扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
更改管理流程的一个主要目标是:确保受即将实施的更改影响的所有各方都注意到并了解更改所产生的影响。 由于大多数系统是密切相关的,在系统的一个部分中进行的更改可能会对另一部分产生深远影响。 为了缓解或消除所有负面影响,更改管理将在部署更改前先尝试确定所有受影响的系统和过程。 通常,目标(或托管)环境是生产环境,但还应该包括关键集成环境、测试环境和临时环境。
对 IPsec 环境的所有更改都应遵循以下标准 MOF 更改管理过程:
1. |
更改请求。 通过提交更改请求 (RFC),正式启动更改。 |
2. |
更改分类。 根据更改在基础结构或用户方面的紧急程度和影响程度来分配更改的优先级和类别。 这一指定会影响实施速度和路由。 |
3. |
更改授权。 由更改管理者和拥有 IT 与业务代表的更改审批委员会 (CAB) 考虑更改并批准或否决它。 |
4. |
更改开发。 规划和开发更改的过程,其规模有大有小,并包括关键的阶段性审核。 |
5. |
更改发布。 将更改发布并部署到生产环境。 |
6. |
更改审查。 实施过程后的行为,它审核更改是否达到了为其设定的目标,并确定是保持更改有效还是取消。 |
下节描述在您的 IPsec 环境中很可能需要定期进行的某些关键更改的更改开发过程。 每个更改开发过程都将有一个配套的更改发布过程来描述如何将更改部署到生产中。
了解在 IPsec 策略中所进行的更改如何影响通信是很重要的。 在初始部署时,首先要考虑的问题是更改时间,因为这个时间会影响实施更改的能力及回滚更改的时间段。
当组策略对象 (GPO) 中的 IPsec 策略分配被更改为新的 IPsec 策略时,会发生某些延迟。 有域中包含分配的 GPO 属性的 Active Directory 复制延迟,也有检测 GPO 中的更改的域成员组策略客户端的轮询延迟。 这些延迟的范围从小位置中的不足一分钟到全球企业中的几小时不等。 Microsoft 建议为您的特定环境测试和记录这些延迟(最小、最大和中等延迟),以便在进行更改时可预计首次影响和整个部署所需的时间。
当已分配的 IPsec 策略的内容被更改时,也会发生类似的延迟。 有 IPsec 策略对象的 Active Directory 复制延迟,也有成员
为了完全地适应 Active Directory 复制延迟,请确保先创建所有对象(GPO、IPsec 策略等),然后将 IPsec 策略分配到 GPO 中。
有很多领域可影响组成 IPsec 解决方案的策略和组内的连接性。 本节提供有关在客户端可能没有最新更新时,从更改服务器策略的角度来看常见更改如何影响 IPsec 连接性的信息。 如果某项更改导致 Internet 密钥交换 (IKE) 主模式或快速模式失败,则一旦当前 IPsec 安全关联 (SA) 空闲或它们以字节或秒为单位的生命周期已过,通信流就会停止。
此讨论包括大多数更改类型对 IPsec 客户端服务器功能的影响。 不假定 Woodgrove Bank IPsec 策略设计。 针对此讨论,客户端可能有类似于 Woodgrove Bank 设计(其中客户端有可启动 IKE 到服务器的筛选器)的策略或它们可能仅使用默认响应规则(在 Woodgrove 设计中不使用)。
更改身份验证方法或主模式安全措施将导致 IKE 删除现有主模式,但不会影响已建立的快速模式 IPsec SA。 重新生成下一个快速模式密钥时将生成新的主模式 SA。
通常,服务器策略更改不会影响现有客户端重新生成主模式密钥的功能。 但对服务器方进行的某些更改会导致 IKE 主模式与客户端协商失败,这些更改包括:
• |
更改为新的身份验证方法(仅适用于证书),不包括客户端可使用的旧身份验证方法。 |
• |
更改为 3DES/SHA1/DH1 或 DH2,在客户端被配置为仅使用 DES/SHA1/DH1 时作为主模式安全措施。 |
• |
激活主模式完全向前保密 (PFS),不更新客户端和服务器策略,以避免二者都使用主模式 PFS。 |
• |
激活快速模式 PFS,不更新客户端和服务器策略,避免二者都使用快速模式 PFS。 |
下列服务器策略更改将不影响客户端重新生成主模式 SA 密钥的功能:
• |
策略更改的轮询间隔(因为不是主模式 IKE 设置) |
• |
使用相同主密钥的会话密钥(例如,每个主模式的 IKE 快速模式数量) |
• |
添加客户端不知道的新安全措施 |
• |
更改 IKE 主模式 SA 的“身份验证和生成新密钥”生命周期参数的 IPsec 策略高级密钥交换设置。 |
在用于 IPsec SA 的筛选器操作中所做的更改将导致在那些策略设置下建立的现有 IPsec SA 被删除。 因此,如果通信流正在传输,则尝试使用新的快速模式。 在此更改过程中可能会丢失一些通信流,但 TCP 连接应该会恢复。 但在高速传输数据时,立即删除 IPsec SA 会导致出站通信流中断,直到建立新的快速模式才恢复正常。 例如,从视频数据流突然增加数据包(TCP 无法恢复)将导致视频应用程序的连接需要重置。
以下服务器策略更改将影响活动 IPsec 客户端重新生成快速模式密钥的功能:
• |
将普通筛选器更改为特定筛选器。 这种更改的一个示例为:服务器以所有通信流筛选器开始,再删除它,保留仅 TCP 筛选器。 为了避免麻烦,添加特定筛选器时保留现有的普通筛选器。 例如,如果客户端带有默认响应策略并且服务器带有从“所有通信流”更改为“仅 TCP”的策略,则特定筛选器将取决于服务器上的出站通信流,这将在客户端进行默认响应时为仅 TCP 建立新的 IPsec SA。 所有客户端上的“所有通信流”筛选器最终将被删除(两个小时后),然后可在服务器策略中安全地删除它。 如果服务器添加了具有允许操作的特定筛选器,则该通信流将允许立即开始传输并且可能被带有普通 IPsec 默认响应筛选器的客户端中断。 例如,免除 Internet 控制消息协议 (ICMP) 的筛选器已被添加到服务器中,但客户端已确保了到服务器的所有通信流安全。 在这种情况下,客户端将确保其出站 ICMP 的安全、接收回复的明文 ICMP 并中断数据包,因为当前 IPsec 默认响应筛选器要求所有通信流都必须安全。 此特定示例不会影响服务器和客户端之间的任何通信流(除 ICMP 通信流外),并且将如预期设计的那样在服务器请求客户端的所有通信流都安全之后始终生成丢失的 ICMP 通信流。 这可能是一个严重的操作问题,也可能不是。 |
• |
在不兼容安全措施之间或封装类型之间更改。 例如,从 ESP 传输模式的仅 3DES/SHA1 到 ESP 传输模式的仅 3DES/MD5。 通过在新安全措施中包括旧安全措施或封装类型作为最后的选择,可避免由这种更改类型而导致 IKE 快速模式协商失败。 在观察到所有 IPsec SA 都在使用新封装方法之后,可删除安全措施列表底部的旧措施。 |
• |
完全禁用客户端建立 IKE 主模式或快速模式所需的规则。 在快速模式下,筛选器将被删除,以便其他筛选器或没有筛选器来管理 IKE 主模式和快速模式协商。 |
• |
完全将筛选器操作从协商安全性更改为允许或阻止。 明确允许或阻止的通信流将不需要重新生成密钥,因为通信流将不再参与由 IPsec 保护的通信通道。 |
• |
清除“回退到使用明文”复选框。 此操作将导致只要软 SA 持续下去当前连接的客户端就一直保持连接。 SA 到期或空闲后,将有更多服务器出站通信流会导致 IKE 尝试进行新的主模式协商并确定不回退的新设置。 不可对 IKE 协商成功响应的客户端将无法连接。 这可能是预定行为。 |
• |
清除“允许不安全的通信”复选框。 如果某些客户端没有 IPsec 筛选器启动出站 IKE 主模式,则此操作将导致这些客户端断开连接。 默认响应规则客户端将一直保持连接,直到其动态默认响应筛选器在两小时没有通信流传输到服务器后空闲下来并无法重新连接时才断开。 |
下列服务器策略更改将不影响客户端重新生成快速模式密钥的功能:
• |
添加与已在当前 IPsec SA 中的通信流不匹配的筛选器将不影响该通信流。 例如,如果允许将筛选器添加到 |
• |
更改以字节或时间为单位的筛选器操作 IPsec SA 生命周期。 |
• |
将筛选器操作从“允许”更改为“协商”安全性。 如果客户端可响应,它们将仍能够为该通信流协商安全连接。 |
下列各节提供修改通过使用 GPO 发送的 IPsec 策略的步骤。 虽然每个任务给出的步骤使用 IP 安全策略 Microsoft 管理控制台 (MMC) 管理单元,但通过使用 Windows Server 2003 系统上的 Netsh 命令行工具也可完成这些任务中的每个任务。
Microsoft 建议将 Windows Server 2003 平台作为策略管理站,因为该平台提供了用于编制脚本和监视的最佳功能。
Windows IPsec 策略导出和导入的目的在于执行备份和恢复。 导出功能复制存储位置中的所有 IPsec 策略对象,以确保在备份中捕获所有相关对象。 要将所有当前域策略移到本地存储中进行测试,建议使用导出。 因为有可能会出错,因此在使用导出功能之前,从本地存储中删除每个不想要的对象(包括策略、筛选器列表和筛选器操作)时要小心。 Microsoft 建议不使用导出的本地存储来导入到域中,因为旧对象版本可能会覆盖较新域版本并断开对象之间的链接。
要创建 IPsec 策略并对现有对象添加重要的内容(如在现有筛选器列表中添加筛选器)时,建议使用命令行脚本。 通常,这种在 IPsec 策略中进行的重要更改应通过创建新的 IPsec 策略版本来完成。
创建策略之后,可使用脚本或 IPsec 策略管理 MMC 管理单元进行更改。 IPsec 策略已创建并可正常工作之后,建议使用 IPsec 策略管理 MMC 管理单元进行小改动。
由于 Windows 2000 命令行工具 Ipsecpol.exe 仅支持创建策略的功能,因此可使用 MMC 管理单元来管理 Windows 2000 Active Directory 中的更改。 在 Netsh 的“添加”命令中不允许添加具有相同名称的新对象。 出于此原因及由于通常多次运行脚本,Netsh 脚本应包括添加新对象之前删除现有策略对象的初始步骤。 删除不存在的对象将返回预期的错误消息,该消息不会导致脚本停止执行。
删除已分配给 GPO 的域 IPsec 策略将使 GPO 链接无效。 GPO 必须被编辑为重新分配 IPsec 策略的最新版本。
注:虽然下节将讨论如何在 Active Directory 中直接修改 IPsec 策略,但在生产环境中部署之前,假定所有更改已在本地系统或测试环境中进行过测试。
要更改分配给隔离组的 IPsec 策略,可用新 IPsec 策略替换当前 IPsec 策略。
组策略管理控制台 (GPMC) 用于更改特定 GPO 分发的 IPsec 策略。 确定新 IPsec 策略和分发当前策略的 GPO 之后,请完成下列步骤。
更改分配给隔离组的 IPsec 策略
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 GPMC。 |
3. |
依次展开“林:<域名>”、“域”和“<域名>”。 |
4. |
右键单击“组策略对象名称”,然后单击“编辑”。 |
5. |
依次展开“计算机配置”、“Windows 设置”和“安全设置”,然后单击“IP 安全策略,在 Active Directory(域名)”。 |
6. |
在右窗格中右键单击“ |
7. |
确保已指派 |
因为在 Windows XP 中扩展了 IPsec 功能并且在 Windows Server 2003 中也扩展了其功能,因此 IPsec 策略存储格式已更改为包括这些扩展功能的设置。 小心不要使用早期版本的 IPsec 策略管理 MMC 管理单元来查看或编辑包含这些扩展功能的策略。 查看策略组件时如果单击了“确定”,则即使没进行任何更改也会用当前内存中的设置覆盖现有设置。 已在 Windows XP Service Pack 和 Windows 2000 Service Pack 4 (SP4) 中进行更新以检测策略的较新版本,从而帮助避免出现此潜在问题。 但 MMC 管理单元保存更改失败,好像拒绝修改访问并使用发布产品时存在的错误消息。 同样,如果运行 MMC 管理单元的用户仅有 IPsec 策略对象的阅读权限,则发生拒绝访问错误时所有更改都将丢失。 不打算进行更改时请使用 Windows Server 2003 中的 IPsec 策略管理 MMC 管理单元的仅阅读模式。 最后,在连接到远程计算机或域时,MMC 管理单元不提供输入其他用户 ID 和密码的功能。 用户必须以具有适当权限的某人身份登录到桌面来进行计划中的更改。
多次需要修改现有规则的筛选器列表以添加、删除或修改筛选器项。 可使用 IP 安全策略管理 MMC 管理单元来执行此修改。 记住筛选器列表中的筛选器顺序不影响 IPsec 驱动程序处理数据包的顺序。 IPsec 策略的所有规则中的所有筛选器列表列出的筛选器都使用权重的内部算法来排序。 要进行更改,必须手动执行以确保不是创建 IPsec 策略中使用的任何其他筛选器的复制筛选器。 作为更改测试过程的一部分,此策略应该在计算机上本地分配,以便可使用 IPsec 监视器 MMC 管理单元或命令行输出来查看准确的筛选器顺序并检测复制筛选器。
将计算机添加到筛选器列表中
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 IP 安全策略管理 MMC 管理单元并将其集中在域上。 |
3. |
用鼠标右键单击“IP 安全策略,在 Active Directory”,然后单击“管理 IP 筛选器表和筛选器操作”。 |
4. |
在“管理 IP 筛选器表和操作”窗口中的“管理 IP 筛选器列表”选项卡上,单击“免除”筛选器列表,然后单击“编辑”。 |
5. |
确保已清除“使用添加向导”复选框。 |
6. |
在“IP 筛选器列表”对话框中,单击“添加”。 |
7. |
在“源地址”下拉框中,单击“任何 IP 地址”。 |
8. |
在“目标地址”下拉框中,单击“一个特定的 IP 地址”。 |
9. |
在“IP 地址”文本框中,键入此特定的 IP 地址。 |
10. |
确保选中了“镜像”复选框。 |
11. |
在“描述”选项卡上,键入筛选器项的适当说明。 |
12. |
单击“确定”,然后再次单击“确定”。 |
13. |
关闭 IP 安全策略管理 MMC 管理单元。 注:将新系统添加到免除筛选器列表中之后,应将计算机帐户添加到 No IPsec 安全组中。 |
在筛选器列表中编辑计算机条目
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 IP 安全策略管理 MMC 管理单元并将其集中在域上。 |
3. |
用鼠标右键单击“IP 安全策略,在 Active Directory”,然后单击“管理 IP 筛选器表和筛选器操作”。 |
4. |
在“管理 IP 筛选器表和操作”窗口中的“管理 IP 筛选器列表”选项卡上,单击“免除”筛选器列表,然后单击“编辑”。 |
5. |
确保已清除“使用添加向导”复选框。 |
6. |
在“IP 筛选器”列表中,单击与 <计算机名称> 系统相对应的筛选器,然后单击“编辑”。 |
7. |
在“IP 地址”文本框中,将此项更改为新的 IP 地址。 |
8. |
单击“确定”,然后再次单击“确定”。 |
9. |
关闭 IP 安全策略管理 MMC 管理单元。 |
从筛选器列表中删除条目
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 IP 安全策略管理 MMC 管理单元并将其集中在域上。 |
3. |
用鼠标右键单击“IP 安全策略,在 Active Directory”,然后单击“管理 IP 筛选器表和筛选器操作”。 |
4. |
在“管理 IP 筛选器表和操作”窗口中的“管理 IP 筛选器列表”选项卡上,单击“免除”筛选器列表,然后单击“编辑”。 |
5. |
在“IP 筛选器”列表中,单击与 <计算机名称> 系统相对应的筛选器。 |
6. |
在“IP 筛选器列表”对话框中,单击“删除”。 |
7. |
单击“是”删除筛选器项。 |
8. |
单击“确定”,然后再次单击“确定”。 |
9. |
关闭 IP 安全策略管理 MMC 管理单元。 注:将系统从免除筛选器列表中删除之后,应将计算机帐户从 No IPsec 安全组中删除。 |
IPsec 策略中的每个规则都有一个在规则匹配时执行的对应的筛选器操作。 虽然对组合新规则和筛选器操作的计算机分配新的 IPsec 策略是可能的,但为 IPsec 策略中现有规则更改筛选器操作则更有意义。 例如,如果一组计算机有一个自定义 IPsec 策略,则更改分配给规则的筛选器操作比生成一个新的 IPsec 策略更有意义。
可使用 IP 安全策略管理 MMC 管理单元在 IPsec 策略中配置规则以使用新的筛选器操作。
更改现有规则的筛选器操作
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 IP 安全策略管理 MMC 管理单元并将其集中在域上。 |
3. |
在右窗格中右键单击“ |
4. |
在“IP 安全规则”列表中,单击“<规则名称>”,然后单击“编辑”。 |
5. |
在“筛选器操作”选项卡上的“筛选器操作”列表中,单击“<新筛选器操作>”以选择相邻的按钮。 |
6. |
单击“确定”,然后再次单击“确定”。 |
7. |
关闭 IP 安全策略管理 MMC 管理单元。 |
IPsec 策略中的默认身份验证方法使用 Kerberos V5 协议。 随着时间的推移,可能有必要更改与现有规则关联的身份验证方法。 例如,可部署公钥基础结构 (PKI) 以便使用证书对计算机进行身份验证。
虽然可选择的每个身份验证方法需要的信息都不同,但添加身份验证方法的常规步骤都是相似的。 例如,要使用预共享密钥,则必须确定此密钥;要使用证书,则必须了解证书颁发机构 (CA)。 要将新身份验证选项添加到现有 IPsec 规则中,请完成下列步骤。
添加选项到现有规则中
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 IP 安全策略管理 MMC 管理单元并将其集中在域上。 |
3. |
在右窗格中右键单击“ |
4. |
在“IP 安全规则”列表中,单击“<规则名称>”,然后单击“编辑”。 |
5. |
在“身份验证方法”选项卡上,单击“添加”。 |
6. |
单击要选择的新身份验证选项旁边的按钮,然后按需要配置所有选项。 |
7. |
单击“确定”。 |
8. |
在“身份验证方法首选顺序”列表中,使用“上移”和“下移”按钮创建身份验证方法的优先顺序。 注:要删除身份验证方法,请在“身份验证方法首选顺序”列表中单击它,然后单击“删除”。 |
9. |
单击“确定”,然后再次单击“确定”。 |
10. |
关闭 IP 安全策略管理 MMC 管理单元。 |
将新规则添加到现有的 IPsec 策略中,以进一步限制或允许环境中的计算机之间发生通信。 例如,如果具有 IPsec 功能的系统需要与特定隔离组中的系统进行通信但不可从 IPsec 基础结构中获得其策略,则您可对隔离组策略进行更改以允许通信。
在此示例中,不受管理的 IPsec 主机需要应用到其中允许发生通信的策略。 而且,必须确定一个共享的身份验证方法;可使用证书或预共享密钥。 在决定使用适当的身份验证方法之后,在现有的 IPsec 策略中可为隔离组创建一个新规则以允许发生通信。
必须在目录中创建新筛选器列表,将新筛选器列表与现有策略关联起来,然后配置身份验证机制以包括选择的新身份验证方法。
创建新筛选器列表以允许特定计算机进行所有通信
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 IP 安全策略管理 MMC 管理单元并将其集中在域上。 |
3. |
用鼠标右键单击“IP 安全策略,在 Active Directory”,然后单击“管理 IP 筛选器表和筛选器操作”。 |
4. |
在“管理 IP 筛选器列表”选项卡上单击“添加”。 |
5. |
在“名称”文本框中,键入适当的筛选器列表名称。 |
6. |
在“描述”文本框中,键入筛选器列表的适当说明。 |
7. |
确保已清除“使用添加向导”复选框。 |
8. |
在“IP 筛选器列表”对话框中,单击“添加”。 |
9. |
在“源地址”下拉框中,单击“任何 IP 地址”。 |
10. |
在“目标地址”下拉框中,单击“一个特定的 IP 地址”。 |
11. |
在“IP 地址”文本框中,键入此特定计算机的 IP 地址。 |
12. |
确保选中了“镜像”复选框。 注:在默认情况下,此步骤创建与从任何 IP 地址到特定 IP 地址的任何通信流匹配的规则。 如果需要在特定端口或协议基础上完成匹配,则在“协议”选项卡上必须完成其他配置。 |
13. |
在“描述”选项卡上,键入筛选器项的适当说明。 |
14. |
单击“确定”,然后再次单击“确定”。 |
修改 IPsec 策略以便使用新的筛选器列表和筛选器操作
1. |
右键单击“ |
2. |
确保已清除“使用添加向导”复选框。 |
3. |
单击“添加”。 |
4. |
在“IP 筛选器列表”选项卡上的“IP 筛选器”列表中,单击“新筛选器列表”选项按钮。 |
5. |
在“筛选器操作”选项卡上的“筛选器操作”列表中,单击“筛选器操作”选项按钮。 |
6. |
在“身份验证方法”选项卡上,单击“添加”。 |
7. |
单击要选择的身份验证方法旁边的按钮,然后配置需要的所有选项。 注:选择的身份验证方法必须是发起方和响应方都可协商的方法,如预共享密钥或证书。 如有必要,请从列表中选中 Kerberos 协议,然后单击“删除”按钮,这样就可以删除该 Kerberos 协议。 |
8. |
单击“确定”。 |
9. |
在“身份验证方法首选顺序”列表中,如果列出了多个身份验证方法,则使用“上移”和“下移”按钮来创建身份验证方法的优先顺序。 |
10. |
单击“确定”,然后再次单击“确定”。 |
11. |
关闭 IP 安全策略管理 MMC 管理单元。 |
由于各种原因,需要定期将主机从一个组移到另一个组。 了解根据通信流通信对组成员身份进行更改的含义是很重要的。 下列各节描述从组中添加或删除主机的步骤。
通过修改 IPsec 免除筛选器列表和 No IPsec 安全组,可将主机添加到免除列表中或从免除列表中删除主机。 为此,请按照本章前面的“更改现有规则的筛选器列表”一节中的步骤执行操作。
要完成此任务,必须了解免除筛选器列表、主机名称和其 IP 地址。
将主机添加到网络访问组 (NAG) 中或从网络访问组中删除主机时,这些步骤适用于组中主机扮演的角色。 如果主机仅充当发起方,则从关联的 NAG 添加或删除它即可。 但如果主机充当响应方,则必须应用或删除控制“从网络访问此计算机”权限的更新的策略。 如果系统既充当发起方又充当响应方,则必须采取这两个步骤。
通过使用标准组管理工具来修改关联的安全组,您可以在网络访问组中添加或删除发起方。
修改与特定计算机相关的 NAG
1. |
以域管理员身份登录到域控制器,然后启动“Active Directory 用户和计算机”。 | ||||||||
2. |
展开域,然后单击“Users”。 | ||||||||
3. |
在右窗格中右键单击“ | ||||||||
4. |
要添加计算机到组中:
| ||||||||
5. |
要从组中删除计算机: |
尽管创建隔离组是为了限制可发起通信到受限制资源的主机,但它们还可用于帮助限制有访问资源权限的用户。 如果没有要求以类似于限制 NAG 的方式来限制资源,则 Domain Users 组被授予响应方的“从网络访问此计算机”权限。 如果要求限制资源,则创建 NAG Users 组。
通过使用标准组管理工具来修改关联的安全组,您可以从 NAG Users 组中添加或删除受限制的用户。 仅当创建 NAG Users 组并分配给 NAG 时才需执行此步骤;如果使用了 Domain Users 组,则不需执行此步骤。
修改与特定用户相关的 NAG Users 组
1. |
以域管理员身份登录到域控制器,然后启动“Active Directory 用户和计算机”。 | ||||||||
2. |
展开域,然后单击“Users”。 | ||||||||
3. |
在右窗格中右键单击“NAG Users”安全组,然后单击“属性”。 | ||||||||
4. |
要将用户添加到 NAG:
| ||||||||
5. |
要从 NAG 中删除用户:
|
要从现有 NAG 中删除响应主机(响应方),您可以删除配置响应方的“从网络访问此计算机”权限的 GPO 分配。 GPO 应用程序可通过确保 Active Directory 策略应用的任何标准方式来控制。 但是,本指南中使用的方法将 GPO 分配给为保留响应方的域计算机帐户而创建的组织单位 (OU)。 仅从响应方 OU 中移出计算机帐户将导致不再接收分配的 GPO,并且访问也不再受到限制。 计算机将还原到隔离域策略。 (如果计算机帐户也是组成网络访问组的域本地安全组的成员,则也必须从该组中删除它。)
必须小心对待,以确保是多个 NAG 的成员的主机从其中一个 NAG 中被删除之后仍能与其他 NAG 进行通信。
创建一个新的 NAG 过程相当简单。 首先,必须创建可控制资源访问的域本地组和可更新充当 NAG 中的服务器的主机上的“从网络访问此计算机”权限的 GPO。 然后必须将该 GPO 应用于服务器,并确定属于组的主机。
只有发起方才需要是 NAG 的成员。 换言之,如果两台服务器在同一个隔离组中并且从不相互发起通信,则不需要将它们添加到隔离组的 NAG 中。 然而,如果这两台服务器需要相互进行通信,则和所有其他发起方一样需要将它们添加到 NAG 中。
如果服务器在多个 NAG 内充当响应方,则必须小心处理以确保应用 GPO 之后,在该系统的“从网络访问此计算机”权限上提供所有服务器参与的 NAG 安全组。 如有必要,可能需要其他 GPO 使特定计算机满足此需求。
要创建新的 NAG,请完成下列步骤。
为发起方计算机创建新 NAG
1. |
以域管理员身份登录到域控制器,然后启动“Active Directory 用户和计算机”。 |
2. |
用鼠标右键单击“Users”容器,单击“新建”,再单击“组”。 |
3. |
在“组名”文本框中,输入组的适当的名称。 |
4. |
单击“本地域”安全组,然后单击“确定”。 |
5. |
右键单击新建的组,然后单击“属性”。 |
6. |
在“描述”文本框中,输入组的适当说明。 |
7. |
单击“确定”。 |
要使用发起方帐户填充新的 NAG,请完成下列步骤。
使用发起方帐户填充发起方的新 NAG
1. |
以域管理员身份登录到域控制器,然后启动“Active Directory 用户和计算机”。 |
2. |
展开域,然后单击“Users”。 |
3. |
在右窗格中右键单击“NAG initiators”组,然后单击“属性”。 |
4. |
单击“成员”选项卡,然后单击“添加”。 |
5. |
单击“对象类型”按钮,选择“计算机”复选框,然后单击“确定”。 |
6. |
在“输入对象名称来选择”文本框中键入 <发起方名称>,然后单击“确定”。 |
7. |
单击“确定”。 |
如果需要进一步限制域中的哪些用户允许访问受限制的资源,则必须创建受限制的 NAG Users 组。 否则,可使用 Domain Users 组。
要为受限制的用户创建 NAG,请完成下列步骤。
为用户帐户创建新的 NAG
1. |
以域管理员身份登录到域控制器,然后启动“Active Directory 用户和计算机”。 |
2. |
用鼠标右键单击“Users”容器,单击“新建”,再单击“组”。 |
3. |
在“组名”文本框中,输入组的适当的名称。 |
4. |
单击“本地域”安全组,然后单击“确定”。 |
5. |
右键单击新建的组,然后单击“属性”。 |
6. |
在“描述”文本框中,输入组的适当说明。 |
7. |
单击“确定”。 |
要使用受限制的用户填充新的 NAG,请完成下列步骤。
使用用户帐户填充新的 NAG
1. |
以域管理员身份登录到域控制器,然后启动“Active Directory 用户和计算机”。 |
2. |
展开域,然后单击“Users”。 |
3. |
在右窗格中右键单击“NAG Users”组,然后单击“属性”。 |
4. |
单击“成员”选项卡,然后单击“添加”。 |
5. |
在“输入对象名称来选择”文本框中键入 <用户名>,然后单击“确定”。 |
6. |
单击“确定”。 |
GPO 用于将“从网络访问此计算机”权限分配给适当的 NAG。
下表提供了 GPO 实施需授予“从网络访问此计算机”权限的 NAG 和相关组名称的一个示例。
表 6.1:NAG 策略定义示例
组策略对象名称 | 组名 |
|
Administrators Backup Operators NAG Users 或 Domain Users |
注:至少应该添加上面列出的这些组。 管理员需确定是否还有其他组应被授予此权限。
默认情况下添加了 Domain Users 组。 如果管理员还想限制用户和计算机,则需创建与包含选择的用户帐户的计算机帐户一样的“NAG Users”组。
创建可授予“从网络访问此计算机”权限的 GPO
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 GPMC。 |
3. |
依次展开“林:<域名>”、“域”和“<域名>”。 |
4. |
用鼠标右键单击“组策略对象”,然后单击“新建”。 |
5. |
在“名称”文本框中,键入 <组策略对象名称>,然后单击“确定”。 |
6. |
用鼠标右键单击“<组策略对象名称>”,然后单击“编辑”。 |
7. |
依次展开“计算机配置”、“Windows 设置”、“安全设置”和“本地策略”,然后单击“用户权限分配”。 |
8. |
在右窗格中右键单击“从网络访问此计算机”,然后单击“属性”。 |
9. |
选择“定义这些策略设置”复选框。 |
10. |
单击“添加用户或组”按钮。 |
11. |
单击“浏览”按钮。 |
12. |
在“输入对象名称来选择”文本框中,键入上表中列出的每个组的名称,用分号分隔。 然后单击“确定”。 |
13. |
单击“确定”。 |
14. |
关闭“组策略编辑器”,然后关闭“组策略控制台”。 |
要部署 NAG GPO,首先必须将它们链接到域环境内的某个位置,以便将它们应用到 NAG 内的适当的响应方。 GPO 应用程序可通过确保 Active Directory 策略应用程序的任何标准方法来控制。 本指南不提供特殊步骤,因为它们取决于组织内部部署的 OU 结构及管理方法。
通过修改发送策略的 GPO 可禁用 IPsec 策略。 要禁用 IPsec 策略,需配置 GPO 以便禁用计算机设置。
禁用 GPO 的计算机设置
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 GPMC。 |
3. |
依次展开“林:<域名>”、“域”、“<域名>”和“组策略对象”。 |
4. |
用鼠标右键单击“<组策略对象名称>”,单击“组策略对象状态”,然后单击“计算机配置设置已禁用”。 |
5. |
关闭 GPMC。 |
通过修改发送策略的 GPO 可重新启用已禁用的 IPsec 策略。 要重新启用已禁用的 IPsec 策略,需配置 GPO 以便启用计算机设置。
启用 GPO 的计算机设置
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 GPMC。 |
3. |
依次展开“林:<域名>”、“域”、“<域名>”和“组策略对象”。 |
4. |
用鼠标右键单击“<组策略对象名称>”,单击“组策略对象状态”,然后单击“已启用”。 |
5. |
关闭 GPMC。 |
通过修改发送策略的 GPO 可删除 IPsec 策略。 要删除 IPsec 策略,需配置 GPO 以便不再分配 IPsec 策略。
不分配 GPO 的 IPsec 策略
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 GPMC。 |
3. |
依次展开“林:<域名>”、“域”和“<域名>”。 |
4. |
用鼠标右键单击“<组策略对象名称>”,然后单击“编辑”。 |
5. |
依次展开“计算机配置”、“Windows 设置”和“安全设置”,然后单击“IP 安全策略,在 Active Directory(域名)”。 |
6. |
在右窗格中右键单击“ |
7. |
确保未指派 |
本节提供有关如何评估专门处理服务器和域隔离解决方案组件的备份与还原过程的信息。
IPsec 策略不存储在用于发送策略的组策略对象中。 组策略备份和还原功能将仅捕获有关哪些 IPsec 策略被分配到组策略对象中的信息,而不捕获实际 IPsec 策略的信息。
虽然域控制器的完整系统状态备份将捕获 IPsec 策略信息,但还可使用 IP 安全策略管理 MMC 管理单元的“导出策略”和“导入策略”菜单命令来备份和还原 IPsec 策略。
注:务必要确保 IPsec 策略备份的安全。 但是,备份是一个继承存储文件的目录的 NTFS 文件系统权限的文件,并且文件中的数据没有进行加密或签名。 应使用适当的权限或安全步骤来保护这些文件中的 IPsec 配置信息。 只有经过授权的 IPsec 管理员才应有权访问这些备份文件。
在已从备份(磁带备份或基于图像的备份)还原 IPsec 策略的计算机上,应用的 IPsec 策略可能是基于 Active Directory 的 IPsec 策略或本地 IPsec 策略的缓存副本。
如果计算机被分配了基于 Active Directory 的 IPsec 策略,则在应用基于 Active Directory 的策略的缓存副本之前,IPsec 服务将尝试从 Active Directory 中检索分配的 IPsec 策略的最新副本。 为此,IPsec 服务将首先查询域名系统 (DNS) 中所有域控制器的 IP 地址的当前列表。 如果已从 Active Directory 中删除了 IPsec 策略对象,则反而会应用基于 Active Directory 的策略的缓存副本。
由于创建了 IPsec 策略备份,因此可能会对基于 Active Directory 的 IPsec 策略的缓存副本中的域控制器 IP 地址列表进行重大改动(例如,添加了新的域控制器)。 如果那样,则可能会阻止当前域控制器的通信 — 因此在尝试远程建立 IPsec 保护的连接时,使用 Kerberos 协议的身份验证将会失败。 此外,计算机也可能无法接收到组策略更新。 要解决此问题,请执行以下步骤:
1. |
本地访问计算机,并停止该计算机上的 IPsec 服务。 |
2. |
通过网络在安全模式下重新启动计算机,并且配置 IPsec 服务来手动启动或禁用 IPsec 服务,以允许与新的域控制器的 IP 地址进行 IPsec 保护的通信。 |
在某些情况下可能需要快速中断通信以确保环境的安全,如病毒发作或安全入侵时。 下列各节讨论隔离参与已验证的通信的主机的各种方法。 根据设计,这些方法不隔离基础结构或免除的服务器,因为必须小心不要隔离基础结构服务器,以避免系统失去从域更新 IPsec 策略的功能。
注:虽然从技术上来说,这些隔离方法是合理的,但没有在实验室环境中测试过。 强烈建议您先在实验室环境中测试这些方法,再依赖它们。
允许隔离域中的主机发起与不受信任的主机之间的通信。 如果有必要快速阻止这种通信流,可修改“IPSEC – 安全请求模式(忽略入站,允许出站)”筛选器操作,以便禁用“允许和不支持 IPsec 的计算机进行不安全的通讯”权限。 IPsec 轮询期过去之后,应阻止隔离域中的所有主机与不参与 IPsec 环境的系统进行通信。
要修改“IPSEC – 安全请求模式(忽略入站,允许出站)”筛选器操作,请执行以下步骤:
1. |
以域管理员身份登录到域控制器。 |
2. |
启动 IP 安全策略管理 MMC 管理单元并将其集中在域上。 |
3. |
用鼠标右键单击“IP 安全策略,在 Active Directory”,然后单击“管理 IP 筛选器表和筛选器操作”。 |
4. |
在“管理 IP 筛选器操作”选项卡上,单击“IPSEC – 安全请求模式(忽略入站,允许出站)”筛选器操作,然后单击“编辑”。 |
5. |
选择或清除“允许和不支持 IPsec 的客户端进行不安全的通讯”复选框。 |
6. |
单击“确定”。 |
7. |
单击“确定”。 |
设置此选项之后,策略将阻止发往不受信任的主机的所有网络通信。 此问题解决之后,通过重新启用该选项可还原通信。
部署到内部组织局域网 (LAN) 计算机的 IPsec 策略被配置为允许所有端口之间进行所有通信。 此方法简化了环境的配置和管理。 但是,如果使用 IPsec 的主机被恶意软件(如病毒或蠕虫)感染,则主机很可能会将感染传播到其他计算机上。 根据计算机使用的策略,此感染不仅会传播到受信任的主机上,也会传播到不受信任的主机上。
IPsec 策略可用于通过明确阻塞恶意软件使用的端口来帮助减少恶意软件的传播。 此方法的主要限制在于所有计算机检测添加阻塞筛选器的策略更改所需的延迟。 此外,某些蠕虫已充斥整个网络,使得很难检索 IPsec 策略更改。 并且有些蠕虫使用了关键服务(如 DNS)也使用的端口,这就使得在主机上应用阻塞筛选器之后很难更新策略。 通过创建阻止从任何 IP 地址到特定端口(某种形式的恶意软件使用的)的通信流的规则,可完成阻塞。 此规则被添加到环境中的所有策略中。 删除恶意软件之后,就可从策略中删除规则。
确定某种形式的恶意软件使用的端口和协议之后,按照本章前面的“更改 IPsec 策略”一节中的“将新规则添加到现有的 IPsec 策略中”过程中的步骤创建一个符合恶意软件通信标准的筛选器列表。 一旦决定在域策略中使用端口阻塞,就应立即减少 IPsec 策略轮询间隔。 如果威胁减少就可再次增加轮询间隔。
但是,需创建使用“我的 IP 地址”到任何 IP 地址的筛选器,而不是创建使用任何 IP 地址到特定 IP 地址的筛选器。 通常不使用镜像的筛选器。 需要包含两个单向筛选器的筛选器列表,一个是到已知端口的入站通信流,一个是到已知端口的出站通信流。 例如,以下筛选器阻塞被 SQLSlammer 蠕虫利用的 SQL 端口 1433:
从任何 IP 地址 -> 我的 IP 地址, TCP, src *, dst 1433, 未镜像
从我的 IP 地址 -> 任何 IP 地址, TCP, src *, dst 1433, 未镜像
很明显,当蠕虫威胁减少时,这些筛选器还会阻塞 SQL 应用程序连接并且会被删除。 小心不要阻止对重要基础结构端口(如 DNS)的访问,除非特别必要。 这些筛选器比协商内部网络上所有通信流的 IPsec 的 Woodgrove Bank 子网筛选器更特殊,因为它们定义了特定的 IP 地址。
创建筛选器后,添加一个规则到所有隔离域和组 IPsec 策略中,以便将筛选器列表与“IPsec - 阻止”筛选器操作关联起来。 您可能想在策略设计中包括一个已将用于阻塞端口的空 IPsec 筛选器列表与阻塞操作关联起来的规则。 所有 IPsec 策略中的规则都可启用和使用这个空筛选器列表,以便所有域成员都可按照每个轮询间隔检查此筛选器列表。 或者也可禁用此规则,并且 IPsec 服务轮询可检测何时在每个隔离组策略中启用规则。
如果由于某些原因端口阻塞会阻止 IPsec 访问 Active Directory 以获取更新的策略,则可在计算机上以管理方式停止 IPsec 服务,再重新启动,或重新启动计算机。 IPsec 服务启动时,在缓存中应用旧版本之前将尝试下载已分配的 IPsec 策略的最新版本。
如果需要将一个完整的域从林中其余的域中隔离出来,则可将该域的策略配置为使用预共享密钥,而非 Kerberos 协议。 此方法将允许子域内的计算机保持与相同域中的其他系统进行通信,但将阻止与它们通常有权访问的域之外的系统进行通信。
需要修改子域中的每个策略,以便它仅为“IPsec - 安全组织子网”规则使用预共享密钥。 必须删除所有现有的身份验证方法(如 Kerberos 协议)。 要配置身份验证方法,请执行本章前面的“更改现有规则的身份验证方法”一节中的步骤。
如果策略中存在执行身份验证的其他规则,则也需将它们配置为使用预共享密钥。 需按此方法配置子域中要被隔离的所有策略。 配置策略时要使 IKE 主模式身份验证失败的机率降到最低,可将预共享密钥身份验证方法排在身份验证方法列表的首要位置,Kerberos 方法紧跟其后。 所有计算机都有更新的策略之后,就可删除 Kerberos 身份验证方法。 威胁减少之后,要还原 Kerberos 协议的身份验证并删除预共享密钥可采用类似的过程。
虽然网络访问组是可用于隔离计算机的预定义组的一个实施,但预共享密钥或证书也可用于执行相同的隔离。 与网络访问组的主要区别在于,需要为计算机的每个组创建独立的策略,以确保拥有预共享密钥或证书的计算机之间的通信流的安全。 本解决方案需要进行额外的通信流通信规划,特别是在系统属于多个组的情况下。
预共享密钥的主要缺点是它们以纯文本形式存储在策略中,这样从域内的客户端上就很容易发现它们(它们的机密被泄露)。 如果预共享密钥值仅在蠕虫发作期间用于临时隔离,则这个缺点可能无关紧要。
因为在 IKE 如何检查根 CA 而不是颁发 CA 上的证书约束上有限制,所以需要为每个组部署一个唯一的根 CA。
本章提供成功部署服务器和域隔离解决方案并且使其可正常工作之后有关管理、维护及修改本解决方案的信息、过程和步骤。
应很好地记录这些过程和步骤,并将其传达给参与环境中主机的日常管理的所有职员。 由于始终有可能对 IPsec 策略进行一些小改动以禁用受保护的通信路径,因此这些过程和步骤应该用于帮助确保不会发生因某人不了解策略更改的结果而导致的错误。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。