Pelo que entendi, os computadores associados ao Windows AD são sempre identificados/autenticados com segurança antes do DC (usando senhas de contas de computador alteradas automaticamente).
Agora, li (em artigo que não seja em inglês) que o IPSec sempre deve ser configurado no AD. Por que é isso? Suponha que o AD esteja bem protegido da Internet ou até mesmo não tenha conexão com a Internet em um ambiente corporativo restrito.
Quando o IPSec é "obrigatório" para AD?
Aliás, por que a autenticação segura de computadores AD é sempre necessária? O DC pode ser configurado para autenticação insegura de computadores (por exemplo, em pequenos ambientes de desenvolvimento/teste)?
----------
Atualização1:
Tendo esse IPSec muito seguro, muito flexível e muito fácil, como voltar para computadores AD inseguros?
Eu entendi corretamente que esta autenticação segura de computadores AD torna impossível
- logon único entre usuários de grupos de trabalho e contas de usuários do AD
- RunAs e logon secundário com conta de usuário AD no grupo de trabalho Windows (e vice-versa)
que é o pé no saco para o desenvolvimento ou infra-estruturas de pequenas empresas. Essa inflexibilidade não faz muito sentido (ter IPSec)?
Responder1
Quando me deparei com essa opinião pela primeira vez em 2001, ainda era cedo no desenvolvimento do Active Directory que a TI como um todo ainda estava começando a entender o que exatamente poderia ser feito com ele. O Windows NT tinha alguns controles IPSec, mas o Windows 2000 e o Active Directory trouxeram muito mais. O pensamento foi assim:
O Active Directory e as políticas de grupo tornam o IPSec muito mais fácil de configurar. Isso significa criptografia completa na rede, tornando a rede imune a sniffing! Isso é muito seguro.
Isto foi visto como um passo muito sólido na “defesa em profundidade”. As poucas pessoas de quem ouvi falar que conseguiram tornar suas redes totalmente IPSec ainda tiveram que trabalhar muito para que isso acontecesse, embora o AD teoricamente tornasse isso mais fácil. Sinceramente, não ouvi falar de uma rede AD IPSec pura nos últimos 5 anos.
É uma boa ideia? Provavelmente. É obrigatório? Isso depende da sua postura de segurança. Se você não pode confiar nas camadas físicas da sua rede, então o IPSec é absolutamente uma boa ideia. Assim como Zoredache apontou. "Não é possível confiar" pode ser devido a uma política explícita que afirma que a camada física não é confiável, a portas abertas reais que permitem a qualquer pessoa farejar, a ter que aproveitar uma rede pública.
O IPSec é provavelmente uma ideia muito boa quando se trata de redes sem fio, mas, novamente, não ouvi falar de muitos que realmente fizessem isso.
Responder2
Quando o IPSec é "obrigatório" para AD?
Suspeito que o principal motivo para esse requisito seria quando você não pode confiar na rede física. Talvez porque você esteja compartilhando a rede com outra pessoa. Talvez as opções estejam fora do seu controle.
Responder3
Eu não consideraria o IPSec umobrigatóriorecurso de um AD sem um requisito de segurança específico, mas se você estiver implementando um novo ambiente de AD hoje, eu consideraria isso seriamente.
A Microsoft está adotando a noção de computação de cliente totalmente móvel, e as PKIs e o IPSec são uma grande parte dessa estratégia. Agora você pode facilmente ter funcionários remotos em qualquer lugar conectados de forma persistente à sua rede corporativa via DirectAccess, cujos computadores são gerenciados fora do firewall via SCCM no modo nativo. Coisas muito arrebatadoras.
Outro caso de uso é se você tiver uma rede com muitos firewalls restringindo a comunicação entre camadas de aplicativos, DMZs ou outras divisões políticas. Colocar servidores AD nessas pequenas redes fica caro rapidamente, e o IPSec torna muito mais fácil atravessar esses firewalls com segurança e garante que apenas os dispositivos para os quais você emitiu um certificado possam usar o IPSec para se comunicar.