使用 IPsec 与组策略隔离服务器和域

总而言之，服务器和域隔离的目标是缓解由不受信任计算机对受信任计算机进行未授权的访问所带来的威胁。 使用当前的平台，通过限制入站网络访问隔离远程计算机的能力是基于以使用 IPsec Internet 密钥交换 (IKE) 安全协商协议的域成员计算机身份成功进行验证的能力。 仅在计算机身份验证已成功实现并且 IPsec 安全关联保护所有上层协议和两台计算机之间的应用程序连接之后才涉及用户身份验证。 因此，通过使用服务器和域隔离可实现下列目标：

• 在网络级别上将受信任域成员计算机与不受信任设备隔离起来。
• 确保对内部网络上的受信任域成员的入站网络访问需要使用另一受信任域成员。
• 允许受信任域成员限制对域成员计算机的特定组的入站网络访问。
• 将网络攻击风险集中在少量主机上，这些主机为受信任域提供一个边界，以便在其中更有效地应用最大风险缓解策略（如启动、监视和入侵检测）。
• 在攻击前集中并优先进行主动监视和遵守工作。
• 在攻击前、攻击中和攻击后集中并加快进行补救和恢复工作。
• 通过添加每一数据包的强相互身份验证、完整性、反重放和加密来提高安全性，而无需更改应用程序和上层协议（如服务器消息块 [SMB] 或 NetBT）。

服务器和域隔离旨在保护受信任主机上的所有网络服务以防止不受信任网络的访问和攻击。 服务器和域隔离使主机不易受到基于网络的其他安全类型中的弱点和错误的攻击以及用户凭据保护中的弱点的攻击。 最后，服务器和域隔离解决方案可解决类似的网络威胁，但提供与基于网络的其他类型的安全技术不同的网络访问控制和通信流保护级别。 例如，服务器和域隔离解决方案可授权对基于主机和用户域身份的特定的受信任主机进行入站访问，从而确保对经过授权的通信的端到端保护。 但大多数基于网络的安全技术仅支持用户身份。

使用服务器和域隔离解决风险
服务器和域隔离解决的第一个风险是由不受信任计算机对受信任计算机进行未授权的访问所带来的风险。 仅使用本解决方案无法完全缓解某些安全风险。 如果使用其他安全过程和技术无法解决这些安全风险，则最终将否定隔离解决方案的安全优势。 使用本解决方案无法直接缓解的严重的安全风险包括以下示例：

• 受信任用户偷窃或泄露敏感数据的风险。 虽然隔离解决方案可以控制计算机在内部网络的通信，但管理用户还是能破坏这些控制。 本解决方案不可能消除受信任用户对敏感数据不正确复制或传播带来的风险。
 
• 破坏受信任用户凭据的风险。 虽然管理员可选择使用 IPsec 加密大多数通信流以保护网络登录信息，但不支持对域控制器的用户登录通信流的 IPsec 保护。 服务器和域隔离可强迫攻击者使用受信任主机攻击其他受信任主机。 攻击者也可能攻击受信任主机，方法是使用不需将 IPsec 与受信任主机（例如，域控制器和 DNS 服务器）配合使用的主机的被破坏的凭据，或使用接受与不受信任计算机的入站连接的主机的被破坏的凭据。 虽然管理员可以控制受信任主机是否与不受信任主机进行出站通信，但本解决方案还是无法缓解受信任用户将其凭据遗失给诱使他们泄露其密码的攻击者的风险。
 
• 恶意用户。 滥用其访问权限的合法用户也属于此类别。 例如，本解决方案无法缓解心存不满的员工决定使用他们因其工作角色而有权访问的受信任主机来窃取信息的风险。 对受信任主机的物理访问可使攻击者获得未经授权的访问和管理访问。 因为管理员可禁用服务器和域隔离保护，所以限制访问的默认范围和管理员的数量（包括工作站或成员服务器上的企业管理员、域管理员和本地管理员）是至关重要的。
 
• 不受信任计算机访问其他不受信任计算机的风险。 本解决方案无法缓解攻击者使用不受信任计算机攻击其他不受信任计算机的风险。
 
• 不受信任计算机攻击某些受信任计算机的风险。 服务器和域隔离解决方案旨在保护受信任主机。 但在实际部署中，本解决方案将确定由于各种原因不使用 IPsec 来协商对其他受信任主机的受信任访问的受信任域成员。 这些受信任但不支持 IPsec 的计算机是免除列表中的成员（例如域控制器）。本解决方案还确定某些受信任主机可被不受信任计算机访问以提供隔离域的边界服务。然后可控制免除或边界主机的攻击者可攻击隔离域中的所有其他受信任主机。

• 确保受信任主机符合安全要求。本解决方案建议如何定义受信任主机以及尤其需要它们是 Windows 2000 或 Windows Server 2003 域的成员。本解决方案仅取决于基于 IPsec IKE 域 (Kerberos) 的成功的身份验证以建立信任并由此建立 IPsec 保护的连接。随着时间的推移，由于各种原因受信任主机可能不符合成为受信任主机的整套标准但仍然可作为域成员成功验证。确保域成员符合受信任主机的定义，这是组织的 IT 管理系统和过程的职责。