Diseño de directiva de aislamiento de servidorServer Isolation Policy Design

Se aplica aApplies to

  • Windows 10Windows10
  • WindowsServer2016Windows Server 2016

En el diseño de la Directiva de aislamiento del servidor, asigne los servidores a una zona que permita el acceso solo a los usuarios y dispositivos que se autentiquen como miembros de un grupo de acceso de red (NAG) aprobado.In the server isolation policy design, you assign servers to a zone that allows access only to users and devices that authenticate as members of an approved network access group (NAG).

Este diseño comienza generalmente con una red configurada como se describe en la sección diseño de la Directiva de aislamiento de dominios .This design typically begins with a network configured as described in the Domain Isolation Policy Design section. Para este diseño, cree zonas para servidores que tengan requisitos de seguridad adicionales.For this design, you then create zones for servers that have additional security requirements. Las zonas pueden limitar el acceso al servidor únicamente a miembros de grupos autorizados y, opcionalmente, pueden requerir el cifrado de todo el tráfico que se encontra o sale de estos servidores.The zones can limit access to the server to only members of authorized groups, and can optionally require the encryption of all traffic in or out of these servers. Esto se puede hacer por servidor o para un grupo de servidores que compartan requisitos de seguridad comunes.This can be done on a per server basis, or for a group of servers that share common security requirements.

Puede implementar un diseño de aislamiento de servidor sin usar el aislamiento de dominio.You can implement a server isolation design without using domain isolation. Para ello, se usan los mismos principios que el aislamiento de dominio, pero en lugar de aplicarlos a un dominio de Active Directory, solo se aplican a los dispositivos que deben poder acceder a los servidores aislados.To do this, you use the same principles as domain isolation, but instead of applying them to an Active Directory domain, you apply them only to the devices that must be able to access the isolated servers. El GPO contiene seguridad de conexión y reglas de firewall que requieren autenticación al comunicarse con los servidores aislados.The GPO contains connection security and firewall rules that require authentication when communicating with the isolated servers. En este caso, los NAG que determinan los usuarios y los dispositivos que pueden tener acceso al servidor aislado también se usan para determinar qué dispositivos reciben el GPO.In this case, the NAGs that determine which users and devices can access the isolated server are also used to determine which devices receive the GPO.

El diseño se muestra en la siguiente ilustración, con flechas que muestran las rutas de comunicación permitidas.The design is shown in the following illustration, with arrows that show the permitted communication paths.

dominio aislado con servidor aislado

Entre las características de este diseño se incluyen las siguientes:Characteristics of this design include the following:

  • Dominio aislado (área A): el mismo dominio aislado descrito en la sección diseño de directiva de aislamiento de dominio .Isolated domain (area A) - The same isolated domain described in the Domain Isolation Policy Design section. Si el dominio aislado incluye una zona de límite, los dispositivos de la zona límite se comportan igual que otros miembros del dominio aislado en la forma en que interactúan con los dispositivos de las zonas de aislamiento de servidor.If the isolated domain includes a boundary zone, then devices in the boundary zone behave just like other members of the isolated domain in the way that they interact with devices in server isolation zones.

  • Servidores aislados (área B): los dispositivos de las zonas de aislamiento de servidor restringen el acceso a los dispositivos y, opcionalmente, a los usuarios, que se autentican como miembro de un grupo de acceso de red (NAG) autorizados para obtener acceso.Isolated servers (area B) - Devices in the server isolation zones restrict access to devices, and optionally users, that authenticate as a member of a network access group (NAG) authorized to gain access.

  • Zona de cifrado (área C): si los datos que se están intercambiados son suficientemente sensibles, las reglas de seguridad de conexión de la zona también pueden requerir el cifrado del tráfico de red.Encryption zone (area C) - If the data being exchanged is sufficiently sensitive, the connection security rules for the zone can also require that the network traffic be encrypted. Las zonas de cifrado se implementan con mayor frecuencia como reglas que forman parte de una zona de aislamiento de servidor, en lugar de como una zona independiente.Encryption zones are most often implemented as rules that are part of a server isolation zone, instead of as a separate zone. El diagrama ilustra el concepto como un subconjunto solo a título conceptual.The diagram illustrates the concept as a subset for conceptual purposes only.

Para agregar compatibilidad con el aislamiento de servidor, debe asegurarse de que los métodos de autenticación son compatibles con los requisitos del servidor aislado.To add support for server isolation, you must ensure that the authentication methods are compatible with the requirements of the isolated server. Por ejemplo, si desea autorizar cuentas de usuario que son miembros de un NAG además de autorizar cuentas de equipo, debe habilitar la autenticación de usuarios y equipos en las reglas de seguridad de conexión.For example, if you want to authorize user accounts that are members of a NAG in addition to authorizing computer accounts, you must enable both user and computer authentication in your connection security rules.

Importante

Este diseño se basa en el diseño de directiva de aislamiento de dominio, que a su vez se basa en el diseño de directiva de firewall básica.This design builds on the Domain Isolation Policy Design, which in turn builds on the Basic Firewall Policy Design. Si planea implementar los tres diseños, realice el trabajo de diseño para los tres juntos y, a continuación, impleméntelo en el orden presentado.If you plan to deploy all three designs, do the design work for all three together, and then deploy in the sequence presented.

Este diseño se puede aplicar a dispositivos que forman parte de un bosque de Active Directory.This design can be applied to devices that are part of an Active Directory forest. Active Directory es necesario para proporcionar la administración centralizada y la implementación de objetos de directiva de grupo que contienen las reglas de seguridad de conexión.Active Directory is required to provide the centralized management and deployment of Group Policy objects that contain the connection security rules.

Para obtener más información sobre este diseño:For more info about this design:

Siguiente: diseño de directiva de aislamiento basado en certificadosNext: Certificate-based Isolation Policy Design