Планирование зон изоляции сервера

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Иногда на сервере размещены конфиденциальные данные. Если на серверах есть данные, которые нельзя скомпрометировать, у вас есть несколько способов защиты этих данных. Один из них уже был адресован: добавление сервера в зону шифрования. Членство в этой зоне не позволяет серверу получать доступ к любым устройствам, которые находятся за пределами изолированного домена, и шифрует все сетевые подключения к серверу.

Второй вариант заключается в дополнительном ограничении доступа к серверу не только для членов изолированного домена, но только для тех пользователей или устройств, у которых есть бизнес-причины для доступа к ресурсам на сервере. Можно указать только утвержденных пользователей или дополнительно указать, что утвержденные пользователи могут получать доступ к серверу только с утвержденных устройств.

Чтобы предоставить доступ, добавьте утвержденные учетные записи пользователей и устройств в группы сетевого доступа (NAGs), которые ссылались в правиле брандмауэра на этом сервере. Когда пользователь отправляет запрос на сервер, вызываются стандартные правила изоляции домена. Это заставляет IKE использовать Kerberos V5 для обмена учетными данными с сервером. Дополнительное правило брандмауэра на сервере Windows проверку предоставленных учетных записей устройств и пользователей на принадлежность к группе в naGs. Если пользователь или устройство не является членом требуемого NAG, подключение к сети отказано.

Изолированные домены и изолированные серверы

Если вы используете изолированный домен, клиентские устройства уже имеют правила IPsec, позволяющие им проверить подлинность трафика, когда это требуется серверу. Если вы добавляете изолированный сервер, он должен иметь GPO, примененный к его группе с соответствующими правилами безопасности подключения и брандмауэра. В правилах обеспечивается проверка подлинности и ограничивается доступ только к подключениям, которые являются аутентификацией, исходя из авторизованных устройств или пользователей.

Если вы не используете изолированный домен, но все еще хотите изолировать сервер, использующий IPsec, необходимо настроить клиентские устройства, которые вы хотите получить доступ к серверу, чтобы использовать соответствующие правила IPsec. Если клиентские устройства являются членами домена Active Directory, для настройки клиентов можно использовать групповую политику. Вместо применения GPO для всего домена, вы применяли GPO только для членов NAG.

Создание нескольких изолированных зон сервера

Каждый набор серверов, к которых должны иметь доступ различные наборы пользователей, должен быть настроен в своей изолированной зоне сервера. После успешного создания и проверки одного набора GPOs для одной изолированной зоны сервера можно скопировать их в новый набор. Необходимо изменить имена GPO, чтобы отразить новую зону, имя и членство в изолированной группе зон сервера, к которой применяются GPOs, а также имена и членство групп NAG, которые определяют, какие клиенты могут получить доступ к серверам в изолированной зоне сервера.

Создание GPOs

Создание групп и их привязка к GPOs, применяющим правила к членам групп, обсуждаются в разделе Развертывание групповой политики планирования для зон изоляции.

Изолированный сервер часто является членом зоны шифрования. Поэтому копирование этого набора GPO служит хорошей отправной точкой. Затем вы измените правила, чтобы дополнительно ограничить доступ только к участникам NAG.

Параметры GPO для изолированных серверов, работающих по крайней мере Windows Server 2008

GPOs для устройств с Windows Server 2008 должны включать следующие:

Примечание: Описанные здесь правила безопасности подключения идентичны правилам для зоны шифрования. Если вы не хотите шифровать доступ, а также ограничить доступ к участникам NAG, можно использовать правила безопасности подключения, идентичные основному изолированному домену. Чтобы изменить его в изолированную зону сервера, необходимо добавить правило брандмауэра, описанное в конце этого списка.

  • Параметры по умолчанию IPsec, которые указывают следующие параметры:

    1. Исключение всего трафика ICMP из IPsec.

    2. Методы и алгоритм безопасности обмена ключами (основной режим). Рекомендуется не включать Diffie-Hellman группы 1, DES или MD5 в любых параметрах. Они включены только для совместимости с предыдущими версиями Windows. Используйте самые сильные комбинации алгоритмов, которые являются общими для всех поддерживаемых операционных систем.

    3. Комбинации алгоритмов защиты данных (быстрый режим). Проверьте требуемую шифрование для всехправил безопасности подключения, которые используют эти параметры, а затем укажите одну или несколько комбинаций целостности и шифрования. Рекомендуется не включать DES или MD5 в любой параметр. Они включены только для совместимости с предыдущими версиями Windows. Используйте самые сильные комбинации алгоритмов, которые являются общими для всех поддерживаемых операционных систем.

      Если какие-либо устройства NAT присутствуют в сетях, не используйте AH, так как они не могут пересекать устройства NAT. Если изолированные серверы должны взаимодействовать с хостами в зоне шифрования, включай алгоритм, совместимый с требованиями GPOs зоны шифрования.

    4. Методы проверки подлинности. Включай по крайней мере проверку подлинности Kerberos V5 на основе устройств для обеспечения совместимости с остальным изолированным доменом. Если вы хотите ограничить доступ к определенным учетным записям пользователей, включите проверку подлинности Kerberos V5 на основе пользователя в качестве дополнительного метода проверки подлинности. Не делайте метод проверки подлинности на основе пользователя обязательным, иначе устройства, которые не могут использовать AuthIP вместо IKE, включая Windows XP и Windows Server 2003, не могут общаться. Кроме того, если любой из членов изоляции домена не может использовать Kerberos V5, включите проверку подлинности на основе сертификатов в качестве дополнительного метода проверки подлинности.

  • Следующие правила безопасности подключения и брандмауэра:

    • Правило безопасности подключения, которое освобождает все устройства из списка исключений из проверки подлинности. Обязательно включите в этот список все контроллеры домена Active Directory. Введите адреса подсетей, если это применимо в вашей среде.

    • Правило безопасности подключения, от любого IP-адреса до любого IP-адреса, которое требует входящий и запрашивает исходящие проверки подлинности с помощью проверки подлинности Kerberos V5.

      Важно: Не забудьте начать операции с помощью запроса и запроса поведения, пока не убедитесь, что все устройства в среде IPsec успешно общаются с помощью IPsec. После подтверждения того, что IPsec работает как ожидалось, вы можете изменить GPO, чтобы требовать, запрашивать.

    • Правило брандмауэра, которое указывает разрешить только безопасные **** подключения, требуется шифрование, **** а на вкладке "Пользователи и компьютеры" содержатся ссылки как на группы доступа к устройствам, так и к группам доступа к сети пользователей.

  • Политика реестра, включаемая следующие значения:

    • Включить обнаружение PMTU. Включение этого параметра позволяет TCP/IP динамически определять самый большой размер пакета, поддерживаемый через подключение. Значение находится в HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword). Пример GPO-предпочтений XML-файла в приложении A. Пример файлов шаблона GPO для Параметры, используемых в этом руководстве, задает значение 1.

    Примечание: Пример шаблона для этих параметров реестра см. в приложении A: Пример файлов шаблонов GPO для Параметры, используемых в этом руководстве.

Далее: планирование проверки подлинности на основе сертификатов