9部署基本域隔离策略.docx

部署基本域隔离策略更新时间2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista通过使用高级安全Windows防火墙，您可以创建用来指定必须通过IPSec的一个或多个功能保护流量的连接安全规则。在域隔离中，使用IPsec身份验证要求连接所涉及的每台域成员计算机正确建立其他计算机的标识。通过创建要求域成员进行身份验证的规则，可有效地将域成员计算机与不属于域的计算机隔离。域隔离环境中的计算机要求对入站连接进行身份验证。对于出站连接，通常使用该选项来请求而非要求IPsec保护。这样，计算机便可在与其他同样可以使用IPSec的计算机通信时保护流量，但在与无法使用IPSec的计算机通信时，将恢复使用纯文本。在WindowsXP和早期版本的Windows中，如果启用了恢复使用纯文本，则将在尝试使用IPsec三秒后使用纯文本。但是，某些服务的响应超时时间小于三秒，这导致其失败。在以上早期版本的Windows中，这意味着必须创建（有时为大量的）出站豁免规则，以支持这些无法进行身份验证的服务器或服务。为解决此问题，Microsoft发布了WindowsServer2003和WindowsXP的简单策略更新。此更新会在受IPSec保护的客户端和未受IPSec保护的客户端之间的尝试延迟缩短到半秒。有关WindowsServer2003和WindowsXP的简单策略更新的详细信息，请参阅使用简单策略更新简化IPSec策略。较新版本的Windows进一步改进了这一点，不再需要更新。当在WindowsVista和较新版本的Windows中使用请求模式时，Windows同时发送两种连接尝试。如果远程主机使用IPSec响应，则将放弃非IPSec尝试。如果IPSec请求不生成响应，则非IPSec尝试将继续。延迟缩短或消除后，解决了大多数程序的超时失败问题。但是，有时仍希望确保计算机不使用IPSec来尝试与网络上的某些主机通信。在这些情况下，可为客户端创建身份验证豁免规则，它们不再使用IPSec与豁免列表中的计算机通信。有关域隔离的详细信息，请参阅WindowsServer技术库中“服务器和域隔离简介和使用MicrosoftWindows的域隔离说明。创建连接安全规则以强制执行域隔离的步骤在此部分中，创建连接安全规则指定域中的计算机要求对入站网络流量进行身份验证并对出站流量请求身份验证。重要事项请记住，如果您已将默认的出站行为配置为阻止与出站允许规则不匹配的流量，则必须创建允许出站IPsec网络流量的规则。步骤1：创建请求身份验证的连接安全规则步骤2：部署并测试连接安全规则步骤3：将隔离规则更改为要求身份验证步骤4：使用不具有域隔离规则的计算机测试隔离步骤5：为不是域成员的计算机创建豁免规则步骤1：创建请求身份验证的连接安全规则更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista在此步骤中，为域创建连接安全规则，这些规则导致所有成员计算机要求对入站网络流量进行身份验证，并请求对出站流量进行身份验证。首先，使用仅请求入站身份验证的GPO，确认它正常工作后，对其进行修改以要求入站身份验证。指定要使用的IPsec算法为了简化，在以下过程中创建的规则使用的是默认IPsec主模式和快速模式设置，它们指定了协商中包含的完整性算法和加密算法的某些组合。但是，Windows也为配置用于任意给定连接的特定主模式和快速模式算法提供了许多灵活性。可以彼此通信的所有计算机必须至少支持一组通用的算法。如果必须使用某一特定算法组合，请执行以下操作之一： 更改全局IPSec的默认值。在GPO中，打开“高级安全Windows防火墙属性”页面，然后在“IPsec默认值”部分，单击“自定义”。可以配置用于协商保护主模式和快速模式安全关联(SA)的算法，以及可用的身份验证选项。更改这些设置将对连接安全规则没有另行指定以及连接安全规则与主模式规则不符的计算机上经过的所有IPsec连接的设置进行更改。 使用特定快速模式设置创建连接安全规则。使用netshadvfirewallconsecaddrule命令可以创建包含特定快速模式算法组合的连接安全规则。如果在规则中指定这些算法，则将其用于代替全局IPsec默认设置中的算法。使用qmsecmethods参数。添加到Windows7和WindowsServer2008R2的一个快速模式选项是“空封装”。此选项指定不向连接中的每个网络数据包提供任何完整性保护。不使用任何AH或ESP标头封装数据。此选项为与AH或ESP不兼容的网络设备和软件提供兼容性。您可以指定在全局IPsec默认值中使用空封装（不推荐），也可指定在仅符合必须使用空封装的网络通信的连接安全规则中使用空封装。有关如何使用自定义的快速模式设置创建连接安全规则的详细信息，请参阅NetshAdvFirewallConsec命令。备注无法使用高级安全Windows防火墙MMC管理单元创建特定快速模式设置的规则。 创建主模式规则.从Windows7和WindowsServer2008R2开始，您可以创建指定主模式加密、完整性和身份验证设置的规则。符合主模式规则的连接使用的是主模式规则设置，而不是连接安全规则或全局IPsec默认值中指定的设置。若要创建主模式规则，请使用netshadvfirewallmainmodeaddrule命令。有关详细信息，请参阅NetshAdvFirewallMainMode命令。防火墙和连接安全集成将防火墙功能与IPsec集成的一个主要优势就是可以在防火墙规则中使用其他选项。在WindowsVista及更高版本的Windows中，您现在可以创建根据以下条件筛选网络通信的防火墙规则： 仅允许经过身份验证和完整性保护的连接。符合此防火墙规则的网络通信必须受到IPsec连接安全规则的保护，该规则要求对连接进行身份验证并使用可以帮助保护连接中每个网络数据包完整性的AH或ESP算法。 要求对连接进行加密。必须采用指定使用ESP封装进行加密的IPsec连接安全规则对符合此规则的网络通信进行加密。还必须对网络通信进行身份验证和完整性保护。“允许计算机动态协商加密”的其他选项使您可以对客户端计算机部署较少的连接安全规则。例如，要在服务器上为单个端口启用加密，而服务器上发送到所有其他端口的网络通信以前并未加密，就需要对服务器和所有客户端执行两条规则：一条通用规则应用于发送到服务器的所有通信且不要求加密，另一条规则指定服务器的IP地址和服务器上所需的端口号，且需要进行加密。随着需要进行此特殊处理的端口号和服务器数量的增加，创建和维护所需连接安全规则的任务会变得更为困难。使用此选项，仅将要求身份验证和所需完整性的通用规则应用到客户端。对于服务器，仅为要求加密和启用动态加密的特定端口号创建了防火墙规则。因此，可以使用客户端上的单个规则协商主模式SA。当客户端将通信发送至受到防火墙规则保护的指定端口号时，服务器对客户端启动快速模式协商以创建需要加密的“升级”SA。均可以使用全局IPsec默认值中用于快速模式协商的任何加密算法组合。此外，为了能够指定端口，可以另外创建仅需要对指定服务、可执行程序或协议进行加密的防火墙规则。计算机上所有发送到其他服务、其他程序，或使用其他协议的网络通信不会触发快速模式SA协商要求加密。虽然此选项是随Windows7和WindowsServer2008R2引入的，但是它与运行WindowsVista和WindowsServer2008的计算机兼容，且可以使用组策略进行应用。 允许连接使用空封装。此选项指定主模式协商和身份验证完成以后，快速模式SA不要求AH或ESP封装。因此，连接的数据流不会接收每包完整性保护。此选项为与AH或ESP不兼容的网络设备或软件提供兼容性。为域隔离创建新的GPO的步骤1. 在MBRSV1的“组策略管理”中，右键单击“组策略对象”，然后单击“新建”。2. 在“名称”中，键入域隔离，然后单击“确定”。3. 在导航窗格中，右键单击新GPO，然后单击“编辑”。4. 在“组策略管理编辑器”中的导航窗格中右键单击域隔离GPO的顶级节点，然后单击“属性”。5. 选中“禁用用户配置设置”复选框，因为这是一个仅计算机的GPO。6. 在“确认禁用”对话框中，单击“是”，然后单击“确定”。7. 在导航窗格中，依次展开“计算机配置”、“策略”、“Windows设置”、“安全设置”、“高级安全Windows防火墙”，然后展开“高级安全Windows防火墙-LDAP：/cn=GUID，cn=policies，cn=system，DC=contoso，DC=com”。8. 右键单击“连接安全规则”，然后单击“新建规则”。9. 在“规则类型”页中，单击“隔离”，然后单击“下一步”。10. 在“要求”页中，确认已选中“入站和出站连接请求身份验证”，然后单击“下一步”。注意在生产环境中，建议您首先设置请求模式，然后再允许GPO完全传播到网络。在将规则更改为要求模式之前，请确认所有计算机正在通过使用IPSec成功进行通信。首先将规则设置为要求模式可能导致计算机在所有计算机接收和应用GPO之前无法通信。在稍后一步中，修改规则以将其更改为要求入站身份验证。11. 在“身份验证方法”页中，单击“计算机和用户(KerberosV5)”，然后单击“下一步”。备注尽管通常不会在域隔离中按用户凭据进行筛选，但是除了计算机身份验证之外，用户身份验证可以增强安全性，并使得稍后根据用户标识实现服务器隔离变得更为轻松，因为已实施了兼容性身份验证方法。12. 在“配置文件”页上，清除“专用”和“公用”复选框，然后单击“下一步”。13. 在“名称”页中，键入请求入站请求出站，然后单击“完成”。步骤2：部署并测试连接安全规则更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista在此步骤中，部署并测试域隔离规则。将包含该规则的GPO链接到包含计算机帐户的OU，然后测试连接性并查看已创建以支持连接的IPSec安全关联(SA)。从将GPO链接到包含接收该规则的计算机的OU开始。将GPO链接到相应的OU的步骤1. 在MBRSVR1上，打开组策略管理管理单元。2. 右键单击“我的客户端计算机”，然后单击“链接现有GPO”。3. 在“组策略对象”列表中，选择“域隔离”，然后单击“确定”。4. 右键单击“我的成员服务器”，然后单击“链接现有GPO”。5. 在“组策略对象”列表中，选择“域隔离”，然后单击“确定”。浏览OU时，会看到类似于下图的列表：重要事项请勿将域隔离GPO应用到域控制器上。备注在上述过程中，您没有使用WMI或安全组筛选器，是因为本指南中使用到的实验室设置比较简单，并且此处演示的内容并不重要。但是，在生产环境中，请确保使用适当的WMI和安全组筛选器认真将GPO仅部署到所需目标计算机上。现在，请确保两台计算机都接收并应用新的GPO。在计算机上测试新的GPO的步骤1. 在MBRSVR1和CLIENT1上的“管理员：命令提示符”处，运行gpupdate/force。等待命令完成。2. 在CLIENT1上的命令提示符处，运行telnetmbrsvr1。连接已成功。请暂不结束Telnet会话。3. 打开高级安全Windows防火墙管理单元。4. 依次展开“监视”、“安全关联”，然后单击“主模式”。5. 在“主模式”窗格中，双击显示的安全关联(SA)。6. 检查设置（如下图所示），本地计算机(CLIENT1)已与远程计算机(MBRSVR1)进行协商。显示的具体算法可能会不同，具体取决于在CLIENT1上使用了Windows7还是WindowsVista，以及对MBRSVR1使用了WindowsServer2008R2还是WindowsServer2008。7. 单击“确定”。8. 在导航窗格中，单击“快速模式”，然后双击显示的SA。9. 检查设置，它显示已使用封装安全有效负载(ESP)完整性算法安全哈希算法(SHA-1)对使用任何协议的两台计算机间的任何流量进行保护。ESP完整性使用加密保护的校验和来确保收到的数据包在发送后未经修改。完整性测试失败的任何数据包均被丢弃，且无任何提示。备注SA具有有限的生存期。因此，如果使连接保持足够长的空闲时间，SA可能会过期并从列表中移除。通过发送更多网络流量，SA经过自动重新协商后重新出现在列表中。10. 在Telnet提示符处，键入exit结束Telnet会话。步骤3：将隔离规则更改为要求身份验证更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista在此步骤中，修改已创建的规则，以便要求而不是请求身份验证。在完成此步骤之后，无法进行身份验证的客户端，或没有连接安全规则对流量进行身份验证的客户端，将无法与作为域成员的计算机通信。注意在生产环境中，只有在确认所有客户端和服务器使用“请求”版本规则中的IPsec设置进行通信后，才能执行此过程。在确认计算机可以使用其设置成功进行通信之前，如果将规则更改成“需要”，则可能会无意中将计算机置于无法通信的状态。将策略从请求更改为要求身份验证的步骤1. 在MBRSVR1上，切换到“组策略管理编辑器”。2. 在结果窗格中，右键单击“请求入站请求出站”，然后单击“属性”。3. 在“名称”文本框中，将名称更改为要求入站请求出站以准确反映其新行为。4. 单击“身份验证”选项卡。5. 在“要求”下，将“身份验证模式”更改为“要求入站和请求出站”，然后单击“确定”。备注尽管使用“要求入站和出站”在本指南中可以工作，但在生产环境中要求出站身份验证通常并不可行。通常域成员计算机必须启动与不是域中的计算机（例如远程网站）的通信。请确认即使要求身份验证，计算机也仍可以通信。测试要求身份验证的已修改GPO的步骤1. 在MBRSVR1和CLIENT1上的“管理员：命令提示符”处，运行gpupdate/force。2. 在CLIENT1上的命令提示符处，运行telnetmbrsvr1。连接已成功。3. 键入exit结束Telnet会话。步骤4：使用不具有域隔离规则的计算机测试隔离更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，WindowsServer2003withSP1，WindowsServer2003withSP2，WindowsServer2008，WindowsServer2008R2，WindowsVista若要模拟不属于域的计算机，请从CLIENT1中删除GPO，然后重新尝试连接。从CLIENT1中删除GPO的步骤1. 在MBRSVR1上，切换到“组策略管理”。2. 在MyClientComputers下，右键单击“域隔离”，然后单击“已启用链接”来禁用链接。在下一组步骤中，将刷新CLIENT1上的GPO并尝试与MBRSVR1通信。在CLIENT1上测试经过修改的GPO的步骤1. 在CLIENT1上的“管理员：命令提示符”下，运行gpupdate/force。等待命令完成。2. 在命令提示符下，运行telnetmbrsvr1。连接失败，因为它从未收到对其请求的回复。由于MBRSVR1要求身份验证，而CLIENT1无法提供身份验证，因此所有传入数据包将被丢弃。3. 键入exit，然后按Enter结束Telnet会话。在下一组步骤中，会将GPO还原到客户端，以便布置好正确的规则供后面的步骤使用。将GPO重新应用于CLIENT1的步骤1. 在MBRSVR1上的MyClientComputers下，右键单击“域隔离”，然后单击“已启用链接”。2. 如果需要，可以重复前面的“在CLIENT1上测试经过修改的GPO的步骤”来确认可以重新连接。此次连接成功。步骤5：为不是域成员的计算机创建豁免规则更新时间：2009年8月应用到：Windows7，WindowsServer2000，WindowsServer2003，WindowsServer2003R2，Wind