quando usar o IPSec no domínio do Windows AD?

Navegue suas respostas
2

Como eu entendi, os computadores conectados ao Windows AD são sempre identificados / autenticados com segurança antes do DC (usando senhas de contas de computador alteradas automaticamente).

Agora, eu li (em artigos que não estão em inglês) que o IPSec sempre deve ser configurado no AD. Porque é isso? Suponha que o AD seja bem protegido da Internet ou não tenha conexão com a Internet em um ambiente restrito à empresa.

Quando o IPSec é "obrigatório" para o AD?

BTW, por que a autenticação segura de computadores com AD sempre é necessária? O DC pode ser configurado para autenticação insegura de computadores (por exemplo, em ambiente de desenvolvimento / teste pequeno)?

----------

Atualização1:

Tendo este IPSec muito seguro, muito flexível e muito fácil, como diabos voltar a insegurar computadores AD?

Eu entendi corretamente que essa autenticação segura de computadores AD torna impossível

  • logon único entre usuários do grupo de trabalho e contas de usuários do AD
  • RunAs e logon secundário com conta de usuário do AD no Windows do grupo de trabalho (e vice-versa)

que é a dor no asno para o desenvolvimento ou pequenas infra-estruturas de empresas. Essa inflexibilidade não faz muito sentido (ter IPSec)?

    
por Gennady Vanin Геннадий Ванин 10.08.2010 / 21:26

3 respostas

1

Quando eu encontrei essa opinião pela primeira vez em 2001, foi cedo o suficiente no desenvolvimento do Active Directory que a TI como um todo ainda estava começando a entender o que exatamente você poderia fazer com ela. O Windows NT tinha alguns controles IPSec, mas o Windows 2000 e o Active Directory trouxeram muito mais. O pensamento foi assim:

Active Directory and Group Policies make IPSec a LOT easier to configure. It means full encryption on the wire, making the network immune to sniffing! That's very secure.

Isso foi visto como um passo muito sólido em 'defesa em profundidade'. As poucas pessoas de quem ouvi falar que conseguiram realmente tornar suas redes totalmente IPSec ainda precisavam fazer muito trabalho para fazer isso, embora o AD teoricamente tenha facilitado isso. Eu honestamente não ouvi falar de uma rede IPSec AD pura nos últimos 5 anos.

É uma boa ideia? Provavelmente. É necessário? Isso depende da sua postura de segurança. Se você não pode confiar nas camadas físicas da rede, então o IPSec é absolutamente uma boa idéia. Assim como Zoredache apontou. "Não pode confiar" pode ser devido a uma política explícita declarando que a camada física não pode ser confiável, a portas abertas reais que permitem a qualquer um farejar, a ter que aproveitar uma rede pública.

O IPSec é provavelmente uma boa ideia quando se trata de redes sem fio, mas novamente não ouvi falar de muitos fazendo isso.

    
por 10.08.2010 / 22:49
4

When is IPSec "must" for AD?

Suspeito que a principal razão para esse requisito seria quando você não pode confiar na rede física. Talvez porque você esteja compartilhando a rede com outra pessoa. Talvez os interruptores estejam fora do seu controle.

    
por 10.08.2010 / 22:04
1

Eu não consideraria o IPSec um recurso obrigatório de um AD sem um requisito de segurança específico, mas se você estiver implementando um novo ambiente do AD hoje, eu o consideraria seriamente.

A Microsoft está adotando a noção de computação de cliente totalmente móvel, e as PKIs e o IPSec são uma grande parte dessa estratégia. Agora você pode facilmente ter trabalhadores remotos em qualquer lugar conectados persistentemente à sua rede corporativa via DirectAccess cujos computadores são gerenciados fora do firewall via SCCM no modo nativo. Coisas lindas.

Outro caso de uso é se você tiver uma rede em que você tenha muitos firewalls restringindo a comunicação entre camadas de aplicativos, DMZs ou outras divisões políticas. Colocar servidores AD nessas pequenas redes fica caro rapidamente, e o IPSec torna muito mais fácil atravessar esses firewalls com segurança e garantir que apenas os dispositivos para os quais você emitiu um certificado possam usar o IPSec para se comunicar.

    
por 11.08.2010 / 14:01

Tags

Como copio uma estrutura de diretórios de um servidor Windows para outro e retenho as informações da ACL? E-mail do pipe do google apps para o script php do servidor