Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Kapitel 4: Entwerfen und Planen von Isolierungsgruppen

  • Artikel

Dieses Kapitel enthält umfassende Anweisungen zum Definieren von Isolierungsgruppen, die die

in Kapitel 2, "Grundlagen der Server- und Domänenisolierung", beschriebenen Sicherheitsanforderungen eines Unternehmens erfüllen. Bei dieser Lösung werden die Computeridentität in der Active Directory®-Verzeichnisdienstdomäne, die IPSec-Richtlinien zur Authentifizierung dieser Identität sowie Microsoft® Windows®-Sicherheitsrichtlinien kombiniert, um Isolierungsgruppen zu definieren und umzusetzen. IT-Administratoren können mithilfe des Isolierungsgruppenkonzepts den Netzwerkverkehr innerhalb ihrer internen Netzwerke auf eine sichere, für Anwendungen transparente Weise verwalten. Dadurch kann die Bedrohung durch über das Netzwerk übertragene Infektionen und Angriffe deutlich reduziert werden.

Mit dem Woodgrove Bank-Szenario werden in diesem Leitfaden die erforderlichen Details zu der Verfahrensweise bereitgestellt, mit der ein Unternehmen Isolierungsgruppen im Rahmen seiner Sicherheitsanforderungen einsetzen kann. Zusätzlich werden in diesem Leitfaden Kombinationsmöglichkeiten von IPSec mit weiteren Sicherheitseinstellungen genannt. Mit diesen Kombinationen lassen sich detaillierte, kontrollierbare sowie skalierbare Server- und Domänenisolierungslösungen erstellen.

Jedes Unternehmen verfügt über einzigartige Anforderungen für eine Lösung; darüber hinaus müssen die Modelle in den Anweisungen nicht ohne Einwand oder Änderung befolgt werden. Unternehmen, die diesen Leitfaden verwenden, müssen die jeweiligen Anforderungen und möglichen Spielräume innerhalb ihrer eigenen Umgebungen ermitteln. Daraufhin sollten Sie entsprechende Änderungen am Entwurf des Isolierungsgruppenmodells vornehmen, um das Modell optimal auf ihre geschäftlichen Anforderungen abzustimmen.

Auf dieser Seite

In diesem Beitrag

Dn308964.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Voraussetzungen für das Kapitel

Dn308964.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Erstellen des Server-und Domänenisolierungsentwurfs

Dn308964.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Gruppenimplementierungsmethoden

Dn308964.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Gruppenimplementierung für die Woodgrove Bank

Dn308964.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zusammenfassung

Vollständige Lösung downloaden

Server-und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien (engl.)

Voraussetzungen für das Kapitel

Mit den Informationen in diesem Abschnitt können Sie den optimalen Ansatz Ihres Unternehmens für eine Server- und Domänenisolierungslösung ermitteln. Die erfolgreiche Umsetzung einer solchen Lösung für Ihr Unternehmen hängt von den in diesem Abschnitt ermittelten Voraussetzungen ab.

Vorausgesetzte Kenntnisse

Sie sollten mit den Konzepten und der Terminologie von IPSec vertraut sein. Darüber hinaus sollten Sie sich In den folgenden Bereichen mit Microsoft WindowsServer 2003 auskennen:

  • IPSec-Richtlinien, IPSec-Filter, -Filteraktionen und -Filterlisten.
  • Active Directory-Konzepte (einschließlich Active Directory-Struktur und -Tools; Verwalten von Benutzern, Gruppen und anderen Active Directory-Objekten; Namensauflösungsdienste; Verwenden der Gruppenrichtlinien).
  • Authentifizierungskonzepte, einschließlich des Windows-Anmeldevorgangs und des Protokolls Kerberos Version 5.
  • Windows-Systemsicherheit (einschließlich Sicherheitskonzepten, wie z. B. Benutzer, Gruppen, Überwachung und Zugriffssteuerungslisten [ACL]; Verwenden von Sicherheitsvorlagen; Anwenden von Sicherheitsvorlagen mit Gruppenrichtlinien oder Befehlszeilenprogrammen).

Bevor Sie mit diesem Kapitel fortfahren, sollten Sie auch die vorhergehenden Kapitel dieses Leitfadens gelesen haben.

Unternehmensvoraussetzungen

Sie sollten sich mit anderen Mitarbeitern Ihres Unternehmens beraten, die vom Implementierungsprozess dieser Lösung unter Umständen betroffen sind. Dazu gehören die folgenden Personen:

  • Geschäftssponsoren

  • Für Sicherheit und Überwachung zuständige Mitarbeiter

  • Für Verwaltung, Betrieb und technische Aspekte von Active Directory zuständige Mitarbeiter

  • Domain Name System (DNS), Webserver und Netzwerk: Mitarbeiter in Technik, Verwaltung und Betrieb

    Hinweis


    Je nach Struktur Ihrer IT-Organisation werden diese Positionen jeweils von einer Reihe von Mitarbeitern ausgefüllt bzw. wenige Mitarbeiter decken mehrere Bereiche ab. Es ist jedoch wichtig, eine zentrale Anlaufstelle festzulegen, von der die Schritte der einzelnen Teams Ihres Unternehmens während des gesamten Projekts koordiniert werden.

In diesem Kapitel wird außerdem davon ausgegangen, dass Sie die Anforderungen in Kapitel 2, "Grundlagen der Server- und Domänenisolierung", und Kapitel 3, "Ermitteln des aktuellen Status der IT-Infrastruktur", erfüllen. Zu diesen Anforderungen gehört das Sammeln von Informationen zu den Hosts, zum Netzwerk und zu Active Directory. Das Ermitteln geschäftlicher Anforderungen und das Einholen betriebswirtschaftlicher Unterstützung werden ebenfalls erläutert.

Zuletzt müssen Sie einen Trainingsplan für die Helpdesk- und Supportmitarbeiter erstellen, nach dem das Personal in den neuen Konzepten, Terminologien und Technologien dieser Lösung geschult wird. Da sich diese Lösung auf viele Bereiche des Unternehmens auswirkt, sollten die Supportmitarbeiter daraufhin geschult werden, jegliche Probleme beheben zu können, die während der Bereitstellung auftreten.

Grundvoraussetzungen der IT-Infrastruktur

In diesem Kapitel wird davon ausgegangen, dass die folgende IT-Infrastruktur vorhanden ist:

  • Eine Windows Server 2003-Active Directory-Domäne im gemischten oder einheitlichen Modus Bei dieser Lösung werden universelle Gruppen für die Anwendung des Gruppenrichtlinienobjekts verwendet. Wenn Ihre Unternehmensdomäne weder im gemischten noch im einheitlichen Modus ausgeführt wird, ist es dennoch möglich, das Gruppenrichtlinienobjekt (Group Policy Object, GPO) anzuwenden: und zwar über Standardkonfigurationen globaler und lokaler Gruppen. Da diese Option jedoch schwieriger zu verwalten ist, wird sie in dieser Lösung nicht verwendet.

    Hinweis


    Windows Server 2003 umfasst eine Reihe von Verbesserungen, die sich auf IPSec-Richtlinien auswirken. In der vorliegenden Lösung sind keine speziellen Konfigurationen enthalten, die einem einwandfreien Betrieb mit Windows 2000 im Wege stehen würden. Die Lösung wurde jedoch nur mit Windows Server 2003 Active Directory getestet.
    Weitere Informationen zu den Verbesserungen an IPSec in Windows Server 2003 finden Sie auf der Seite New features for IPsec der Microsoft-Website unter www.microsoft.com/resources/documentation/
    WindowsServ/2003/standard/proddocs/en-us/ipsec_whatsnew.asp (in englischer Sprache).

Dn308964.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Erstellen des Server-und Domänenisolierungsentwurfs

Der Entwurf der Lösung hängt stark von den geschäftlichen Anforderungen und den in den vorhergehenden Kapiteln gesammelten Informationen ab. In Kapitel 2, "Grundlagen der Server- und Domänenisolierung", und Anhang D: "IT-Bedrohungskategorien" werden die Komponenten der Lösung erklärt und die Bedrohungen vorgestellt, denen mit der Lösung begegnet bzw. nicht begegnet werden kann. In Kapitel 3, "Ermitteln des aktuellen Status der IT-Infrastruktur", erhalten Sie Informationen zur Vorgehensweise beim Sammeln von Planungsdaten, wie z. B. die aktuelle Netzwerkarchitektur und Hostressourcen im Netzwerk. In diesem Kapitel werden die für die Woodgrove Bank gesammelten Informationen und Anforderungen verwendet, die detailliert in der Datei Business_Requirements.xls (verfügbar im Ordner "Tools and Templates") aufgezeichnet sind. Sie sollten diese Datei in den Entwurfsprozess miteinbeziehen, der im Mittelpunkt dieses Kapitels steht. So können Sie die Motive hinter dem Lösungsentwurf besser nachvollziehen. Der Lösungsentwurfsprozess beinhaltet die folgenden Hauptaufgaben:

  • Analysieren grundlegender Gruppen
  • Planen von Computer- und Netzwerkzugriffsgruppen (Network Access Groups, NAGs)
  • Erstellen zusätzlicher Isolierungsgruppen
  • Analysieren von Netzwerkverkehrsanforderungen
  • Zuweisen von Mitgliedschaften in Computergruppen und NAGs

In den folgenden Abschnitten werden alle diese Aufgaben erklärt:

Analysieren grundlegender Gruppen

Bei den meisten Implementierungen empfiehlt sich ein gemeinsamer Ausgangspunkt für die ersten Isolierungsgruppen. In der folgenden Abbildung werden die beiden ersten Isolierungsgruppen dargestellt, die Sie beachten sollten.

Dn308964.193C868B4BBA672553DB3B7DEF7CF062(de-de,TechNet.10).png

Abbildung 4.1: Grundlegende Isolierungsgruppen

Grundlegende Gruppen verfügen über logische Container, die einen hervorragenden Ausgangspunkt für den Isolierungsgruppenentwurf darstellen.

Nicht vertrauenswürdige Systeme

Bei diesem Konzept liegt der beste Ausgangspunkt bei den Computern, die sich nicht im Besitz oder Verwaltungsbereich der IT-Abteilung des Unternehmens befinden oder deren Existenz nicht bekannt ist. Diese Computer werden im Allgemeinen als nicht vertrauenswürdige oder nicht verwaltete Hosts bezeichnet und werden im Entwurf als erstes identifiziert. Diese Computer sind nicht Bestandteil der Lösung, da sie die der Domäne zugewiesenen IPSec-Richtlinien nicht verwenden können.

Im Folgenden werden Beispiele für Computer genannt, die zu dieser Gruppe gehören würden:

  • Nicht-Windows-basierte Computer und Geräte. Bei Macintosh- und UNIX-Arbeitsstationen sowie PDAs (Personal Digital Assistants) sind möglicherweise keine IPSec-Funktionen verfügbar.

  • Ältere Versionen des Windows-Betriebssystems. Computer mit Microsoft Windows NT® Version 4.0 und Windows 9x können IPSec nicht auf Gruppenrichtlinienbasis verwenden.

  • Windows-basierte Computer ohne gemeinsame vertrauenswürdige Domäne. Eigenständige Computer können nicht mit einer Kerberos-Domänenvertrauensstellung beim Internetschlüsselaustausch (Internet Key Exchange; IKE) authentifiziert werden. Ein Computer, der mit einer Domäne arbeitet, die von der als Vertrauensgrenze bei der IKE-Authentifizierung verwendeten Gesamtstruktur als nicht vertrauenswürdig betrachtet wird, kann in der Server- und Domänenisolierungslösung nicht verwendet werden.

  • Andere Remotezugriffs- oder VPN-Clients von anderen Anbietern als Microsoft. Wird ein IPSec-VPN-Client (VPN = Virtual Private Network; virtuelles privates Netzwerk) als Remotezugriffslösung in einem Unternehmen verwendet, wurde bei der Installation wahrscheinlich der systemeigene Windows IPSec-Dienst deaktiviert. Wenn der systemeigene Windows IPSec-Dienst nicht verwendet werden kann, kann der Host in dieser Lösung nicht eingesetzt werden.

    Auch wenn der systemeigene Windows IPSec-Dienst ausgeführt wird, sollte der VPN-Client die IKE-IPSec-Kommunikation durchgehend über die VPN-Tunnelverbindung zulassen. Wenn eine durchgehende IPSec-Sicherheit über die VPN-Verbindung nicht gewährleistet ist, kann eine Ausnahme für alle beim Remotezugriff verwendeten IP-Subnetze eingerichtet werden. Wenn dieser Remoteclient erneut eine Verbindung zum internen Netzwerk herstellt, kann er in der Isolierungslösung wieder verwendet werden.

Isolierungsdomäne

Die Isolierungsdomäne bietet den ersten logischen Container für vertrauenswürdige Hosts. Die Hosts in dieser Gruppe verwalten mithilfe der IPSec-Richtlinien die zulässige ein- und ausgehende Kommunikation. In diesem Zusammenhang wird der Begriff Domäne zur Veranschaulichung der Vertrauensgrenze und nicht in Bezug auf eine Windows-Domäne verwendet. Bei dieser Lösung sind die beiden Konstrukte sehr ähnlich, da für das Zulassen eingehender Verbindungen von vertrauenswürdigen Hosts eine Windows-Domänenauthentifizierung (über Kerberos) erforderlich ist. Zahlreiche Windows-Domänen (oder -Gesamtstrukturen) sind unter Umständen mit Vertrauensstellungen verbunden, um eine einzige logische Isolierungsdomäne zu gewährleisten. Sie sollten deshalb nicht als ein und dieselbe Domäne betrachtet werden.

Das Ziel für die Kommunikationsmerkmale der Isolierungsdomäne liegt darin, für die Mehrheit der Computer des Unternehmens "normale" bzw. Standardregeln bereitzustellen. Auf diese Weise enthält eine Isolierungsdomäne bei den meisten Implementierungen die höchste Anzahl von Computern. Für die Lösung können weitere Isolierungsgruppen erstellt werden, wenn deren Kommunikationsanforderungen von denen der Isolierungsdomäne abweichen. Begrifflich handelt es sich bei einer Isolierungsdomäne lediglich um einen Isolierungsgruppentyp.

Grenzgruppe

In nahezu allen Unternehmen gibt es eine Vielzahl von Arbeitsstationen oder Servern, die über IPSec nicht kommunizieren können. So ist z. B. bei Mac- oder UNIX-Arbeitsstationen nicht davon auszugehen, dass eine Kommunikation über IPSec möglich ist. Diese Computer müssen oftmals zu Geschäftszwecken mit vertrauenswürdigen Hosts in der Isolierungsdomäne kommunizieren. Im Idealfall könnten alle Hosts im internen Netzwerk als gleichermaßen vertrauenswürdig betrachtet werden und IPSec verwenden. Der Entwurf wäre somit erheblich einfacher. In der Praxis wird die IPSec-Technologie jedoch nicht von allen Betriebssystemen in gleichem Maße unterstützt.

Diese Ausgangssituation lässt sich am besten meistern, indem man eine Isolierungsgruppe (in diesem Leitfaden als "Grenzgruppe" bezeichnet) mit Hosts erstellt, die zur Kommunikation mit nicht vertrauenswürdigen Systemen berechtigt sind. Diese Hosts sind einem höheren Risiko ausgesetzt, da sie eingehende Daten direkt von nicht vertrauenswürdigen Computern empfangen können.

Computer der Grenzgruppe sind vertrauenswürdige Hosts, die sowohl mit anderen vertrauenswürdigen Hosts als auch mit nicht vertrauenswürdigen Hosts kommunizieren können. Hosts der Grenzgruppe werden versuchen, mithilfe von IPSec zu kommunizieren, indem sie eine IKE-Aushandlung mit dem Computer einleiten, der die Anfrage gestellt hat. Wenn innerhalb von drei Sekunden keine IKE-Antwort eingegangen ist, aktiviert der Host die Klartextkommunikation (Auf unsichere Kommunikation zurückgreifen) und versucht, eine Klartextkommunikation ohne IPSec aufzubauen. Hosts der Grenzgruppe können über eine dynamische IP-Adresse verfügen, da sie IPSec-Richtlinien wie jeder andere vertrauenswürdige Host in der Isolierungsdomäne verwenden. Da diese Grenzgruppenhosts berechtigt sind, mit vertrauenswürdigen Hosts über IPSec-gesicherte Netzwerkverbindungen und mit nicht vertrauenswürdigen Hosts über Klartextübertragung zu kommunizieren, müssen Sie auf andere Weise in höchstem Maße gesichert werden. Das Verstehen und das Bemühen um Eindämmung dieses zusätzlichen Risikos sollte eine wichtige Rolle bei der Entscheidung spielen, ob ein Computer der Grenzgruppe hinzugefügt wird. Das Einrichten eines formellen Prozesses zur betriebswirtschaftlichen Rechtfertigung jedes einzelnen Computers kann vor dem Hinzufügen des Computers zu dieser Gruppe sicherstellen, dass alle beteiligten Parteien die Unvermeidbarkeit des zusätzlichen Risikos einsehen. In der folgenden Abbildung ist ein Beispielprozess dargestellt, der Ihnen die Entscheidungsfindung erleichtern soll.

Dn308964.D14C7B17456C1A5059F82F2D0C992BD9(de-de,TechNet.10).png

Abbildung 4.2: Entscheidungsflussdiagramm für Beispielprozess zur Grenzgruppenmitgliedschaft

Bild in voller Größe anzeigen

Ziel dieses Prozesses ist es, zu ermitteln, ob das Risiko im Hinzufügen eines Hosts zur Grenzgruppe auf einer für das Unternehmen vertretbaren Ebene eingedämmt werden kann. Hierbei ist davon auszugehen, dass die Mitgliedschaft verweigert werden sollte, wenn das Risiko nicht eingedämmt werden kann.

Erstellen von Ausnahmelisten

Alle Sicherheitsmodelle zur Server-und Domänenisolierung weisen einige Einschränkungen auf, sobald sie in einer Unternehmensumgebung implementiert wurden. Schlüsselinfrastruktur-Server, wie z. B. Domänencontroller, DNS-Server und DHCP-Server (Dynamic Host Configuration Protocol) sind im internen Netzwerk in der Regel für alle Systeme verfügbar. Natürlich müssen sie in höchstmöglichem Maße vor Netzwerkangriffen geschützt werden. Da sie jedoch für alle Systeme im Netzwerk und nicht nur für Domänenmitglieder verfügbar sind, dürfen diese Serverdienste weder IPSec-Technologie für eingehenden Zugriff noch den Schutz im IPSec-Übertragungsmodus für ihren gesamten Datenverkehr beanspruchen. Da beim Zugriff auf diese Dienste, v. a. DNS, ein Zurückgreifen auf eine Klartextübertragung nach drei Sekunden die Leistung des gesamten internen Netzwerkzugriffs erheblich beeinträchtigen würde, sind diese Dienste keine Kandidaten für die Grenzgruppe. Außerdem benötigen vertrauenswürdige Hosts Zugriff auf den DHCP-Server, um eine IP-Adresse (Internet Protocol) zu erhalten, wenn der Computer gestartet oder das Netzwerkkabel bzw. die Netzwerkkarte in einen tragbaren Computer gesteckt wird. Vertrauenswürdige Hosts benötigen überdies DNS zur Lokalisierung der Domänencontroller, damit sie sich bei der Domäne anmelden und Kerberos-Anmeldeinformationen erhalten können. Deshalb ist eine Liste der Server und Dienste (Protokolle) erforderlich, die IPSec nicht verwenden, damit IPSec ordnungsgemäß funktionieren kann und alle internen Hosts eine gemeinsame interne Netzwerkstruktur nutzen können. Die Liste der Computer, die mit IPSec nicht gesichert werden können, wird als Ausnahmeliste bezeichnet und wird in jedem IPSec-Richtlinienentwurf implementiert. Im Netzwerk sind möglicherweise noch weitere Server vorhanden, auf die vertrauenswürdige Hosts mit IPSec nicht zugreifen können. Diese würden ebenfalls der Ausnahmeliste hinzugefügt. Im Allgemeinen ist ein Host aufgrund der folgenden Bedingungen in der Ausnahmeliste enthalten:

  • Wenn es sich bei dem Host um einen Computer handelt, auf den vertrauenswürdige Hosts zugreifen müssen, dieser jedoch nicht über eine kompatible IPSec-Implementierung verfügt.
  • Wenn der Host nicht vertrauenswürdigen Hosts und vertrauenswürdigen Hosts Dienste zur Verfügung stellt, jedoch nicht die Mitgliedskriterien für die Gruppe an der Isolierungsgrenze erfüllt.
  • Wenn der Host für eine Anwendung eingesetzt wird, auf die sich die Fallback-Verzögerung von drei Sekunden oder die IPSec-Verkapselung des Anwendungsverkehrs negativ auswirkt.
  • Wenn der Host Tausende von Clients gleichzeitig unterstützt und dabei festgestellt wird, dass IPSec aufgrund der Leistungseinbußen nicht verwendet werden kann.
  • Wenn der Host vertrauenswürdige Hosts aus verschiedenen Isolierungsdomänen unterstützt, die sich gegenseitig nicht vertrauen.
  • Wenn es sich beim Host um einen Domänencontroller handelt, da IPSec zwischen einem Domänencontroller und einem Domänenmitglied zurzeit nicht unterstützt wird. Domänencontroller erfüllen jedoch andere Kriterien in dieser Liste und bieten zudem die IPSec-Richtlinien für die Domänenmitglieder sowie die Kerberos-Authentifizierung, auf der das Isolierungskonzept basiert.
  • Wenn der Host vertrauenswürdige und nicht vertrauenswürdige Hosts unterstützt, jedoch niemals IPSec zur Sicherung der Kommunikation mit vertrauenswürdigen Hosts verwendet.

Die IPSec-Implementierung in Windows unterstützt nur statisches Filtern, kein dynamisches (oder statusbehaftetes) Filtern. Deshalb stellt eine statische Ausnahme für den ausgehenden Datenverkehr auch eine statische Ausnahme für den eingehenden Datenverkehr dar. Ausgenommene Hosts haben daher nicht authentifizierten eingehenden Zugriff auf jeden Host, unabhängig davon, ob dieser vertrauenswürdig ist oder nicht. Die Anzahl der ausgenommenen Hosts muss deshalb auf ein Minimum beschränkt werden. Überdies müssen diese Hosts strikt verwaltet und so gut wie möglich vor möglichen Angriffen und Infektionen geschützt werden. Das Risiko eines eingehenden Angriffs durch Hosts aus der Ausnahmeliste kann durch die Verwendung einer hostgestützten Firewall mit statusbehafteter Filterung, z. B. Windows-Firewall, gesenkt werden. Windows XP Service Pack 2 (SP 2) bietet domänenbasierte Gruppenrichtliniensteuerungen für die Konfiguration der Firewall. Die Windows-Firewall unterstützt überdies die Fähigkeit, nur bestimmte Computer über die Firewall zu autorisieren, wenn das System durch IPSec geschützt ist. Hierfür wird die Gruppenrichtlinieneinstellung "Windows Firewall: Allow authenticated IPsec bypass" (Windows Firewall: Umgehen von authentifiziertem IPSec zulassen) verwendet. Die Woodgrove Bank hat sich gegen die Implementierung der Windows-Firewall entschieden. In anderen Umgebungen ist möglicherweise ein hoher Sicherheitsstandard innerhalb einer isolierten Domäne oder Gruppe erforderlich. Weitere Informationen finden Sie im Whitepaper Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 im Microsoft Download Center unter https://go.microsoft.com/fwlink/?LinkId=23277 (in englischer Sprache).

In großen Unternehmen kann die Ausnahmeliste sehr umfangreich werden, wenn alle Ausnahmen durch eine IPSec-Richtlinie für die gesamte Domäne oder für alle vertrauenswürdigen Strukturen implementiert werden. Eine umfangreiche Ausnahmenliste bringt eine Vielzahl an unerwünschten Effekten bei jedem Computer mit sich, der diese Richtlinie empfängt. Zu den unerwünschten Effekten gehören:

  • Verringerung der Gesamteffektivität der Isolierung
  • Größerer Verwaltungsaufwand aufgrund von häufigen Updates
  • Vergrößerung der Größe der Richtlinie und somit erhöhter Speicher- und CPU-Ressourcenbedarf, Verringerung des Netzwerkdurchsatzes und Erhöhung der für den Download und das Anwenden der Richtlinie erforderlichen Zeit.

Sie haben folgende Möglichkeiten, um die Anzahl der Ausnahmen so gering wie möglich zu halten:

  • Verwenden Sie keine Ausnahme, wenn die Kommunikation nach einer Verzögerung von drei Sekunden nicht auf eine Klartextübertragung zurückgreift. Diese Option betrifft keine Domänencontroller.
  • Ermitteln Sie sorgfältig die Kommunikationsanforderungen jeder Isolierungsgruppe, insbesondere die der reinen Servergruppen. Diese müssen nicht unbedingt mit jeder Ausnahme in der Richtlinie für Clients auf Domänenebene kommunizieren.
  • Fassen Sie Serverfunktionen zusammen. Wenn mehrere Ausnahmeservices unter einer IP-Adresse zusammengefasst werden, reduziert sich die Anzahl der Filter.
  • Fassen Sie ausgenommene Hosts im gleichen Subnetz zusammen. Wenn das Volumen des Netzwerkverkehrs es zulässt, können die Server in einem Subnetz untergebracht werden, das der Ausnahmeliste hinzugefügt wird. Dieses Verfahren stellt eine Alternative zur Verwendung von Ausnahmen für jede einzelne IP-Adresse dar.

Bei der Definition der Grenzgruppe sollte ein formeller Prozess für die Genehmigung der Hosts verwendet werden, die der Ausnahmeliste hinzugefügt werden. Orientieren Sie sich bei der Verarbeitung von Ausnahmeanforderungen an dem obigen Entscheidungsflussdiagramm.

Planen von Computer- und Netzwerkzugriffsgruppen

Für die Isolierungsdomäne sowie für alle Isolierungsgruppen müssen eindeutige und vollständige Spezifikationen der Netzwerksicherheitsanforderungen vorliegen. Die Excel-Tabelle Business_Requirements.xls im Ordner "Tools and Templates" kann als Vorlage für die Dokumentation von Anforderungen verwendet werden. Nachdem Sie die Anforderungen für eingehenden und ausgehenden Datenverkehr dokumentiert haben, können Sie einen Mechanismus für die Implementierung der Zugriffssteuerungen entwerfen.

An diesem Punkt des Prozesses sollten Sie mit der Protokollierung der neuen Active Directory-Gruppen beginnen, die für die Unterstützung der Anforderungen der Isolierungsgruppe erforderlich sind. Sie müssen für jede Isolierungsgruppe bis zu drei spezielle Active Directory-Gruppen erstellen. Im folgenden Abschnitt werden die Rollen der einzelnen Gruppen beschrieben.

Computergruppen

Sie müssen für jede Isolierungsgruppe eine Computergruppe erstellen, die die Mitglieder der Isolierungsgruppe enthält. Diese Vorgehensweise ist erforderlich, da die Sicherheitsanforderungen einer Isolierungsgruppe durch mehrere Sicherheitseinstellungen in den der Domäne zugewiesenen GPOs erfüllt werden. Diese Lösung wendet Sicherheitsgruppenfilter auf die GPOs an, um die IPSec-Richtlinie auf den Computern einer bestimmten Isolierungsgruppe bereitzustellen. Die verknüpfte IPSec-Richtlinie wird bei der Verarbeitung des GPOs den Computerkonten zugewiesen, die Mitglieder der Computergruppe sind. Hierdurch soll eine Änderung bzw. Neuerstellung der Organisationseinheitenstruktur (OU-Struktur) basierend auf der Isolierungsgruppenmitgliedschaft für die Anwendung der korrekten GPOs vermieden werden. Wenn die OU-Struktur so geändert werden kann, dass Sie die Isolierungsgruppenmitgliedschaft widerspiegelt, sind keine Computersicherheitsgruppen für die Anwendung der Gruppenrichtlinie erforderlich.

Tabelle 4.1: Computergruppen der Woodgrove Bank

Computergruppenname

Beschreibung

CG_IsolationDomain_Computers

Diese universelle Gruppe enthält alle Computer, die Teil der Isolierungsdomäne sind.

CG_BoundaryIG_Computers

Diese Gruppe enthält alle Computer, die Kommunikationsanforderungen von nicht vertrauenswürdigen Systemen akzeptieren dürfen.

Netzwerkzugriffsgruppen

Die alleinige Verwendung von IPSec und Kerberos liefert eine vertrauenswürdige und nicht vertrauenswürdige Authentifizierungsgrenze. Zur Unterscheidung dieser Gruppen von allen anderen Gruppen werden diese Gruppen im vorliegenden Leitfaden als Netzwerkzugriffsgruppen (Network Access Groups, NAGs) bezeichnet.

Sie können zwei Arten von NAGs erstellen: Allow (Gewähren) und Deny (Verweigern) Diese Gruppen steuern die Fähigkeit anderer vertrauenswürdiger Systeme, ausdrücklich Zugriff zu gewähren bzw. zu verweigern. Diese Steuerung erreichen Sie durch die Verwendung der Benutzerrechte "Zugriff vom Netzwerk auf diesen Computer verweigern" (DENY) bzw. "Auf diesen Computer vom Netzwerk aus zugreifen" (ALLOW) in der Gruppenrichtlinie.

Technisch gesehen gilt diese Benutzerzugriffssteuerung nur für Netzwerkdienste, die Anmeldeinformationen empfangen, um das Konto für die Netzwerkanmeldung zu authentifizieren. Das "Konto" kann ein Computer, ein Benutzer oder ein Dienstkonto sein. Wenn die IPSec-Richtlinie so konfiguriert wird, dass sie den gesamten Datenverkehr schützt, bestätigt IKE, dass der Remotecomputer über ein Netzwerkanmelderecht verfügt. Daher steuert in diesem Fall das Netzwerkanmelderecht die Fähigkeit eines Remotecomputers, IPSec-geschützte Verbindungen herzustellen. Nachdem diese Zugriffssteuerung auf IP-Ebene geprüft wurde, authentifizieren die Protokolle der höheren Ebene (z. B. Dateifreigabe) den Benutzer, und die Netzwerkanmelderechte der Benutzeridentität werden erneut evaluiert. Schließlich werden mithilfe der Benutzeridentität dienstspezifische Berechtigungen, z. B. Dateizugriffssteuerungslisten, ausgewertet. Weitere Informationen finden Sie in dem Diagramm zum Thema Netzwerkzugriffssteuerungsebenen in Kapitel 2 "Grundlagen der Server- und Domänenisolierung".

Das Benutzerrecht ALLOW enthält standardmäßig die Gruppe Jeder, die allen authentifizierten Benutzern und Computern Zugriff auf den Computer gewährt. Während der Implementierung dieser Lösung wird die Gruppe "Jeder" mittels Zuweisung von Gruppenrichtlinien-Benutzerrechten durch NAGs ersetzt, die abhängig von Ihren Organisationsanforderungen bestimmte Computer oder Benutzer und Gruppen enthalten. Genauso enthält das Benutzerrecht DENY Computer, die keinen Zugriff auf durch IPSec geschützte eingehende Daten haben. Es ist zwar auch möglich, eine einzige Gruppe für Benutzer- und Computerkonten zu verwenden, Microsoft empfiehlt jedoch die Verwendung separater Gruppen für Benutzer und Computer. Dieser Ansatz bietet bessere Möglichkeiten für eine kontinuierliche Verwaltung und Unterszützung der Richtlinien und Gruppen. Die Konfiguration der Zuweisung der Benutzerrechte ALLOW und DENY ergänzt die in älteren Windows-Sicherheitshandbüchern enthaltene Anleitung, da in diesen Handbüchern die von IPSec geforderte Computerauthentifizierung nicht behandelt wurde.

Zu den Anforderungen, die durch NAGs umgesetzt werden können, gehören:

  • Zugriff von Hosts der Grenzgruppe oder vertrauenswürdigen Hosts, die sich in öffentlichen Bereichen befinden, auf sensible Server blockieren.
  • Zugriff auf Server, die der Unternehmensführung vorbehalten sind, einschränken, indem nur Zugriff auf die Clientcomputer gewährt wird, die von diesen Mitarbeitern verwendet werden.
  • Vertrauenswürdige Hosts in einem Forschungs- und Entwicklungsprojekt von allen vertrauenswürdigen Hosts der Domäne isolieren.

Im Woodgrove Bank-Szenario setzt eine geschäftliche Anforderung ein Limit in Bezug auf die Menge an neuer Computerhardware, die pro Jahr erworben werden darf. Damit vertrauenswürdige und nicht vertrauenswürdige Hosts drucken können, ist ein Druckserver erforderlich. Obwohl die Woodgrove Bank den Kauf eines neuen Servers in Erwägung gezogen hatte, auf dem nur Druckaufträge vertrauenswürdiger Computer verarbeitet werden sollten, hat sich das Unternehmen letztendlich dafür entschieden, einen Server für die Erfüllung der Anforderungen beider Hostarten zu verwenden. Daher hat das Unternehmen einen Boundary-Server als Druckserver eingerichtet. Da beim Druckserver ein erhöhtes Risiko in Bezug auf Infektionen und Angriffe durch nicht vertrauenswürdige Computer besteht, müssen die übrigen vertrauenswürdigen Hosts eingehenden Datenverkehr von diesem Server blockieren. Die vertrauenswürdigen Hosts sind dann immer noch in der Lage, bei Bedarf ausgehende Verbindungen zum Druckserver herzustellen. Folglich legte die Woogrove Bank fest, eine DENY-NAG für die Umsetzung dieser Anforderung einzurichten.

An diesem Punkt des Entwurfsprozesses ist keine Zuweisung einer NAG-Mitgliedschaft erforderlich. Sie müssen lediglich die für diesen Entwurf erforderlichen NAGs ermitteln und dokumentieren. Die IT-Mitarbeiter der Woodgrove Bank haben Bedarf an folgenden NAGs ermittelt:

Tabelle 4.2: Woodgrove Bank Netzwerkzugriffsgruppen

NAG-Name

Beschreibung

DNAG_IsolationDomain_Computers

Diese Gruppe beinhaltet alle Computerkonten in einer Domäne, die keine IPSec-geschützten Verbindungen zu vertrauenswürdigen Hosts in der Isolierungsdomäne herstellen dürfen.

Erstellen zusätzlicher Isolierungsgruppen

An diesem Punkt des Entwurfsprozesses gibt es zwei Isolierungsgruppen: Isolierungsdomäne und Grenzgruppe.

Wenn dieser Entwurf Ihren Unternehmensanforderungen entspricht, können Sie mit dem nächsten Abschnitt dieses Kapitels fortfahren und Datenverkehrsmodelle für die beiden Isolierungsgruppen definieren. Wenn Ihre Organisation bei einigen vertrauenswürdigen Hosts jedoch unterschiedliche Netzwerkzugriffssteuerungen für eingehenden und ausgehenden Datenverkehr benötigt, muss für jede Anforderungsart eine separate Isolierungsgruppe erstellt werden.

Dieser Abschnitt erläutert die Bedingungen, unter denen zusätzliche Gruppen erforderlich werden. Zunächst müssen Sie herausfinden, welche Computer bestimmte Isolierungs- oder Datenverkehrsschutzanforderungen haben, die nicht durch die Einstellungen für die Isolierungsdomäne abgedeckt werden. Das Ziel ist hierbei, die Anzahl dieser Hosts möglichst gering zu halten, da jede neue Gruppe den Gesamtentwurf komplexer werden lässt und es somit auch zunehmend schwieriger wird, diesen Entwurf zu unterstützen und zu verwalten.

Im Folgenden finden Sie typische Anforderungen, die zur Erstellung neuer Gruppen führen könnten:

  • Verschlüsselungsanforderungen
  • Eingeschränkter Host- oder Benutzerzugriff auf Netzwerkebene erforderlich
  • Anforderungen für ausgehenden oder eingehenden Netzwerkverkehr oder Schutzanforderungen, die von den Anforderungen der Isolierungsdomäne abweichen

In vielen Fällen sind die Anforderungen für eingehenden Zugriff bei Servern, die wertvolle Daten enthalten, so gehalten, dass nur eine Teilmenge der vertrauenswürdigen Hosts der Domäne eine Verbindung herstellen kann. In anderen Fällen dürfen vertrauenswürdige Hosts keine ausgehenden Verbindungen zu nicht vertrauenswürdigen Computern herstellen, um so das Risiko eines Datenverlusts zu senken bzw. die Einhaltung von Bestimmungen zum Schutz des Netzwerkverkehrs zu erzwingen. Im Woodgrove Bank-Szenario beispielsweise haben die IT-Mitarbeiter Anforderungen ermittelt, die nur durch die Erstellung der beiden folgenden zusätzlichen Isolierungsgruppen erfüllt werden können:

  • Die Isolierungsgruppe Verschlüsselung beinhaltet eine kleine Gruppe von Anwendungsservern, auf denen wertvolle Daten untergebracht sind und die das höchste Maß an Sicherheit erfordern. Nur einer Teilmenge der vertrauenswürdigen Clients wird die Herstellung einer Verbindung zu diesen Servern gewährt. Der Netzwerkverkehr mit diesen Servern erfordert eine 128-Bit-Verschlüsselung, die den US-Vorschriften zum Schutz von Finanzdaten entspricht. Die Herstellung von ausgehenden Verbindungen von diesen Servern zu nicht vertrauenswürdigen Hosts sowie der Empfang von eingehenden Verbindungen von Hosts der Grenzgruppe wurde unterbunden.
  • Die Isolierungsgruppe Kein Klartext ist für einige vertrauenswürdige Hosts der Isolierungsdomäne erforderlich, für die die Netzwerkkommunikation zu nicht vertrauenswürdigen Systemen eingeschränkt werden muss.

Obwohl die zweite Gruppe über die Anforderung "Kein Klartext" verfügt, gilt für sie nicht das gesamte Anforderungspaket, das für die Anwendungsserver gilt. Somit wird durch zwei verschiedene Anforderungsarten angezeigt, dass zwei zusätzliche Isolierungsgruppen erforderlich sind. Durch diese zusätzlichen Gruppen stieg die Gesamtanzahl der Gruppen für die Woodgrove Bank auf vier. Die folgende Abbildung zeigt diese Gruppen im endgültigen Isolierungsgruppenentwurf der Woodgrove Bank:

Dn308964.25F2AA3DA2D8D68453628B48326EF30D(de-de,TechNet.10).png

Abbildung 4.3: Endgültiger Gruppenentwurf der Woodgrove Bank

Die folgenden vier Gruppen erfordern eine Richtlinie, um den Entwurfsanforderungen gerecht zu werden.

  • Isolierungsdomäne. Dies ist die Standardgruppe für alle vertrauenswürdigen Computer.
  • Isolierungsgruppe "Domänengrenze". Diese Gruppe wird Computern zugewiesen, die Zugriff auf nicht vertrauenswürdige Hosts benötigen.
  • Isolierungsgruppe "Verschlüsselung". Diese Gruppe lässt nur eine Kommunikation über einen vertrauenswürdigen, verschlüsselten Pfad zu.
  • Isolierungsgruppe "Kein Klartext". Diese Gruppe enthält Computer, die höhere Sicherheitsanforderungen aufweisen, die beispielsweise vorgeben, dass diese Computer keine direkte Kommunikation zu nicht vertrauenswürdigen Hosts starten dürfen.

Da die Woodgrove Bank zwei zusätzliche Gruppen ermittelt hat, die IPSec-Richtlinien erfordern, wurden zusätzliche Computergruppen definiert, um die Anwendung dieser neu identifizierten Richtlinien zu steuern.

Tabelle 4.3: Zusätzliche Computergruppen der Woodgrove Bank

Computergruppenname

Beschreibung

CG_NoFallbackIG_Computers

Diese Gruppe enthält alle Computer, die nicht auf eine Klartextübertragung zurückgreifen dürfen.

CG_EncryptionIG_Computers

Diese Gruppe enthält alle Computer, die Verschlüsselung verwenden müssen.

Überdies werden NAGs benötigt, um eingehenden Zugriff für die Teilmenge der vertrauenswürdigen Hosts zu autorisieren. Die IT-Mitarbeiter der Woodgrove Bank haben folgende NAGs erstellt:

Tabelle 4.4: Woodgrove Bank Netzwerkzugriffsgruppen

NAG-Name

Beschreibung

ANAG_EncryptedResourceAccess_Users

Diese Gruppe enthält alle Benutzer, die Zugriff auf die Server der Isolierungsgruppe "Verschlüsselung" haben.

ANAG_EncryptedResourceAccess_Computers

Diese Gruppe enthält alle Computer, die eingehenden Netzwerkzugriff auf die Server der Isolierungsgruppe "Verschlüsselung" haben.

DNAG_EncryptionIG_Computers

Diese Gruppe enthält Computerkontengruppen, denen der Zugriff auf Hosts der Isolierungsgruppe "Verschlüsselung" verweigert wird.

Sammeln von Netzwerkverkehrsanforderungen

An diesem Punkt des Entwurfsprozesses sollten Sie die Kommunikationsanforderungen für den Netzwerkverkehr dokumentieren, die zwischen den Gruppen ausgetauscht werden dürfen, sowie die Form für die Kommunikation festlegen. Es gibt viele Möglichkeiten, die Netzwerkverkehrsanforderungen für die Gruppen zu dokumentieren. Die Erfahrungen des Microsoft IT-Supportteams zeigen jedoch, dass ein Diagramm die beste Methode zur Kommunikation der genauen Anforderungen ist.

Die folgende Abbildung stellt die Kommunikationspfade dar, die in der Regel zwischen den grundlegenden Gruppen zulässig sind, sowie die nicht vertrauenswürdigen Hosts und die Ausnahmelisten. Zur Vereinfachung dieses Modells werden die Ausnahmelisten als einzelne Gruppierung dargestellt. Dies wird normalerweise für Infrastrukturdienste, z. B. Domänencontroller oder DNS-Server so gehandhabt. Möglicherweise müssen bei Isolierungsgruppen aufgrund geschäftlicher Anforderungen bestimmte Computer ausgenommen werden. In diesen Fällen enthält die Isolierungsgruppe eine zusätzliche Ausnahmeliste der Computer, die zusätzlich zu den allgemeinen Ausnahmen auszunehmen sind. Microsoft empfiehlt, die Ausnahmelisteneinträge auf ein Minimum zu beschränken, da diese Einträge Systeme ausdrücklich von der Teilnahme in der IPSec-Infrastruktur ausnehmen. In der Abbildung stellen alle durchgezogenen Pfeile eine durch IPSec geschützte Kommunikation dar, die gepunkteten Pfeile zeigen eine Kommunikation ohne IPSec an. In Gruppen, die durch eine gestrichelte Umrandungslinie dargestellt werden, ist den einzelnen Computern eine IPSec-Richtlinie zugewiesen.

Dn308964.B1DDD89C4D9D8E3109CD2D985836A98F(de-de,TechNet.10).png

Abbildung 4.4: Allgemein zulässige Kommunikationspfade für grundlegende Isolierungsgruppen

Bild in voller Größe anzeigen

In der folgenden Tabelle werden die zulässigen Kommunikationspfade für den Datenverkehr zwischen grundlegenden Gruppen, ungesicherten Systemen und Ausnahmelisten aufgeführt:

Tabelle 4.5: Zulässige Kommunikationsoptionen für grundlegende Isolierungsgruppen

Pfad

Von

Zu

Bidirektional

IKE/IPSec versuchen

Zurückgreifen auf Klartextübertragung

Verschlüsselung

1

ID

AL

Ja

Nein

Nein

Nein

2

ID

GR

Ja

Ja

Nein

Nein

3

ID

NV

Nein

Ja

Ja

Nein

4

GR

AL

Ja

Nein

Nein

Nein

5

GR

NV

Nein

Ja

Ja

Nein

6

NV

GR

Nein

Nein

Nein

Nein

7

NV

AL

Ja

Nein

Nein

Nein

In der oben stehenden Tabelle werden die Kommunikationsanforderungen für jeden zulässigen Kommunikationspfad des anfänglichen Isolierungsgruppenentwurfs dargestellt. In der folgenden Liste werden die einzelnen Spalten erläutert:

  • Pfad. Die dem Kommunikationspfad zugewiesene Zahl.
  • Von. Die Gruppe, die die Initiatoren für den Datenverkehr enthält.
  • Zu. Die Gruppe, die die Responder enthält, zu denen über den zulässigen Kommunikationspfad eine Verbindung hergestellt wird.
  • Bidirektional. Gibt an, ob der Pfad einen Rollentausch für Initiator und Responder zulässt, so dass der Datenverkehr sowohl von der Gruppe Von als auch von der Gruppe Zu gestartet werden kann.
  • IKE/IPSec versuchen. Gibt an, ob dieser Pfad IPSec zur Sicherung der Kommunikation verwendet.
  • Zurückgreifen auf Klartextübertragung. Gibt an, ob die Kommunikation auf eine unsichere Verbindung (nicht durch IPSec geschützt) zurückgreifen kann, wenn die IKE-Aushandlung fehlschlägt.
  • Verschlüsselung. Gibt an, ob der Pfad eine Verschlüsselung der Kommunikation durch einen in der IPSec-Richtlinie festgelegten Verschlüsselungsalgorithmus erfordert.

Um die in der Tabelle aufgeführten Informationen so präzise wie möglich zu halten, wurden die Kurzformen der Gruppennamen verwendet. Durch diese Art der Dokumentation erhält man eine sehr präzise Darstellung der Kommunikation in dieser Lösung. Wenn man davon ausgeht, dass der gesamte Netzwerkverkehr bis auf die in dieser Tabelle aufgeführten Ausnahmen nicht zulässig ist, wird der Prozess zur Ermittlung des durch diese Lösung geschützten Datenverkehrs deutlicher. Die in der obigen Abbildung dargestellten Pfade werden im Folgenden erläutert:

  • Pfad 1, 4 und 7 stellen die Netzwerkkommunikation dar, die für alle Hosts zulässig ist, die in den Ausnahmelisten der entsprechenden IPSec-Richtlinie aufgeführt sind. Für Isolierungsgruppen sind möglicherweise andere Ausnahmen definiert.
  • Pfad 2 stellt die Kommunikation zwischen der Isolierungsdomäne und den Grenzgruppen dar. Dieser Pfad verwendet IPSec zur Sicherung des Datenverkehrs. Der Datenverkehr erfordert je nach Sicherheitsanforderungen möglicherweise eine Verschlüsselung. Wenn die IKE-Aushandlung fehlschlägt, schlägt auch die Kommunikation fehl, da in diesem Fall nicht auf eine Klartextübertragung zurückgegriffen werden kann.
  • Pfad 3 zeigt, dass Hosts in der Isolierungsdomäne Kommunikation mit nicht vertrauenswürdigen initiieren können. Dies ist möglich, da Hosts der Isolierungsdomäne aufgrund der für diese Gruppe festgelegten Richtlinie auf eine Klartextübertragung zurückgreifen dürfen, wenn die anfängliche IKE-Aushandlungsanforderung unbeantwortet bleibt. Nicht vertrauenswürdige Systeme, die eine nicht IPSec-geschützte Verbindung zu vertrauenswürdigen Hosts starten, werden durch die IPSec-Filter für eingehenden Datenverkehr blockiert.
  • Pfad 5 und 6 dokumentieren die zulässige Kommunikation zwischen der Grenzgruppe und nicht vertrauenswürdigen Systemen. Pfad 4 zeigt an, dass die Grenzgruppe ungesicherte ausgehende Kommunikation mit nicht vertrauenswürdigen Hosts durchführen darf. Wenn die IKE-Aushandlung unbeantwortet bleibt, greift der Host auf Klartextkommunikation zurück. Pfad 5 stellt den Datenverkehr dar, der von nicht vertrauenswürdigen Hosts gestartet und an die Grenzgruppe gesendet wird. Dieser Pfeil weist eine gewisse Ähnlichkeit mit Pfad 4 auf. Die detaillierte Tabelle zeigt jedoch, dass nicht vertrauenswürdige Hosts keine IKE-Aushandlung mit der Grenzgruppe versuchen. Diese Hosts stellen eine Verbindung über TCP/IP her und kommunizieren im Klartextformat.

Nachdem die grundlegende Kommunikation dokumentiert wurde, können dem Gesamtentwurf zusätzliche Gruppen hinzugefügt werden, deren Kommunikationsanforderungen auf dieselbe Art und Weise erfasst werden können. Die beiden zusätzlichen Gruppen, die im Woodgrove Bank-Szenario erforderlich sind, führen zu einem komplexeren Kommunikationsdiagramm (siehe folgende Abbildung).

Dn308964.12CE79E53446C9BD257BCCA02093C286(de-de,TechNet.10).png

Abbildung 4.5: Woodgrove Bank zulässige Kommunikationspfade für Isolierungsgruppen

Bild in voller Größe anzeigen

In der folgenden Tabelle sind die zulässigen Kommunikationspfade für den Datenverkehr in den zusätzlichen Gruppen des Woodgrove Bank-Szenarios dargestellt.

Tabelle 4.6: Zulässige Kommunikationsoptionen für zusätzliche Isolierungsgruppen

Pfad

Von

Zu

Bidirektional

IKE/IPSec versuchen

Zurückgreifen auf Klartextübertragung

Verschlüsselung

8

VS

AL

Ja

Nein

Nein

Nein

9

VS

ID

Ja

Ja

Nein

Ja

10

VS

NC

Ja

Ja

Nein

Ja

11

VS

GR

Nein

Ja

Nein

Ja

12

KK

ID

Ja

Ja

Nein

Nein

13

KK

AL

Ja

Nein

Nein

Nein

14

KK

GR

Ja

Ja

Nein

Nein

Im Folgenden werden die zusätzlichen Pfade aus dem oben stehenden Beispiel bzw. der oben stehenden Abbildung erläutert:

  • Pfad 8 und 13 sind Klartextkommunikationspfade für den gesamten ausgenommenen Datenverkehr.
  • Pfad 9 und 10 zeigen IPSec in Verbindung mit ESP (Encapsulating Security Payload) eine verschlüsselte Kommunikation, die zwischen der Isolierungsgruppe "Verschlüsselung", der Isolierungsgruppe "Kein Klartext" und der und Isolierungsdomäne erforderlich ist. Wenn die IKE-Aushandlung fehlschlägt und die verschlüsselte Kommunikation somit nicht geschützt ist, schlägt auch der Kommunikationsversuch fehl.
  • Der Datenverkehr für Pfad 11 verläuft ein wenig anders, da über diesen Pfad nur Kommunikation von der Verschlüsselungsgruppe zur Grenzgruppe zulässig ist, und nicht umgekehrt. Der Grund hierfür ist, dass die Woodgrove Bank wertvolle Daten in der Verschlüsselungsgruppe untergebracht hat und diese Daten nicht auf Computern offengelegt werden sollen, auf die ein direkter Zugriff durch nicht vertrauenswürdige Ressourcen möglich ist.
  • Die Pfade 12 und 14 können durch einen AH- oder ESP-IPSec-Transportmodus implementiert werden, der ohne Verschlüsselung authentifiziert wird (ESP Null).

Wie dieses Beispiel zeigt, kann das Hinzufügen von Gruppen eine exponentielle Auswirkung auf die Komplexität der Lösung haben. Aus diesem Grund empfiehlt es sich, die Anzahl der Gruppen auf ein Minimum zu beschränken, insbesondere in einem frühen Bereitstellungsstadium, in dem die meisten Änderungen vorgenommen werden.

Zuweisen von Mitgliedschaften in Computergruppen und Netzwerkzugriffsgruppen

Nachdem die Netzwerkverkehrsanforderungen detailliert im Entwurf dokumentiert wurden, müssen nun die Hosts den jeweiligen Computergruppen oder Netzwerkzugriffsgruppen zugewiesen werden.

Wie bereits erwähnt, werden in dieser Lösung Computergruppen für die Anwendung des GPOs verwendet, das die IPSec-Richtlinie enthält. Nachdem die Zugehörigkeit eines Computers zu einer bestimmten Isolierungsgruppe festgelegt wurde, wird das Computerkonto der Computergruppe für diese Isolierungsgruppe hinzugefügt. Für die Isolierungsdomäne muss dieser Schritt nicht ausgeführt werden, da alle Domänencomputer zur Computergruppe der Isolierungsdomäne gehören.

Die Mitgliedschaft in einer Netzwerkzugriffsgruppe basiert auf der Autorisierung von eingehendem Datenverkehr, die durch die Netzwerkzugriffsgruppe implementiert wird. Wenn beispielsweise eine NAG vorhanden ist, die die Kommunikation für einen bestimmten Server auf bekannte Clients einschränkt, müssen die Clientcomputerkonten in der entsprechenden NAG platziert werden. NAGs werden nur bei Bedarf erstellt und verfügen somit über keine Standardkonfiguration.

Mitgliedschaft in Computergruppen

Es ist sehr wichtig, dass sich die Mitgliedschaft eines Host auf eine Computergruppe beschränkt, da durch die Computergruppe die Anwendung der GPOs gesteuert wird. Es ist zwar theoretisch möglich, die Richtlinien so zu ändern, dass ein Host mehreren Computergruppen angehören kann. Dieser Ansatz ist jedoch so komplex, dass er in der Praxis nicht umsetzbar ist.

Im Allgemeinen ist die Festlegung von Computergruppenmitgliedschaften nicht kompliziert, unter Umständen aber zeitaufwändig. Bei der Platzierung eines Hosts in einer Computergruppe sollten die Mitgliedschaft des Hosts in der Isolierungsgruppe sowie Informationen aus Überwachungseinträgen berücksichtigt werden. Überwachungseinträge werden in Kapitel 3 dieses Leitfadens ("Ermitteln des aktuellen Status der IT-Infrastruktur") erläutert. Die Platzierung des Hosts legen Sie fest, indem Sie eine Gruppenspalte hinzufügen, in der Sie die Computergruppenmitgliedschaft für den entgültigen Entwurf erfassen (siehe folgende Tabelle):

Tabelle 4.7: Beispieldaten für Hosts

Hostname

Hardwareanforderungen erfüllt?

Softwareanforderungen erfüllt?

Erforderliche Konfiguration

Anmerkungen

Geplante Kosten

Gruppe

HOST-NYC-001

Nein

Nein

Aktualisierung von Hardware und Software

Aktuelles Betriebssystem: Windows NT 4.0. Ältere Hardware ist mit Windows XP nicht kompatibel.

$XXX.

ID

SERVER-LON-001

Ja

Nein

Einer vertrauenswürdigen Domäne beitreten; Aktualisierung von Windows NT 4.0 auf Windows 2000 oder höher.

Keine Antivirussoftware vorhanden.

$XXX.

VS

Mitgliedschaft in Netzwerkzugriffsgruppen

Der letzte Schritt im Entwurfsprozess beinhaltet die Zuweisung von Mitgliedschaften zu den NAGs, die zuvor in diesem Kapitel ermittelt wurden. Obwohl ein vertrauenswürdiger Host nur einer Computergruppe angehören sollte, ist es dennoch möglich, dass ein vertrauenswürdiger Host Mitglied mehrerer NAGs ist. Versuchen Sie, so wenig NAGs zu verwenden wie möglich, um diese Lösung nicht zu komplex werden zu lassen.

Wenn Sie Benutzerkonten einer NAG zuweisen, müssen Sie zuvor entscheiden, wie straff Sie den Zugriff steuern möchten. Wenn Sie für eine Ressource, die bereits Standard-Freigabeberechtigungen für Ordner und Dateien verwendet, die korrekte Überwachungsebene sicherstellen möchten, weisen Sie einfach die Netzwerkgruppenmitgliedschaft des Benutzers den Domänenbenutzern jeder vertrauenswürdigen Domäne in der Gesamtstruktur zu, die Zugriff auf die Ressource benötigt. Dieser Ansatz stellt das Verhalten des ursprünglichen Standardwerts der authentifizierten Benutzer fast wieder her, schließt aber keine lokalen Benutzerkonten mit ein. Wenn lokale Benutzer- oder Dienstkonten erforderlich sind, ist ein domänenbasiertes GPO nicht unbedingt der beste Ansatz, um die Netzwerkanmeldungsrechte ALLOW und DENY zu konfigurieren. Die Zuweisung der Benutzerrechte ALLOW und DENY führt die Einstellungen verschiedener GPOs nicht zusammen. Daher sollte diesem Computer kein domänenbasiertes GPO für die Berechtigungen ALLOW und DENY zugewiesen werden. Verwenden Sie stattdessen ein benutzerdefiniertes lokales GPO. Wenn sich das domänenbasierte GPO, das die Zuweisung der IPSec-Richtlinie bereitstellt, von dem GPO unterscheidet, das die Netzwerkanmelderechte bereitstellt, kann das domänenbasierte GPO immer noch für die Zuweisung der IPSec-Richtlinie verwendet werden.

Überdies müssen Sie entscheiden, wie Sie die Zugriffsanforderungen für eingehenden Datenverkehr mithilfe der Netzwerkzugriffsgruppen ALLOW oder/und DENY implementieren. Die Entscheidung, welche Art von NAG zu erstellen ist, basiert allein darauf, welches Verhalten erwartet wird und welche NAG-Art den Verwaltungsaufwand minimiert. Es ist unter Umständen auch hilfreich, eine bereits vorhandene leere Netzwerkzugriffsgruppe DENY für Benutzer und eine Netzwerkzugriffsgruppe DENY für Computer zu haben, die dem GPO-Recht "Zugriff vom Netzwerk auf diesen Computer verweigern" bereits zugewiesen sind.

In Szenarien, in denen ein hohes Maß an Sicherheit erforderlich ist, kann die Mitgliedschaft in Benutzer-NAGs bestimmten Benutzern oder Gruppen zugewiesen werden. Wenn Sie diese Methode verwenden, sollte Ihnen klar sein, dass für Benutzer, die nicht Mitglied dieser Gruppe sind, der Zugriff vom Netzwerk auf diesen Computer blockiert wird, auch wenn diese Benutzer Mitglieder der Gruppe "Lokale Administratoren" sind und Vollzugriff auf alle Ordner- und Dateifreigaben haben.

Für das Woodgrove Bank-Szenario wurde die Mitgliedschaft NAG_EncryptedResourceAccess_Users Domänenbenutzern zugewiesen und wie folgt aufgezeichnet:

Tabelle 4.8: Woodgrove Bank Netzwerkzugriffsgruppen und zugewiesene Mitgliedschaften

NAG-Name

Mitgliedschaft

Beschreibung

ANAG_EncryptedResourceAccess_Users

User7

Diese Gruppe enthält alle Benutzer, die berechtigt sind, IPSec-geschützte eingehende Verbindungen zu Computern der Isolierungsgruppe "Verschlüsselung" herzustellen.

ANAG_EncryptedResourceAccess_Computers

IPS-SQL-DFS-01
IPS-SQL-DFS-02

IPS-ST-XP-05

Diese Gruppe enthält alle Computer die berechtigt sind, IPSec-geschützte eingehende Verbindungen zu Computern der Isolierungsgruppe "Verschlüsselung" herzustellen.

DNAG_EncryptionIG_Computers

CG_BoundaryIG_Computers

Diese Gruppe enthält alle Computer die nicht berechtigt sind, IPSec-geschützte eingehende Verbindungen zu Computern der Isolierungsgruppe "Verschlüsselung" herzustellen.

Hinweis


Die Mitgliedschaft in einer Netzwerkzugriffsgruppe steuert nicht die IPSec-Absicherung des Datenverkehrs. Die IPSec-Richtlinieneinstellungen steuern die Sicherheitsmethoden, die für den Schutz des Datenverkehrs verwendet werden und sind unabhängig von der Identität, die durch IKE authentifiziert wird. Die IKE-Aushandlung erkennt nur, ob die Kerberos-Computeridentität den Authentifizierungsprozess erfolgreich durchlaufen hat oder die Authentifizierung fehlgeschlagen ist. Die IKE-Aushandlung kann keine Richtlinie der Art "verschlüsseln, wenn user3 Verbindung herstellt" oder "verschlüsseln, wenn vertrauenswürdiger Host IPS-SQL-DFS-01 oder IPS-SQL-DFS-02" implementieren. Der Administrator muss das beabsichtigte Verhalten durch die Verwendung einer IPSec-Richtlinie für Server in der Verschlüsselungsisolierungsgruppe herstellen, die eine "Verschlüsselung für alle eingehenden Verbindung von einem vertrauenswürdigen Host aus" erfordert und gleichermaßen eine "Verschlüsselung für alle ausgehenden Verbindungen zu einem vertrauenswürdigen Host".

Die Details des IPSec-Richtlinienentwurfs wurden in diesen Entwurfsprozess bisher nicht berücksichtigt. In Kapitel 5 erhalten Sie detaillierte Informationen zum IPSec-Richtlinienentwurf für die Woodgrove Bank.

An diesem Punkt des Entwurfsprozesses haben Sie die Aufgaben abgeschlossen, die erforderlich sind, um Ihre Anforderungen in einem Entwurf umzusetzen. Die Informationen in diesem Abschnitt haben Ihnen bei der Entwicklung von Entwurf und Dokumentation der Anforderungen geholfen, die für die Erstellung der IPSec-Richtlinien erforderlich sind.

Einschränkungen, die sich auf Ihren Entwurf auswirken könnten

Die folgenden Einschränkungen wirken sich möglicherweise auf Ihren Entwurf aus und müssen daher vor der Fertigstellung Ihres Entwurfs berücksichtigt werden:

Wenn sich dieses Problem auf Ihren Entwurf auswirkt, müssen Sie den Entwurfsprozess erneut durchgehen, um es zu lösen. Sie können das Problem der maximalen Anzahl gleichzeitiger Verbindungen beispielsweise dadurch lösen, dass Sie einen sehr ausgelasteten Server in die Ausnahmeliste verschieben. Das Problem der Beschränkung der maximalen Kerberos-Tokengröße lösen Sie durch eine Reduzierung der in Ihrem Entwurf verwendeten NAG-Anzahl.

Wenn diese Einschränkungen sich nicht auf Ihren Entwurf auswirken, sollten Sie sich nun überlegen, wie Sie den Entwurf in Ihrer Organisation umsetzen.

Dn308964.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Gruppenimplementierungsmethoden

Nach der Erstellung des anfänglichen Entwurfs, sind sorgfältige Überlegung zur Anwendung von IPSec erforderlich. Es ist nur in sehr kleinen Umgebungen möglich, die Richtlinien einfach auf alle Computer anzuwenden und eine einwandfreie Funktionsweise von IPSec mit nur geringen Auswirkungen auf Benutzer sicherzustellen.

In großen Unternehmen ist diese Art der Bereitstellung nicht möglich, da die Strukturen komplexer sind und die Bereitstellung ein gewisses Sicherheitsrisiko birgt. Daher wird in großen Unternehmen die Bereitstellung in Phasen ausgeführt. Durch diesen Ansatz wird das Risiko, dass mit dieser grundlegenden Änderung an der Umgebung einhergeht, verringert. Ohne sorgfältige Planung können die Implementierungskosten durch Anrufe beim Helpdesk und Produktivitätsverluste schnell ansteigen.

Es gibt mehrere Wege zur Bereitstellung von IPSec in einer Organisation. Im Folgenden sind einige Faktoren aufgeführt, die Ihnen als Entscheidungshilfe in Bezug auf die Bereitstellungsmethode dienen sollen:

  • Der Anfangs- und am Endstatus der Umgebung
  • Die Komplexität der Gruppenkonfiguration
  • Die Komplexität der Domänenstruktur
  • Die Risikotoleranz der Organisation
  • Sicherheitsanforderungen

Die folgenden Bereitstellungsmethoden stellen keine Universallösungen dar, sondern lediglich mögliche Ansätze. Sie können auch eine Kombination dieser Methoden verwenden. Im Allgemeinen sollten Organisationen keine IPSec-Richtlinien anwenden, die die Kommunikation gleich zu Beginn einschränken oder blockieren, um so sicherzustellen, dass ein angemessener Zeitrahmen für die Problembehebung zur Verfügung steht und um den Verwaltungsaufwand für komplexe Umgebungen zu reduzieren.

Unabhängig davon, welchen Ansatz Sie für die Bereitstellung von IPSec verwenden, wird ausdrücklich empfohlen, das Bereitstellungsszenario sorgfältig in einer Testumgebung zu testen, einschließlich Zeitabfolge und Zeitfenster für die Einführungsschritte und Richtlinienänderungen. Überdies sollten Sie eine Filteraktion verwenden, die IPSec-Funktionalität anfordert, aber auch Klartextkommunikation über eine unsichere Verbindung akzeptiert. Dieser Ansatz soll die Auswirkungen der ersten Einführung minimieren. Nachdem die Einführung abgeschlossen ist, sollten Sie einen sichereren Betriebsmodus einrichten, der einen Schutz des Datenverkehrs durch IPSec erfordert.

Für die Bereitstellung in einer Produktionsumgebung wird für jede wichtige Einführungsphase ein Test empfohlen. Es ist besonders wichtig, die Auswirkungen der IPSec-Richtlinienänderungen zu analysieren, da diese sich aufgrund der Kerberos-Ticketlebensdauer und der Abfrageintervalle für Gruppenrichtlinien und IPSec-Richtlinien auf die Produktionsumgebung auswirken. Um sicherzustellen, dass alle IT-Organisationen sich der Änderungen und deren Auswirkungen bewusst sind und wissen, wie Sie das Feedback an die Entscheidungsträger koordinieren müssen, sollten Sie einen formellen Änderungssteuerungsprozess mit Wiederherstellungsstrategien und -kriterien implementieren.

Bereitstellung nach Gruppe

Diese Art der Bereitstellung verwendet volldefinierte IPSec-Richtlinien, steuert jedoch die Anwendung der Richtlinien über Gruppen und Zugriffssteuerungslisten (ACL, Access Control List) in den GPOs, die die Richtlinien bereitstellen.

Bei der Bereitstellungsmethode "Bereitstellung nach Gruppe" werden die IPSec-Richtlinien in ihrer endgültigen Konfiguration in Active Directory erstellt. Für jede IPSec-Richtlinie sind alle Ausnahmen und sicheren Subnetze definiert und entsprechende Filteraktionen aktiviert.

Anschließend erstellt der IPSec-Richtlinienadministrator GPOs für jede IPSec-Richtlinie. Überdies werden zur Verwaltung der neu erstellten GPOs Computergruppen in der Domäne erstellt. Die ACLs in den GPOs werden geändert, so dass Mitglieder der Benutzergruppe "Authentifizierte Benutzer" nicht mehr über die Berechtigung "Anwenden" verfügen. Die entsprechenden Administratorengruppen, die für die Verwaltung und Anwendung der Richtlinie zuständig sind, erhalten auch Zugriffsrechte für das GPO.

Anschließend werden die IPSec-Richtlinien den entsprechenden GPOs zugewiesen. Darüber hinaus wird das GPO mit dem entsprechenden Objekt in Active Directory verknüpft. Zu diesem Zeitpunkt sollte kein Computer in der Umgebung die Richtlinie empfangen, da die ACLs, die die Zuweisung des GPOs steuern (die Fähigkeit, das GPO zu lesen), leer sind.

Schließlich werden die Computer, die die Richtlinien empfangen, ermittelt, und ihre Computerkonten werden mit Lesezugriff auf das GPO in den entsprechenden Computergruppen platziert. Nachdem die Kerberos-Tickets des Computers mit den Gruppenmitgliedsdaten aktualisiert wurden, wird das GPO und die entsprechende IPSec-Richtlinie bei der nächsten Gruppenrichtlinienabfrage angewendet.

Hinweis


ACLs, die Domänencomputer am Lesen der IPSec-Richtlinienobjekte oder der IPSec-Richtliniencontainer in Active Directory hindern, sind nicht empfehlenswert.

Stellen Sie sich eine Organisation vor, die zwei IPSec-Richtlinien definiert hat: IPSec-Standard und IPSec-Verschlüsselung. Die IPSec-Standardrichtlinie ist die Standardrichtlinie der Organisation, die erfordert, dass eingehender Datenverkehr durch IPSec geschützt wird, aber auch zulässt, dass die Systeme auf eine Klartextübertragung umschalten, wenn sie eine Verbindung zu einem nicht IPSec-geschützten Computer herstellen. Die IPSec-Verschlüsselungsrichtlinie erfordert immer eine verschlüsselte IPSec-Aushandlung.

In diesem Beispiel erstellen die Administratoren der Organisation zwei GPOs in Active Directory: Standard-IPSec-GPO und verschlüsseltes IPSec-GPO. Überdies werden die Gruppen in folgender Tabelle aufgeführt:

Tabelle 4.9: IPSec-Administrationsgruppen

Name der Gruppe

Gruppentyp

Beschreibung

IPsecSTD

Universal

Steuert die Anwendung der IPSec-Standardrichtlinie

IPsecENC

Universal

Steuert die Anwendung der IPSec-Verschlüsselungsrichtlinie

Die ACLs in den beiden neu erstellten GPOs werden aktualisiert, so dass sie nicht automatisch auf die Gruppe "Authentifizierte Benutzer" angewendet werden und die entsprechenden Anwendungsgruppen und Verwaltungsgruppen geeignete Rechte zugewiesen bekommen. Die Administratoren haben die ACLs für die beiden GPOs nach den in der folgenden Tabelle aufgeführten Daten geändert.

Tabelle 4.10: Gruppenrechte in GPOs

Gruppe

Standard-IPSec-GPO

Verschlüsseltes IPSec-GPO

Authentifizierte Benutzer

Lesen

Lesen

IPsecENC

Keine

Lesen

Gruppenrichtlinie anwenden

IPsecSTD

Lesen

Gruppenrichtlinie anwenden

Keine

Hinweis


In dieser Tabelle werden nur Berechtigungen angezeigt, die hinzugefügt oder geändert werden. Es sind jedoch auch noch zusätzliche Gruppen mit Berechtigungen vorhanden.

Die Administratoren haben die beiden GPOs mit der Domäne in Active Directory verknüpft. Dieser Ansatz stellt sicher, dass die Richtlinie auf alle Computer in der Domäne angewendet wird, ohne dass eine Änderung ihres Speicherorts vorgenommen wird. Dies trifft allerdings nur zu, wenn der Computer nicht in einer Organisationseinheit untergebracht ist, die Richtlinien blockiert.

Sobald Computer identifiziert werden, werden ihre Computerkonten der Gruppe IPsecSTD oder IPsecEnc hinzugefügt. Nach einer gewissen Zeit wird die entsprechende IPSec-Richtlinie angewendet und aktiviert.

Diese Methode erfordert eine sorgfältige Planung, um zu gewährleisten, dass die Kommunikation nicht unterbrochen wird. Wenn beispielsweise ein Server in der Gruppe IPSecEnc untergebracht wird, aber mehrere Clients, die von diesem Server abhängen, kein IPSec aushandeln können, wird die Kommunikation zwischen diesen Clients und dem Server unterbrochen.

Bereitstellung nach Richtlinienerstellung

Diese Bereitstellungsmethode verwendet eine Technik, mit der die IPSec-Richtlinie während der Bereitstellung neu erstellt werden kann. Der Vorteil dieser Methode besteht darin, dass IPSec nur für einen kleinen Prozentsatz des Gesamt-TCP(-IP)-Verkehrs ausgehandelt wird anstatt für alle internen Subnetze wie bei der Bereitstellung nach Gruppe. Diese Methode erlaubt auch das Testen aller Netzwerkpfade im internen Netzwerk bis zum Zielsubnetz. Somit kann sichergestellt werden, dass keine Probleme bei der netzwerkübergreifenden IKE-Aushandlung und beim IPSec-geschützten Datenverkehr auftreten. Ein weiterer Vorteil besteht darin, dass das Abfrageintervall für IPSec IPSec-Aktualisierungen schneller liefern kann (einschließlich Wiederherstellung). Die Abhängigkeit von Gruppenmitgliedschaftsänderungen im Kerberos-TGT (Ticket Granting Ticket, ticketgewährendes Ticket) oder in den Diensttickets entfällt somit. Der Nachteil dieser Methode liegt darin, dass sie auf alle Computer in der Isolierungsdomäne oder -gruppe angewendet wird und nicht auf bestimmte Computer, wie es bei der Methode "Bereitstellung nach Gruppe" der Fall ist. Überdies beträgt die Verzögerung für das Umschalten auf Klartextübertragung bei der Kommunikation mit bestimmten Subnetzen bei allen Computern drei Sekunden.

Bei dieser Bereitstellungsmethode enthalten IPSec-Richtlinien nur anfänglich Ausnahmen. Für Computer sind in der IPSec-Richtlinie keine Regeln zum Aushandeln von Sicherheit vorhanden. Diese Methode stellt sicher, dass alle zuvor vorhandenen lokalen IPSec-Richtlinien, die zur Verwendung in Frage kommen, entfernt werden. Das Administrationsteam sollte in der Lage sein, Hosts im Voraus zu identifizieren, die lokal definierte IPSec-Richtlinien verwenden, um diese Systeme mithilfe eines bestimmten Prozesses zu verwalten. Wenn eine lokale IPSec-Richtlinie durch eine Domänenrichtlinie überschrieben wird, kann es zu einer Unterbrechung der Kommunikation und zu Sicherheitslücken bei den betroffenen Computern kommen. Im Gegensatz zu lokalen Richtlinien, die durch Domänenrichtlinien überschrieben werden, werden permanente Richtlinien unter Windows Server 2003 mit dem Ergebnis aus der Anwendung der Domänenrichtlinie zusammengeführt. Ein System, das eine permanente Richtlinie enthält, kann unter Umständen funktionieren, aber die Konfiguration der permanenten Richtlinie kann das Verhalten ändern oder die durch die Domänenrichtlinie gewährleistete Sicherheit verringern oder die Kommunikation unterbrechen, nachdem der Richtlinie Subnetzregeln hinzugefügt wurden.

Anschließend können Sie eine Sicherheitsregel mit einem Filter erstellen, die sich nur auf ein Subnetz innerhalb des Organisationsnetzwerks auswirkt, z. B. "From Any IP to Subnet A all traffic, negotiate." (Gesamten Datenverkehr von einer beliebigen IP-Adresse an Subnetz A aushandeln). Diese Regel verfügt über eine Filteraktion, um eingehenden Klartext zu akzeptieren und Aushandlungen für den gesamten ausgehenden Datenverkehr auszulösen, so dass für das Subnetz die Klartextübertragung aktiviert wird. Da sich die Einführung in allen Domänen dieser IPSec-Richtlinie auswirkt, verläuft die Kommunikation anfänglich über schwache SAs und zu einem späteren Zeitpunkt über normale IPSec-Sicherheitszuordnungen für vertrauenswürdige Host in diesem Subnetz. Alle IKE-Aushandlungen, die fehlgeschlagen sind, werden untersucht und gelöst. Alle Anwendungsinkompatibilitäten werden identifiziert und behoben. IPSec sichert die Kommunikation zwischen vertrauenswürdigen Hosts innerhalb eines Subnetzes. Die Kommunikation mit vertrauenswürdigen Hosts außerhalb des Subnetzes wird nach einer Verzögerung von drei Sekunden im Klartextmodus ausgeführt. Der Sicherheitsregel werden zusätzliche Subnetze hinzugefügt, bis die Richtlinie in ihrem endgültigen Status vorliegt.

Stellen Sie sich eine Organisation vor, in der eine einzige IPSec-Richtlinie definiert ist, die IPSec-Standardrichtlinie, die IPSec-Aushandlung anfordert, bei der aber ein Fehlschlagen der IPSec-Aushandlung zu einer Klartextübertragung führt. Die Richtlinie wurde in Active Directory erstellt und enthält nur Ausnahmeregeln.

Das Standard-IPSec-GPO wurde erstellt und verknüpft, so dass es für alle Computer in dieser Umgebung gilt. Überdies wurde diesem neuen GPO die IPSec-Standard-Richtlinie zugewiesen.

Die IPSec-Richtlinie wird früher oder später allen Computern zugewiesen. Alle Probleme mit lokalen IPSec-Richtlinien werden ermittelt, da diese Domänenrichtlinie die vorhandenen lokalen Richtlinien überschreibt. Probleme werden fortlaufend gelöst, bis alle Subnetze in der Filterliste der sicheren Subnetze aufgelistet sind.

Dn308964.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Gruppenimplementierung für die Woodgrove Bank

Die Woodgrove Bank hat sich für eine Implementierung entschieden, bei der zunächst alle Computer schrittweise in die Grenzgruppe verschoben werden. Dieser Ansatz ließ eine langsame und durchdachte Vorgehensweise seitens der Administratoren zu, durch die alle ausstehenden Probleme gelöst werden konnten, ohne dass die Kommunikation zwischen den Systemen beeinflusst wurde. Dadurch, dass zuerst eine Richtlinie ohne sichere Subnetze bereitgestellt wurde, konnte das Administrationsteam alle Systeme identifizieren, denen eine lokale IPSec-Richtlinie zugewiesen war, und diese Informationen bei den folgenden Implementierungsschritten berücksichtigen. Als dann Subnetze in die Richtlinien aufgenommen wurden, konnten weitere identifizierte Konflikte gelöst werden.

Nachdem die Computer unter der Grenzgruppenrichtlinie in Betrieb waren, implementierte das Team die Isolierungsdomäne, die Isolierungsgruppe "Kein Klartext" und die Isolierungsgruppe "Verschlüsselung". Die Bereitstellung dieser Gruppen erfolgte nach der Methode "Bereitstellung nach Gruppe". Mehrere Computer wurden für einen Test ausgewählt und in die entsprechenden Gruppen aufgenommen, die die neuen Richtlinien steuerten. Probleme wurden, sobald sie identifiziert wurden, ausgeräumt, und den Gruppen wurden zusätzliche Computer hinzugefügt, bis die Gruppen vollständig waren.

In der folgenden Tabelle sind die Computergruppen und NAGs sowie die zugehörigen Mitgliedschaften für die vollständig bereitgestellte Lösung aufgelistet:

Tabelle 4.11: Mitgliedschaften in Computer- und Netzwerkzugriffsgruppen

Computer- oder Netzwerkzugriffsgruppe

Mitglieder

CG_IsolationDomain_Computers

Domänencomputer

CG_BoundaryIG_Computers

IPS-PRINTS-01

CG_NoFallbackIG_Computers

IPS-LT-XP-01

CG_EncryptionIG_Computers

IPS-SQL-DFS-01

IPS-SQL-DFS-02

ANAG_EncryptedResourceAccess_Users

User7

ANAG_EncryptedResourceAccess_Computers

IPS-SQL-DFS-01
IPS-SQL-DFS-02

IPS-ST-XP-05

DNAG_EncryptionIG_Computers

CG_BoundaryIG_Computers

Beachten Sie, dass die Gruppe ANAG_EncryptedResourceAccess_Computers die Server enthält, die Mitglied der Isolierungsgruppe "Verschlüsselung" sind. Dies wurde so gehandhabt, damit die Server bei Bedarf mit sich selbst und untereinander kommunizieren können. Wenn diese Kommunikation nicht erforderlich ist, müssen die Server dieser Gruppe nicht hinzugefügt werden.

Dn308964.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Zusammenfassung

In diesem Kapitel wurde der Entwurfsprozess für eine Server- und Domänenisolierung beschrieben. In diesem Dokument wurden folgende Aufgaben behandelt: Bedarf für die Einrichtung von Computergruppen ermitteln; Erläuterungen zu den grundlegenden Isolierungsgruppen; Hinzufügen von zusätzlichen Isolierungsgruppen; Vervollständigen eines Datenverkehrsmodells; Zuweisen von Mitgliedschaften zu Gruppen und Planung der Bereitstellungsmethode.

In diesem Kapitel war von der IPSec-Implementierung bei der Woodgrove Bank die Rede, einer fiktiven Organisation, anhand derer der Entwurfsprozess in der Praxis gezeigt und der Entwurf aus der Microsoft-Testumgebung bestätigt werden sollte.

Der Gruppenentwurf basierte auf den Geschäftsanforderungen und auf den in den letzten beiden Kapiteln ermittelten Daten, die in der Excel-Datei Business_Requirements.xls dokumentiert sind (verfügbar im Ordner "Tools and Templates"). Ein weiterer wichtiger Aspekt war die Einschätzung der Auswirkungen von IPSec auf ein Netzwerk.

Nachdem Sie dieses Kaptitel gelesen haben, sollten Sie über genügend Informationen verfügen, so dass Sie mit der Planung von Isolierungsgruppen beginnen, die Kommunikationsanforderungen zwischen den Gruppen dokumentieren und eine allgemeine IPSec-Richtlinie planen können. Diese Aufgaben dienen als Vorbereitung für Kapitel 5 "Erstellen von IPSec-Richtlinien für Isolierungsgruppen".

Weitere Informationen

In diesem Abschnitt finden Sie Links zu ergänzenden Informationen, die bei der Implementierung dieser Lösung hilfreich sind.

IPSec

Die folgenden Links bieten eine Vielzahl an Windows-spezifischen IPSec-Inhalten:

Sicherheit

Windows Server 2003 Active Directory

Weitere Informationen zu diesem Thema finden Sie unter folgendem Link:

Dn308964.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community