【IT168 评论】现在的科技圈，越巨头的公司越想八面玲珑，越想涉足更多的领域。10月13日，微软正式推出Windows Server2016及System Center2016，如今微软宣布二者均已正式商用。根据IDC报告，Windows Server已有60%以上的使用率。作为微软全新一代的服务器操作系统和数据管理平台，它们不光构成了目前微软全球构建Azure的基础，也是未来一段时间微软助推企业用户升级，更好地和Azure互操作混合云的一个平台，同时，也为企业IT带来了无限可能。

　　每个版本的Windows - 客户端和服务器 - 都承诺会不断提高安全性。但在Windows 10和Windows Server 2016中，微软超越了通常的改进幅度，并关闭漏洞修复，提供工具减少钓鱼网站证书危险，超级管理员和不可信的二进制文件的风险。

　　微软主要项目经理Jeff Woolsey说，过去，安全是技术的一部分，现在安全需要单独对待。

　　身份保护和安全出现在微软与客户的每次谈话中。 而且攻击的规模意味着安全已经不只是让IT团队担心的问题，企业云组和Microsoft Azure堆栈的首席架构师Jeffrey Snover补充道，当我们询问客户面临的IT问题是什么时，有一些是我们一直听到的，还有很多关于黑客入侵的故事。

　　Windows Server 2016旨在三个主要领域提供更好的安全性：特权账户，虚拟机安全，用户服务器和云操作系统的安全。

　　保护管理员帐户

　　网站被攻击的次数明显上升。因为不担心引渡，很多人从海外进行攻击。事实上，身份是新的攻击面，找到用户进入基础设施的方式，再让恶意软件进入基础设施，这并不难，让用户点击钓鱼网站也并不像我们想象中的那么难。

　　如果攻击者进入的第一个帐户没有太多访问权限，他们会登录帮助台以修复它，通常他们还有管理员凭据。窃取这些凭据让攻击者有更多的访问权限，他们进入域管理员帐户通常只需要24到48小时。如果用户200天都没发现攻击，就是一个很大的问题了。在这段时间内，一个域管理员可以做任何事情。

　　Windows Server 2016在这个问题上做了很大努力。一开始是哈希加密，Credential Guard使用现代化的硬件，利用虚拟化技术来保护机器，防止通过哈希和其他方式攻击。同时还有远程Credential Guard：当用户登录到RDP时，微软不发送凭据，而是使用单点登录。

　　Windows Server 2016还包括以前作为PowerShell选项提供的防御。及时(JIT)降低管理员(JEA)权限到最小工作集，当用户以管理员身份连接到计算机时，使用JEA，它会使用虚拟帐户登录，该虚拟帐户是在限制权限并通过PowerShell锁定后即时创建的。使用JIT，微软有一个模型，授予用户有限时间内有限的有效安全令牌。

　　安全性的部分挑战是操作安全性，工作时间用户可以自由进行设置，管理员离线状态就无法进行操作了。你可以根据不同的工作流程，在计算机上分配时间权限。这就好像一个网络管理员，它的本职工作是管理网络防火墙，可能99%的时间都需要以管理员的身份登录，但用户可能也会以管理员的身份收发邮件或者上浏览器之类的，如果他需要更改防火墙设置，可能需要大多数用户投票赞成，如果规定时间内，他没有完成设置，可能还需要用户再次协商。

　　微软也优化了模板，以帮助用户将JEA权限分配给不同的角色，并开发了一个工具来帮助用户扫描域服务器以查看有多少管理员。

　　目前，JEA在Windows环境中没问题，如果是其他环境，可能会有问题，因为JEA是一个PowerShell工具，这是微软将PowerShell带到Linux的一个原因，意图是在其他平台上支持PowerShell操作。Linux上的安全性是不同的，微软相信可以做好这一点。

　　屏蔽虚拟机

　　对于所有优势，虚拟化造成了一些大问题，最值得注意的是单点故障。没有人对这个问题做过统计，即使我们已经知道这个问题几十年了，它是一个单点攻击。如果进入虚拟化主机，可以访问运行的所有50个或更多虚拟机，这将是一场灾难。攻击者可以窃取一整套封装在一个简单文件中的系统，可以将VM复制到USB上并在任何地方运行，因为VM不知道什么是有效的硬件和结构。任何本地管理员都可以撤消客户任何的自我保护，加密VM。

　　虚拟机在敏捷性方面非常棒，但在安全性方面并不是很优秀。在具有物理服务器的原始模型中，谁可以访问?答案是服务器管理员。但随着虚拟机的发展，突然有更多的人，更多不同的角色可以访问设备，并能够复制和查看数据。这是一个真正的挑战，特别是在托管环境中，微软设计了屏蔽虚拟机，只有虚拟机管理员可以访问。

　　虚拟安全模式使用硬件虚拟化来保护虚拟机免受本地管理员的破坏(这是Windows 10和Windows Server 2016用于保护登录凭据的相同技术)。如果是本地管理员，可以看内存中的一切，使用虚拟安全模式，在windows内核周边创建一个微小的包围，这意味着本地管理员无法通过内存窥探查找加密虚拟机的凭据。

　　主机监护服务是一个关键的基础设施，它运行在一个单独的域中，不与基础设施中的任何内容共享信任，它测量架构中服务器的引导过程，确保没有恶意软件进入，引导过程中没有被污染。同时监视代码完整性，以便只有被允许的进程才能运行。

　　外部攻击

　　就像美国国防部和英国国防部等政府机构正在计划采用屏蔽式虚拟机，当执行通用标准时，我们总是问的问题是，你对流氓管理员做了什么?我们一直说我们知道这个问题，但很难解决。微软一直在寻找如何在Azure和Windows Server上解决流氓管理问题。

　　Device Guard是一种新型的代码完整性策略，它限制了二进制文件的运行，而且不再只是应用于用户，它现在可以保护自己免受管理滥用，如果管理员篡改代码完整性策略并重新启动服务器，它会故意蓝屏。除此之外，Windows Server 2016还增加了另一个客户端功能 - Windows Defender反恶意软件。

　　微软希望除了基础架构以外的应用层面对网络访问和mapping配置可以完全通过网络来定义。大家把职权分清楚，网络的人只负责接入、核心交换，包括VLAN划分，而在网上应用层面的网络隔离、防火墙、负载均衡这些安全策略都通过软件定义。微软逐步把运营Azure上很好的基础设施管理工具、代码、经验都产品化，慢慢带入到企业级的产品里。同时根据企业用户反馈，又能够帮助Azure去运营更好的云服务，这是一个良性循环。

　　微软设计了一个更小、更适合于跑云计算、虚拟化以及容器的平台Nano Server，这是一个全新的安装选项。它会划分一个非常非常小的磁盘文件，就可以安装、启动Nano Server，所以对应用平台支撑有两个技术，一个是Nano Server、一个是容器技术。微软会支持Docker，也会很好的兼容它。

　　总的来说，windows server2016从安全、应用平台、软件定义数据中心、管理上进行了很大的改进。面对数字化转型为各行各业用户带来的发展机遇，微软正全力推进云计算、大数据、智能等技术领域的创新与应用，这是微软混合云推广的重要里程碑。