(0) exportieren Drucken
Alle erweitern

Isolieren eines Servers durch das Erzwingen der Verschlüsselung und von Gruppenmitgliedschaften

Veröffentlicht: November 2007

Letzte Aktualisierung: Dezember 2009

Betrifft: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Bei der Domänenisolation müssen Domänenmitgliedscomputer bei der Kommunikation mit anderen Domänenmitgliedscomputern eine Authentifizierung durchführen. Nicht authentifizierte eingehende Verbindungen werden abgelehnt. Damit erhöht sich die Sicherheit der meisten Computer in Ihrer Organisation. Einige Server enthalten jedoch auch vertrauliche Daten, z. B. persönliche Daten, medizinische Aufzeichnungen, oder Kreditkarteninformationen, die einen noch stärkeren Schutz erfordern. In vielen Fällen schreiben gesetzliche Bestimmungen vor, dass Daten geschützt werden müssen, damit nur Benutzer mit beruflichem Interesse an den Daten physischen Zugriff auf die Daten erhalten können. Sie können mit IPsec diesen zusätzlichen Schutz in Form der Serverisolation bereitstellen. Mithilfe der Serverisolation können Sie den Zugriff auf vertrauliche Daten nicht nur auf Domänenmitgliedscomputer und -benutzer beschränken, sondern auf solche, die auch tatsächlich diesen Zugriff benötigen. Häufig müssen diese Daten bei der Übertragung auch verschlüsselt werden, um Abhören zu verhindern.

Sie können bei der Windows-Firewall mit erweiterten Sicherheitseinstellungen angeben, dass bestimmte Netzwerkverbindungen nur von bestimmten Benutzern verwendet werden können, je nach ihrer Gruppenmitgliedschaft. Außerdem können Sie festlegen, dass der Zugriff nur von bestimmten Computern aus erlaubt ist, wobei ebenfalls die Gruppenmitgliedschaft des Computerkontos als Grundlage dient. Beide Einschränkungsarten basieren auf Authentifizierungsmethoden, die bereits im letzten Abschnitt beschrieben wurden. Und schließlich können Sie auch angeben, dass diese Netzwerkverbindungen mit einem der unterschiedlichen Verschlüsselungsalgorithmen verschlüsselt werden müssen.

Weitere Informationen zur Serverisolation finden Sie unter:

Schritte für das Erstellen von Verbindungssicherheitsregeln zum Erzwingen der Serverisolation

In diesem Abschnitt erstellen Sie eingehende Firewallregeln, die festlegen, dass nur Benutzer, die Mitglied einer bestimmten Gruppe sind, auf MBRSVR1 Zugriff erhalten. Außerdem konfigurieren Sie Regeln zum Erzwingen der Verschlüsselung für alle Verbindungen mit dem angegebenen Server.

Schritt 1: Erstellen der Sicherheitsgruppe

Schritt 2: Ändern einer Firewallregel zum Erzwingen von Gruppenmitgliedschaft und Verschlüsselung

Schritt 3: Erstellen einer Firewallregel auf dem Client zur Unterstützung der Verschlüsselung

Schritt 4: Testen der Regel, wenn Admin1 kein Mitglied der Gruppe ist

Schritt 5: Hinzufügen von Admin1 zur Gruppe und erneutes Testen

noteHinweis
In einigen Umgebungen müssen Sie möglicherweise die Serverisolation ohne eine Domänenisolation implementieren. In dieser Anleitung wird die Serverisolation als zusätzliche Ebene zur Domänenisolation beschrieben. Wenn Sie nur die Serverisolation bereitstellen möchten, müssen Sie trotzdem Verbindungssicherheitsregel zum Anfordern der Authentifizierung erstellen und bereitstellen. Sie stellen diese dann aber nicht auf allen Computern in der Organisation bereit, sonder nur auf den Servern, die isoliert werden sollen, und auf den Clientcomputern, von denen aus auf die Server zugegriffen werden soll. Sie können dazu die Verbindungssicherheitsregeln für die Authentifizierung mit demselben Gruppensicherheitsfilter bereitstellen, der in diesem Abschnitt beschrieben wird.


Nächstes Thema:  Schritt 1: Erstellen der Sicherheitsgruppe

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft