安全性–Windows防火墙IPSec配置,如何保护AD

这是我的基础架构配置:

>所有服务器都有公共IP
>我已经设置了一个GPO,在所有服务器上使用默认身份验证为所有服务器启用IPSec,其中包含“入站和出站请求”规则.
>除了“请求/请求”上的Active Directory服务器,因为它不能与“require / request”一起使用.

我的第一个问题是:为什么我必须在“请求/请求”上设置AD服务器?是因为我使用基于Kerberos的默认身份验证方法吗?

我的第二个问题是:走这条路真的很安全吗?根据我的看法,IP并不受IPSec的保护,所以它很脆弱,对吧?这有危险吗?

我的第三个也是最后一个问题:你们认为在Windows Server上拥有完整的IPSec域隔离策略是最好的方法吗?我对这项技术感到非常高兴,直到我发现AD根本没有安全…

谢谢你的时间!

最佳答案
这是安全的,你的AD并不容易受到影响(尽管我确实有义务问你究竟是什么,确切地说,你试图保护它,如果没有别的原因让你想到它 – 安全是一个过程,而不是产品或技术).

That’s what Kerberos does,事实上,正如您所想的那样,Active Directory并非完全不安全.而且,由于你正在运行Server 2008,这里有关于如何手动配置encryption type for Kerberos communications的内容.他之前的条目也相当不错,至少就加密的更深入解释而言,he dissects a sample Kerberos exchange.不是我的乐趣时间,但它是相当容忍的.

(如果您有任何XP客户端,请小心这些设置.兼容性与家庭版本,SP3之前的任何内容以及没有未安装到Windows Update的修补程序的更强算法相比都很危险.)

我建议阅读this Technet article,这解释了IPSec(以及更多关于Kerberos的内容),然后,如果你仍然有问题……那么,是时候查阅一本书了,其中很多都是关于这个主题的. .

转载注明原文:安全性–Windows防火墙IPSec配置,如何保护AD - 代码日志