私の理解では、Windows AD に参加しているコンピューターは、DC の前に常に安全に識別/認証されます (自動的に変更されるコンピューター アカウントのパスワードを使用)。
さて、私は (英語以外の記事で)、AD では常に IPSec を構成する必要があると読みました。なぜでしょうか? AD がインターネットから十分に保護されているか、または厳しい会社の環境ではインターネットに接続されていないと仮定します。
AD にとって IPSec が「必須」となるのはどのような場合ですか?
ところで、AD コンピューターの安全な認証が常に必要なのはなぜですか? DC をコンピューターの安全でない認証用に構成することはできますか (たとえば、小規模な開発/テスト環境など)?
----------
アップデート1:
非常に安全で、非常に柔軟で、非常に簡単な IPSec があるのに、一体どうやって安全でない AD コンピューターにフォールバックするのでしょうか?
ADコンピュータのこの安全な認証により、
- ワークグループ ユーザーと AD ユーザー アカウント間のシングル サインオン
- ワークグループ Windows での AD ユーザー アカウントによる RunAs およびセカンダリ ログオン (およびその逆)
これは開発や小規模企業のインフラストラクチャにとっては非常に厄介な問題です。この柔軟性のなさは、あまり意味がありません (IPSec を使用する)。
答え1
私がこの意見に初めて出会ったのは 2001 年で、当時は Active Directory の開発がまだ初期段階だったため、IT 部門全体が Active Directory で何ができるのかをまだ把握しきれていない状況でした。Windows NT には IPSec 制御機能がいくつかありましたが、Windows 2000 と Active Directory ではさらに多くの機能が導入されました。考え方は次のようになりました。
Active Directory とグループ ポリシーにより、IPSec の構成が非常に簡単になります。つまり、回線上で完全な暗号化が行われ、ネットワークがスニッフィングされなくなります。非常に安全です。
これは、「多層防御」の非常に堅実なステップとみなされました。実際にネットワークを完全に IPSec にできたという話を聞いた数人のうち、AD によって理論上は容易になったにもかかわらず、実現するにはかなりの作業が必要でした。正直なところ、過去 5 年間で純粋な IPSec AD ネットワークについて聞いたことはありません。
それは良い考えでしょうか? おそらく。必須でしょうか? それはセキュリティ体制によって異なります。ネットワークの物理的なネットワーク層を信頼できない場合、IPSec は絶対に良い考えです。Zoredache が指摘したとおりです。「信頼できない」理由は、物理層を信頼できないと明示的なポリシーで規定されていること、誰でもスニッフィングできるポートが実際に開いていること、パブリック ネットワークを利用しなければならないことなどが考えられます。
ワイヤレス ネットワークに関しては、IPSec はおそらく非常に良いアイデアですが、実際にそれを実行している人はあまり聞いたことがありません。
答え2
AD にとって IPSec が「必須」となるのはどのような場合ですか?
この要件の主な理由は、物理ネットワークを信頼できない場合だと思います。おそらく、ネットワークを他のユーザーと共有しているためでしょう。スイッチが制御不能なのかもしれません。
答え3
私はIPSecを必須特定のセキュリティ要件のない AD の機能ですが、今日新しい AD 環境を実装する場合は、真剣に検討することをお勧めします。
Microsoft は、完全にモバイルなクライアント コンピューティングという概念を採用しており、PKI と IPSec はその戦略の大きな部分を占めています。今では、リモート ワーカーがどこからでも DirectAccess 経由で企業ネットワークに永続的に接続し、そのコンピューターがファイアウォールの外側の SCCM でネイティブ モードによって管理されることが簡単にできるようになりました。これは非常に画期的なことです。
もう 1 つの使用例は、アプリケーション層、DMZ、またはその他の政治的区分間の通信を制限するファイアウォールが多数あるネットワークがある場合です。これらの小さなネットワークに AD サーバーを設置するとすぐにコストがかかりますが、IPSec を使用すると、これらのファイアウォールを安全に通過することがはるかに簡単になり、証明書を発行したデバイスのみが IPSec を使用して通信できるようになります。