Windows防火墙IPSec配置,如何保护AD

Windows防火墙IPSec配置,如何保护AD

这是我的基础设施配置:

  • 所有服务器都有公网IP
  • 我已经设置了一个 GPO,在所有服务器上启用 IPSec,对所有服务器使用“需要入站并请求出站”规则,并使用默认身份验证。
  • 除了位于“request/request”上的 Active Directory 服务器之外,因为它不能与“require/request”一起使用。

我的第一个问题是:为什么我必须在“请求/请求”上设置 AD 服务器?是因为我使用基于 Kerberos 的默认身份验证方法吗?

我的第二个问题是:这样做真的安全吗?在我看来,AD 根本没有受到 IPSec 的保护,所以它很容易受到攻击,对吗?真的那么危险吗?

我的第三个也是最后一个问题:你们认为在 Windows Server 上实施完整 IPSec 域隔离策略的最佳方法是什么?我对这项技术非常满意,直到我发现 AD 根本不安全……

谢谢你的时间!

答案1

它是安全的,并且您的 AD 不易受到攻击(尽管我确实觉得有义务问一下您到底想保护它免受什么攻击,即使只是为了让您思考一下 - 安全是一个过程,而不是一个产品或一项技术)。

这就是 Kerberos 的作用因此,事实上,Active Directory 并不像您想象的那样完全不安全。而且,由于您正在运行 Server 2008,因此这里有一些关于如何手动配置Kerberos 通信的加密类型。他之前的文章也很不错,至少对加密围棋有更深入的解释,而且他剖析了一个 Kerberos 交换示例。这不是我想象中的有趣时光,但还算可以忍受。

(如果您有任何 XP 客户端,请小心这些设置。家庭版本、SP3 之前的任何版本以及没有安装未推送到 Windows Update 的修补程序的更强大的算法的兼容性会变得不稳定。)

我建议你阅读这篇 Technet 文章以及,其中解释了 IPSec(以及有关 Kerberos 的更多信息),接下来,如果您仍然有疑问...那么,是时候查阅一本书了,其中有很多关于该主题的书。

相关内容