Entwurf einer DomänenisolationsrichtlinieDomain Isolation Policy Design

BetrifftApplies to

  • Windows 10Windows10
  • Windows Server 2016Windows Server 2016

Im Entwurf der Domänen Isolierungs Richtlinie konfigurieren Sie die Geräte in Ihrem Netzwerk so, dass nur Verbindungen akzeptiert werden, die von Geräten stammen, die als Mitglieder derselben isolierten Domäne authentifiziert sind.In the domain isolation policy design, you configure the devices on your network to accept only connections coming from devices that are authenticated as members of the same isolated domain.

Dieser Entwurf beginnt in der Regel mit einem Netzwerk, das wie im Abschnitt Basic Firewall Policy Design beschrieben konfiguriert ist.This design typically begins with a network configured as described in the Basic Firewall Policy Design section. Für diesen Entwurf fügen Sie dann Verbindungssicherheit und IPSec-Regeln hinzu, um Geräte in der isolierten Domäne so zu konfigurieren, dass nur Netzwerkdatenverkehr von anderen Geräten akzeptiert wird, die sich als Mitglied der isolierten Domäne authentifizieren können.For this design, you then add connection security and IPsec rules to configure devices in the isolated domain to accept only network traffic from other devices that can authenticate as a member of the isolated domain. Nach der Implementierung der neuen Regeln lehnen Ihre Geräte unerwünschten Netzwerkdatenverkehr von Geräten ab, die nicht Mitglieder der isolierten Domäne sind.After implementing the new rules, your devices reject unsolicited network traffic from devices that are not members of the isolated domain.

Bei der isolierten Domäne handelt es sich möglicherweise nicht um eine einzelne Active Directory-Domäne.The isolated domain might not be a single Active Directory domain. Sie kann aus allen Domänen in einer Gesamtstruktur oder Domänen in getrennten Gesamtstrukturen bestehen, in denen zwischen Ihnen zweiseitige Vertrauensstellungen konfiguriert sind.It can consist of all the domains in a forest, or domains in separate forests that have two-way trust relationships configured between them.

Mithilfe von Verbindungssicherheitsregeln, die auf IPSec basieren, stellen Sie eine logische Barriere zwischen Geräten bereit, selbst wenn Sie mit dem gleichen physikalischen Netzwerksegment verbunden sind.By using connection security rules based on IPsec, you provide a logical barrier between devices even if they are connected to the same physical network segment.

Das Design wird in der folgenden Abbildung gezeigt, wobei die Pfeile die zulässigen Kommunikationspfade aufweisen.The design is shown in the following illustration, with the arrows that show the permitted communication paths.

Grenz Zone für isolierte Domänen

Zu den Merkmalen dieses Entwurfs, wie in der Abbildung dargestellt, gehören die folgenden:Characteristics of this design, as shown in the diagram, include the following:

  • Isolierte Domäne (Bereich a): Geräte in der isolierten Domäne erhalten unerwünschten eingehenden Datenverkehr nur von anderen Mitgliedern der isolierten Domäne oder von Geräten, auf die in Authentifizierungsausnahme Regeln verwiesen wird.Isolated domain (area A) - Devices in the isolated domain receive unsolicited inbound traffic only from other members of the isolated domain or from devices referenced in authentication exemption rules. Geräte in der isolierten Domäne können Datenverkehr an ein beliebiges Gerät senden.Devices in the isolated domain can send traffic to any device. Dies umfasst nicht authentifizierten Datenverkehr zu Geräten, die sich nicht in der isolierten Domäne befinden.This includes unauthenticated traffic to devices that are not in the isolated domain. Geräte, die keiner Active Directory-Domäne beitreten können, aber Zertifikate für die Authentifizierung verwenden können, können Teil der isolierten Domäne sein.Devices that cannot join an Active Directory domain, but that can use certificates for authentication, can be part of the isolated domain. Weitere Informationen finden Sie unter zertifikatbasiertes Isolierungs Richtlinien Design.For more info, see the Certificate-based Isolation Policy Design.

  • Grenz Zone (Bereich B): Geräte in der Grenz Zone sind Teil der isolierten Domäne, können aber eingehende Verbindungen von nicht vertrauenswürdigen Geräten wie Clients im Internet akzeptieren.Boundary zone (area B) - Devices in the boundary zone are part of the isolated domain but are allowed to accept inbound connections from untrusted devices, such as clients on the Internet.

    Geräte in der Grenzzonen Anforderung, erfordern aber keine Authentifizierung für die Kommunikation.Devices in the boundary zone request but do not require authentication to communicate. Wenn ein Mitglied der isolierten Domäne mit einem Mitglied der Grenz Zone kommuniziert, wird der Datenverkehr authentifiziert.When a member of the isolated domain communicates with a boundary zone member the traffic is authenticated. Wenn ein Gerät, das nicht Bestandteil der isolierten Domäne ist, mit einem Mitglied der Grenz Zone kommuniziert, wird der Datenverkehr nicht authentifiziert.When a device that is not part of the isolated domain communicates with a boundary zone member the traffic is not authenticated.

    Da Grenzzonen Geräte für den Netzwerkdatenverkehr von nicht vertrauenswürdigen und potenziell feindlichen Geräten verfügbar gemacht werden, müssen Sie sorgfältig verwaltet und gesichert werden.Because boundary zone devices are exposed to network traffic from untrusted and potentially hostile devices, they must be carefully managed and secured. Setzen Sie nur die Geräte, auf die externe Geräte in dieser Zone zugreifen müssen.Put only the devices that must be accessed by external devices in this zone. Verwenden Sie Firewallregeln, um sicherzustellen, dass der Netzwerkdatenverkehr nur für Dienste akzeptiert wird, die für nicht-Domänenmitglieds Geräte verfügbar gemacht werden sollen.Use firewall rules to ensure that network traffic is accepted only for services that you want exposed to non-domain member devices.

  • Vertrauenswürdige nicht-Domänenmitglieder (Bereich C) – Geräte im Netzwerk, die keine Domänenmitglieder sind oder die IPSec-Authentifizierung nicht verwenden können, können durch Konfigurieren von Authentifizierungsausnahme Regeln kommunizieren.Trusted non-domain members (area C) - Devices on the network that are not domain members or that cannot use IPsec authentication are allowed to communicate by configuring authentication exemption rules. Mithilfe dieser Regeln können Geräte in der isolierten Domäne eingehende Verbindungen von diesen vertrauenswürdigen nicht-Domänenmitglieds Geräten akzeptieren.These rules enable devices in the isolated domain to accept inbound connections from these trusted non-domain member devices.

  • Nicht vertrauenswürdige nicht-Domänenmitglieder (Bereich D): Geräte, die nicht von Ihrer Organisation verwaltet werden und eine unbekannte Sicherheitskonfiguration aufweisen, müssen nur Zugriff auf die Geräte haben, die für Ihre Organisation erforderlich sind, um Ihre Geschäfte ordnungsgemäß durchzuführen.Untrusted non-domain members (area D) - Devices that are not managed by your organization and have an unknown security configuration must have access only to those devices required for your organization to correctly conduct its business. Die Domänenisolierung ist vorhanden, um eine logische Barriere zwischen diesen nicht vertrauenswürdigen Geräten und den Geräten Ihrer Organisation zu schaffen.Domain isolation exists to put a logical barrier between these untrusted Devices and your organization's devices.

Nachdem Sie diesen Entwurf implementiert haben, verfügt Ihr Verwaltungsteam über eine zentralisierte Verwaltung der Firewall-und Verbindungssicherheitsregeln, die auf die Geräte in Ihrer Organisation angewendet werden.After implementing this design, your administrative team will have centralized management of the firewall and connection security rules applied to the devices in your organization.

Wichtig: dieser Entwurf baut auf dem Standardentwurf für Firewall-Richtlinienauf und dient wiederum als Grundlage für das Design der Server Isolierungs Richtlinie.Important: This design builds on the Basic Firewall Policy Design, and in turn serves as the foundation for the Server Isolation Policy Design. Wenn Sie alle drei bereitstellen möchten, empfiehlt es sich, die Entwurfsarbeit für alle drei zusammen zu erledigen und dann in der vorgestellten Reihenfolge bereitzustellen.If you plan to deploy all three, we recommend that you do the design work for all three together, and then deploy in the sequence presented.

Dieser Entwurf kann auf Geräte angewendet werden, die Teil einer Active Directory-Gesamtstruktur sind.This design can be applied to Devices that are part of an Active Directory forest. Active Directory ist erforderlich, um die zentralisierte Verwaltung und Bereitstellung von Gruppenrichtlinienobjekten bereitzustellen, die die Verbindungssicherheitsregeln enthalten.Active Directory is required to provide the centralized management and deployment of Group Policy objects that contain the connection security rules.

Informationen zum Erweitern der isolierten Domäne, um Geräte einzubeziehen, die nicht Teil einer Active Directory-Domäne sein können, finden Sie unter zertifikatbasiertes Isolierungs Richtlinien Design.In order to expand the isolated domain to include Devices that cannot be part of an Active Directory domain, see the Certificate-based Isolation Policy Design.

Weitere Informationen zu diesem Design:For more info about this design:

Nächster Schritt: Entwurf der Server Isolierungs RichtlinieNext: Server Isolation Policy Design