科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道使用 IPsec 与组策略隔离服务器和域

使用 IPsec 与组策略隔离服务器和域

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

多播和广播通信流仍然无法使用IPsec,应该可以确保所有类型的单播IP通信流的安全。每个客户都必须将在域或服务器隔离方案中部署IPsec的好处与成本、影响和其他权衡进行对照评估。

来源:IT试验室 2008年4月1日

关键字: Windows 操作系统 微软 活动目录

  • 评论
  • 分享微博
  • 分享邮件

不受信任计算机是无法确保符合这些安全要求的计算机。 一般来说,一台计算机在无人管理或无安全保护的情况下被视为不受信任。

服务器和域隔离解决方案的目的在于通过实施保护组织资产的工具、技术和过程来缓解对受信任的资源带来的风险。 本解决方案可确保:

• 只有那些被视为受信任的(那些符合特定安全要求的)计算机才可访问受信任资源。
• 不受信任计算机被拒绝访问受信任资源,除非提出特殊的业务原因来证明没有风险。

应允许仅从其他受信任资源对受信任资源(在默认情况下)进行网络级别的访问。 此外,通过对受信任环境中的特定用户和计算机使用允许或拒绝权限及 ACL 来控制网络层的访问。通过建立这种受信任环境及限制允许在该环境内部和外部通信,企业可降低对其数据资产带来的整体风险。 其他业务优势可能包括:

• 对网络特定区域上的数据流的深入了解。
• 用于达到“受信任”状态的安全计划的采用得以改进。
• 创建了最新的主机和网络设备库存。

例如,在 Woodgrove Bank 方案中,受信任计算机包括在 Woodgrove 拥有和管理的任何域中运行 Windows 2000 Service Pack (SP) 4、Windows XP SP2 或更高版本,或 Windows Server 2003 或更新版本的所有计算机。 此外,IT 人员还定期检查受信任资产(包括运行使用组策略以提供安全设置的 Windows 2000 或更新版本的所有计算机)以确保它们继续满足最低要求。 IT 人员检查受信任资产还为了确保按照 Woodgrove 本身的安全要求可集中控制专用安全软件(如防病毒软件)的安装和配置。 有关在本解决方案的环境中哪些计算机被视为受信任的详细信息,请参阅本指南中的第 3 章“确定 IT 基础结构的当前状态”的“信任确定”一节。

无人管理的计算机
无人管理的计算机是 IT 部门不集中管理其安全设置的计算机。 此外,不提供所需的安全管理功能的计算机也被视为无人管理。 无人管理的计算机被视为不受信任是因为组织无法确保它们是否会满足试图访问的受信任计算机的安全要求。

无安全保护的计算机
不受信任计算机还包括那些使用没有(或无法配置为)所需安全级别的操作系统的计算机。 无安全保护的计算机可分为下列四组:

• 较低操作系统安全分级的计算机。 此分组适用于运行缺少所需的安全基础结构分级的操作系统的计算机。 这种操作系统包括 Windows 9x、Microsoft Windows NT® 和 Windows CE。 通常,安全基础结构所需的功能可在 Windows XP 和 Windows Server 2003 等较现代的操作系统中找到。 这些功能包括访问控制(例如,文件权限)、数据包加密和强身份验证与授权的网络安全功能、不同级别的特权(用户和管理)、安全设置的集中管理支持、确保数据机密性和完整性的支持及其他安全技术的支持(如 Kerberos 身份验证协议和证书服务)。

• 配置不正确的计算机。 即使是最安全的操作系统,如果配置方式不正确,也容易受到攻击。 这种计算机必须视为无安全保护的设备。

• 缺少所需的更新级别的计算机。 因为 IT 安全是一个不断发展的领域,所以大多数软件供应商都会发布软件更新来确保正确解决最新的漏洞。 组织可能确定主机必须被视为受信任所需的最低级别的更新。 在这种情况下,那些缺少这些更新的计算机将被视为无安全保护的设备。

• 可能已经被破坏的受信任计算机。 受信任计算机通常有可能被受信任的攻击者破坏。 受信任计算机被破坏之后,除非对该计算机执行某些补救措施以将其返回至受信任状态,否则将不再被视为受信任计算机。 如果无法信任一台计算机的用户,则也不能信任该计算机,了解这一点是很重要的。

属于这四组中的一组的那些设备被归为不受信任设备,因为组织无法确定它们是否未受到某种方式的破坏。 因此,它们会对其试图访问的受信任计算机带来巨大的风险。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章