Entwurf einer Domänenisolationsrichtlinie

Gilt für

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

Im Entwurf der Domänenisolationsrichtlinie konfigurieren Sie die Geräte in Ihrem Netzwerk so, dass sie nur Verbindungen akzeptieren, die von Geräten stammen, die als Mitglieder derselben isolierten Domäne authentifiziert sind.

Dieser Entwurf beginnt in der Regel mit einem Netzwerk, das wie im Abschnitt "Entwurf der grundlegenden Firewallrichtlinie" beschrieben konfiguriert ist. Für diesen Entwurf fügen Sie dann Verbindungssicherheit und IPsec-Regeln hinzu, um Geräte in der isolierten Domäne so zu konfigurieren, dass nur Netzwerkdatenverkehr von anderen Geräten akzeptiert wird, die sich als Mitglied der isolierten Domäne authentifizieren können. Nach der Implementierung der neuen Regeln weisen Ihre Geräte unerwünschten Netzwerkdatenverkehr von Geräten zurück, die nicht Mitglied der isolierten Domäne sind.

Bei der isolierten Domäne kann es sich nicht um eine einzelne Active Directory-Domäne handeln. Sie kann aus allen Domänen in einer Gesamtstruktur oder Domänen in separaten Gesamtstrukturen bestehen, für die bidirektionale Vertrauensstellungen zwischen ihnen konfiguriert sind.

Durch die Verwendung von IPsec-basierten Verbindungssicherheitsregeln stellen Sie eine logische Barriere zwischen Geräten bereit, auch wenn sie mit demselben physischen Netzwerksegment verbunden sind.

Das Design wird in der folgenden Abbildung mit den Pfeilen dargestellt, die die zulässigen Kommunikationspfade anzeigen.

Zone für isolierte Domänengrenzen.

Zu den Merkmalen dieses Designs, wie im Diagramm dargestellt, gehören folgende:

  • Isolierte Domäne (Bereich A) – Geräte in der isolierten Domäne empfangen unerwünschten eingehenden Datenverkehr nur von anderen Mitgliedern der isolierten Domäne oder von Geräten, auf die in Authentifizierungsausnahmeregeln verwiesen wird. Geräte in der isolierten Domäne können Datenverkehr an ein beliebiges Gerät senden. Dies schließt nicht authentifizierten Datenverkehr an Geräte ein, die sich nicht in der isolierten Domäne befinden. Geräte, die keiner Active Directory-Domäne beitreten können, aber Zertifikate für die Authentifizierung verwenden können, können Teil der isolierten Domäne sein. Weitere Informationen finden Sie im Entwurf einer zertifikatbasierten Isolationsrichtlinie.

  • Begrenzungszone (Bereich B) – Geräte in der Begrenzungszone sind Teil der isolierten Domäne, dürfen jedoch eingehende Verbindungen von nicht vertrauenswürdigen Geräten wie Clients im Internet akzeptieren.

    Geräte in der Anforderung der Begrenzungszone, für die Kommunikation ist jedoch keine Authentifizierung erforderlich. Wenn ein Mitglied der isolierten Domäne mit einem Grenzzonenmitglied kommuniziert, wird der Datenverkehr authentifiziert. Wenn ein Gerät, das nicht Teil der isolierten Domäne ist, mit einem Mitglied der Begrenzungszone kommuniziert, wird der Datenverkehr nicht authentifiziert.

    Da Grenzzonengeräte dem Netzwerkdatenverkehr von nicht vertrauenswürdigen und potenziell schädlichen Geräten ausgesetzt sind, müssen sie sorgfältig verwaltet und gesichert werden. Platzieren Sie nur die Geräte, auf die externe Geräte in dieser Zone zugreifen müssen. Verwenden Sie Firewallregeln, um sicherzustellen, dass Der Netzwerkdatenverkehr nur für Dienste akzeptiert wird, die für Geräte verfügbar gemacht werden sollen, die nicht der Domäne angehören.

  • Vertrauenswürdige Nicht-Domänenmitglieder (Bereich C): Geräte im Netzwerk, die keine Domänenmitglieder sind oder die die IPsec-Authentifizierung nicht verwenden können, dürfen kommunizieren, indem Authentifizierungsausnahmeregeln konfiguriert werden. Diese Regeln ermöglichen es Geräten in der isolierten Domäne, eingehende Verbindungen von diesen vertrauenswürdigen Nicht-Domänenmitgliedsgeräten zu akzeptieren.

  • Nicht vertrauenswürdige Nicht-Domänenmitglieder (Bereich D) – Geräte, die nicht von Ihrer Organisation verwaltet werden und über eine unbekannte Sicherheitskonfiguration verfügen, müssen nur auf die Geräte zugreifen können, die für ihre Organisation erforderlich sind, um ihre Geschäftstätigkeit ordnungsgemäß auszuführen. Domänenisolation ist vorhanden, um eine logische Barriere zwischen diesen nicht vertrauenswürdigen Geräten und den Geräten Ihrer Organisation zu setzen.

Nach der Implementierung dieses Entwurfs verfügt Ihr Verwaltungsteam über eine zentrale Verwaltung der Firewall- und Verbindungssicherheitsregeln, die auf die Geräte in Ihrer Organisation angewendet werden.

Wichtig

Dieser Entwurf basiert auf dem Entwurf der grundlegenden Firewallrichtlinieund dient wiederum als Grundlage für den Entwurf der Serverisolationsrichtlinie. Wenn Sie alle drei bereitstellen möchten, empfehlen wir, dass Sie die Entwurfsarbeiten für alle drei gemeinsam durchführen und dann in der dargestellten Reihenfolge bereitstellen.

Dieser Entwurf kann auf Geräte angewendet werden, die Teil einer Active Directory-Gesamtstruktur sind. Active Directory ist erforderlich, um die zentrale Verwaltung und Bereitstellung von Gruppenrichtlinienobjekten bereitzustellen, die die Verbindungsicherheitsregeln enthalten.

Informationen zum Erweitern der isolierten Domäne, um Geräte einzuschließen, die nicht Teil einer Active Directory-Domäne sein können, finden Sie im Entwurf der zertifikatbasierten Isolationsrichtlinie.

Weitere Informationen zu diesem Design finden Sie unter:

Nächstes: Entwurf einer Serverisolationsrichtlinie