私严格的规定。安全审计帮助建立这些存在或是不存在的策略，从而证明遵守或是不遵 守这些标准。此外，安全审计有助于检测异常行为，识别并减少在安全策略方面的差距，并 创建一个用户活动的踪迹，可用于法规分析遏止不负责任的行为。 审计策略要求通常来自三个层次：  信息安全。 文件访问审计跟踪经常用于法规分析和入侵检测。监测关于获取高价 值信息的特定事件的能力，使得组织明显改善其响应时间和调查的准确性。  组织策略。例如，遵循 PCI 标准规定的组织可以有一个中央策略，以监测到标记 为包含信用卡信息和PII信息的所有文件的访问或者组织可能要监视所有未经授权 的查看他们的项目信息尝试。  部门策略。例如，财务部门只希望仅限财务部门的员工才能修改一些财务文档（比 如，一份季度盈利报告）并且希望监视所有试图修改这些文档的尝试。此外，合规 管理部门希望监视所有中央策略和策略结构如用户，计算机和资源属性的变化。 安全审计的最大的考虑因素之一是收集、存储和分析审计事件的成本。如果审计策略过于宽 泛，收集的审计事件的数量将增加，使得需要花费更多的时间和更高昂的成本，找出最重要 的审计事件。但是，如果审计策略过于狭窄，你可能会错过重要事件。 在 Windows Server 2012 中，您可以结合声明和资源属性(文件标记)来创建审核策略。通 过减少与审计要求最相关的潜在的审计事件，您可以创建一个更丰富，更具选择性和易于管 理的审核策略。它将使得一些现在看起来不可能或是难以实现的场景能够实现，以下是这些 审计策略的例子： 审核每一个没有高度安全许可的用户尝试访问 HBI 文档的操作。在这个示例中，“高度安 全许可”是一个声明，而“HBI”是文件的标签。当一个没有高度安全许可的用户试图访问 HBI 文档时，审计策略将触发一个事件。 审计所有供应商访问与他们所从事项目无关的文档。在这个例子中，用户的声明包括雇佣关 系状态为“供应商”，还包括授权这个用户正在从事的项目清单。除此之外，组织中的每一 个供商应可能访问的文件都标记了相应的项目相关的信息。当一个供应试图访问一个项目文 件，而该供应商的声明列表中没有匹配文件的标签信息，那么它将触发一个审计事件。 为了查看和查询审计事件，您可以使用熟悉的工具。例如服务器本地的事件查看器，或是使 用 SCOM 中的审计集合服务查看多台服务器的审计事件。动态访问控制的 API 能够支持 Windows Server 2012 技术白皮书——身份与安全 15 第 将 DAC 的审计事件集成到第三方的审计软件管理控制台。这些工具使您能够回答这样的 问题：“谁访问了我的 HBI 数据”或是“是否有非授权的用户尝试访问机密数据”。 下图显示了文件访问策略流程中，Active Directory、组策略、文件服务器和用户的内部关 系。Active Directory 用于创建声明类型和资源属性，组策略用于定义和存储审计策略，文 件服务器上的文件将策略和资源属性作为文件标签，而用户，试图访问文件服务器上的信息。 中央审计流程 保护 在组织中保护机密信息可以降低风险。不同的法规，比如 HIPAA 或是支付卡行业数据安全 标准(PCI-DSS)都需要对信息加密，而且也有很多商业的理由需要去加密机密信息。但是， 加密是需要成本的，还会对生产力效率产生不利影响。因此，对于加密，不同的组织通常有 不同的方法和优先级。 为了支持这些场景，在 Windows Server 2012 中，允许您基于分类自动加密 Microsoft Office 文件。当文件服务器上 Microsoft Office 的文档被标识为机密文件时，服务器上的 自动文件管理任务将启动 RMS 服务保护这些文件。（连续文件管理任务） RMS 加密对文件提供了另一个层级的保护。如果一个具有访问机密文件权限的用户意外地 将这个文件通过电子邮件发送出去，这个文件还是受到 RMS 加密服务的保护。任何用户 Windows Server 2012 技术白皮书——身份与安全 16 第 想获得访问此文件的权限，必须经过 RMS 服务器的身份验证，才能获取解决密钥。这个 过程如下图所示。 基于分类的 RMS 保护 动态访问控制允许机密的信息自动地使用 Active Directory 权限管理服务保护 1. 创建一条规则使任何包括“机密”关键词的文件自动应用 RMS 保护。 2. 一个用户创建一个包括“机密”关键词的文件并且保存。 3. RMS 动态访问控制分类引擎依据在中央访问策略中的规则，发现这个文档中包括 “机密”关键词，开始启动 RMS 加密。 4. 文件服务器上的这个文件将应用 RMS 模板进行加密，这个文件就完成了分类和加 密的操作。 需要注意的可以通过第三方供应商支持第三方的文件格式。同时也需要知道，如果一个 文件经过 RMS 保护数据管理功能，如搜索或基于内容的分类不再对该文件生效。 Windows Server 2012 技术白皮书——身份与安全 17 第 Active Directory 域服务 Active Directory 域服务作为 IT 基础架构的中心已超过 10 年，它的功能、继承和商业价 值都伴随着每一个新版本都所增长。今天，依然有大量 Active Directory 基础架构在企业 内部运行，而且向云计算进化的趋势同样需要在云中部署 Active Directory。 新的混合基础架构的不断涌现，使得 Active Directory 域服务必须支持新的和独特的部署 模式，包括服务完全托管在云中，由云和内部组件组成的服务，还有仍然保留在内部的服务。 这些新的混合模式，进一步提升了安全性和一致性的重要性，并加重已经复杂和费时的工作， 以确保获得信息和服务，适当的审计，并准确地表达了组织的意图。 为了满足这些新的需求，Windows Server 2012 中的 Active Directory 域服务提供的新 功能，可以帮助您更快速、轻松地在企业内部和云中部署域控制器，审计和授权对文件的访 问，通过一致的图形和脚本的管理接口实现本地或远程管理，执行大规模管理任务。 Windows Server 2012 中 Active Directory 域服务的改进包括以下这些：  更简单的内部部署，通过一个基于 Windows PowerShell 3.0，并与服务器管理 器集成的，全新并且经过简化的域控制器配置向导替代 DCpromo。  通过克隆更加快速的部署虚拟域服务器。  通过虚拟安全技术更好的支持私有和公有云实现。  一致的图形和脚本管理接口允许您通过 Active Directory 管理中心执行管理 任务，并能自动生成脚本语法，以便使用 Windows PowerShell 3.0 执行完 全自动化任务。  使用 Active Directory 简化客户端激活功能。  组托管服务帐户可用于一组服务器，例如群集，借此共享它们的身份标识和安 全主体名称。 使用这些功能，您可以有效并高效地在本地或世界范围内部署和管理包含多台服务器的 ActiveDirectory 域服务。 Windows Server 2012 技术白皮书——身份与安全 18 第 简化管理 Windows Server 2012 中新的 Active Directory 域服务配置向导集成了新的域控制器所 有必需的步骤，所有这一切都被包含到一个图形界面中。只需要一个组织级别的凭据，既可 用于远程连接到特定的操作主机所有者，对森林和域做好准备。它还将进行广泛的先决条件 验证测试减少出错的机会，从而可能阻止或减缓安装。安装向导是基于 Windows PowerShell 3.0 的，并且与服务器管理器集成。它可以配置多个服务器和域控制器远程部 署，使得部署体验更简单一致，速度更快。 Active Directory 域服务配置向导包括以下这些特性：  Active Directory 域服务部署过程中集成了 Adprep 工具。该工具减少了部 署 Active Directory 域服务所需的时间，降低了在部署过程中出现错误的情况  远程部署多台服务器。这将大大降低管理错误和部署时间，尤其是在全球多个 国家和地区部署多个域控制器。  先决条件检测。在正式部署前指出任何潜在的错误。您可以在错误发生之前， 纠正错误条件，从而避免部分升级完成的问题。  有序的配置页面分组，集合了最常见的配置选项和少量页面的相关配置选项。 基于安装选项的上下文减少了完成域控制器安装的步骤和时间。  向导中指定的选项可以导出为 Windows PowerShell 脚本。使用自动创建的 Windows PowerShell 脚本，可以简化以后的Active Directory服务部署过程。 Windows Server 2012 技术白皮书——身份与安全 19 第 克隆部署 在早期版本的 Windows Server 中，管理员就已经发现，部署虚拟化域控制器副本的操 作与部署物理域控制器一样。从理论上讲不应该这样，因为虚拟化使得域控制器的克隆 成为可能，而不需要充分相同的不操作执行所有部署步骤。除了名称和 IP 地址外，同 一个域/森林中的域控制器几乎是相同的。因此虚拟化应该相当容易。然而早期版本的 Windows Server 中，部署仍然涉及许多冗余步骤。 在 Windows Server 2012 中，您可以通过“克隆”现有虚拟域控制器的方式部署虚拟 域控制器副本。这大大降低了通过消除重复部署任务所涉及的步骤和时间，也可以让您 全面部署额外的域控制器授权，并克隆 Active Directory 域的管理配置。 更加安全的虚拟化域控制器 Active Directory 域服务在多年前就己成功虚拟化了，但是目前大多数虚拟化平台会使 Active Directory 复制算法的前提条件失效，最主要的原因是，域控制器之间数据收敛 的时间必须同步。Windows Server 2012 中包含了对虚拟化域控制器的改进，可检测 快照应用或是虚拟机复制等事件，使域控制器的时钟回退并同步。 虚拟化平台为每一个虚拟化的主机都生成一个唯一的标识符，称为生成 ID，这一特性 促成了这个新功能。当虚拟机的时间点位置发生变化时，它的生成 ID 也会及时发生变 化，操作系统或是应用程序可以通过 Windows Server 2012 的驱动程序访问 BIOS 内的地址空间，获取虚拟化的生成 ID。 Windows Server 2012 虚拟域控制器在启动过程中，将会去对比当前的虚拟机的生成 ID 和存储在 Active Directory 中的生成 ID。如果对比不一样，将会触发一个“回滚” 事件，将使用 Windows Server 2012 Active Directory 域服务中新的安全守卫。安全 守卫保证虚拟化的域控制器与其它域控制器同步，并且防止创建重复的安全个体。 为了使 Windows Server 2012 的虚拟化域控制器能够获得这种额外级别的保护，虚拟 域控制器必须运行在一个支持虚拟机生成 ID 的虚拟化平台之上，如 Windows Server 2012 Hyper-V。 Windows Server 2012 技术白皮书——身份与安全 20 第 Windows PowerShell 脚本自动生成 Active Directory 服务的 Windows PowerShell 命令行是一套工具，允许您使用 Windows PowerShell 的命令操作和查询 Active Directory 域服务，并创建脚本，自 动执行常见的管理任务。依据您在 Active Directory 管理中心界面上的操作，Active Directory 管理中心管理工具使用这些命令来查询和修改 Active Directory 服务。 在 Windows Server 2012 中，Active Directory 管理中心的 Windows PowerShell 历史查看功能， 如下图所示，允许管理员查看实时执行的 Windows PowerShell 命令。 例如，当您创建一个新的密码策略时，管理中心就会在 Windows PowerShell 历史查 看任务面板中显示相应的 Windows PowerShell 命令。您可以使用这些命令创建 Windows PowerShell 的脚本，实现自动化。 Windows Server 2012 中的 Windows PowerShell 历史查看器 将脚本与计划任务配合使用，您就能够将以前需要手动完成的管理任务每天完全自动化 地完成。因为己经为您创建了命令和语法，您只需要了解 Windows PowerShell 就行 了。因为 Windows PowerShell 命令与您通过 Active Directory 管理中心是一样的， 他们应该复制原有的功能。 Active Directory 域中客户端的激活 客户端许可激活是一个不断重复的任务，Windows Server 2012 中改进的 Active Directory 功能可缓解这一过程。以前版本的 Windows Server 中，Windows 和 Office 批量许可激活需要有密钥管理服务(KMS)器，这会造成一些局限：  需要使用 RPC 协议进行网络通信，该协议可能被一些些组织禁用。 Windows Server 2012 技术白皮书——身份与安全 21 第  需要额外的培训。  这种解决方案也只能覆盖 90% 的部署场景。  没有图形化的管理控制台，过程更加复杂。  由于 Microsoft 软件授权协议中不允许客户端通过外部网络连接 KMS KMS 服务器，所以它不支持任何方式的授权。  只要能够访问到 KMS 服务，任何人都可以激活授权。 在 Windows Server 2012 中，这种情况得到了改善，它将利用 Active Directory 的 架构来帮助您激活客户端。不需要额外的计算机，不需要 RPC 的支持。激活将使用轻 量级目录服务协议（LDAP），支持允许或是排除只读域控制器（RODC） 在激活的过程中，唯一写回到 Active Directory 中的是安装和服务运行所必须的数据，激 活初始的 CSVLK 需要以下的条件：  通过 Internet 与微软激活服务联系一次(与零售激活相同)。  一个使用批量激活服务器或是通过命令行输入的密钥。  在更多的森林中重复激活过程 (默认情况下，最多可以重复六次)。 使用 Active Directory 集成的激活服务另外一个好处是激活对象是存储在配置分区的。 这是购买证明，同时意味着被激活的计算机可以是森林中任意域的成员。或许更为重要 的是，使用 Active Directory 集成的激活服务，所有 Windows 8 的计算机将自动激 活。意味着相对于早期版本 Windows Server 明显的流程改进，并且利用 Active Directory 域服务内置的资源来实现。 组托管服务帐户 托管服务帐号 (MSA) 是在 Windows Server 2008 R2 和 Windows 7 中引入的新的 帐户类型，用于增强网络应用程序如 Microsoft SQL Server 和 Exchange Server 的服 务隔离和管理。它们消除了需要管理员手动管理域级别的服务帐户的服务主体名称的 SPN 和凭据。 Windows Server 2012 技术白皮书——身份与安全 22 第 然而到现在为止，这个功能并没有提供服务器组，例如让集群共享它们的身份和服务主体 名称。对于管理员制造了麻烦。 当客户端连接到一个服务主机，该主机运行在一个网络负载平衡（NLB）或是其它方式构 建的服务器场中，服务器场中所有的主机都为客户端提供相同的服务，支持双向身份验证 的协议，例如 Kerberos，不能被使用除非所有的服务实例使用相同的安全主体（这意味 着他们使用相同的密码/密钥来证明自己的身份）。服务管理员发现管理它们是有难度的。 当客户端连接共享服务时，事先不会知道会连接到哪一个实例，因此身份验证要成功就不 能考虑主机。这就要求每个服务器实例使用相同的安全主体。今天的服务基本有四个主体 可以选择，每个都有自己的问题：计算机，虚拟化，管理服务或用户。 计算机托管服务帐户，或虚拟帐户不能跨多个系统共享。服务器场只能选择使用用户帐户。 由于用户帐户没有密码管理，每个组织必须创建一个解决方案来更新 Active Di