Security
Windows防火牆IPSec配置,如何保護AD
這是我的基礎架構配置:
- 所有伺服器都有公共 IP
- 我已經設置了一個 GPO,以使用預設身份驗證為所有伺服器啟用“需要入站和請求出站”規則的每個人的 IPSec。
- 除了在“請求/請求”上的 Active Directory 伺服器,因為它不能與“請求/請求”一起使用。
我的第一個問題是:為什麼我必須在“請求/請求”上設置 AD 伺服器?是因為我使用了基於 Kerberos 的預設身份驗證方法嗎?
我的第二個問題是:走這條路真的安全嗎?在我看來,AD 根本沒有受到 IPSec 的保護,所以它很容易受到攻擊,對吧?有那麼危險嗎?
我的第三個也是最後一個問題:你們認為在 Windows Server 上擁有完整的 IPSec 域隔離策略的最佳方式是什麼?我對這項技術感到非常高興,直到我發現 AD 根本不安全……
謝謝你的時間!
它是安全的,並且您的 AD 不易受到攻擊(儘管我確實有義務問一下,您究竟要保護它免受什麼侵害,如果沒有其他原因,只是讓您考慮它 - 安全是一個過程,而不是一個產品或技術)。
這就是 Kerberos 所做的,因此,事實上,Active Directory 並非完全不安全,正如您所想的那樣。而且,由於您執行的是 Server 2008,這裡有一些關於如何手動配置Kerberos 通信的加密類型的內容。他之前的條目也很不錯,至少就加密的更深入解釋而言,他剖析了一個範例 Kerberos 交換。不是我認為的有趣時光,但它是可以忍受的。
(如果您有任何 XP 客戶端,請謹慎使用這些設置。家庭版本、SP3 之前的任何內容以及更強大的算法(如果沒有安裝未推送到 Windows 更新的修補程序)的兼容性會變得很危險。)
我建議您也閱讀這篇 Technet 文章,它解釋了 IPSec(以及更多關於 Kerberos 的內容),然後,如果您仍有疑問……好吧,是時候查閱一本書了,其中很多已經寫在話題。