市場觀察，3個D的安全承諾

拆解Windows Server 2008- 第一個在高可信度電腦運算要求下開發改版的產品。微軟承諾其在設計(Design)、預載(Default)與佈署(Deployment)上的安全。

自從6年前微軟的高可信度電腦運算(Trustworthy Computing)開跑，Windows Server 2008（別名Longhorn）反映出來自Redmond3個D的安全承諾，透過安全設計、預載的安全設定與安全佈署，給用戶安全的產品。
Convergent Computing的 CEO Rand Morimoto表示，不容置疑地，這是第一個Windows Server在高可信度電腦運算下誕生，從核心開始就建構許多安全功能，該公司負責Windows Server 2008內部與客戶小規模試驗。
判定Server 2008系統程式是否安全的評量方法，就是自正式發行之後他會出現多少個系統弱點，微軟極力鼓吹安全是Windows Server 2008的首要設計考量，經過了安全系統發展生命週期(SDLC)。重新訓練員工寫出安全的程式碼與建構威脅模型，針對這些模型實施廣泛的安全測試。其目標在於減少軟體弱點的數量，舉例來說，你可以完全不需要擔心Windows Server 2008發生緩衝區溢位的問題。
這樣的理由足以讓你升級嗎？也許，除了在程式碼設計上的安全之外，Windows Server 2008提供許多新的資料與網路保護措施特色的強化，讓你可以更輕易地符合法規的需求。本文將在這個方向下，帶領大家來看這些保護您目錄服務、資料與網路環境的新特色。

全副武裝的作業系統
您可能聽過 BitLocker Drive Encryption，加密整個OS磁碟而且可以保護系統開機過程的完整性，對於系統磁區機加密可以避免軟體攻擊與電腦遺失造成資料外洩。
這是Windows Server 2008提供的安全機制之一。BitLocker透過磁碟加密與安全的開機驗證程序，轉移資料遭未授權存取的風險。
對於多數的安全科技而言，相應所產生的易於管理的權衡(tradeoff)是很重要的。系統的升級必須要求您把磁碟解密是不方便的，但是非微軟系列的軟體要安裝或升級，會要求您把BitLocker整個關閉，否則系統會進入回復模式(recovery mode) 而且會請您提供金鑰或密碼才讓您繼續動作。
當然，加密動作會影響效能，微軟宣稱對於伺服器而言影響不大，可能只有個位數的百分比的資源需求，加密動作是在背景執行，每分鐘約可以處理1GB的資料量。
安全的開機啟動必須配合TPM 1.2晶片，保護系統開機功能不會在離線時被竄改。如果受到竄改，系統可能會開不了機，而且在開機完成之前不會有任何網路埠被開啟，以保障開機過程的安全。
Windows Server 2008繼續延伸這項安全功能，使用數位簽章以阻止駭客或惡意程式替換作業系統的底層檔案，所有系統的執行檔與DLL檔均做數位簽章認證，在執行或載入記憶體之前必須被檢驗其完整性與身分。
更進一步，Windows Server 2008亦採用ASLR(Address Space Layout Randomization)以預防緩衝區溢位及其他針對系統已知記憶體位置的攻擊方式。早期微軟的OS採用固定的系統記憶體位址，攻擊難度相對低。這項技術在每次開機之後，主要的資料區域位址會做亂數化，以防禦惡意程式或自動化的攻擊程式。Windows Server 2008對於攻擊失敗的系統錯誤有一定的容許次數，如果惡意程式自動化地探測目標區域超過十次失敗，系統便會提醒要除重新開機，而系統管理者便會警覺到系統的不尋常問題，再從LOG或管理工具中加以解決。

Firewall：雙向交通大管制
主機型的Windows Firewall已經加強了進階的安全功能，對於內向外的連線也納入管控範圍，規則的設定可以指定來源與目的位址、連接埠等。當然在設定的方法上也更為簡化易於使用。應用層的規則還是以執行檔的路徑為主，而非使用雜湊值，不過她可以設定服務名稱作為規則的標的物。並且將IPsec整合到同一個設定介面中，不像前一版要分開設定。

Service：一個蘿蔔一個坑
系統中的服務，通常具備很高的執行權限，而請經常是被開啟執行的，所以是熱門的惡意攻擊目標，可以利用系統服務(system services)權限進行幾乎所有工作，包含資料格式化、安裝木馬或是透過網路散播。前一版的Windows作業系統在預設上執行很多服務，布論用戶是否有需要。Windows Server 2008為了將攻擊的損失最小化，減少攻擊成功的機會，配合Windows Service Hardening採用最小權限原則，將預設值執行的服務署兩檢島最少。當然，可以配攻擊的地方也隨之減少。
Windows Server 2003 與 Windows XP採用三種服務帳號(NetworkService、LocalService 與 LocalSystem)，如果有哪個服務被感染，這樣就會取個這些帳戶的個別完整權限，非常危險。Windows Server 2008將這些帳號擴增為六個，每個服務帳號都有特定的權限與範圍，以提供更有效的控制。舉例來說，某個服務會先在LocalSystem的環境下啟動，然後再使用更低權限的帳號如LocalService或 NetworkService繼續執行。重要的服務也被限制其操作上的功能參數與能力，例如RPC(Remote Procedure Call)現在已經不能替換任何系統檔案或註冊機碼(registry)。
接著，服務的啟動還需要唯一的安全識別 (SID)，以往可以匿名地在LocalSystem的權限中在權取控制表(ACL)動手腳，現在，想都別想了！

AD: 看得到 碰不到
主動目錄服務(AD)是安全架構的核心，一切的權限與存取授權就在這裡，如果被攻陷就是最高的風險事件。
Windows Server 2008推出了只能讀取的網域控制器(RODC)，提供只能讀取的AD 目錄服務，以降低上述風險的發生機會，而且，帳號的密碼與密碼複製政策(Password Replication Policy)也不存放在RODC上。當然，你還可以給予IT人員可維護AD主機的帳號，去做更新或安裝，但不是AD最高權限喔。RODC的確解決了很多頭痛的安全問題，IT人員不再是擁有最高權限者。加上新的監控與稽核功能，前一版作業系統在這方面不夠強，現在可以記錄下是誰、做了什麼、原來的參數與被修改之後的參數。Windows Server 2008將稽核功能分成4個子類別，提供更強大的稽核功能。

網路存取保護(NAP)
Windows Server 2008真正地實現了NAP，微軟在回應網路存取(NAC)上，從Vista開始，可以檢驗用戶端是否符合安全政策(防毒更新、修補等)，透過隔離與矯正措施來執行，現在提供了健康度政策(Health Policies)、NAP管理伺服器(NAP Administration Server)、系統健康度檢驗(System Health Validators)與NAP強制元件(給IPsec、802.1x、VPN與DHCP使用)。

把LOG通通收進來
在一般資安事件中，你必須要看完很多LOG檔案才能知道在你的網路中有哪些被入侵或其他的問題原因，這是一個大工程。然而，以必須一台一台去收集資料的噩夢，終於在這系統功能中被解決，等於是一個簡單的SIEM工具，在Windows Server 2008中，事件檢視器被大改寫，提供事件記錄與追蹤的功能，透過訂閱(Subscription)方式，你現在可以收集遠端電腦的LOG並且以XML方式儲存在本地電腦。還有交叉比對的功能，關聯分析特別的事件或來自不同系統的LOG檔案，例如：分析所有失敗的登入嘗試，來找出您網路上的內賊在哪。