Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Überblick - Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien

  • Artikel

Veröffentlicht: 17. März 2005

Microsoft ist sich bewusst, dass große Unternehmen ständig wachsenden Herausforderungen bezüglich der Sicherung ihrer Netzwerkperimeter gegenüberstehen. Aufgrund des jeweiligen Unternehmenswachstums und den sich ändernden Geschäftsbeziehungen wird die Kontrolle über den physischen Zugriff auf die Netzwerke nahezu unmöglich. Kunden, Vertragspartner und Berater stellen aus geschäftlichen Gründen berechtigte Verbindungen zwischen ihren mobilen Geräten und Ihrem Netzwerk her. Durch die Einführung von drahtlosen Netzwerken und Verbindungstechnologien ist es einfacher denn je, Zugriff auf Netzwerke zu erhalten. Diese gesteigerte Konnektivität bedeutet, dass Domänenmitglieder auf dem internen Netzwerk vermehrt den signifikanten Risiken anderer auf diesem Netzwerk befindlichen Computer ausgesetzt sind, zusätzlich zu den Verletzungen der Perimetersicherheit.

Das in diesem Leitfaden vorgestellte Konzept der logischen Isolierung umfasst zwei Lösungen: Die Domänenisolierung, mit der Domänenmitglieder von nicht vertrauenswürdigen Verbindungen isoliert werden und die Serverisolierung, mit der sichergestellt wird, dass ein Server ausschließlich Netzwerkverbindungen vertrauenswürdiger Domänenmitglieder oder einer bestimmten Gruppe von Domänenmitgliedern akzeptiert. Diese Lösungen können einzeln oder in Kombination als Teil einer logischen Isolierungsgesamtlösung verwendet werden.

Im Wesentlichen ermöglicht es die Server- und Domänenisolierung IT-Administratoren, die TCP/IP-Kommunikation von Domänenmitgliedern einzuschränken, bei denen es sich um vertrauenswürdige Computer handelt. Diese vertrauenswürdigen Computer können so konfiguriert werden, dass sie lediglich eingehende Verbindungen von anderen vertrauenswürdigen Computern oder einer bestimmten Gruppe vertrauenswürdiger Computer zulassen. Die Zugriffssteuerungen werden unter Verwendung der Microsoft® Active Directory®-Gruppenrichtlinie zentral verwaltet, um Netzwerkanmeldungsberechtigungen zu steuern. Fast alle TCP/IP-Netzwerkverbindungen können ohne Änderungen der Anwendungseinstellungen gesichert werden, da IPSec (Internet Protocol Security) in der Netzwerkebene unterhalb der Anwendungsebene arbeitet, um Authentifizierung und End-to-End-Sicherheit zwischen Computern zu ermöglichen. Netzwerkverkehr kann in einer Vielzahl von jeweils anpassbaren Szenarien authentifiziert bzw. authentifiziert und verschlüsselt werden.

Auf dieser Seite

In diesem Beitrag

Dn308959.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Die geschäftlichen Vorteile

Dn308959.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zielgruppe

Vollständige Lösung downloaden

Server-und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien (engl.)

Die geschäftlichen Vorteile

Zu den Vorteilen, die durch die Implementierung einer Sicherheitsebene mit logischer Isolierung entstehen, gehören:

  • Zusätzliche Sicherheit. Eine Sicherheitsebene mit logischer Isolierung bietet zusätzliche Sicherheit für alle verwalteten Computer im Netzwerk.
  • Strengere Kontrollen über den Zugriff auf spezifische Informationen. Mithilfe dieser Lösung erhalten Computer durch die Verbindung zum Netzwerk nicht automatisch Zugriff auf sämtliche Netzwerkressourcen.
  • Niedrigere Kosten. Die Implementierung dieser Lösung ist in der Regel wesentlich kostengünstiger als die Implementierung einer physischen Isolierungslösung.
  • Höhere Anzahl verwalteter Computer. Wenn Unternehmensdaten ausschließlich für verwaltete Computer verfügbar sind, müssen sämtliche Geräte verwaltete Systeme werden, um ihren Benutzern den Zugriff zu ermöglichen.
  • Verbesserter Schutz gegen Malwareangriffe. Durch die Isolierungslösung wird der Zugriff nicht vertrauenswürdiger Computer auf vertrauenswürdige Ressourcen deutlich eingeschränkt. Ein Malwareangriff eines nicht vertrauenswürdigen Computers wird daher fehlschlagen – die Verbindung wird nicht zugelassen, selbst wenn der Angreifer über einen gültigen Benutzernamen und ein gültiges Kennwort verfügt.
  • Verschlüsselung von Netzwerkdaten. Die logische Isolierung ermöglicht es, eine Verschlüsselung für sämtlichen Netzwerkverkehr zwischen ausgewählten Computern vorauszusetzen.
  • Schnelle Notfallisolierung. Diese Lösung bietet die Möglichkeit, bestimmte Ressourcen innerhalb Ihres Netzwerkes im Ernstfall schnell und effizient zu isolieren.
  • Verbesserte Überwachung. Diese Lösung ermöglicht die Protokollierung und Überwachung des Netzwerkzugriffs verwalteter Ressourcen.

Dn308959.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Zielgruppe

Dieser Leitfaden soll eine Server- und Domänenisolierungslösung über den gesamten IT-Lebenszyklus hinweg unterstützen – von der ersten Bewertungs- und Genehmigungsphase bis hin zum Bereitstellen, Testen und Verwalten der abgeschlossenen Implementierung. Aus diesem Grund wurden die verschiedenen Kapitel dieses Leitfadens entsprechend den unterschiedlichen Anforderungen der Leser verfasst.

Kapitel 1 ist in erster Linie für Entscheidungsträger in Unternehmen konzipiert, die in Erwägung ziehen, die Server- und Domänenisolierung in Ihr Unternehmen zu implementieren. Um den Inhalt dieses Kapitels zu verstehen, sind neben dem Verständnis der Geschäfts- und Sicherheitsanforderungen des jeweiligen Unternehmens keine speziellen technischen Kenntnisse erforderlich.

Die in diesem Leitfaden enthaltenen Kapitel zum Thema Planung (Kapitel 2, 3 und 4) sind zur Unterstützung für technische Architekten und IT-Spezialisten konzipiert, die für den Entwurf einer angepassten Lösung für das jeweilige Unternehmen verantwortlich sind. Um aus diesen Kapiteln den größtmöglichen Nutzen zu ziehen, ist ein gutes technisches Verständnis der involvierten Technologien und der aktuellen Infrastruktur des Unternehmens erforderlich.

Kapitel 5 sowie die Anhänge sind für Supportmitarbeiter konzipiert, die die Bereitstellungspläne für die jeweilige Unternehmenslösung erstellen. Darüber hinaus sind in diesem Leitfaden eine Reihe von Empfehlungen zum Fertigstellungsprozess einer erfolgreichen Lösungsbereitstellung sowie praktische Implementierungsschritte zur Erstellung einer Testumgebung enthalten.

Kapitel 6 dieses Leitfadens dient als Referenz für Mitarbeiter, die für den fortlaufenden Betrieb der jeweiligen Lösung zuständig sind, nachdem sie implementiert und für voll einsatzfähig erklärt wurde. Eine Reihe der in diesem Kapitel besonders hervorgehobenen betrieblichen Prozesse und Verfahren sollte in das so genannte "Operations Framework" des jeweiligen Unternehmens integriert werden.

Kapitel 7 enthält Informationen zur Problembehandlung bei der Implementierung einer Server- und Domänenisolierung. Da IPSec in erster Linie die Netzwerkkommunikation betrifft, können Informationen und Techniken zur Problembehandlung erheblich dazu beitragen, dass sich ein Unternehmen für die Implementierung von IPSec entscheidet.

Senden Sie uns Ihr Feedback

Microsoft legt Wert auf Ihr Feedback zu diesen Dokumenten, insbesondere auf Ihre Antworten zu den folgenden Fragen:

  • Wie nützlich waren die Informationen in dem Leitfaden für Sie?
  • Waren die Schritt-für-Schritt-Anweisungen genau?
  • Waren die Kapitel lesbar und interessant?
  • Wie würden Sie diese Lösung insgesamt bewerten?

Senden Sie Ihr Feedback an SecWish@Microsoft.com.

Dn308959.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community