Предоставление доступа только указанным пользователям или компьютерам

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Изоляция домена (как описано в предыдущей цели Ограничение доступа только к доверенным устройствам) не позволяет устройствам, которые являются членами изолированного домена, принимать сетевой трафик с неуверенных устройств. Однако на некоторых устройствах в сети могут быть доступны конфиденциальные данные, которые должны быть дополнительно ограничены только для тех пользователей и компьютеров, которые имеют бизнес-требования для доступа к данным.

Защитник Windows Брандмауэр с расширенными средствами безопасности позволяет ограничить доступ к устройствам и пользователям, которые являются членами доменных групп, уполномоченных на доступ к этому устройству. Эти группы называются группами сетевого доступа (NAGs). Когда устройство проверяет подлинность на сервере, сервер проверяет членство группы в учетной записи компьютера и учетной записи пользователя и предоставляет доступ только в том случае, если членство в NAG подтверждено. Добавление этой проверки создает виртуальную "безопасную зону" в зоне изоляции домена. Вы можете иметь несколько устройств в одной безопасной зоне, и вполне вероятно, что вы создадим отдельную зону для каждого набора серверов с определенными потребностями в доступе к безопасности. Устройства, которые являются частью этой зоны изоляции серверов, часто также являются частью зоны шифрования (см. в этой области обязательное шифрование при доступе к конфиденциальным сетевым ресурсам).

Ограничение доступа только к пользователям и устройствам, которые имеют бизнес-требования, может помочь вам соответствовать нормативным и законодательным требованиям, таким как требования, найденные в Федеральном законе об управлении информационной безопасностью от 2002 г. (FISMA), законе Sarbanes-Oxley 2002 г., Законе о переносе медицинского страхования и подотчетности 1996 г. (HIPAA) и других правительственных и отраслевых нормативных актах.

Вы можете ограничить доступ, указав учетные данные компьютера или пользователя.

На следующем рисунке показан изолированный сервер и примеры устройств, которые могут и не могут с ним общаться. Устройства, которые находятся за пределами корпоративной сети Woodgrove, или компьютеры, которые находятся в изолированном домене, но не являются членами требуемого NAG, не могут взаимодействовать с изолированным сервером.

изолированный домен с группами сетевого доступа.

Эта цель, соответствующая разработке политики изоляции серверов,содержит следующие функции:

  • Изолированные серверы принимают нежелательный входящий сетевой трафик только с устройств или пользователей, которые являются членами NAG.

  • Изолированные серверы можно реализовать как часть изолированного домена и рассматривать как другую зону. Члены группы зоны получают GPO с правилами, которые требуют проверки подлинности, и которые указывают, что разрешен только сетевой трафик, заверяемый как исходя из члена NAG.

  • Изолированность сервера также может быть настроена независимо от изолированного домена. Для этого настройте только устройства, которые должны взаимодействовать с изолированным сервером, с правилами безопасности подключения для реализации проверки подлинности и проверки членства в NAG.

  • Зона изоляции сервера может быть одновременно настроена как зона шифрования. Для этого настройте GPO с правилами, которые заставляют шифрование, помимо необходимости проверки подлинности и ограничения доступа к участникам NAG. Дополнительные сведения см. в сообщении Require Encryption When Accessing Sensitive Network Resources.

Для этой цели развертывания необходимы следующие компоненты:

  • Active Directory: Active Directory поддерживает централизованное управление правилами безопасности подключения, настраивая правила в одном или более GPOs, которые могут автоматически применяться ко всем соответствующим устройствам в домене.

Далее: сопоставление целей развертывания с брандмауэром Защитник Windows с расширенным дизайном безопасности