隨著云技術和服務器虛擬化在數據中心的變得越來越重要，很多管理員都接到了利用現有Server 2008 R2安裝來保證新環境安全的任務。

Windows Server平臺有很多功能可以幫助工程師鎖定他們的環境并且讓這個環境可用于虛擬化或云部署。記住，盡管用戶是從不同的位置來訪問一個集中的工作負載，但是這個實例仍然處于Windows Server環境中，并且受到Windows環境的潛在控制。

活動目錄和組策略對象都是實用的工具，它們可以幫助鎖定面向云的環境。

雖然管理員現在看到用到的都是新型終端，但是很多核心安全實踐方案仍然是相同的。工程師仍然使用現在可用的現存技術工作來鎖定他們的環境。

確?；顒幽夸洶踩?。擁有一個安全的活動目錄環境會創造更具活力、能按業務需求增長的云基礎設施。在Server 2008 R2里面，活動目錄為提供登錄認證的企業創建一個安全界線。活動目錄創建一個分等級架構，包括活動目錄林、林中的域、DNS以及每個域中的組織單元。

計劃一次安全DNS服務器部署時，工程師首先應該收集環境的信息。記住，部署Windows Server 2008 R2時，規劃、設計和測試一直都非常重要。在規劃階段，工程師收集關鍵的環境信息，這些信息幫助工程師來確定基礎設施內的安全特質。這些信息應該包括內部和外部域的結構和等級，針對這些域名授權的DNS服務器識別，以及網絡中用于主機地址解析的DNS客戶端需求。

通過這些信息，工程師可以了解使用了哪些功能，從而鎖定他們的環境。針對云環境部署安全AD和DNS時還應該考慮以下內容：

與WAN/Cloud/Internet的聯系。在數據中心內部，并不是所有服務器都面向網絡，也不是所有服務器都提供云服務。這種情況下，如果在互聯網上不需要你的網絡主機來解析名稱，那么消除內部DNS服務器與互聯網的所有聯系。在這種DNS設計中，你可以使用你網絡中完全托管的私有域名空間，內部DNS服務器為根域和一級域名托管區域。這種配置中，DNS服務器不會使用互聯網根名稱主機，因此要配置根提示來引導它們只指向內部的DNS根。

區域傳輸相關的工作。DNS是一個非常重要的功能。這也是要確保部署中每個元素都安全的原因。如果不需要就關閉區域傳輸，通過這種方法，工程師提供了一個更安全的DNS環境。但是如果需要區域傳輸，它們也只應該出現在特定的IP地址。開啟到任意服務器上的區域傳輸都可能會帶來一些安全隱患。旨在開啟區域傳輸的攻擊可能會暴露你的DNS,并且允許內部發生的惡意侵入。這也是區域傳輸相關的工作、鎖定和限制是規劃過程中一個重要部分的原因。

管理綜合AD區域。使用綜合目錄區域時可用的安全增強功能包括訪問控制列表和安全動態更新。你不能使用綜合目錄區域，除非DNS服務器也是一個域控制器。Windows 2008 Server Core是一個不包含GUI的Windows服務器版本。所有Server Core的管理都通過命令行或通過腳本來執行。

部署組策略對象(GPO)。GPO是一個強大的工具，它幫助管理員鎖定服務器、其它機器以及面向云的虛擬機。使用組策略時，管理員可以針對計算機和用戶的群組來管理配置，包括的選項針對基于注冊表的策略設置、安全設置、軟件部署、腳本、文件夾重定向、遠程安裝服務和IE維護。通過使用組策略，工程師可以部署軟件包并保證計算機和用戶的安全。當工作師用到策略設置、多個策略間的相互作用及繼承選項等因素時，GPO可以快速變復雜。和所有部署一樣，必須執行仔細的規劃、設計和測試。在用到面向云的Windows服務器時這尤為正確。好的規劃工程師能夠提供企業需要的標準化功能、安全和管理控制。

Windows Server主控圖像控制。有些環境中，基于云的Windows服務器是完全虛擬化的。這些基礎設施中的一些可能需要這些圖像獲得認證且不會被更改，比如醫療。在這種情況中，工程師可以創建一個主控黃金圖像快照。然后他們可以克隆這個圖像并在測試環境中對這個克隆圖像應用補丁和更新。接著他們可以在獨立的服務器上測試來觀察是否有與更新不兼容的問題。即使是在生產環境中，如果一個補丁失效或者是產生了一個管理缺陷，服務器管理員也可以輕松地回滾到最近工作正常的Windows環境。為了達到認證的目的，主控圖像可以安全地存儲環境中的某個位置，工程師知道這個位置不會進行變更。

隨著Windows Server技術繼續改良，更多的工具可以幫助管理員成功地部署并鎖定他們的環境。由于每個環境都是獨一無二的，必須在開發云活動之前進行基于安全的仔細規劃。Windows Server平臺適應環境需求的能力也另人印象深刻。但是要真正地利用這些服務器平臺提供的功能集，還需要取決Windows管理員對自己環境的理解。