ویندوز سرور 2016 لایههای مختلفی از امنیت را ارائه میدهد که کمک میکند آن را عضو قابل اعتمادی برای تأمین امنیت شبکه خود بدانید. برخی از این قابلیتها کاملاً مختص به ویندوز سرور 2016 هستند و برخی دیگر نیز در نسخههای قبلی وجود داشتند و در این نسخه تکمیل شدهاند.
ماشینهای مجازی حفاظتشده قابلیت جدیدی است که تنها در آخرین نسخه ویندوز سرور وجود دارد. هر کدام از این ماشینهای مجازی، جداگانه در برابر تهدیدات احتمالی شبکه محافظت میشوند. این روش احتمال نفوذ به سایر ماشینهای مجازی مهم در شبکه شما، برای مثال دامین کنترلر یا SQL سرورتان را به صفر میرساند. با این روش، اختلالات یک ماشین مجازی، باعث تأثیر روی سایر ماشینها نمیشود و ماشینهای مجازی سرویسهای زیرساختی شبکه شما همیشه در حال اجرا خواهند بود.
این قابلیت تنها در ویندوز سرور 2016 وجود دارد. با استفاده از این قابلیت، از حملات Hash جلوگیری میشود. با استفاده از اعتبارنامههای محافظتشده، اعتبارنامههای شما از خطر بدافزارها در امان خواهند ماند. این قابلیت روی Remote Desktop Services و Virtual Desktop Infrastructure نیز قابل اعمال است و همچنین از اعتبارنامههای کاربرانی که قصد اتصال به این سرویسها را دارند، محافظت میکند.
این قابلیت تنها در ویندوز سرور 2016 وجود دارد. با استفاده از آن، تنها باینریهایی که تأیید شدهاند، اجازه اجرا شدن روی سیستم را دارند. اگر برنامه یا درایور قابل اعتماد نباشد یا تأیید نشده باشد، اجازه اجرا روی سیستم را ندارد. از این قابلیت برای محافظت از Remote Desktop Services نیز میتوان استفاده کرد. در این روش، از سیستم در برابر اجرای برنامههای تأیید نشده و خطرناک، محافظت میشود.
این ویژگی از سیستمعامل در برابر حملاتی که قصد دارند با تغییر آدرس، فرایند یک پروسه را تغییر دهند، محافظت میکند. شرکتهای برنامهنویس واسط نیز میتوانند با استفاده از ویژوال استودیو 2015، برای برنامههای خود Control Flow ایجاد کنند تا از کاربرانشان محافظت کنند.
در این نسخه از ویندوز سرور، Windows Defender به طور شایستهای از سیستم در برابر بدافزارها محافظت میکند. دیتابیس این ویژگی، توسط بهروزرسانیهایی که ویندوز دانلود میکند، بهروزرسانی میشود. این قابلیت جدید و مخصوص آخرین نسخه است. یکپارچگی آن با Powershell، اجرای دستوراتی برای محاظت سیستم از طریق Powershell را امکانپذیر کرده است.
با پیادهسازی دیواره آتش توزیعشده، مهندسان شبکه میتوانند سیاستهای مختلف دیواره آتش را در بخشهای مختلف پیادهسازی کنند و از کاربران خود در برابر ترافیکهای ناخواسته که از طریق اینترنت و حتی اینترانت ایجاد میشود، محافظت کنند. با تقسیم این بخشها به بخشهای کوچکتر، برای هر کدام سیاستهای متفاوتی اتخاذ میشود. در ویندوز سرور 2016 به این پروسه، Microsegmentation گفته میشود.
Device Health Attestation، سرویس جدیدی است که مایکروسافت برای دستگاههای بر پایه ویندوز 10 ارائه کرده است. با استفاده از این سرویس، مایکروسافت سلامت دستگاه سیار، مانند موبایل یا تبلتهای مبتنی بر ویندوز 10 را تأیید یا رد میکند. تنها دستگاههایی میتوانند به شبکه، برنامهها و سرویسها دسترسی پیدا کنند که سلامت آنها تأیید شده باشد. نحوه عملکرد این سیستم در شکل 1 نشان داده شده است.
این قابلیت تنها مختص ویندوز سرور 2016 است. در این نسخه از ویندوز سرور، ماشینهای مجازی نسل دو میتوانند از Virtual TPM به عنوان چیپ پردازشگر رمز استفاده کنند. این چیپ کاملاً مجازی و امن بوده، نیاز به سختافزار ویژه ندارد و مختص رمزنگاری است. همراه با جابهجایی ماشین مجازی، جابهجا میشود و از ماشین مجازی محافظت میکند.
پروتکل SMB برای دسترسی از راه دور به فایلها در یک شبکه استفاده میشود و نقش مهمی در شبکهها ایفا میکند. در این نسخه از SMB، امنیت به طرز چشمگیری افزایش یافته است. مایکروسافت در این نسخه قابلیت Pre-authentication را قرار داده است. این قابلیت باعث جلوگیری از حمله Man-in-the-middle میشود.
در این نسخه از PowerShell، امکانات امنیتی جدیدی همچون Log گرفتن از اسکریپتها و یکپارچگی با سیستمهای ضد بدافزار گنجانده شده است. این نسخه از PowerShell روی ویندوز سرورهای 2008 R2 به بالا قابل نصب است.
Active Directory Domain Services، اطلاعات مربوط به دایرکتوریها و ارتباطات بین کاربران و دامینها را کنترل و مدیریت میکند. پروسه لاگین کاربر، احراز هویت و جستوجوی دایرکتوری، از جمله مسائل مرتبط به این سرویسها است. در ویندوز سرور 2016 سه قابلیت جدید به این سرویس اضافه شده است:
در نسخههای قبلی Active Directory Federation Services برای مهاجرت به نسخه بالاتر، باید تنظیمات از نسخه قبلی به نسخه جدید منتقل میشد. در ویندوز سرور 2016، مهاجرت از AD FS ویندوز 2012 R2 بهراحتی صورت میپذیرد. کلیات این مراحل بدین شرح است:
2. ویندوز سرورهای قبلی را به 2016 ارتقا دهید و مطمئن شوید که همه آنها بهدرستی کار میکنند.
3. زمانیکه تمام ویندوز سرورهای شما به 2016 ارتقا پیدا کرد، سطح عملیاتی AD FS را به 2016 ارتقا دهید و از قابلیتهای جدید آن بهره ببرید.
به دلیل استفاده از Wizard برای اعمال سیاستها در AD FS ویندوز سرور 2016، اعمال تنظیمات بسیار آسان است. برای سادهتر شدن، این تمهیدات صورت گرفته است:
- استفاده از قالبهای آماده و ساده برای اعمال سیاستها به برنامههای مختلف
- پارامتری کردن سیاستها برای پشتیبانی از مقادیر مختلف بهمنظور کنترل دسترسی (مانند گروههای امنیتی)
- ظاهر کاربرپسند به همراه پشتیبانی از شروط جدید
AD FS در ویندوز سرور 2016 قابلیت جداسازی مدیریت سرور و مدیریت سرویسهای AD FS را دارد. این بدان معنا است که برای مدیریت AD FS دیگر نیاز نیست با حساب کاربری مدیر سرور کار کنید و این بخشها از یکدیگر تفکیک شدهاند.
مایکروسافت علاوه بر موارد مذکور، قابلیتهای امنیتی دیگری به ویندوز سرور 2016 اضافه کرده است که فهرست تمام این قابلیت و مقایسه آنها با ویندوز سرورهای نسخههای قبل در جدول 1 آمده است.