Ejemplo de diseño de directiva de aislamiento de dominioDomain Isolation Policy Design Example

Se aplica aApplies to

  • Windows 10Windows10
  • WindowsServer2016Windows Server 2016

Este ejemplo de diseño continúa usando la compañía ficticia Woodgrove Bank y se basa en el ejemplo descrito en la sección ejemplo de diseño de directiva de Firewall .This design example continues to use the fictitious company Woodgrove Bank, and builds on the example described in the Firewall Policy Design Example section. Consulte este ejemplo para obtener una explicación de la infraestructura de red corporativa básica en Woodgrove Bank con diagramas.See that example for an explanation of the basic corporate network infrastructure at Woodgrove Bank with diagrams.

Requisitos de diseñoDesign Requirements

Además de la protección básica proporcionada por las reglas del firewall en el ejemplo de diseño anterior, es posible que desee implementar el aislamiento de dominio para proporcionar otro nivel de seguridad a sus dispositivos de red.In addition to the basic protection provided by the firewall rules in the previous design example, you might want to implement domain isolation to provide another layer of security to their networked devices. Puede crear reglas de seguridad de firewall y conexión que usen la autenticación para reducir el riesgo de comunicarse con dispositivos que no son de confianza y que pueden ser hostiles.You can create firewall and connection security rules that use authentication to reduce the risk of communicating with untrusted and potentially hostile devices.

En la ilustración siguiente se muestra la protección de tráfico necesaria para este ejemplo de diseño.The following illustration shows the traffic protection needed for this design example.

diseño de directiva de aislamiento de dominio

  1. Todos los dispositivos de la red corporativa de Woodgrove Bank que son miembros del dominio de Active Directory deben autenticar el tráfico de red entrante como proveniente de otro equipo que sea miembro del dominio.All devices on the Woodgrove Bank corporate network that are Active Directory domain members must authenticate inbound network traffic as coming from another computer that is a member of the domain. A menos que se especifique lo contrario en esta sección, los dispositivos de Woodgrove Bank rechazarán todo el tráfico de red entrante no solicitado que no esté autenticado.Unless otherwise specified in this section, Woodgrove Bank's devices reject all unsolicited inbound network traffic that is not authenticated. Si también se implementa el diseño de Firewall básico, incluso el tráfico de red entrante autenticado se descarta, a menos que coincida con una regla de Firewall entrante.If the basic firewall design is also implemented, even authenticated inbound network traffic is dropped unless it matches an inbound firewall rule.

  2. Los servidores que hospedan los programas de WGPartner deben poder recibir tráfico entrante no solicitado de los dispositivos que pertenecen a sus socios, que no son miembros del dominio de Woodgrove Bank.The servers hosting the WGPartner programs must be able to receive unsolicited inbound traffic from devices owned by its partners, which are not members of Woodgrove Bank's domain.

  3. Los dispositivos cliente pueden iniciar comunicaciones salientes no autenticadas con dispositivos que no son miembros del dominio, como la navegación por sitios web externos.Client devices can initiate non-authenticated outbound communications with devices that are not members of the domain, such as browsing external Web sites. El tráfico entrante no solicitado de miembros que no sean dominios está bloqueado.Unsolicited inbound traffic from non-domain members is blocked.

  4. Los dispositivos de la zona de cifrado requieren que todo el tráfico de entrada y salida de la red se Cifre, además de la autenticación que ya requiere el dominio aislado.Devices in the encryption zone require that all network traffic inbound and outbound must be encrypted, in addition to the authentication already required by the isolated domain.

Otras notas sobre el tráfico:Other traffic notes:

Detalles de diseñoDesign Details

Woodgrove Bank usa los grupos de Active Directory y los GPO para implementar las reglas y la configuración del aislamiento de dominios en los dispositivos de su red.Woodgrove Bank uses Active Directory groups and GPOs to deploy the domain isolation settings and rules to the devices on its network.

La configuración de grupos según se describe aquí le asegura que no tiene que saber qué sistema operativo está ejecutando un equipo antes de asignarlo a un grupo.Setting up groups as described here ensures that you do not have to know what operating system a computer is running before assigning it to a group. Al igual que en el diseño de directiva de firewall, se usa una combinación de filtros WMI y filtros de grupo de seguridad para garantizar que los miembros del grupo reciban el GPO adecuado para la versión de Windows que se ejecuta en ese equipo.As in the firewall policy design, a combination of WMI filters and security group filters are used to ensure that members of the group receive the GPO appropriate for the version of Windows running on that computer. En el caso de algunos grupos, es posible que tenga cuatro o incluso cinco objetos de directiva de grupo.For some groups, you might have four or even five GPOs.

Los siguientes grupos se crearon con el complemento de MMC usuarios y equipos de Active Directory, todos los dispositivos que ejecutan Windows se agregaron a los grupos correctos y, a continuación, se aplican al grupo el objeto de directiva de grupo adecuado.The following groups were created by using the Active Directory Users and Computers MMC snap-in, all devices that run Windows were added to the correct groups, and then the appropriate GPO are applied to the group. Para incluir un dispositivo en el dominio aislado o en cualquiera de sus zonas subordinadas, simplemente agregue la cuenta del dispositivo en el grupo correspondiente.To include a device in the isolated domain or any one of its subordinate zones, simply add the device's account in the appropriate group.

  • CG \ _DOMISO \ _ISOLATEDDOMAIN.CG_DOMISO_ISOLATEDDOMAIN. Los miembros de este grupo participan en el dominio aislado.The members of this group participate in the isolated domain. Después de un período piloto inicial, seguido de una pertenencia a grupos de aumento lento, la pertenencia a este grupo se reemplazó finalmente por los equipos del dominio de entrada para garantizar que todos los dispositivos del dominio participen de forma predeterminada.After an initial pilot period, followed by a slowly increasing group membership, the membership of this group was eventually replaced with the entry Domain Computers to ensure that all devices in the domain participate by default. Los filtros WMI garantizan que el GPO no se aplica a los controladores de dominio.The WMI filters ensure that the GPO does not apply to domain controllers. Los GPO con reglas de seguridad de conexión para exigir el comportamiento del aislamiento de dominio están vinculados al contenedor de dominio y se aplican a los dispositivos de este grupo.GPOs with connection security rules to enforce domain isolation behavior are linked to the domain container and applied to the devices in this group. Los filtros garantizan que cada equipo recibe el GPO correcto para el tipo de sistema operativo.Filters ensure that each computer receives the correct GPO for its operating system type. Las reglas del GPO aislamiento de dominio requieren autenticación Kerberosv5 para las conexiones de red entrantes y Request (pero no lo solicita) para todas las conexiones salientes.The rules in the domain isolation GPO require Kerberosv5 authentication for inbound network connections, and request (but not require) it for all outbound connections.

  • CG \ _DOMISO \ _No \ _IPSEC.CG_DOMISO_NO_IPSEC. Se deniega a este grupo permisos de lectura o de aplicación en cualquiera de los GPO de aislamiento de dominio.This group is denied read or apply permissions on any of the domain isolation GPOs. Cualquier equipo que no pueda participar en el aislamiento de dominio, como un servidor DHCP que ejecute UNIX, se agrega a este grupo.Any computer that cannot participate in domain isolation, such as a DHCP server running UNIX, is added to this group.

  • CG \ _DOMISO \ _BOUNDARY.CG_DOMISO_BOUNDARY. Este grupo contiene las cuentas de equipo de todos los dispositivos que forman parte del grupo de límites capaz de recibir tráfico entrante no solicitado de dispositivos que no sean de confianza.This group contains the computer accounts for all the devices that are part of the boundary group able to receive unsolicited inbound traffic from untrusted devices. Los miembros del Grupo reciben un GPO que configura las reglas de seguridad de conexión para solicitar (pero no requerir) la autenticación entrante y saliente.Members of the group receive a GPO that configures connection security rules to request (but not require) both inbound and outbound authentication.

  • CG \ _DOMISO \ _ENCRYPTION.CG_DOMISO_ENCRYPTION. Este grupo contiene las cuentas de equipo de todos los dispositivos que requieren que todo el tráfico entrante y saliente se autentique y se cifre.This group contains the computer accounts for all the devices that require all inbound and outbound traffic to be both authenticated and encrypted. Los miembros del Grupo reciben un GPO que configura la seguridad de la conexión y las reglas del firewall para requerir autenticación y cifrado en todo el tráfico entrante y saliente.Members of the group receive a GPO that configures connection security and firewall rules to require both authentication and encryption on all inbound and outbound traffic.

Nota: Si está diseñando objetos de directiva de grupo solo para Windows 8, Windows7, vista, Windows Server 2012, Windows Server2008 y Windows Server2008R2, puede diseñar los GPO en grupos anidados.Note: If you are designing GPOs for only Windows 8, Windows7, WindowsVista, Windows Server 2012, Windows Server2008, and Windows Server2008R2, you can design your GPOs in nested groups. Por ejemplo, puede hacer que el grupo límite sea un miembro del grupo de dominio aislado, de modo que reciba el firewall y la configuración de dominio aislado básico a través de esa pertenencia anidada, con solo los cambios proporcionados por el GPO de la zona límite.For example, you can make the boundary group a member of the isolated domain group, so that it receives the firewall and basic isolated domain settings through that nested membership, with only the changes supplied by the boundary zone GPO. Sin embargo, los dispositivos que ejecutan versiones anteriores de Windows solo admiten una única directiva IPsec activa a la vez.However, devices that are running older versions of Windows can only support a single IPsec policy being active at a time. Las directivas de cada objeto de directiva de grupo deben estar completas (y, en gran medida, redundantes entre sí), ya que no se pueden disponer en capas como en las versiones más recientes de Windows.The policies for each GPO must be complete (and to a great extent redundant with each other), because you cannot layer them as you can in the newer versions of Windows. Por simplicidad, esta guía describe las técnicas que se usan para crear las directivas independientes sin capas.For simplicity, this guide describes the techniques used to create the independent, non-layered policies. Le recomendamos que cree y ejecute periódicamente un script que compare las pertenencias de los grupos que deben ser mutuamente excluyentes e informe de los dispositivos que se hayan asignado incorrectamente a más de un grupo.We recommend that you create and periodically run a script that compares the memberships of the groups that must be mutually exclusive and reports any devices that are incorrectly assigned to more than one group.

Siguiente: ejemplo de diseño de directiva de aislamiento del servidorNext: Server Isolation Policy Design Example