在允許用戶使用自己的設備並將其接入到內部網絡進行工作方面,企業收到了立竿見影的效果。“攜帶個人設備(BYOD)”的提議確實已經開啟,不過,這在很多情況下會讓Windows 服務器管理員們有點措手不及。 傳統的工作模式中,服務器工程師的任務是保護其環境免受惡意攻擊、數據丟失、入侵和基於服務器主機的危險。而現在,管理員則必須處理一些外來設備,並允許它們訪問內部資源。無論用戶使用什麼樣的終端設備,它都需要放在Windows服務器上。 調整現有的Windows 服務器安全實踐 即使在企業環境中接入了一些新型的終端設備,工程師們仍然能夠成功地保護環境的安全並有效地管理。下面是一些管理和加強BYOD環境安全的提示和最佳做法。 使用組策略(GPO)和活動目錄(AD):在服務器管理方面,AD安全組在管理BYOD 環境時將會有很大作為。工程師們能夠控制將哪些應用程序、桌面和工作負載傳遞到最終用戶。管理員使用GPO也可以部署相應的客戶端到最終用戶。這對於無縫連接用戶設備和保持一致的客戶端工作體驗非常重要。正確地使用GPO和AD安全組是有效管理BYOD 環境的第一步。 細致的權限監控:當用戶登錄到他們的環境時,可能會有文件夾映射和重定向。在 BYOD環境中用戶可能仍需要一組要使用的文件夾。切記,在這種集中管理的環境中,任何終端設備都不能保存任何實際數據。盡管如此,適當的文件夾和共享管理非常重要。通過監控和管理現有文件夾的權限,可以最大限度地避免用戶在使用自己的終端設備訪問網絡資源時犯錯或意外地刪除共享。 使用訪問控制列表(ACL):訪問控制是指授權用戶、 組或計算機使用權利、 用戶權限和審核對象訪問網絡對象的過程。ACL 可以迅速地成為服務器管理員監控和管理BYOD 環境的最有用工具之一。請記住,在Windows Server 2008中,包括來賓用戶在內的每個人都可以讀取和執行根目錄中的文件。只有經過身份驗證的用戶才可以創建新的文件和文件夾,當用戶創建好自己的文件或文件夾時,他們同時也獲得了對它們的修改權限。在Windows Server 2008環境中靈活使用ACL可以真正幫助鎖定來自 BYOD 硬件的訪問。 此外,Windows Server 2008為管理員和開發人員提供了很多好用的工具來管理終端用戶。相對於Windows Server 2003,Windows Server 2008的文件系統名稱空間已被大幅修改。現在的用戶數據保存在C:\Users目錄中,而以前位於C:\Documents and Setting\ \中的其它文件和文件夾已經移走了。這有助於將文檔文件和數據文件分隔開。現在開發人員可以在自己的配置文件中創建自己的文件夾,而不用將所有的數據文件全部保存在“我的文檔”中。在Windows Server 2003環境中,針對所有用戶應用程序的數據文件位於目錄Documents and Settings\All Users\Application Data中,而到了Windows Server 2008,它被移到了一個名為%systemroot%\ProgramData的隱藏文件夾中。這些文件夾可以進一步對權限進行監控。這有助於防止用戶配置文件意外刪除或不必要的修改。 更新和管理:在虛擬化的環境中,需要時刻保持服務器補丁的更新。更新的方法有很多,例如WSUS,第三方軟件、主鏡像等等。保持Windows服務器的安全可以阻止BYOD設備產生的安全風險。即使用戶使用自己的設備,他們仍然可以訪問Windows服務器上的數據資源。所以這些服務器必須保持更新和備份。 鏡像管理:許多管理員在虛擬化Windows服務器時都會創建主鏡像的快照。然後,將其克隆成虛擬機,並在測試環境中對它應用修補程序和更新。這時更新可以在隔離的服務器上測試是否有任何不兼容問題。在生產環境中,如果補丁更新失敗或有生產管理缺陷,服務器管理員可以將Windows環境回滾到上一個最近的版本。 終端訪問和管理:除了應用或Web服務需要訪問Windows服務器的情況外,保持Windows服務器前置有防火牆或訪問網關很重要。在BYOD環境中用戶能夠從任何位置,在任何設備上,隨時訪問他們的工作環境。所以有必要創建一個連接策略,僅接受那些安裝有最新客戶端的某些類型設備的連接。這種管理有助於防止安全漏洞和改善用戶體驗。對服務器連接情況和資源使用狀況的監控既適用於物理服務器,同樣也適用於虛擬服務器。在BYOD環境的服務器管理方面,服務器負載的不均衡將會浪費Windows服務器環境的資源。管理員需要24小時的監控其環境中所有和特定服務器資源的使用情況。通過尋找瓶頸,然後隔離,工程師將能在故障影響到用戶之前快速地發現並解決它們。 每個企業的環境都不一樣,所以對BYOD活動的管理將會取決於環境中服務器的基礎架構。然而,如果管理員主動仔細的規劃並確保Windows服務器環境補丁的更新,相信他們在使用現有服務器工具的基礎上一定能夠提供一個強大的終端解決方案。