(0) exportieren Drucken
Alle erweitern

Bereitstellen einer grundlegenden Domänenisolationsrichtlinie

Veröffentlicht: November 2007

Letzte Aktualisierung: Dezember 2009

Betrifft: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Sie können mit der Windows-Firewall mit erweiterten Sicherheitseinstellungen Verbindungssicherheitsregeln erstellen, die erzwingen, dass Datenverkehr durch mindestens ein IPsec-Feature geschützt werden muss. Bei der Domänenisolation legen Sie mit der IPsec-Authentifizierung fest, dass jeder Domänenmitgliedscomputer zum Herstellen einer Verbindung mit einem anderen Computer dessen Identität prüfen muss.

Durch das Erstellen von Regeln, die eine Authentifizierung durch ein Domänenmitglied erfordern, können Sie sehr effizient die Domänenmitgliedscomputer von Computern isolieren, die nicht zu der Domäne gehören.

Für Computer in einer Umgebung mit Domänenisolation ist eine Authentifizierung für eingehende Verbindungen erforderlich. Für ausgehende Verbindungen erstellen Sie i. d. R. nur Anforderungen für den IPsec-Schutz, ohne diesen jedoch zu erzwingen. Dadurch kann auf den Computern der Datenverkehr bei der Kommunikation mit Computern, die ebenfalls IPsec verwenden, geschützt werden. Bei Computern, die nicht IPsec verwenden, ist dann trotzdem eine Kommunikation im Klartext möglich. Bei Windows XP und früheren Windows-Versionen wird bei der Aktivierung auf Klartext zurückgegriffen, nachdem 3 Sekunden lang IPsec getestet wurde. Bei einigen Diensten liegt der Timeoutwert für Antworten jedoch unter 3 Sekunden, sodass diese Dienste fehlschlagen können. Bei diesen älteren Windows-Versionen müssen Sie daher (zum Teil sehr viele) ausgehende Ausnahmeregeln erstellen, um Server oder Dienst zu unterstützen, die nicht authentifiziert werden können. Zum Beheben dieses Problems hat Microsoft die einfache Richtlinienaktualisierung für Windows Server 2003 und Windows XP veröffentlicht. Mit dieser Aktualisierung werden Verzögerungen bei den Versuchen zwischen Clients mit und ohne IPsec-Schutz auf eine halbe Sekunde reduziert. Weitere Informationen zur einfachen Richtlinienaktualisierung für Windows Server 2003 und Windows XP finden Sie in Vereinfachen der IPsec-Richtlinie mit der einfachen Richtlinienaktualisierung unter http://go.microsoft.com/fwlink/?LinkID=94767 (möglicherweise in englischer Sprache).

Bei späteren Versionen von Windows wurde dies noch weiter verbessert, sodass keine Aktualisierung mehr erforderlich ist. Wenn Sie den Anforderungsmodus unter Windows Vista und späteren Windows-Versionen verwenden, werden beider Verbindungsversuche von Windows gleichzeitig gesendet. Wenn der Remotehost mit IPsec antwortet, wird der Versuch ohne IPsec verworfen. Wenn auf die IPsec-Anforderung keine Antwort erfolgt, wird der Versuch ohne IPsec fortgesetzt.

Durch die Reduzierung oder Beseitigung der Verzögerung tritt bei den meisten Programmen auch keine Zeitüberschreitung mehr auf. Es könnte aber trotzdem noch vorkommen, dass Sie sicherstellen möchten, dass Ihre Computer nicht IPsec für Kommunikationsversuche mit bestimmten Hosts im Netzwerk verwenden. Erstellen Sie für diese Fälle Ausnahmeregeln für die Authentifizierung der Clients, sodass diese für die Kommunikation mit Computern auf der Ausnahmenliste nicht mehr IPsec verwenden.

Weitere Informationen zur Domänenisolation finden Sie in der Technischen Bibliothek zu Windows Server in Einführung in die Server- und Domänenisolation unter http://go.microsoft.com/fwlink/?LinkID=94631 (möglicherweise in englischer Sprache) und in Erläuterungen zur Domänenisolation unter Microsoft Windows unter http://go.microsoft.com/fwlink/?LinkID=94632 (möglicherweise in englischer Sprache).

Schritte für das Erstellen von Verbindungssicherheitsregeln zum Erzwingen der Domänenisolation

In diesem Abschnitt erstellen Sie Verbindungssicherheitsregeln, die festlegen, dass die Computer in Ihrer Domäne bei eingehendem Netzwerkdatenverkehr eine Authentifizierung erzwingen und bei ausgehendem Netzwerkdatenverkehr anfordern.

ImportantWichtig
Beachten Sie, dass Sie für den Fall, wenn das ausgehende Standardverhalten allen Datenverkehr blockiert, der keiner ausgehenden Zulassungsregel entspricht, Regeln erstellen müssen, die den ausgehenden IPsec-Netzwerkdatenverkehr zulassen.

Schritt 1: Erstellen einer Verbindungssicherheitsregel zur Anforderung der Authentifizierung

Schritt 2: Bereistellen und Testen Ihrer Verbindungssicherheitsregeln

Schritt 3: Ändern der Isolationsregel zum Erzwingen der Authentifizierung

Schritt 4: Testen der Isolation mit einem Computer, der über keine Domänenisolationsregel verfügt

Schritt 5: Erstellen von Ausnahmeregeln für Computer, die keine Domänenmitglieder sind


Nächstes Thema:  Schritt 1: Erstellen einer Verbindungssicherheitsregel zur Anforderung der Authentifizierung

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft