据我了解,加入 Windows AD 的计算机总是在 DC 之前得到安全的识别/身份验证(使用自动更改的计算机帐户密码)。
现在,我读到(非英语文章)说 IPSec 总是应该在 AD 中配置。为什么呢?假设 AD 可以很好地与互联网隔离,或者在严密的公司环境中甚至没有互联网连接。
什么时候 IPSec 对于 AD 来说是“必须的”?
顺便问一下,为什么总是需要 AD 计算机的安全身份验证?是否可以将 DC 配置为对计算机进行不安全的身份验证(例如,在小型开发/测试环境中)?
----------
更新1:
有了这个非常安全、非常灵活、非常简单的 IPSec,怎么可能再退回到不安全的 AD 计算机呢?
我是否正确理解了 AD 计算机的这种安全认证使得不可能
- 工作组用户和 AD 用户帐户之间的单点登录
- 在工作组 Windows 中使用 AD 用户帐户进行 RunAs 和二次登录(反之亦然)
这对于开发或小型公司基础设施来说是一件非常痛苦的事情。这种不灵活性没有多大意义(拥有 IPSec)?
答案1
2001 年我第一次遇到这种观点时,Active Directory 的开发还处于早期阶段,整个 IT 部门仍在努力弄清它到底能做什么。Windows NT 中有一些 IPSec 控件,但 Windows 2000 和 Active Directory 带来了更多功能。当时的想法是这样的:
Active Directory 和组策略使 IPSec 的配置变得容易得多。这意味着网络上的完全加密,使网络免受嗅探!这非常安全。
这被视为“纵深防御”的坚实一步。我听说有少数人设法使他们的网络完全采用 IPSec,尽管 AD 在理论上使这变得更容易,但他们仍然需要做大量工作才能做到这一点。老实说,在过去 5 年里,我还没有听说过纯 IPSec AD 网络。
这是个好主意吗?可能吧。这是必需的吗?这取决于您的安全态势。如果您无法信任网络的物理层和网络层,那么 IPSec 绝对是一个好主意。正如 Zoredache 指出的那样。“无法信任”可能是由于明确规定物理层不可信任、实际开放端口允许任何人嗅探、必须利用公共网络。
当谈到无线网络时,IPSec 可能是一个非常好的主意,但我还没有听说很多人真正这样做。
答案2
什么时候 IPSec 对于 AD 来说是“必须的”?
我怀疑这个要求的主要原因是你无法信任物理网络。也许是因为你与其他人共享网络。也许交换机不在你的控制范围内。
答案3
我不认为 IPSec 是必需的没有特定安全要求的 AD 功能,但如果您今天要实施新的 AD 环境,我会认真考虑它。
微软正在拥抱完全移动客户端计算的概念,而 PKI 和 IPSec 是该战略的重要组成部分。现在,您可以非常轻松地让远程工作人员通过 DirectAccess 持续连接到您的公司网络,而这些远程工作人员的计算机则通过本机模式下的 SCCM 在防火墙外进行管理。非常酷炫的东西。
另一个用例是,如果您的网络有很多防火墙,限制应用程序层、DMZ 或其他政治部门之间的通信。在这些小型网络中安装 AD 服务器很快就会变得昂贵,而 IPSec 可以更轻松地安全地穿越这些防火墙,并确保只有您已颁发证书的设备才能使用 IPSec 进行通信。