據我了解,加入 Windows AD 的電腦始終在 DC 之前進行安全識別/身份驗證(使用自動更改的電腦帳戶密碼)。
現在,我讀到(在非英文文章中)IPSec 始終應該在 AD 中配置。為什麼?假設 AD 受到網路的良好保護,甚至在嚴格的公司環境中沒有網路連線。
什麼時候 IPSec 對於 AD 是「必須」的?
BTW,為什麼總是需要AD計算機的安全認證? DC 是否可以設定為對電腦進行不安全身份驗證(例如,在小型開發/測試環境中)?
----------
更新1:
有了這個非常安全、非常靈活、非常簡單的 IPSec,怎麼會退回到不安全的 AD 電腦呢?
我是否正確理解 AD 計算機的這種安全身份驗證使得不可能
- 工作群組使用者和 AD 使用者帳戶之間的單一登錄
- 在工作群組 Windows 中使用 AD 使用者帳戶運作方式和二次登入(反之亦然)
對於開發或小型公司的基礎設施來說,這是一個令人頭痛的問題。這種不靈活性沒有太大意義(有IPSec)?
答案1
當我在 2001 年第一次聽到這個觀點時,Active Directory 的開發還處於早期階段,整個 IT 部門仍然在思考到底可以用它做什麼。 Windows NT 中有一些 IPSec 控件,但 Windows 2000 和 Active Directory 帶來了更多。我的想法是這樣的:
Active Directory 和群組原則讓 IPSec 的設定變得更容易。這意味著線路上的完全加密,使網路免受嗅探!這是非常安全的。
這被視為「縱深防禦」的非常堅實的一步。我聽說的少數人實際上已經成功地使他們的網路完全採用 IPSec,但仍然需要做大量工作才能實現這一點,儘管 AD 理論上使它變得更容易。老實說,我在過去 5 年裡還沒有聽說過純 IPSec AD 網路。
這是不是一個好主意?大概。是必須的嗎?這取決於您的安全狀況。如果您無法信任網路的實體網路層,那麼 IPSec 絕對是一個好主意。正如佐爾達什所指出的。 「無法信任」可能是由於明確的策略表明物理層不可信,允許任何人嗅探的實際開放端口,以及必須利用公共網路。
對於無線網路而言,IPSec 可能是一個非常好的主意,但我還沒有聽說有很多人真正這樣做。
答案2
什麼時候 IPSec 對於 AD 是「必須」的?
我懷疑此要求的主要原因是當您無法信任實體網路時。也許是因為您正在與其他人分享網路。也許這些開關超出了您的控制範圍。
答案3
我不認為 IPSec必需的沒有特定安全要求的 AD 功能,但如果您今天要實施新的 AD 環境,我會認真考慮它。
Microsoft 正在接受完全行動用戶端運算的概念,而 PKI 和 IPSec 是此策略的重要組成部分。現在,您可以輕鬆地讓遠端工作人員在任何地方透過 DirectAccess 持續連接到您的公司網絡,他們的電腦在本機模式下透過 SCCM 在防火牆外進行管理。非常漂亮的東西。
另一個用例是,如果您的網路有許多防火牆限制應用程式層、DMZ 或其他政治部門之間的通訊。在這些小型網路中放置 AD 伺服器很快就會變得昂貴,而 IPSec 使安全地穿越這些防火牆變得更加容易,並確保只有您已頒發憑證的裝置才能使用 IPSec 進行通訊。