使用组策略中的“Active Directory 上的 IP 安全策略”设置是最佳做法吗?
我最近创建了一个新的 GPO 并指定了“服务器(请求安全)”策略。我几乎立刻就看到 SA 开始出现在我的文件服务器上。这似乎太简单了,不使用它就太可惜了。
这真的有什么坏处吗?
是不是每个人都已经这样做了,而我只是从未收到过那份备忘录?
答案1
不,除了非 Windows 系统在尝试协商时可能会出现网络延迟之外,没有其他缺点。您将看到 CPU 利用率略高。长期以来,人们一直建议在要求模式下使用 IPsec,但几乎没有人这样做,因为他们使用的是非 Windows 系统,这使得启用 IPsec 相当于在做根管治疗时喝一杯热茶。在全 Windows 环境中(甚至主要是 Windows),Kerberos + 基于证书的 IPsec(适用于非 Windows 系统)在要求模式下可以实现出色的数据丢失和入侵保护。您可以将其结合起来(在域得到保护之后)以限制网络级别的访问。