Entwurf einer Domänenisolationsrichtlinie

Betrifft

  • Windows 10
  • Windows Server 2016

Im Entwurf der Domänen Isolierungs Richtlinie konfigurieren Sie die Geräte in Ihrem Netzwerk so, dass nur Verbindungen akzeptiert werden, die von Geräten stammen, die als Mitglieder derselben isolierten Domäne authentifiziert sind.

Dieser Entwurf beginnt in der Regel mit einem Netzwerk, das wie im Abschnitt Basic Firewall Policy Design beschrieben konfiguriert ist. Für diesen Entwurf fügen Sie dann Verbindungssicherheit und IPSec-Regeln hinzu, um Geräte in der isolierten Domäne so zu konfigurieren, dass nur Netzwerkdatenverkehr von anderen Geräten akzeptiert wird, die sich als Mitglied der isolierten Domäne authentifizieren können. Nach der Implementierung der neuen Regeln lehnen Ihre Geräte unerwünschten Netzwerkdatenverkehr von Geräten ab, die nicht Mitglieder der isolierten Domäne sind.

Bei der isolierten Domäne handelt es sich möglicherweise nicht um eine einzelne Active Directory-Domäne. Sie kann aus allen Domänen in einer Gesamtstruktur oder Domänen in getrennten Gesamtstrukturen bestehen, in denen zwischen Ihnen zweiseitige Vertrauensstellungen konfiguriert sind.

Mithilfe von Verbindungssicherheitsregeln, die auf IPSec basieren, stellen Sie eine logische Barriere zwischen Geräten bereit, selbst wenn Sie mit dem gleichen physikalischen Netzwerksegment verbunden sind.

Das Design wird in der folgenden Abbildung gezeigt, wobei die Pfeile die zulässigen Kommunikationspfade aufweisen.

Grenz Zone für isolierte Domänen

Zu den Merkmalen dieses Entwurfs, wie in der Abbildung dargestellt, gehören die folgenden:

  • Isolierte Domäne (Bereich a): Geräte in der isolierten Domäne erhalten unerwünschten eingehenden Datenverkehr nur von anderen Mitgliedern der isolierten Domäne oder von Geräten, auf die in Authentifizierungsausnahme Regeln verwiesen wird. Geräte in der isolierten Domäne können Datenverkehr an ein beliebiges Gerät senden. Dies umfasst nicht authentifizierten Datenverkehr zu Geräten, die sich nicht in der isolierten Domäne befinden. Geräte, die keiner Active Directory-Domäne beitreten können, aber Zertifikate für die Authentifizierung verwenden können, können Teil der isolierten Domäne sein. Weitere Informationen finden Sie unter zertifikatbasiertes Isolierungs Richtlinien Design.

  • Grenz Zone (Bereich B): Geräte in der Grenz Zone sind Teil der isolierten Domäne, können aber eingehende Verbindungen von nicht vertrauenswürdigen Geräten wie Clients im Internet akzeptieren.

    Geräte in der Grenzzonen Anforderung, erfordern aber keine Authentifizierung für die Kommunikation. Wenn ein Mitglied der isolierten Domäne mit einem Mitglied der Grenz Zone kommuniziert, wird der Datenverkehr authentifiziert. Wenn ein Gerät, das nicht Bestandteil der isolierten Domäne ist, mit einem Mitglied der Grenz Zone kommuniziert, wird der Datenverkehr nicht authentifiziert.

    Da Grenzzonen Geräte für den Netzwerkdatenverkehr von nicht vertrauenswürdigen und potenziell feindlichen Geräten verfügbar gemacht werden, müssen Sie sorgfältig verwaltet und gesichert werden. Setzen Sie nur die Geräte, auf die externe Geräte in dieser Zone zugreifen müssen. Verwenden Sie Firewallregeln, um sicherzustellen, dass der Netzwerkdatenverkehr nur für Dienste akzeptiert wird, die für nicht-Domänenmitglieds Geräte verfügbar gemacht werden sollen.

  • Vertrauenswürdige nicht-Domänenmitglieder (Bereich C) – Geräte im Netzwerk, die keine Domänenmitglieder sind oder die IPSec-Authentifizierung nicht verwenden können, können durch Konfigurieren von Authentifizierungsausnahme Regeln kommunizieren. Mithilfe dieser Regeln können Geräte in der isolierten Domäne eingehende Verbindungen von diesen vertrauenswürdigen nicht-Domänenmitglieds Geräten akzeptieren.

  • Nicht vertrauenswürdige nicht-Domänenmitglieder (Bereich D): Geräte, die nicht von Ihrer Organisation verwaltet werden und eine unbekannte Sicherheitskonfiguration aufweisen, müssen nur Zugriff auf die Geräte haben, die für Ihre Organisation erforderlich sind, um Ihre Geschäfte ordnungsgemäß durchzuführen. Die Domänenisolierung ist vorhanden, um eine logische Barriere zwischen diesen nicht vertrauenswürdigen Geräten und den Geräten Ihrer Organisation zu schaffen.

Nachdem Sie diesen Entwurf implementiert haben, verfügt Ihr Verwaltungsteam über eine zentralisierte Verwaltung der Firewall-und Verbindungssicherheitsregeln, die auf die Geräte in Ihrer Organisation angewendet werden.

Wichtig: dieser Entwurf baut auf dem Standardentwurf für Firewall-Richtlinienauf und dient wiederum als Grundlage für das Design der Server Isolierungs Richtlinie. Wenn Sie alle drei bereitstellen möchten, empfiehlt es sich, die Entwurfsarbeit für alle drei zusammen zu erledigen und dann in der vorgestellten Reihenfolge bereitzustellen.

Dieser Entwurf kann auf Geräte angewendet werden, die Teil einer Active Directory-Gesamtstruktur sind. Active Directory ist erforderlich, um die zentralisierte Verwaltung und Bereitstellung von Gruppenrichtlinienobjekten bereitzustellen, die die Verbindungssicherheitsregeln enthalten.

Informationen zum Erweitern der isolierten Domäne, um Geräte einzubeziehen, die nicht Teil einer Active Directory-Domäne sein können, finden Sie unter zertifikatbasiertes Isolierungs Richtlinien Design.

Weitere Informationen zu diesem Design:

Nächster Schritt: Entwurf der Server Isolierungs Richtlinie