这是我的基础设施配置:
- 所有服务器都有公网IP
- 我已经设置了一个 GPO,在所有服务器上启用 IPSec,对所有服务器使用“需要入站并请求出站”规则,并使用默认身份验证。
- 除了位于“request/request”上的 Active Directory 服务器之外,因为它不能与“require/request”一起使用。
我的第一个问题是:为什么我必须在“请求/请求”上设置 AD 服务器?是因为我使用基于 Kerberos 的默认身份验证方法吗?
我的第二个问题是:这样做真的安全吗?在我看来,AD 根本没有受到 IPSec 的保护,所以它很容易受到攻击,对吗?真的那么危险吗?
我的第三个也是最后一个问题:你们认为在 Windows Server 上实施完整 IPSec 域隔离策略的最佳方法是什么?我对这项技术非常满意,直到我发现 AD 根本不安全……
谢谢你的时间!
答案1
它是安全的,并且您的 AD 不易受到攻击(尽管我确实觉得有义务问一下您到底想保护它免受什么攻击,即使只是为了让您思考一下 - 安全是一个过程,而不是一个产品或一项技术)。
这就是 Kerberos 的作用因此,事实上,Active Directory 并不像您想象的那样完全不安全。而且,由于您正在运行 Server 2008,因此这里有一些关于如何手动配置Kerberos 通信的加密类型。他之前的文章也很不错,至少对加密围棋有更深入的解释,而且他剖析了一个 Kerberos 交换示例。这不是我想象中的有趣时光,但还算可以忍受。
(如果您有任何 XP 客户端,请小心这些设置。家庭版本、SP3 之前的任何版本以及没有安装未推送到 Windows Update 的修补程序的更强大的算法的兼容性会变得不稳定。)
我建议你阅读这篇 Technet 文章以及,其中解释了 IPSec(以及有关 Kerberos 的更多信息),接下来,如果您仍然有疑问...那么,是时候查阅一本书了,其中有很多关于该主题的书。