So wie ich es verstanden habe, werden die mit Windows AD verbundenen Computer vor DC immer sicher identifiziert/authentifiziert (mithilfe automatisch geänderter Passwörter der Computerkonten).
Nun habe ich (in einem nicht-englischen Artikel) gelesen, dass IPSec immer in AD konfiguriert werden sollte. Warum ist das so? Angenommen, AD ist gut vor dem Internet geschützt oder verfügt in einer engen Unternehmensumgebung nicht einmal über eine Internetverbindung.
Wann ist IPSec für AD ein „Muss“?
Übrigens, warum ist die sichere Authentifizierung von AD-Computern immer erforderlich? Kann DC für die unsichere Authentifizierung von Computern konfiguriert werden (z. B. in kleinen Entwicklungs-/Testumgebungen)?
----------
Update 1:
Wie zum Teufel kann man mit diesem sehr sicheren, sehr flexiblen und sehr einfachen IPSec auf unsichere AD-Computer zurückgreifen?
Verstehe ich richtig, dass diese sichere Authentifizierung von AD-Rechnern es unmöglich macht,
- Single-Sign-On zwischen Arbeitsgruppenbenutzern und AD-Benutzerkonten
- RunAs und sekundäre Anmeldung mit AD-Benutzerkonto in der Arbeitsgruppe Windows (und umgekehrt)
Das ist ein echtes Ärgernis für die Entwicklung oder die Infrastruktur kleiner Unternehmen. Diese mangelnde Flexibilität macht doch nicht viel Sinn (mit IPSec)?
Antwort1
Als ich 2001 zum ersten Mal mit dieser Meinung konfrontiert wurde, war die Entwicklung von Active Directory noch in einem frühen Stadium, als die IT als Ganzes noch dabei war, herauszufinden, was man damit genau machen konnte. Windows NT hatte einige IPSec-Kontrollen eingebaut, aber Windows 2000 und Active Directory brachten viel mehr. Die Überlegungen waren folgendermaßen:
Active Directory und Gruppenrichtlinien machen die Konfiguration von IPSec VIEL einfacher. Es bedeutet vollständige Verschlüsselung auf der Leitung, wodurch das Netzwerk gegen Sniffing immun ist! Das ist sehr sicher.
Dies wurde als sehr solider Schritt in Richtung „Defense in Depth“ angesehen. Die wenigen Leute, von denen ich gehört habe, dass sie es tatsächlich geschafft haben, ihre Netzwerke vollständig auf IPSec umzustellen, mussten dennoch viel Arbeit investieren, um dies zu erreichen, obwohl AD es theoretisch einfacher machte. Ich habe in den letzten 5 Jahren ehrlich gesagt nichts von einem reinen IPSec-AD-Netzwerk gehört.
Ist das eine gute Idee? Wahrscheinlich. Ist es erforderlich? Das hängt von Ihrer Sicherheitslage ab. Wenn Sie den physischen Netzwerkschichten Ihres Netzwerks nicht vertrauen können, ist IPSec absolut eine gute Idee. Genau wie Zoredache betont hat. „Kann nicht vertrauen“ kann an einer expliziten Richtlinie liegen, die besagt, dass der physischen Schicht nicht vertraut werden kann, an tatsächlich offenen Ports, die es jedem ermöglichen, zu schnüffeln, oder daran, dass ein öffentliches Netzwerk genutzt werden muss.
IPSec ist bei drahtlosen Netzwerken wahrscheinlich eine sehr gute Idee, aber ich habe auch nicht gehört, dass viele das tatsächlich tun.
Antwort2
Wann ist IPSec für AD ein „Muss“?
Ich vermute, der Hauptgrund für diese Anforderung liegt darin, dass Sie dem physischen Netzwerk nicht vertrauen können. Vielleicht, weil Sie das Netzwerk mit jemand anderem teilen. Vielleicht liegen die Switches außerhalb Ihrer Kontrolle.
Antwort3
Ich würde IPSec nicht alserforderlichFunktion eines AD ohne besondere Sicherheitsanforderungen, aber wenn Sie heute eine neue AD-Umgebung implementieren, würde ich es ernsthaft in Erwägung ziehen.
Microsoft setzt auf das Konzept des vollständig mobilen Client-Computings und PKIs und IPSec sind ein wichtiger Bestandteil dieser Strategie. Sie können jetzt ganz einfach Remote-Mitarbeiter überall dauerhaft über DirectAccess mit Ihrem Unternehmensnetzwerk verbinden, deren Computer außerhalb der Firewall über SCCM im nativen Modus verwaltet werden. Ziemlich flotte Sache.
Ein weiterer Anwendungsfall ist, wenn Sie ein Netzwerk haben, in dem viele Firewalls die Kommunikation zwischen Anwendungsebenen, DMZs oder anderen politischen Abteilungen einschränken. Das Einrichten von AD-Servern in diesen kleinen Netzwerken wird schnell teuer, und IPSec macht es viel einfacher, diese Firewalls sicher zu durchqueren und sicherzustellen, dass nur Geräte, denen Sie ein Zertifikat ausgestellt haben, IPSec zur Kommunikation verwenden können.