使用 IPsec 与组策略隔离服务器和域

需要熟悉 Microsoft® Windows Server™ 2003 的以下方面：

• Active Directory® 目录服务概念，包括 Active Directory 结构和工具；操纵用户、组和其他 Active Directory 对象；以及组策略的使用。
 
• 身份验证概念，包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。
 
• Microsoft Windows® 系统安全；安全概念，如用户、组、审核和访问控制表 (ACL)；使用安全模板；相互身份验证概念；标准名称解析方法和概念，如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS)；标准 Windows 诊断工具和故障排除概念；以及使用组策略或命令行工具应用安全模板。
 
• 了解 TCP/IP 概念，包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语，如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。
 
• 了解安全风险管理规则。

 
注：Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是，Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导，这意味着现在可以使用这些方案。

多播和广播通信流仍然无法使用 IPsec，但使用 IPsec 应该可以确保所有类型的单播 IP 通信流的安全。 每个客户都必须将在域或服务器隔离方案中部署 IPsec 的好处与成本、影响和其他权衡进行对照评估。 但 Microsoft 现在建议并支持按照本指南在客户网络上广泛使用 IPsec。
 

组织先决条件
规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见，他们可能需要参与隔离规划，包括扮演下列角色的人：

• 公司所有者
 
• 用户组代表
 
• 安全和审核人员
 
• 风险管理组
 
• Active Directory 工程、管理和操作人员
 
• DNS、Web 服务器以及网络工程、管理和操作人员

注：根据 IT 组织结构的不同，这些角色可能由几个不同的人担当，或有较少的人跨越几个角色。
 

服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。需要进行广泛输入时，有可担当此项目的主要联系人的资深人士是很有益的，如支持人员或在部署中会受影响的用户。在复杂项目中出现问题的两个主要原因是规划不好和通信差。 项目小组必须了解这些潜在的风险并确保已采取措施对其缓解。

标识受信任计算机
对信任及信任与计算机如何相关的讨论是服务器和域隔离主题的重要部分。 从其核心功能来说，隔离是任何特定的受信任主机决定谁对其有网络级访问权限的能力。因此，不管远程计算机在远程连接端如何连接（例如，无线、LAN、Internet），它都必须使用 IPsec 来协商信任并确保端到端的 TCP/IP 通信流与目标计算机的安全。 此端到端安全模型提供其他基于链接的网络访问控制和安全技术所无法提供的网络通信的保护级别（例如，VPN、802.1x、802.11 WEP）。 信任远程计算机将首先防止被盗窃、破坏或误用的用户凭据具有极大的价值。

在本解决方案的内容中，信任是组织的一种能力，它合理确保某特定的计算机处于已知状态并且符合组织已同意的最低安全要求。 这些要求可以是本身技术性的、以安全为重点的、与业务相关的或任何组合。 这些要求还规定计算机在建立与其他计算机的通信之前应处的状态。 Microsoft 建议受信任计算机的规格包括定期更新的安全更新列表和所需的 Service Pack。 理想情况是，应通过使用修补程序管理系统（如 Windows Update 服务或 Microsoft Systems Management Server (SMS)）来管理和实施这些更新。应用这些更新的频率取决于组织测试和部署每个更新所需的时间长度。 但要获得最高的安全性，应尽快为您的环境应用这些更新。