Насколько я понял, компьютеры, подключенные к Windows AD, всегда надежно идентифицируются/аутентифицируются перед DC (используя автоматически изменяемые пароли учетных записей компьютеров).
Теперь я прочитал (в статье не на английском языке), что IPSec всегда должен быть настроен в AD. Почему? Предположим, что AD хорошо защищен от интернета или даже не имеет интернет-подключения в тесной корпоративной среде.
Когда IPSec «обязателен» для AD?
Кстати, почему всегда нужна безопасная аутентификация компьютеров AD? Можно ли настроить DC для небезопасной аутентификации компьютеров (например, в небольшой среде разработки/тестирования)?
----------
Обновление1:
Имея этот очень безопасный, очень гибкий, очень простой IPSec, как, черт возьми, откатиться на незащищенные компьютеры AD?
Правильно ли я понимаю, что эта безопасная аутентификация компьютеров AD делает невозможным
- единый вход между пользователями рабочей группы и учетными записями пользователей AD
- Запуск от имени и вторичный вход в систему с учетной записью пользователя AD в рабочей группе Windows (и наоборот)
что является головной болью для развития или инфраструктур мелких компаний. Эта негибкость не имеет особого смысла (имея IPSec)?
решение1
Когда я впервые столкнулся с этим мнением в 2001 году, это было еще на ранней стадии разработки Active Directory, когда ИТ в целом еще только осваивали, что именно можно с ней делать. В Windows NT были некоторые элементы управления IPSec, но Windows 2000 и Active Directory принесли гораздо больше. Мысли были такими:
Active Directory и групповые политики делают IPSec НАМНОГО проще в настройке. Это означает полное шифрование на проводе, что делает сеть невосприимчивой к сниффингу! Это очень безопасно.
Это рассматривалось как очень солидный шаг в «глубокой обороне». Тем немногим людям, о которых я слышал, которые действительно смогли сделать свои сети полностью IPSec, все равно пришлось проделать большую работу, чтобы сделать это, хотя AD теоретически облегчал это. Честно говоря, я не слышал о чистой сети IPSec AD за последние 5 лет.
Хорошая ли это идея? Вероятно. Требуется ли это? Это зависит от вашей позиции безопасности. Если вы не можете доверять физическим, хотя и сетевым уровням вашей сети, то IPSec — это, безусловно, хорошая идея. Как и указал Зоредаке. «Нельзя доверять» может быть связано с явной политикой, утверждающей, что физическому уровню нельзя доверять, с фактически открытыми портами, которые позволяют кому угодно прослушивать, с необходимостью использовать общедоступную сеть.
IPSec, вероятно, очень хорошая идея, когда речь идет о беспроводных сетях, но, опять же, я не слышал, чтобы многие действительно это делали.
решение2
Когда IPSec «обязателен» для AD?
Я подозреваю, что основная причина этого требования заключается в том, что вы не можете доверять физической сети. Возможно, потому что вы делите сеть с кем-то еще. Возможно, коммутаторы находятся вне вашего контроля.
решение3
Я бы не считал IPSecнеобходимыйфункция AD без особых требований безопасности, но если вы внедряете новую среду AD сегодня, я бы серьезно рассмотрел ее.
Microsoft принимает идею полностью мобильных клиентских вычислений, и PKI и IPSec являются большой частью этой стратегии. Теперь вы можете довольно легко иметь удаленных работников в любом месте, постоянно подключенных к вашей корпоративной сети через DirectAccess, чьи компьютеры управляются за пределами брандмауэра через SCCM в Native Mode. Довольно swopy вещи.
Другой вариант использования — если у вас есть сеть, в которой много брандмауэров, ограничивающих связь между уровнями приложений, DMZ или другими политическими подразделениями. Размещение серверов AD в этих небольших сетях быстро становится дорогим, а IPSec значительно упрощает безопасный обход этих брандмауэров и гарантирует, что только устройства, которым вы выдали сертификат, могут использовать IPSec для связи.