使用 IPsec 与组策略隔离服务器和域

Microsoft 推荐的方法是使用标准 Windows 组限制用户和计算机访问设计中其他计算机上的资源。此方法通过使用被访问主机上的本地策略的用户权限分配上的权限，为网络和应用程序级别的计算机帐户和用户帐户建立新的授权层。使用“从网络访问此计算机”（允许）和“拒绝从网络访问这台计算机”（拒绝）用户权限分配，可限制计算机和用户访问资源，即使它们共享公共 IPsec 策略参数并且登录的用户有权访问此资源。 这个额外级别的控制对于本解决方案描述的隔离方法是至关重要的。

Active Directory 的组功能通过这样的方式来组织计算机和用户：允许以可管理和可扩展的方式分配所需的授权级别。 为了帮助区分为从那些标准共享访问权限中获取主机访问权限而特别创建的组，本指南使用术语“网络访问组”。

1.用户尝试访问部门级服务器上的共享。 登录到客户端计算机上的用户尝试访问逻辑隔离解决方案中的受信任主机上的共享。 此操作导致客户端计算机试图使用文件共享协议（通常是使用 TCP 目标端口 445 的服务器消息块协议）连接到受信任主机上。 客户端将 IPsec 策略作为本解决方案的一部分分配。 出站 TCP 连接请求引发到服务器的 IKE 协商。 客户端 IKE 包含验证服务器的 Kerberos 票证。
 
2.IKE 主模式协商。 服务器接收到来自客户端计算机的初始 IKE 通信请求之后验证 Kerberos 票证。 在身份验证过程中，IKE 检查客户端计算机是否具有所需的主机访问权限，如在组策略中的“允许”或“拒绝”用户权限中分配的权限。 如果客户端计算机具有所需的用户权限分配，则 IKE 协商完成，并且建立 IPsec 主模式 SA。
 
3.为用户检查用户主机访问权限。 建立 IPsec 保护的通信之后，SMB 协议使用客户端用户帐户进行验证。 在服务器上检查用户帐户是否具有所需的主机访问权限，如在组策略中的“允许”和“拒绝”用户权限中为受信任主机分配的权限。 以下流程图说明了此过程：如果用户帐户具有所需的用户权限分配，则过程完成，并且创建用户登录令牌。 此过程完成后，逻辑隔离解决方案即结束了安全检查。
 
4.检查共享和文件访问权限。 最后，服务器检查标准 Windows 共享和文件访问权限以确保用户是具有访问用户请求访问的数据所需的权限的组的成员。

使用网络访问组可在本解决方案中实现极高级别的控制。

以下方案提供了逻辑隔离解决方案中的步骤如何操作的一个实例：

开会时，承包商将她的移动计算机插入会议室中的网络连接点以便将一些数据复制到员工的 HR 服务器上的共享中。 HR 部门的成员 Donna 为承包商提供 HR 服务器上的共享路径。 因为承包商的计算机不是已知或受信任主机，IT 部门无法管理此计算机，并且移动计算机上的安全措施级别也未知。 所以这些文件可能包含会感染内部计算机的恶意软件。 承包商的计算机试图连接到 HR 服务器时，计算机在过程中的步骤 2 上出现问题。 计算机无法协商 IKE 主模式 SA，因为移动计算机无法提供所需的 Kerberos 票证以允许检查计算机的凭据；它不是受信任域的一部分。 包含 HR 服务器的隔离组的 IPsec 策略要求不允许该服务器与不使用 IPsec 的主机通信，这样来自这台不受信任计算机的所有通信尝试会被阻止。 总之，逻辑隔离解决方案帮助保护 IT 基础结构免遭不受信任和无人管理计算机的威胁，即使那些计算机可以对内部网络进行物理访问。

此示例解释了如何在逐个主机基础上实现隔离。 本解决方案的另一个重要要求是以较低的管理成本实现隔离。可通过对用户分组使用的相同的方式对计算机分组，然后在每台计算机的本地策略中对那些组分配“允许”或“拒绝”用户权限分配。 但如果不使用组策略和 Active Directory 的集中管理功能并且未充分理解所需的通信路径，则很难管理此方法，也无法很好地扩展此方法。此外，此方法本身不能提供强身份验证或加密数据的能力。 当这些主机访问权限与 IPsec 配合使用并且主机被组织到隔离组中时，就很容易理解各分组间的关系并轻松定义通信路径（在已明确记录要求之后）。有关隔离组的设计和框架的详细信息，请参阅第 4 章“设计和规划隔离组”。