Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Kapitel 6: Verwalten einer Server- und Domänenisolierungsumgebung

  • Artikel

In diesem Kapitel wird erläutert, wie eine Lösung zur Server- und Domänenisolierung nach ihrer erfolgreichen Bereitstellung in einer Produktionsumgebung verwaltet werden kann.

Für Supportmitarbeiter ist es wichtig zu verstehen, dass die Isolierungslösung eine zusätzliche Sicherheitsebene darstellt und dass für einen Host mehr als nur eine Netzwerkverbindung und eine IP-Adresse erforderlich ist, um eine Verbindung zu einer Ressource herzustellen. Ebenso müssen sich die für IPSec- und Gruppenrichtlinien zuständigen Mitarbeiter darüber im Klaren sein, dass schon eine einzige falsch gewählte Option eine signifikante Einschränkung der Funktionalität von Hosts, für die die Richtlinien gelten, zur Folge haben kann. Aus diesem Grund sollte eine klar dokumentierte und allen Beteiligten vermittelte Zusammenstellung von Verwaltungsprozessen und -verfahren vorhanden sein, nach denen die Supportteams nach der Inbetriebnahme der Lösung vorgehen können.

Das vorliegende Kapitel soll Ihnen helfen, solche Lösungsverwaltungsprozesse zu entwickeln. Die hier bereitgestellten Informationen sollten möglichst spezifisch an die jeweiligen Erfordernisse Ihrer eigenen Implementierung angepasst werden. Der Schlüssel zur erfolgreichen Verwaltung einer Server- und Domänenisolierungslösung besteht in der vorausschauenden Planung.

Auf dieser Seite

In diesem Beitrag

Dn308961.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Voraussetzungen für das Kapitel

Dn308961.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Änderungsverwaltung

Dn308961.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Überlegungen zum Sichern/Wiederherstellen

Dn308961.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Eindämmen von netzwerkbasierten Infektionen

Dn308961.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zusammenfassung

Vollständige Lösung downloaden

Server-und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien (engl.)

Voraussetzungen für das Kapitel

Um die Informationen dieses Kapitels erfolgreich nutzen zu können, sollten Sie mit den Konzepten des Microsoft® Operations Framework (MOF) und den Konzepten von IPSec vertraut sein. Vertrautheit mit Microsoft Windows® 2000 Server (oder höher) ist in den folgenden Bereichen ebenfalls erforderlich:

  • Grundlagen der Bedienung und Wartung von Microsoft Windows Server 2003, einschließlich Verwendung von Tools wie Ereignisanzeige, Computerverwaltung und NTBackup.
  • Active Directory®-Dienst, einschließlich Active Directory-Struktur und -Tools; Verwalten von Benutzern, Gruppen und anderen Active Directory-Objekten; Verwenden der Gruppenrichtlinien.
  • Windows-Systemsicherheitskonzepte, wie Benutzer, Gruppen, Überwachung und Zugriffssteuerungslisten; Verwenden von Sicherheitsvorlagen; Anwenden von Sicherheitsvorlagen durch Gruppenrichtlinien oder Befehlszeilenprogramme.
  • Kenntnisse im Bereich Netzwerkkonzepte, insbesondere in Bezug auf IPSec und TCP/IP.
  • Kenntnisse in den Bereichen Windows Scripting Host und Microsoft Visual Basic® Scripting Edition (VBScript) sind nicht unbedingt erforderlich, aber von Vorteil, um die bereitgestellten Skripts optimal zu nutzen.

Bevor Sie mit diesem Kapitel fortfahren, sollten Sie die übrigen Teile dieses Leitfadens lesen und sich mit der Architektur und dem Aufbau der Lösung gründlich vertraut machen.

Dn308961.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Änderungsverwaltung

Eines der Hauptziele der Änderungsverwaltung besteht darin, dafür Sorge zu tragen, dass alle Beteiligten die Auswirkungen einer anstehenden Änderung kennen und verstehen. Da die meisten Systeme eng miteinander verzahnt sind, wirken sich Änderungen in einem Teil des Systems häufig sehr stark auf andere Bereiche aus. Um nachteilige Auswirkungen zu mindern oder zu eliminieren, versucht die Änderungsverwaltung, sämtliche betroffenen Systeme und Prozesse vor der Änderung zu identifizieren. Meist wird die Produktionsumgebung verwaltet; es sollten jedoch auch die Umgebungen für Schlüsselintegration, Testen und Staging berücksichtigt werden.

Alle Änderungen an einer IPSec-Umgebung sollten den im MOF als Standard festgelegten Prozessen folgen:

  1. Änderungsanforderung. Die formal korrekte Anfrage nach einer Änderung durch Einreichen einer Änderungsanforderung (Request for Change, RFC).
  2. Änderungsklassifizierung. Zuweisen einer Priorität und einer Kategorie, wobei zu berücksichtigende Kriterien die Auswirkungen auf Benutzer und Infrastruktur sowie die Dringlichkeit der Änderung einschließen. Hierdurch werden Richtung und Zeitrahmen für die Änderung bestimmt.
  3. Änderungsautorisierung. Die Beurteilung und anschließende Genehmigung oder Ablehnung der Änderung durch den Änderungsmanager oder den für die Überprüfung von Änderungen verantwortlichen Beirat (Change Advisory Board, CAB), der sich aus Stellvertretern aus dem IT- und dem Geschäftsbereich zusammensetzt.
  4. Änderungsbereitstellung. Planung und Entwicklung der notwendigen Prozesse und Verfahren. Dieser Schritt hängt sehr stark vom Umfang der Änderung ab und beinhaltet die wiederholte Begutachtung der gesteckten Zwischenziele.
  5. Änderungsveröffentlichung. Die Veröffentlichung und Bereitstellung der Änderung in die Produktionsumgebung.
  6. Änderungsprüfung. Prozess nach der Implementierung, in dessen Verlauf bewertet wird, ob die gesteckten Ziele erreicht wurden, und ob die Änderung erhalten bleiben kann oder zurückgenommen werden muss.

Im folgenden Abschnitt finden Sie Verfahren zur Änderungsentwicklung für einige Schlüsselaufgaben, die in Ihrer IPSec-Umgebung wahrscheinlich regelmäßig erforderlich sein werden. Jeder Änderungsentwicklung ist dabei ein korrespondierendes Verfahren zur Veröffentlichung zugeordnet, das beschreibt, wie Sie die Änderung in Ihre Produktionsumgebung überführen.

Ändern von IPSec-Richtlinien

Es ist wichtig zu verstehen, wie sich Änderungen an den IPSec-Richtlinien auf die Kommunikation auswirken. Wie bereits beim anfänglichen Rollout steht auch hier zunächst das Timing im Mittelpunkt der Überlegungen, denn es bestimmt die Fähigkeit, eine Änderung zu implementieren, sowie den Zeitrahmen, in dem eine Wiederaufhebung der Änderung möglich ist.

Verzögerungen bei der Richtlinienanwendung

Wenn die Zuweisung einer IPSec-Richtlinie in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) durch eine neue IPSec-Richtlinie ersetzt wird, kann es zu gewissen Verzögerungen kommen. Zum einen ergibt sich eine Active Directory-Replikationsverzögerung des GPO-Attributs, das die Zuweisung in der Domäne enthält, zum anderen eine Verzögerung bei der Abfrage zum Erkennen der Änderung im GPO bei den Gruppenrichtlinienclients, die der Domäne angehören. Diese Verzögerungen können von weniger als einer Minute bei einem kleinen Netzwerk bis zu mehreren Stunden in einem globalen Unternehmen reichen. Microsoft empfiehlt, diese Verzögerungen für Ihre jeweilige Umgebung zu testen und zu dokumentieren (Minimum, Maximum und Mittelwert), so dass Sie im Voraus absehen können, wie viel Zeit bis zur ersten Auswirkung bzw. bis zum Abschluss des gesamten Rollouts erforderlich ist.

Bei Änderungen am Inhalt einer bereits zugewiesenen IPSec-Richtlinie kann es zu ähnlichen Verzögerungen kommen. Einerseits ergibt sich eine Active Directory-Replikationsverzögerung der IPSec-Richtlinienobjekte, andererseits eine Abfrageverzögerung des IPSec-Richtliniendiensts auf den Mitgliedercomputern. Unter Umständen kann eine Situation entstehen, unter der die Replikation der Richtlinienzuweisung im GPO schon vor der Replikation der IPSec-Richtlinie erfolgt. Dies würde dazu führen, dass Clients sich verhalten, als wäre ihnen eine domänenbasierte IPSec-Richtlinie zugewiesen; sie wären jedoch nicht in der Lage, diese Richtlinie abzurufen. In einem solchen Fall wenden Windows 2000- und Windows XP-Hosts die domänenbasierte Richtlinie einfach nicht an. Zudem wenden sie keine ggf. zugewiesenen lokalen Richtlinien an.

Um der Active Directory-Replikationsverzögerung Rechnung zu tragen, sollten Sie in jedem Fall zuerst alle Objekte (GPO, IPSec-Richtlinie usw.) erstellen und erst dann die Zuweisung der IPSec-Richtlinie zum GPO vornehmen.

Änderungen, die sich auf die IPSec-Konnektivität auswirken

Innerhalb der Richtlinien und Gruppen einer IPSec-Lösung gibt es viele Bereiche, die sich auf die Konnektivität auswirken können. In diesem Abschnitt finden Sie hinsichtlich der Änderung einer Serverrichtlinie Informationen darüber, wie gängige Änderungen die IPSec-Konnektivität beeinflussen können, wenn Clients nicht über das neueste Update verfügen. Wenn eine Änderung bewirkt, dass es beim Internetschlüsselaustausch (IKE) im Haupt- oder Schnellmodus zu einem Funktionsausfall kommt, wird der Datenverkehrsfluss angehalten, sobald die aktuellen IPSec-Sicherheitszuordnungen (IPSec-SAs) im Leerlauf arbeiten oder ihre Lebensdauer in Byte oder Sekunden abläuft.

Im Folgenden wird die Auswirkung der meisten Änderungsarten auf die IPSec-Client-Server-Funktionalität behandelt. Dabei wird nicht von den IPSec-Richtlinienentwürfen der Woodgrove Bank ausgegangen. In dieser Betrachtung verwenden die Clients eventuell Richtlinien, die der des Woodgrove-Entwurfs ähneln (bei dem die Clients mit Filtern den IKE auf dem Server starten), oder nur die Standardantwortregel (die im Woodgrove-Entwurf nicht vorkommt).

Hauptmodusänderungen

Das Ändern einer Authentifizierungsmethode oder Hauptmodus-Sicherheitsmethode führt dazu, dass der IKE die vorhandenen Hauptmodi löscht, was sich jedoch nicht auf festgelegte Schnellmodus-IPSec-SAs auswirkt. Die neuen Hauptmodus-SAs werden erzeugt, wenn die nächste Schnellmodus-Schlüsselrotation stattfindet.

Im Allgemeinen wirkt sich eine Serverrichtlinienänderung nicht auf die Fähigkeit bestehender Clients aus, eine Schlüsselrotation des Hauptmodus durchzuführen. Folgende serverseitige Änderungen können jedoch eine IKE-Hauptmodusaushandlung mit Clients verhindern:

  • Wechseln zu einer neuen Authentifizierungsmethode (nur Zertifikate), ohne die alten Authentifizierungsmethoden einzubeziehen, die für den Client verwendbar sind.
  • Wechseln zu 3DES/SHA1/DH1 oder DH2 als Hauptmodussicherheitsmethode, wenn Clients nur für die Verwendung von DES/SHA1/DH1 konfiguriert wurden.
  • Aktivieren der Hauptmodus-PFS (Perfect Forward Secrecy), ohne die Client- und die Serverrichtlinie so zu aktualisieren, dass beide die Hauptmodus-PFS verwenden.
  • Aktivieren der Schnellmodus-PFS, ohne die Client- und die Serverrichtlinie so zu aktualisieren, dass beide die Schnellmodus-PFS verwenden.

Die folgenden Serverrichtlinienänderungen wirken sich nicht auf die Fähigkeit eines Clients aus, eine Schlüsselrotation der Hauptmodus-SAs durchzuführen:

  • Ändern des Abfrageintervalls für Richtlinienänderungen (da es sich um keine Hauptmodus-IKE-Einstellung handelt)
  • Ändern von Sitzungsschlüsseln, die einen gemeinsamen Hauptschlüssel verwenden (z. B. Ändern der Zahl der IKE-Schnellmodi pro Hauptmodus)
  • Hinzufügen einer neuen Sicherheitsmethode, die den Clients nicht bekannt ist
  • Ändern der erweiterten IPSec-Richtlinien-Schlüsselaustauscheinstellungen für Lebensdauerparameter des Typs Authentifizieren und einen neuen Schlüssel erzeugen für die IKE-Hauptmodus-SA

Schnellmodusänderungen

Änderungen an einer Filteraktion, die für eine IPSec-SA verwendet wurde, führen dazu, dass die bestehenden, unter den entsprechenden Richtlinieneinstellungen festgelegten IPSec-SAs gelöscht werden. Deshalb wird der Versuch unternommen, einen neuen Schnellmodus einzusetzen, wenn der Datenverkehr fließt. Im Verlauf dieser Änderung kann zwar ein Teil des Datenverkehrs verloren gehen; die TCP-Verbindungen sollten jedoch in der Lage sein, sich wiederherzustellen. Bei Hochgeschwindigkeits-Datenübertragungen bewirkt jedoch eine sofortige IPSec-SA-Löschung, dass der ausgehende Datenverkehr so lange unterbrochen wird, bis der neue Schnellmodus hergestellt werden kann. So führt zum Beispiel ein Ansturm von Paketen aus einem Videodatenstrom, von dem sich TCP nicht erholen konnte, dazu, dass die Verbindung für die Videoanwendung zurückgesetzt wird.

Folgende Änderungen an Serverrichtlinien können die Fähigkeit aktiver IPSec-Clients zur Schnellmodus-Schlüsselrotation beeinflussen:

  • Wechseln von einem allgemeineren zu einem spezifischeren Filter. Ein Beispiel für diese Art von Änderung wäre folgender Fall: Ein Server startet mit dem Filter gesamter Datenverkehr und entfernt diesen dann, so dass der Filter nur TCP übrig bleibt. Um Probleme zu vermeiden, behalten Sie immer auch den allgemeineren Filter bei, wenn Sie einen spezifischeren Filter hinzufügen. Beispiel: Clients verfügen über eine Standardantwortrichtlinie, und ein Server verwendet eine Richtlinie, die von "gesamter Datenverkehr" auf "nur TCP" abgeändert wird. Der spezifischere Filter unterliegt dem ausgehenden Datenverkehr auf dem Server, der nur dann eine neue IPSec-SA für TCP festlegt, wenn Clients eine Standardantwort haben. Der Filter "gesamter Datenverkehr" wird schließlich bei allen Clients (nach zwei Stunden) gelöscht und kann dann gefahrlos auch aus der Serverrichtlinie gelöscht werden.

    Wenn der Server einen spezifischeren Filter hinzufügt, der eine Zulassungsaktion umfasst, wird der jeweilige Datenverkehr sofort zugelassen, dann jedoch vom Client mit einem allgemeineren IPSec-Standardantwortfilter abgebrochen. Beispiel: Dem Server wird ein ICMP-Ausnahmefilter (ICMP = Internet Control Message Protocol) hinzugefügt, doch die Clients sind bereits in Bezug auf sämtlichen an den Server gerichteten Datenverkehr abgesichert. In diesem Fall sichert der Client sein ausgehendes ICMP ab, empfängt als Antwort ein reines Text-ICMP und verwirft das Paket, weil ihm der aktuelle IPSec-Standardantwortfilter mitteilt, dass sämtlicher Datenverkehr sicher sein muss. In diesem Beispiel wäre außer des ICMP-Datenverkehrs zwischen dem Server und dem Client kein anderer Datenverkehr betroffen, und dabei würde es sich um ein erwartetes Entwurfsverhalten handeln, das immer einen ICMP-Datenverkehr erzeugt, nachdem der Server für sämtlichen Datenverkehr mit dem Client Sicherheit angefordert hat. Dies kann, aber muss kein signifikantes operatives Problem sein.

  • Wechseln zwischen inkompatiblen Sicherheitsmethoden oder Verkapselungstypen. Beispielsweise ein Wechsel von nur 3DES/SHA1 für den ESP-Transportmodus hin zu nur 3DES/MD5 für den ESP-Transportmodus. Sie können IKE-Schnellmodus-Aushandlungsfehler aufgrund eines solchen Wechsels vermeiden, indem Sie die alten Sicherheitsmethoden oder Verkapselungstypen als letzte Wahlmöglichkeit in die neue Sicherheitsmethode einbeziehen. Wenn Sie feststellen, dass alle IPSec-SAs die neue Verkapselungsmethode verwenden, können Sie die alte Methode am Ende der Sicherheitsmethodenliste löschen.

  • Vollständiges Deaktivieren einer Regel, die die Clients zum Herstellen des IKE-Hauptmodus oder des IKE-Schnellmodus benötigten. Im Schnellmodus wird der Filter gelöscht, so dass ein anderer Filter oder gar kein Filter die IKE-Haupt- und -Schnellmodusaushandlung regelt.

  • Vollständiges Ändern einer Filteraktion von Sicherheitsaushandlung hin zu Zulassen oder Blockieren. Datenverkehr, der explizit zugelassen oder blockiert wird, erfordert keine Schlüsselrotation, da er nicht mehr an einem Kommunikationskanal teilnimmt, der durch IPSec geschützt ist.

  • Deaktivieren des Kontrollkästchens "Auf unsichere Kommunikation zurückgreifen". Diese Aktion bewirkt, dass aktuell verbundene Clients über Konnektivität verfügen, solange die Soft-SA besteht. Nachdem die SA abgelaufen oder in den Leerlaufbetrieb gewechselt ist, bewirkt weiterer ausgehender Serverdatenverkehr, dass IKE versucht, eine neue Hauptmodusaushandlung durchzuführen und die neue Einstellung zu erkennen, um ein Zurückgreifen auf eine unsichere Verbindung zu vermeiden. Clients, die nicht erfolgreich auf die IKE-Aushandlung reagieren können, sind nicht in der Lage, eine Verbindung herzustellen. Dabei kann es sich um das beabsichtigte Verhalten handeln.

  • Deaktivieren des Kontrollkästchens "Unsichere Komm. mit Computern zulassen, die IPSec nicht unterstützen". Diese Aktion bewirkt, dass die Verbindung der Clients getrennt wird, wenn die Clients über keine IPSec-Filter verfügen, durch die ein ausgehender IKE-Hauptmodusstart ausgelöst werden könnte. Standardantwortregel-Clients bleiben verbunden, bis ihr dynamischer Antwortfilter nach zweistündiger Abwesenheit von Datenverkehr an den Server in den Leerlaufbetrieb übergeht, woraufhin sie nicht mehr in der Lage sind, erneut eine Verbindung herzustellen.

Die folgenden Serverrichtlinienänderungen wirken sich nicht auf die Fähigkeit eines Clients aus, eine Schlüsselrotation des Schnellmodus durchzuführen:

  • Das Hinzufügen eines Filters, der nicht mit dem Datenverkehr übereinstimmt, der bereits in aktuellen IPSec-SAs stattfindet, wirkt sich nicht auf diesen Datenverkehr aus. Dies ist beispielsweise der Fall, wenn der Richtlinie eines Servers Zulassungsfilter bezüglich der neuen IP-Adresse eines Domänencontrollers hinzugefügt werden.
  • Eine Änderung der IPSec-SA-Lebensdauer der Filteraktion in Byte oder Zeiteinheiten.
  • Abändern der Filteraktionssicherheit von "Zulassen" auf "Aushandeln". Solange die Clients antworten können, sind sie immer noch in der Lage, eine sichere Verbindung für den Datenverkehr auszuhandeln.

Verfahren zur IPSec-Richtlinienänderung

In den folgenden Abschnitten finden Sie Anleitungen zum Ändern von IPSec-Richtlinien, die mithilfe von GPOs bereitgestellt werden. Wenngleich die Schritte bei den einzelnen Aufgaben das MMC-Snap-In für IP-Sicherheitsrichtlinien verwenden, kann jede dieser Aufgaben auch mit dem Befehlszeilentool Netsh auf einem Windows Server 2003-System ausgeführt werden.

Microsoft empfiehlt die Windows Server 2003-Plattform als Richtlinienverwaltungsstation, da sie über die besten Skript- und Überwachungsmöglichkeiten verfügt.

Der Windows-IPSec-Richtlinienexport und -import ist für Sicherungs- und Wiederherstellungszwecke vorgesehen. Die Exportfunktion kopiert alle IPSec-Richtlinienobjekte am Speicherort, um sicherzustellen, dass alle zugehörigen Objekte in der Sicherung erfasst werden. Der Export ist die empfohlene Methode, um alle aktuellen Richtlinien zu Testzwecken in den lokalen Speicher zu verschieben. Da die Möglichkeit besteht, dass Fehler auftreten, sollten Sie darauf achten, alle unerwünschten Objekte (einschließlich Richtlinien, Filterlisten und Filteraktionen) aus dem lokalen Speicher zu löschen, bevor Sie die Exportfunktion verwenden. Die Verwendung eines exportierten lokalen Speichers zum Importieren in die Domäne wird von Microsoft nicht empfohlen, da die Möglichkeit besteht, dass alte Objektversionen neuere Domänenversionen überschreiben und dadurch Verknüpfungen zwischen den Objekten zerstören könnten.

Befehlszeilenskripts sind die empfohlene Methode zur Erstellung von IPSec-Richtlinien sowie für signifikante Hinzufügungen zu bestehenden Objekten, z. B. für das Hinzufügen von Filtern zu einer bestehenden Filterliste. Im Allgemeinen sollten solche signifikanten Änderungen an einer IPSec-Richtlinie durch die Erstellung einer neuen IPSec-Richtlinienversion vorgenommen werden.

Nachdem Sie die Richtlinie erstellt haben, können Sie mithilfe von Skripts oder mithilfe des MMC-Snap-Ins "IPSec-Richtlinienverwaltung" Änderungen an ihr vornehmen. Sobald die IPSec-Richtlinie erstellt und betriebsbereit ist, empfiehlt es sich, kleinere Änderungen vom MMC-Snap-In "IPSec-Richtlinienverwaltung" vornehmen zu lassen.

Da das Windows 2000-Befehlszeilentool Ipsecpol.exe nur die Fähigkeit zum Erstellen von Richtlinien unterstützt, kann stattdessen das MMC-Snap-In für Änderungen am Windows 2000 Active Directory genutzt werden. Das Hinzufügen eines neuen Objekts mit demselben Namen ist in Netsh-add-Befehlen nicht zulässig. Aus diesem Grund und weil Skripts oft mehrmals ausgeführt werden sollten Netsh-Skripts auch anfängliche Schritte umfassen, mit denen Richtlinienobjekte gelöscht werden, die bereits vor neu hinzugefügten Richtlinienobjekten vorhanden sind. Das Löschen eines nicht vorhandenen Objekts ruft erwartungsgemäß eine Fehlermeldung hervor, die jedoch nicht verhindert, dass das Skript ausgeführt wird.

Das Löschen einer IPSec-Domänenrichtlinie, die bereits einem GPO zugewiesen ist, macht die GPO-Verknüpfung ungültig. Die GPO muss so bearbeitet werden, dass sie die neueste Version der IPSec-Richtlinie zuweist.

Hinweis


Wenngleich im folgenden Abschnitt erläutert wird, wie Sie IPSec-Richtlinien in Active Directory direkt ändern können, wird davon ausgegangen, dass alle Änderungen auf einem lokalen System oder in einer Testumgebung getestet wurden, bevor sie in einer Produktionsumgebung bereitgestellt werden.

Ändern der IPSec-Richtlinienzuweisung für eine Isolierungsgruppe

Wenn Sie die IPSec-Richtlinie ändern möchten, die einer Isolierungsgruppe zugewiesen ist, können Sie die aktuelle IPSec-Richtlinie durch die neue IPSec-Richtlinie ersetzen.

Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) dient zum Ändern von IPSec-Richtlinien, die ein bestimmtes GPO verteilt. Führen Sie die folgenden Schritte aus, nachdem Sie die neue IPSec-Richtlinie und das GPO, das die aktuelle Richtlinie verteilt, identifiziert haben.

So ändern Sie die IPSec-Richtlinie, die einer Isolierungsgruppe zugewiesen ist

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
  2. Starten Sie die GPMC.
  3. Erweitern Sie die Gesamtstruktur: <Name der Domäne>, erweitern Sie die Domäne, und erweitern Sie dann <Name der Domäne>.
  4. Klicken Sie mit der rechten Maustaste auf <Name des GPO>, und klicken Sie dann auf Bearbeiten.
  5. Erweitern Sie Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf IP-Sicherheitsrichtlinien auf Active Directory (Name der Domäne).
  6. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf <Name der IPSec-Richtlinie>, und klicken Sie dann auf Zuweisen.
  7. Vergewissern Sie sich, dass <Name der IPSec-Richtlinie> zugewiesen ist, und schließen Sie dann den GPO-Editor und anschließend die GPMC.

Ändern von bestehenden IPSec-Richtlinien in der Domäne

Da die Funktionalität von IPSec zunächst in Windows XP und dann erneut in Windows Server 2003 erweitert wurde, wurde das Speicherungsformat für IPSec-Richtlinien dahin gehend geändert, dass es nun auch die Einstellungen für diese Erweiterungen umfasst. Achten Sie darauf, dass Sie zum Anzeigen oder Bearbeiten von Richtlinien, die diese Erweiterungen enthalten, kein MMC-Snap-In zur IPSec-Richtlinienverwaltung aus einer früheren Version verwenden. Wenn Sie beim Anzeigen einer Richtlinienkomponente auf OK klicken, überschreiben Sie bestehende Einstellungen durch Einstellungen im aktuellen Speicher, selbst wenn Sie keinerlei Änderungen vorgenommen haben. Entsprechende Aktualisierungen in Windows XP Service Packs und Windows 2000 Service Pack 4 (SP4) ermöglichen die Erkennung neuerer Richtlinienversionen, um dieses potenzielle Problem zu vermeiden. Das MMC-Snap-In speichert jedoch einfach keine Änderungen, so als ob ein Änderungszugriff verweigert würde, und verwendet die Fehlermeldungen, die zum Zeitpunkt der Produktveröffentlichung aktuell waren. Ebenso ist Folgendes zu beachten: Hat der Benutzer, der das MMC-Snap-In ausführt, nur Lesezugriff auf die IPSec-Richtlinienobjekte, so gehen alle Änderungen verloren, wenn ein Fehler des Typs "Zugriff verweigert" auftritt. Verwenden Sie den Nur-Lese-Modus des MMC-Snap-Ins zur IPSec-Richtlinienverwaltung in Windows Server 2003 immer dann, wenn Sie keine Änderungen beabsichtigen. Darüber hinaus bietet das MMC-Snap-In keine Möglichkeit, beim Verbinden mit einem Remotecomputer oder einer Remotedomäne eine andere Benutzer-ID und ein anderes Kennwort einzugeben. Der Benutzer muss am Desktop als Person mit geeigneten Berechtigungen angemeldet sein, um die beabsichtigten Änderungen vornehmen zu können.

Ändern einer bestehenden Regelfilterliste

Gelegentlich besteht die Notwendigkeit, einen Filter zu einer bestehenden Regelfilterliste hinzuzufügen, daraus zu entfernen oder darin zu ändern. Solche Änderungen können Sie mit dem MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung" durchführen. Denken Sie daran, dass die Reihenfolge der Filter in der Filterliste keinen Einfluss auf die Reihenfolge hat, in der der IPSec-Treiber die Pakete verarbeitet. Die Filter werden bei allen Filterlisten in allen Regeln einer IPSec-Richtlinie nach einem internen Gewichtungsalgorithmus geordnet. Wenn Sie eine Änderung vornehmen möchten, müssen Sie selbst darauf achten, dass Sie keinen Filter erstellen, der bereits in der IPSec-Richtlinie verwendet wird. Im Rahmen des Änderungstestvorgangs sollte die Richtlinie lokal auf einem Computer zugewiesen werden, so dass mit dem Snap-In "MMC IPSec Monitor" oder mit einer Befehlszeilenausgabe die genaue Filterreihenfolge angezeigt werden kann, damit doppelt vorhandene Filter erkennbar werden.

So fügen Sie einer Filterliste einen Computer hinzu

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und richten Sie den Fokus auf die Domäne.

  3. Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinie in Active Directory, und wählen Sie IP-Filterlisten und Filteraktionen verwalten.

  4. Klicken Sie auf der Registerkarte IP-Filterlisten verwalten im Fenster IP-Filterlisten und Filteraktionen verwalten auf die Filterliste Ausnahmen und anschließend auf Bearbeiten.

  5. Stellen Sie sicher, dass das Kontrollkästchen Assistenten verwenden deaktiviert ist.

  6. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.

  7. Klicken Sie im Dropdownfeld Quelladresse auf Beliebige IP-Adresse.

  8. Klicken Sie im Dropdownfeld Zieladresse auf Bestimmte IP-Adresse.

  9. Geben Sie im Textfeld IP-Adresse die spezifische IP-Adresse ein.

  10. Vergewissern Sie sich, dass das Kontrollkästchen Gespiegelt aktiviert ist.

  11. Geben Sie auf der Registerkarte Beschreibung eine geeignete Beschreibung für den Filter ein.

  12. Klicken Sie auf OK und dann erneut auf OK.

  13. Schließen Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".

    Hinweis


    Nachdem das neue System zu einer Ausnahmenfilterliste hinzugefügt wurde, sollte das Computerkonto der Gruppe "No IPSec" hinzugefügt werden.

So bearbeiten Sie einen Computereintrag in einer Filterliste

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und richten Sie den Fokus auf die Domäne.
  3. Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinie in Active Directory, und wählen Sie IP-Filterlisten und Filteraktionen verwalten.
  4. Klicken Sie auf der Registerkarte IP-Filterlisten verwalten im Fenster IP-Filterlisten und Filteraktionen verwalten auf die Filterliste Ausnahmen und anschließend auf Bearbeiten.
  5. Stellen Sie sicher, dass das Kontrollkästchen Assistenten verwenden deaktiviert ist.
  6. Klicken Sie in der Liste IP-Filter auf den Filter, der dem System <Name des Computers> entspricht, und klicken Sie dann auf Bearbeiten.
  7. Ersetzen Sie den Eintrag im Textfeld IP-Adresse durch die neue IP-Adresse.
  8. Klicken Sie auf OK und dann erneut auf OK.
  9. Schließen Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".

So entfernen Sie einen Eintrag aus einer Filterliste

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und richten Sie den Fokus auf die Domäne.

  3. Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinie in Active Directory, und wählen Sie IP-Filterlisten und Filteraktionen verwalten.

  4. Klicken Sie auf der Registerkarte IP-Filterlisten verwalten im Fenster IP-Filterlisten und Filteraktionen verwalten auf die Filterliste Ausnahmen und anschließend auf Bearbeiten.

  5. Klicken Sie in der Liste IP-Filter auf den Filter, der dem System <Name des Computers> entspricht.

  6. Klicken Sie im Dialogfeld IP-Filterliste auf Entfernen.

  7. Klicken Sie auf Ja, um den Filter zu entfernen.

  8. Klicken Sie auf OK und dann erneut auf OK.

  9. Schließen Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".

    Hinweis


    Nachdem das System aus einer Ausnahmenfilterliste entfernt wurde, sollte das Computerkonto aus der Gruppe "No IPSec" entfernt werden.

Ändern einer bestehenden Regelfilteraktion

Jeder Regel einer IPSec-Richtlinie ist eine entsprechende Filteraktion zugeordnet. Diese Aktion wird ausgeführt, wenn die Regel erfüllt wird. Wenngleich es möglich ist, den Computern mit der neuen Regel-Filteraktion-Kombination eine neue IPSec-Richtlinie hinzuzufügen, ist es oftmals sinnvoller, die Filteraktion bei einer Regel in einer bereits bestehenden IPSec-Richtlinie zu ändern. Ist beispielsweise für eine Gruppe von Computern eine benutzerdefinierte IPSec-Richtlinie vorhanden, so wäre es sinnvoller, die der Regel zugewiesene Filteraktion zu ändern, als eine neue IPSec-Richtlinie zu erstellen.

Mit dem MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung" können Sie eine Regel in einer IPSec-Richtlinie zur Verwendung einer neuen Filteraktion konfigurieren.

So ändern Sie eine bestehende Regelfilteraktion

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und richten Sie den Fokus auf die Domäne.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf <Name der IPSec-Richtlinie>,und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie in der Liste IP-Sicherheitsregeln auf <Name der Regel> und anschließend auf Bearbeiten.
  5. Klicken Sie auf der Registerkarte Filteraktion in der Liste Filteraktionen auf <neue Filteraktion>, um die daneben angeordnete Schaltfläche zu wählen.
  6. Klicken Sie auf OK und dann erneut auf OK.
  7. Schließen Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".

Ändern einer bestehenden Regelauthentifizierungsmethode

Bei der Standardauthentifizierungsmethode in IPSec-Richtlinien wird Version 5 des Kerberos-Protokolls verwendet. Im Laufe der Zeit kann es notwendig werden, eine Authentifizierungsmethode zu ändern, die mit einer bestehenden Regel verknüpft ist. Beispielsweise könnte das Rollout einer Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) so durchgeführt werden, dass Computer mithilfe von Zertifikaten authentifiziert werden können.

Wenngleich für jede Authentifizierungsmethode, die zur Wahl steht, unterschiedliche Informationen benötigt werden, sind die allgemeinen Schritte zum Hinzufügen einer Authentifizierungsmethode jeweils sehr ähnlich. Um etwa einen vorinstallierten Schlüssel verwenden zu können, müssen Sie den Schlüssel identifizieren, und um Zertifikate verwenden zu können, muss die Zertifizierungsstelle (CA) bekannt sein. Wenn Sie einer bestehenden IPSec-Regel eine neue Authentifizierungsoption hinzufügen möchten, führen Sie die nachstehenden Schritte aus.

So fügen Sie einer bestehenden Regel eine Option hinzu

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und richten Sie den Fokus auf die Domäne.

  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf <Name der IPSec-Richtlinie>, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in der Liste IP-Sicherheitsregeln auf <Name der Regel> und anschließend auf Bearbeiten.

  5. Klicken Sie auf der Registerkarte Authentifizierungsmethoden auf Hinzufügen.

  6. Klicken Sie auf die Schaltfläche neben der gewählten neuen Authentifizierungsoption, und konfigurieren Sie alle erforderlichen Optionen.

  7. Klicken Sie auf OK.

  8. Stellen Sie in der Liste Reihenfolge der Authentifizierungsmethoden mithilfe der Schaltflächen Nach oben und Nach unten die gewünschte Reihenfolge der Authentifizierungsmethoden her.

    Hinweis


    Wenn Sie eine Authentifizierungsmethode entfernen möchten, klicken Sie in der Liste Reihenfolge der Authentifizierungsmethoden auf die betreffende Methode und anschließend auf Entfernen.

  9. Klicken Sie auf OK und dann erneut auf OK.

  10. Schließen Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".

Hinzufügen einer neuen Regel zu einer bestehenden IPSec-Richtlinie

Neue Regeln können zu bereits bestehenden IPSec-Richtlinien hinzugefügt werden, um die Kommunikation zwischen den Computern einer Umgebung weiter einzuschränken bzw. zuzulassen. Wenn beispielsweise ein IPSec-fähiges System mit Systemen in einer bestimmten Isolierungsgruppe kommunizieren soll, aber seine Richtlinie nicht aus der IPSec-Infrastruktur erhält, können Sie Änderungen an der Isolierungsgruppenrichtlinie vornehmen, um die Kommunikation zuzulassen.

In diesem Beispiel müsste auf den nicht verwalteten IPSec-Host eine Richtlinie angewendet werden, die das Stattfinden der Kommunikation zulässt. Zudem muss eine gemeinsam genutzte Authentifizierungsmethode gewählt werden: In Frage kommen entweder Zertifikate oder ein vorinstallierter Schlüssel. In der bestehenden IPSec-Richtlinie könnte für die Isolierungsgruppe eine neue Regel erstellt werden, die den Datenverkehr zulässt, nachdem über die entsprechende Authentifizierungsmethode Einigung erzielt wurde.

Die notwendigen Schritte bestünden darin, eine neue Filterliste im Verzeichnis zu erstellen, die neue Filterliste mit der bestehenden Richtlinie zu verknüpfen und dann den Authentifizierungsmechanismus so zu konfigurieren, dass die gewählte neue Authentifizierungsmethode einbezogen ist.

So erstellen Sie eine neue Filterliste, die sämtlichen Datenverkehr an einen bestimmten Computer zulässt

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und richten Sie den Fokus auf die Domäne.

  3. Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinie in Active Directory, und wählen Sie IP-Filterlisten und Filteraktionen verwalten.

  4. Klicken Sie auf der Registerkarte IP-Filterlisten verwalten auf Hinzufügen.

  5. Geben Sie im Textfeld Name einen geeigneten Namen für die Filterliste ein.

  6. Geben Sie im Textfeld Beschreibung eine geeignete Beschreibung für die Filterliste ein.

  7. Stellen Sie sicher, dass das Kontrollkästchen Assistenten verwenden deaktiviert ist.

  8. Klicken Sie im Dialogfeld IP-Filterliste auf Hinzufügen.

  9. Klicken Sie im Dropdownfeld Quelladresse auf Beliebige IP-Adresse.

  10. Klicken Sie im Dropdownfeld Zieladresse auf Bestimmte IP-Adresse.

  11. Geben Sie im Textfeld IP-Adresse die IP-Adresse des jeweiligen Computers ein.

  12. Vergewissern Sie sich, dass das Kontrollkästchen Gespiegelt aktiviert ist.

    Hinweis


    Mit diesem Verfahren wird standardmäßig eine Regel erstellt, die jede Art von Datenverkehr von einer beliebigen IP-Adresse mit einer bestimmten IP-Zieladresse abgleicht. Wenn ein Abgleich mit einem bestimmten Port oder Protokoll erforderlich ist, muss auf der Registerkarte Protokoll eine zusätzliche Konfiguration vorgenommen werden.

  13. Geben Sie auf der Registerkarte Beschreibung eine geeignete Beschreibung für den Filter ein.

  14. Klicken Sie auf OK und dann erneut auf OK.

So ändern Sie eine IPSec-Richtlinie so ab, dass sie eine neue Filterliste und eine neue Filteraktion verwendet

  1. Klicken Sie mit der rechten Maustaste auf <Name der IPSec-Richtlinie>, und klicken Sie dann auf Eigenschaften.

  2. Stellen Sie sicher, dass das Kontrollkästchen Assistenten verwenden deaktiviert ist.

  3. Klicken Sie auf Hinzufügen.

  4. Klicken Sie auf der Registerkarte IP-Filterliste in der Liste IP-Filter auf die Optionsschaltfläche Neue Filterliste.

  5. Klicken Sie auf der Registerkarte Filteraktion in der Liste Filteraktionen auf die Optionsschaltfläche Filteraktion.

  6. Klicken Sie auf der Registerkarte Authentifizierungsmethoden auf Hinzufügen.

  7. Klicken Sie auf die Schaltfläche neben der gewählten Authentifizierungsmethode, und konfigurieren Sie alle erforderlichen Optionen.

    Hinweis


    Die gewählte Authentifizierungsmethode muss sowohl für den Initiator als auch für den Responder aushandelbar sein. Es kann sich also zum Beispiel um einen vorinstallierten Schlüssel oder um Zertifikate handeln. Entfernen Sie nötigenfalls das Kerberos-Protokoll aus der Liste, indem Sie es auswählen und dann auf die Schaltfläche Entfernen klicken.

  8. Klicken Sie auf OK.

  9. Falls in der Liste Reihenfolge der Authentifizierungsmethoden mehrere Authentifizierungsmethoden aufgeführt sind, stellen Sie mithilfe der Schaltflächen Nach oben und Nach unten die gewünschte Reihenfolge der Authentifizierungsmethoden her.

  10. Klicken Sie auf OK und dann erneut auf OK.

  11. Schließen Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".

Verschieben von Hosts zwischen Isolierungsgruppen

Aus verschiedenen Gründen müssen Hosts regelmäßig aus einer Gruppe in eine andere verschoben werden. Es ist wichtig zu verstehen, welche Bedeutung Änderungen der Gruppenmitgliedschaft für die Datenverkehrskommunikation haben. In den folgenden Abschnitten werden die nötigen Schritte für das Hinzufügen oder Entfernen von Hosts aus Gruppen beschrieben.

Hinzufügen oder Entfernen eines Hosts in der Ausnahmeliste

Sie können einen Host der Ausnahmeliste hinzufügen oder daraus entfernen, indem Sie die IPSec-Ausnahmefilterlisten und die Sicherheitsgruppe "No IPSec" entsprechend abändern. Folgen Sie hierzu den Anweisungen im Abschnitt "Ändern einer bestehenden Regelfilterliste" weiter oben in diesem Kapitel.

Die Ausnahmefilterliste, der Name des Hosts und dessen IP-Adresse müssen bekannt sein, damit diese Aufgabe ausgeführt werden kann.

Hinzufügen oder Entfernen von Hosts und Benutzern zu/aus bestehenden Gruppen

Wenn Sie einen Host einer Netzwerkzugriffsgruppe (Network Access Group, NAG) hinzufügen oder daraus entfernen, richten sich die erforderlichen Schritte nach der Rolle, die der Host in der Gruppe spielt. Fungiert der Host nur als Initiator, reicht es aus, ihn einfach der jeweiligen NAG hinzuzufügen bzw. daraus zu entfernen. Fungiert der Host hingegen als Responder, so muss auch die Richtlinie, die die Aktualisierung der Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" steuert, entweder angewendet oder entfernt werden. Fungiert das System sowohl als Initiator als auch als Responder, müssen beide Schritte ausgeführt werden.

Hinzufügen oder Entfernen von Initiatoren zu/aus einer bestehenden Netzwerkzugriffsgruppe

Das Hinzufügen oder Entfernen eines Initiators zu/aus einer Netzwerkzugriffsgruppe (NAG) kann mit standardmäßigen Gruppenverwaltungstools durch Ändern der jeweiligen Sicherheitsgruppe vorgenommen werden.

So ändern Sie eine NAG in Bezug auf einen bestimmten Computer

  1. Melden Sie sich an einem Domänencontroller als Domänenadministrator an, und starten Sie dann "Active Directory-Benutzer und -Computer".
  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf <NAG>, und klicken Sie dann auf Eigenschaften.
  4. So fügen Sie der Gruppe einen Computer hinzu
    1. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.
    2. Klicken Sie auf die Schaltfläche Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie auf OK.
    3. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein den <Name des Computers> ein, und klicken Sie auf OK.
    4. Klicken Sie auf OK.
  5. So entfernen Sie einen Computer aus der Gruppe

    1. Klicken Sie auf die Registerkarte Mitglieder.

    2. Klicken Sie in der Liste Mitglieder auf <Name des Computers> und anschließend auf Entfernen.

    3. Klicken Sie auf Ja, um das Konto <Name des Computers> zu entfernen.

    4. Klicken Sie auf OK.

      Hinweis


      Zwischen dem Hinzufügen des Hostkontos zur Gruppe und dem Zeitpunkt, ab dem der Host auf die Ressource mit der Zugriffsbeschränkung zugreifen kann, vergeht einige Zeit. Diese Verzögerung entsteht durch Replizierungsvorgänge sowie durch die Zeiten zwischen den Aktualisierungen des Sitzungstickets auf dem Server, auf dem sich die Ressource mit der Zugriffsbeschränkung befindet (sofern das Ticket zwischengespeichert wird).

Hinzufügen oder Entfernen von Benutzern zu/aus einer bestehenden Netzwerkzugriffsgruppe

Wenngleich Isolierungsgruppen in erster Linie steuern sollen, welche Hosts die Kommunikation mit der eingeschränkten Ressource initiieren können, können sie bei Bedarf auch steuern, welche Benutzer Zugriff auf eine Ressource haben. Wenn keine Notwendigkeit besteht, den Zugriff auf eine Ressource einzuschränken, die einer NAG ähnelt, so wird der Gruppe "Domänenbenutzer" auf den Respondern die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" gewährt. Besteht hingegen die Notwendigkeit einer Beschränkung, so wird eine Gruppe des Typs "NAG-Benutzer" erstellt.

Das Hinzufügen oder Entfernen eines Benutzers mit eingeschränktem Zugriff zu/aus einer Gruppe des Typs "NAG-Benutzer" kann mit standardmäßigen Gruppenverwaltungstools durch Ändern der jeweiligen Sicherheitsgruppe vorgenommen werden. Dieses Verfahren ist nur erforderlich, wenn eine Gruppe des Typs "NAG-Benutzer" erstellt und der NAG zugewiesen wurde. Wird hingegen die Gruppe "Domänenbenutzer" verwendet, ist dieses Verfahren nicht notwendig.

So ändern Sie eine NAG-Benutzergruppe in Bezug auf einen bestimmten Benutzer

  1. Melden Sie sich an einem Domänencontroller als Domänenadministrator an, und starten Sie dann "Active Directory-Benutzer und -Computer".
  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe NAG-Benutzer, und klicken Sie dann auf Eigenschaften.
  4. So fügen Sie der NAG einen Benutzer hinzu
    1. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.
    2. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein den <Name des Benutzers> ein, und klicken Sie auf OK.
    3. Klicken Sie auf OK.
  5. So entfernen Sie einen Benutzer aus der NAG

    1. Klicken Sie auf die Registerkarte Mitglieder.

    2. Klicken Sie in der Liste Mitglieder auf <Name des Benutzers> und anschließend auf Entfernen.

    3. Klicken Sie auf Ja, um das Konto <Name des Benutzers> zu entfernen.

    4. Klicken Sie auf OK.

      Hinweis


      Zwischen dem Hinzufügen des Benutzerkontos zur Gruppe und dem Zeitpunkt, ab dem der Benutzer auf die Ressource mit der Zugriffsbeschränkung zugreifen kann, vergeht einige Zeit. Diese Verzögerung entsteht durch Replizierungsvorgänge sowie durch die Zeiten zwischen den Aktualisierungen des Sitzungstickets auf dem Server, auf dem sich die Ressource mit der Zugriffsbeschränkung befindet (sofern das Ticket zwischengespeichert wird).

Hinzufügen oder Entfernen von Respondern zu/aus einer bestehenden Netzwerkzugriffsgruppe

Wenn Sie einen antwortenden Host (den Responder) aus einer vorhandenen NAG entfernen möchten, können Sie die GPO-Zuweisung entfernen, die die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" auf dem Responder festlegt. Die GPO-Anwendung kann durch eine der Standardmethoden für die Gewährleistung der Richtlinienanwendung mit Active Directory gesteuert werden. Bei dem hier verwendeten Ansatz wird jedoch das GPO einer Organisationseinheit (OU) zugewiesen, die zum Aufbewahren der Domänencomputerkonten der Responder erstellt wurde. Ein bloßes Verlagern des Computerkontos nach außerhalb der Organisationseinheit des Responders bewirkt, dass das Konto nicht mehr das zugewiesene GPO erhält und dass der Zugriff nicht mehr mit Beschränkungen versehen wird. Der Computer würde in diesem Fall zur Richtlinie "Isolierungsdomäne" zurückkehren. (Würde das Computerkonto auch einer lokalen Domänensicherheitsgruppe angehören, die aus Netzwerkzugriffsgruppen besteht, müsste es aus dieser Gruppe ebenfalls entfernt werden.)

Stellen Sie sicher, dass Hosts, die mehreren NAGs angehören, immer noch mit anderen NAGs kommunizieren können, nachdem Sie aus einer der NAGs entfernt wurden.

Hinzufügen neuer Netzwerkzugriffsgruppen

Das Erstellen einer neuen Netzwerkzugriffsgruppe (NAG) ist ein relativ unkomplizierter Vorgang. Zuerst müssen Sie eine lokale Domänengruppe, die den Zugriff auf die Ressource steuert, und ein GPO erstellen, das die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" auf den Hosts aktualisiert, die als Server in der NAG fungieren. Anschließend müssen Sie dieses GPO auf die Server anwenden und die Hosts ermitteln, die der Gruppe angehören.

Nur Initiatoren müssen der NAG angehören. In anderen Worten: Wenn sich in einer Isolierungsgruppe zwei Server befinden und niemals untereinander eine Kommunikation beginnen, müssen Sie der NAG für ihre Isolierungsgruppe nicht hinzugefügt werden. Wenn diese zwei Server jedoch miteinander kommunizieren sollen, müssen Sie der NAG wie alle anderen Initiatoren hinzugefügt werden.

Wenn ein Server innerhalb mehrerer NAGs als Responder fungiert, muss sichergestellt werden, dass nach dem Anwenden des GPO alle NAG-Sicherheitsgruppen, an denen der Server teilnimmt, in der Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" dieses Systems vorhanden sind. Gegebenenfalls können weitere GPOs erforderlich sein, damit bestimmte Computer diese Anforderung erfüllen.

Erstellen einer neuen Netzwerkzugriffsgruppe für Initiatorcomputer

Zum Erstellen einer neuen Netzwerkzugriffsgruppe (NAG) führen Sie die nachstehenden Schritte aus.

So erstellen Sie eine neue NAG für Initiatorcomputer

  1. Melden Sie sich an einem Domänencontroller als Domänenadministrator an, und starten Sie dann "Active Directory-Benutzer und -Computer".
  2. Klicken Sie mit der rechten Maustaste auf den Container Benutzer, klicken Sie auf Neu, und anschließend auf Gruppe.
  3. Geben Sie im Textfeld Gruppenname einen geeigneten Namen für die Gruppe ein.
  4. Klicken Sie auf die Sicherheitsgruppe Lokal (in Domäne) und anschließend auf OK.
  5. Klicken Sie mit der rechten Maustaste auf die neu erstellte Gruppe, und klicken Sie dann auf Eigenschaften.
  6. Geben Sie im Textfeld Beschreibung eine geeignete Beschreibung für die Gruppe ein.
  7. Klicken Sie auf OK.

Hinzufügen von Initiatorcomputerkonten zu einer Netzwerkzugriffsgruppe

Zum Auffüllen einer neuen NAG mit Initiatorkonten führen Sie die nachstehenden Schritte aus.

So füllen Sie die neue NAG für Initiatoren mit den Initiatorkonten auf

  1. Melden Sie sich an einem Domänencontroller als Domänenadministrator an, und starten Sie dann "Active Directory-Benutzer und -Computer".
  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Gruppe NAG-Initiatoren,und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.
  5. Klicken Sie auf die Schaltfläche Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie auf OK.
  6. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein den <Name des Initiators> ein, und klicken Sie auf OK.
  7. Klicken Sie auf OK.

Wenn die Notwendigkeit besteht, den Zugriff auf die Ressource auf bestimmte Domänenbenutzer zu beschränken, muss eine eigene Gruppe für diese NAG-Benutzer erstellt werden. Andernfalls kann stattdessen die Gruppe "Domänenbenutzer" verwendet werden.

Erstellen einer neuen Netzwerkzugriffsgruppe für Benutzer mit eingeschränktem Zugriff

Zum Erstellen einer Netzwerkzugriffsgruppe (NAG) für bestimmte Benutzer führen Sie die nachstehenden Schritte aus.

So erstellen Sie eine neue NAG für Benutzerkonten

  1. Melden Sie sich an einem Domänencontroller als Domänenadministrator an, und starten Sie dann "Active Directory-Benutzer und -Computer".
  2. Klicken Sie mit der rechten Maustaste auf den Container Benutzer, klicken Sie auf Neu, und anschließend auf Gruppe.
  3. Geben Sie im Textfeld Gruppenname einen geeigneten Namen für die Gruppe ein.
  4. Klicken Sie auf die Sicherheitsgruppe Lokal (in Domäne) und anschließend auf OK.
  5. Klicken Sie mit der rechten Maustaste auf die neu erstellte Gruppe, und klicken Sie dann auf Eigenschaften.
  6. Geben Sie im Textfeld Beschreibung eine geeignete Beschreibung für die Gruppe ein.
  7. Klicken Sie auf OK.

Hinzufügen der Konten von Benutzern mit eingeschränktem Zugriff zu einer Netzwerkzugriffsgruppe

Zum Auffüllen einer neuen NAG mit den Konten von Benutzern mit eingeschränktem Zugriff führen Sie die nachstehenden Schritte aus.

So füllen Sie die neue NAG mit Benutzerkonten auf

  1. Melden Sie sich an einem Domänencontroller als Domänenadministrator an, und starten Sie dann "Active Directory-Benutzer und -Computer".
  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Gruppe NAG-Benutzer,und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.
  5. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein den <Name des Benutzers> ein, und klicken Sie auf OK.
  6. Klicken Sie auf OK.

Erstellen eines GPO zum Gewähren der Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen"

Mithilfe eines GPO wird die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" den entsprechenden NAGs zugewiesen.

Die folgende Tabelle zeigt ein Beispiel des GPO, das eine NAG implementiert, sowie der zugehörigen Gruppennamen, denen die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" zugewiesen werden soll.

Tabelle 6.1: Beispiel für eine NAG-Richtliniendefinition

Name des GPO

Name der Gruppe

<Name der NAG-Implementierungsrichtlinie>

<Name der NAG>

Administratoren

Sicherungs-Operatoren

NAG-Benutzer oder Domänenbenutzer

Hinweis


Die genannten Gruppen stellen das Minimum an Gruppen dar, die hinzugefügt werden sollten. Der Administrator muss bestimmen, ob die Berechtigung eventuell noch weiteren Gruppen gewährt werden soll.
Die Gruppe "Domänenbenutzer" wird standardmäßig hinzugefügt. Wenn der Administrator außerdem Zugriffsbeschränkungen für bestimmte Benutzer und Computer verhängen möchte, muss zudem ähnlich wie für Computerkonten die Gruppe NAG-Benutzer erstellt werden, die die ausgewählten Benutzerkonten enthält.

So erstellen Sie ein GPO, das die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" gewährt

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
  2. Starten Sie die GPMC.
  3. Erweitern Sie die Gesamtstruktur:<Name der Domäne>, erweitern Sie die Domäne, und erweitern Sie dann <Name der Domäne>.
  4. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und anschließend auf Neu.
  5. Geben Sie im Textfeld Name den Eintrag <Name des GPO> ein, und klicken Sie dann auf OK.
  6. Klicken Sie mit der rechten Maustaste auf <Name des GPO>, und klicken Sie dann auf Bearbeiten.
  7. Erweitern Sie Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen und Lokale Richtlinien, und klicken Sie dann auf Zuweisen von Benutzerrechten.
  8. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf "Auf diesen Computer vom Netzwerk aus zugreifen", und klicken Sie dann auf Eigenschaften.
  9. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
  10. Klicken Sie auf die Schaltfläche Benutzer oder Gruppe hinzufügen.
  11. Klicken Sie auf die Schaltfläche Durchsuchen.
  12. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein durch Semikola (;) getrennt die Namen aller Gruppen ein, die in der oben stehenden Tabelle genannt sind. Klicken Sie anschließend auf OK.
  13. Klicken Sie auf OK.
  14. Schließen Sie den GPO-Editor und anschließend die GPMC.

Bereitstellen von Netzwerkzugriffsgruppen-GPOs

Um Gruppenrichtlinienobjekte für Netzwerkzugriffsgruppen (NAG-GPOs) bereitstellen zu können, müssen diese NAG-GPOs zunächst mit einem Standort innerhalb der Domänenumgebung verknüpft werden, so dass sie auf die entsprechenden Responder innerhalb der NAG angewendet werden können. Die GPO-Anwendung kann durch eine der Standardmethoden für die Gewährleistung der Richtlinienanwendung mit Active Directory gesteuert werden. Es würde über den Rahmen dieses Leitfadens hinausgehen, spezifische Anweisungen vorzugeben, da diese von der Organisationseinheitsstruktur und den im Unternehmen angewandten Verwaltungsmethoden abhängen.

Deaktivieren von IPSec in einer Isolierungsgruppe

Bei Bedarf können Sie eine IPSec-Richtlinie deaktivieren, indem Sie das GPO ändern, das die Richtlinie bereitstellt. Zum Deaktivieren der IPSec-Richtlinie wird das GPO so konfiguriert, dass die Computereinstellungen deaktiviert werden.

So deaktivieren Sie die Computereinstellungen des GPO

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
  2. Starten Sie die GPMC.
  3. Erweitern Sie Gesamtstruktur:<Name der Domäne>, Domänen, <Name der Domäne> und schließlich Gruppenrichtlinienobjekte.
  4. Klicken Sie mit der rechten Maustaste auf <Name des GPO>, klicken Sie auf Status der Gruppenrichtlinie, und klicken Sie dann auf Computerkonfigurationseinstellungen deaktiviert.
  5. Schließen Sie die GPMC.

Erneutes Aktivieren von IPSec in einer Isolierungsgruppe

Bei Bedarf können Sie IPSec-Richtlinien wieder aktivieren, die durch eine Änderung des GPO, das die Richtlinie bereitstellt, deaktiviert wurden. Zum Wiederaktivieren einer deaktivierten IPSec-Richtlinie wird das GPO so konfiguriert, dass die Computereinstellungen aktiviert werden.

So aktivieren Sie die Computereinstellungen des GPO

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
  2. Starten Sie die GPMC.
  3. Erweitern Sie Gesamtstruktur:<Name der Domäne>, Domänen, <Name der Domäne> und schließlich Gruppenrichtlinienobjekte.
  4. Klicken Sie mit der rechten Maustaste auf <Name des GPO>, klicken Sie auf Status der Gruppenrichtlinie, und klicken Sie dann auf Aktiviert.
  5. Schließen Sie die GPMC.

Entfernen von IPSec aus einer Isolierungsgruppe

Bei Bedarf können Sie eine IPSec-Richtlinie entfernen, indem Sie das GPO ändern, das die Richtlinie bereitstellt. Zum Entfernen der IPSec-Richtlinie wird das GPO so konfiguriert, dass die IPSec-Richtlinie nicht mehr zugewiesen ist.

So heben Sie die Zuweisung der IPSec-Richtlinie des GPO auf

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
  2. Starten Sie die GPMC.
  3. Erweitern Sie die Gesamtstruktur: <Name der Domäne>, erweitern Sie die Domäne, und erweitern Sie dann <Name der Domäne>.
  4. Klicken Sie mit der rechten Maustaste auf <Name des GPO>, und klicken Sie dann auf Bearbeiten.
  5. Erweitern Sie Computerkonfiguration, Windows-Einstellungen und Sicherheitseinstellungen, und klicken Sie dann auf IP-Sicherheitsrichtlinien auf Active Directory (Name der Domäne).
  6. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf <Name der IPSec-Richtlinie>, und klicken Sie dann auf Zuweisung entfernen.
  7. Vergewissern Sie sich, dass die Zuweisung von <Name der IPSec-Richtlinie> entfernt ist, und schließen Sie dann den GPO-Editor und anschließend die GPMC.

Dn308961.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Überlegungen zum Sichern/Wiederherstellen

In diesem Abschnitt finden Sie Informationen darüber, wie die Prozesse zu bewerten sind, bei denen es speziell um das Sichern und Wiederherstellen des Servers und der Komponenten der Domänenisolierungslösung geht.

Active Directory-Sicherung

IPSec-Richtlinien werden nicht in den Gruppenrichtlinienobjekten (GPOs) gespeichert, mit deren Hilfe die Richtlinien bereitgestellt werden. Mit den Sicherungs- und Wiederherstellungsmöglichkeiten von Gruppenrichtlinien werden nur Informationen darüber erfasst, welche IPSec-Richtlinien den jeweiligen GPOs zugewiesen sind, nicht jedoch die eigentlichen IPSec-Richtlinieninformationen.

Wenngleich bei einer vollständigen Systemstatussicherung eines Domänencontrollers die IPSec-Richtlinieninformationen erfasst werden, ist es auch möglich, die IPSec-Richtlinien über die Menübefehle Richtlinien exportieren und Richtlinien importieren des MMC-Snap-Ins "IP-Sicherheitsrichtlinienverwaltung" zu sichern und wiederherzustellen.

Hinweis


Es ist wichtig, dass Sie Ihre IPSec-Richtliniensicherungen absichern. Die Sicherungskopie ist jedoch eine Datei, die die Systemberechtigungen der NTFS-Datei des Verzeichnisses, in dem sie gespeichert ist, erbt. Die Daten in der Datei sind weder verschlüsselt noch signiert. Sie sollten deshalb die IPSec-Konfigurationsinformationen dieser Dateien durch die Verwendung entsprechender Berechtigungs- oder Sicherheitsverfahren schützen. Auf diese Sicherungsdateien sollten nur autorisierte IPSec-Administratoren Zugriff haben.

Weitere Informationen über das Sichern von Systemstatusdaten auf einem Computer mit Windows Server 2003 finden Sie auf der Seite To back up System State data der Microsoft-Website unter www.microsoft.com/resources/documentation/windowsserv/2003/standard/
proddocs/en-us/ntbackup_backup_sysstate.asp (in englischer Sprache).

Hostwiederherstellung

Auf Computern, für die eine IPSec-Richtlinie aus einer Sicherung (Bandsicherung oder Abbildsicherung) wiederhergestellt wurde, kann die angewendete IPSec-Richtlinie eine zwischengespeicherte Kopie der Active Directory-basierten IPSec-Richtlinie oder einer lokalen IPSec-Richtlinie sein.

Wenn dem Computer eine Active Directory-basierte IPSec-Richtlinie zugewiesen ist, versucht der IPSec-Dienst, die neueste Version der zugewiesenen IPSec-Richtlinie aus Active Directory abzurufen, bevor er die zwischengespeicherte Version der Active Directory-basierten Richtlinie anwendet. Hierbei fragt der IPSec-Dienst zunächst beim Domänennamensystem (DNS) nach der aktuellen Liste der IP-Adressen aller Domänencontroller. Falls die IPSec-Richtlinienobjekte aus Active Directory gelöscht wurden, wird stattdessen die zwischengespeicherte Version der Active Directory-basierten Richtlinie angewendet.

Die Liste der Domänencontroller-IP-Adressen in der zwischengespeicherten Version der Active Directory-basierten IPSec-Richtlinie kann sich erheblich verändert haben, seit die IPSec-Richtliniensicherung erstellt wurde (z. B., wenn neue Domänencontroller hinzugefügt wurden). In diesem Fall kann es vorkommen, dass die Kommunikation durch aktuelle Domänencontroller blockiert ist, so dass die Authentifizierung mit dem Kerberos-Protokoll fehlschlägt, wenn versucht wird, mit IPSec abgesicherte Verbindungen remote herzustellen. Zudem kann es vorkommen, dass der Computer nicht in der Lage ist, Gruppenrichtlinienupdates in Empfang zu nehmen. Dieses Problem kann folgendermaßen gelöst werden:

  1. Greifen Sie lokal auf den Computer zu, und stoppen Sie den IPSec-Dienst auf diesem Computer.
  2. Führen Sie einen Neustart des Computers im abgesicherten Modus mit "Netzwerk" durch, und konfigurieren Sie entweder den IPSec-Dienst so, dass er manuell gestartet werden muss, oder deaktivieren Sie den IPSec-Dienst, so dass eine durch IPSec abgesicherte Kommunikation mit den IP-Adressen des neuen Domänencontrollers möglich ist.

Dn308961.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Eindämmen von netzwerkbasierten Infektionen

Unter bestimmten Umständen ist ein rascher Abbruch der Kommunikation erforderlich, um die Sicherheit der Umgebung zu gewährleisten, beispielsweise, wenn ein Virus aktiv wird oder ein Unterlaufen der Sicherheitsvorkehrungen stattfindet. In den folgenden Abschnitten werden verschiedene Möglichkeiten vorgestellt, Hosts zu isolieren, die an authentifizierter Kommunikation teilnehmen. Von sich aus erfolgt bei diesen Methoden keine Isolierung der Infrastruktur oder der ausgenommenen Server, da es darum geht, Infrastrukturserver nicht zu isolieren, damit die Systeme nicht ihre Fähigkeit verlieren, ihre IPSec-Richtlinien aus der Domäne zu aktualisieren.

Hinweis


Obwohl diese Methoden technisch ausgereift sind, wurden sie noch nicht in Testumgebungen getestet. Microsoft empfiehlt eindringlich, diese Methoden zunächst in einer Testumgebung zu testen, bevor Sie sich auf sie verlassen.

Isolieren der Isolierungsdomäne

Hosts in der Isolierungsdomäne sind berechtigt, eine Kommunikation mit nicht vertrauenswürdigen Hosts herzustellen. Wenn die Notwendigkeit besteht, diese Art von Datenverkehr rasch zu blockieren, kann die Filteraktion "IPSEC Secure Request Mode (Ignore Inbound, Allow Outbound)" so abgeändert werden, dass die Berechtigung "Unsichere Komm. mit Computern zulassen, die IPSec nicht unterstützen" deaktiviert wird. Nachdem der IPSec-Abfragezeitraum abgelaufen ist, sollten alle Hosts in der Isolierungsdomäne an der Kommunikation mit Systemen gehindert werden, die nicht der IPSec-Umgebung angehören.

So ändern Sie die Filteraktion "IPSEC Secure Request Mode (Ignore Inbound, Allow Outbound)"

  1. Melden Sie sich als Domänenadministrator bei einem Domänencontroller an.
  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und richten Sie den Fokus auf die Domäne.
  3. Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinie in Active Directory, und wählen Sie IP-Filterlisten und Filteraktionen verwalten.
  4. Klicken Sie auf der Registerkarte Filteraktionen verwalten auf die Filteraktion IPSEC Secure Request Mode (Ignore Inbound, Allow Outbound) und anschließend auf Bearbeiten.
  5. Aktivieren bzw. deaktivieren Sie das Kontrollkästchen Unsichere Komm. mit Computern zulassen, die IPSec nicht unterstützen.
  6. Klicken Sie auf OK.
  7. Klicken Sie auf OK.

Nachdem Sie diese Option festgelegt haben, blockiert die Richtlinie sämtlichen Netzwerkdatenverkehr an nicht vertrauenswürdige Hosts. Nachdem das Problem gelöst wurde, kann die Kommunikation durch Reaktivieren der Option wiederhergestellt werden.

Blockieren von Ports

IPSec-Richtlinien, die für Computer des internen Unternehmensnetzwerks bereitgestellt werden, werden so konfiguriert, dass sie die Kommunikation zwischen allen Ports zulassen. Dieser Ansatz vereinfacht die Konfiguration und Verwaltung der Umgebung. Ist ein Host, der IPSec nutzt, jedoch von schädlichen Programmen (so genannter Malware) wie etwa einem Virus oder einem Wurm befallen, verbreitet der Host die Infektion sehr wahrscheinlich an andere Computer. Je nach den Richtlinien, die der Computer verwendet, kann sich die Infektion sowohl auf vertrauenswürdige als auch auf nicht vertrauenswürdige Hosts ausbreiten.

Mithilfe von IPSec-Richtlinien lässt sich die Verbreitung von Malware eindämmen, indem die Ports blockiert werden, an denen die Malware angreift. Die wichtigste Einschränkung dieses Ansatzes besteht in der Verzögerung, die sich ergibt, bis alle Computer die Richtlinienänderung zum Hinzufügen der Blockierungsfilter erkannt haben. Darüber hinaus haben sich einige Würmer bereits im Netzwerk ausgebreitet, wodurch das Abrufen der IPSec-Richtlinienänderungen behindert wird. Einige Würmer haben eventuell bereits Ports verwendet, die auch von entscheidenden Diensten wie DNS genutzt werden. Dadurch wäre es schwierig, die Richtlinie zu aktualisieren, nachdem Blockierungsfilter auf dem Host angewendet wurden. Das Blockieren kann durch das Erstellen einer Regel erreicht werden, die den Datenverkehr von einer beliebigen IP-Adresse an den jeweiligen Port blockiert, den eine bestimmte Malware nutzt. Diese Regel wird sämtlichen Richtlinien der Umgebung hinzugefügt. Nachdem die Malware beseitigt wurde, kann auch die Regel wieder aus den Richtlinien entfernt werden.

Nachdem Sie die Ports und Protokolle ermittelt haben, die von einer bestimmten Malware verwendet werden, erstellen Sie eine Filterliste, die den Kriterien der Malwarekommunikation entspricht, indem Sie die Schritte des Verfahrens "Hinzufügen einer neuen Regel zu einer bestehenden IPSec-Richtlinie" im Abschnitt "Ändern der IPSec-Richtlinien" weiter oben in diesem Kapitel ausführen. Das Abfrageintervall der IPSec-Richtlinie sollte umgehend verringert werden, sobald die Entscheidung zu einer Portblockierung in der Richtlinie getroffen wurde. Nach der Beseitigung der Gefahr kann wieder ein größeres Abfrageintervall gewählt werden.

Anstatt jedoch einen Filter zu erstellen, der eine beliebige IP-Adresse für eine spezifische IP-Adresse verwendet, erstellen Sie einen Filter, der "Eigene IP-Adresse" für eine beliebige IP-Adresse verwendet. Gespiegelte Filter werden normalerweise nicht verwendet. Vielmehr wird eine Filterliste mit zwei Einwegfiltern benötigt einem für eingehenden Datenverkehr an einen bekannten Port und einem für ausgehenden Datenverkehr an einen bekannten Port. So blockieren beispielsweise die folgenden Filter den SQL-Port 1433, der vom SQLSlammer-Wurm ausgenützt wird:

Von beliebiger IP-Adresse -> Eigene IP-Adresse, TCP, Quelle *, Ziel 1433, nicht gespiegelt

Von Eigener IP-Adresse -> Beliebige IP-Adresse, TCP, Quelle *, Ziel 1433, nicht gespiegelt

Diese Filter blockieren natürlich auch die SQL-Anwendungsverbindungen und müssten wieder entfernt werden, sobald die Bedrohung durch den Wurm ausgeschaltet ist. Achten Sie darauf, dass Sie nicht den Zugriff auf kritische Infrastrukturports wie etwa DNS blockieren, solange dies nicht absolut erforderlich ist. Diese Filter sind spezifischer als die Subnetzfilter der Woodgrove Bank, die die IPSec für allen Datenverkehr im internen Netzwerk aushandeln, da bei diesen Filtern eine spezifische IP-Adresse definiert ist.

Sobald der Filter erstellt ist, fügen Sie allen Isolierungsdomänen- und Gruppen-IPSec-Richtlinien eine Regel hinzu, durch die die Filterliste mit der Filteraktion "IPSec Blockieren" verknüpft wird. Unter Umständen ist es sinnvoll, eine Regel in Ihre Richtlinien einzubeziehen, die bereits von sich aus eine leere IPSec-Filterliste für blockierte Ports mit der Blockierungsaktion verknüpft. Diese leere Filterliste kann von Regeln in allen IPSec-Richtlinien verwendet und aktiviert werden, so dass alle Domänenmitglieder diese Filterliste bei jedem Abfrageintervall prüfen. Eventuell könnte die Regel auch deaktiviert werden; in diesem Fall würde bei der IPSec-Dienstabfrage erkannt werden, wann die Regel in den einzelnen Isolierungsgruppenrichtlinien aktiviert ist.

Wenn die Portblockierung aus irgendeinem Grund verhindert, dass IPSec auf Active Directory zugreifen kann, um eine aktualisierte Richtlinie zu erlangen, kann der IPSec-Dienst vom Administrator auf dem Computer gestoppt und neu gestartet werden. Als Alternative kann der Computer selbst neu gestartet werden. Wenn der IPSec-Dienst gestartet wird, versucht er, die neueste Version der zugewiesenen IPSec-Richtlinie herunterzuladen, bevor er die ältere Version aus dem Cache anwendet.

Isolierung innerhalb der untergeordneten Domäne

Wenn eine gesamte Domäne von den übrigen Domänen der Gesamtstruktur isoliert werden muss, kann die Richtlinie für diese Domäne so konfiguriert werden, dass anstelle des Kerberos-Protokolls ein vorinstallierter Schlüssel verwendet wird. Auf diese Weise sind Computer innerhalb der untergeordneten Domäne in der Lage, die Kommunikation mit anderen Systemen derselben Domäne aufrechtzuerhalten, während die Kommunikation mit Systemen außerhalb der Domäne, auf die sie normalerweise Zugriff hätten, blockiert wird.

Jede Richtlinie in der untergeordneten Domäne müsste so abgeändert werden, dass sie nur einen vorinstallierten Schlüssel für die Regel "IPSec Sichere Unternehmenssubnetze" verwendet. Alle vorhandenen Authentifizierungsmethoden, wie etwa das Kerberos-Protokoll, müssen in diesem Fall entfernt werden. Zum Konfigurieren der Authentifizierungsmethoden führen Sie die Schritte aus, die im Abschnitt "Ändern einer bestehenden Regelauthentifizierungsmethode" weiter oben in diesem Kapitel genannt sind.

Wenn in der Richtlinie weitere Regeln zur Authentifizierung vorhanden sind, müssen auch diese so konfiguriert werden, dass ein vorinstallierter Schlüssel verwendet wird. Diese Konfiguration muss bei allen Richtlinien der zu isolierenden untergeordneten Domäne durchgeführt werden. Um die Gefahr einer fehlerhaften IKE-Hauptmodusauthentifizierung beim Rollout der Richtlinie zu minimieren, kann die Authentifizierung mittels eines vorinstallierten Schlüssels in der Liste der Authentifizierungsmethoden an erster Stelle festgelegt werden, die Kerberos-Methode hingegen erst an zweiter Stelle. Nachdem alle Computer die Richtlinie aktualisiert haben, kann die Kerberos-Authentifizierungsmethode entfernt werden. Mit einer ähnlichen Vorgehensweise kann die Kerberos-Authentifizierung wiederhergestellt und der vorinstallierte Schlüssel nach Beseitigung der Bedrohung wieder entfernt werden.

Isolierung in vordefinierten Gruppen

Netzwerkzugriffsgruppen stellen eine Methode dar, mit der sich vordefinierte Gruppen von Computern isolieren lassen. Eine solche Isolierung kann jedoch auch mit vorinstallierten Schlüsseln oder Zertifikaten erreicht werden. Der Hauptunterschied gegenüber Netzwerkzugriffsgruppen besteht darin, dass Sie für jede Gruppe von Computern eigene Richtlinien erstellen müssen, um den Datenverkehr zwischen den Computern abzusichern, die über einen vorinstallierten Schlüssel oder ein Zertifikat verfügen. Diese Lösung erfordert eine zusätzliche Planung der Datenverkehrskommunikation, insbesondere, wenn ein System mehreren Gruppen angehört.

Der größte Nachteil von vorinstallierten Schlüsseln besteht darin, dass diese Schlüssel als reiner Text in der Richtlinie gespeichert werden und somit leicht von einem Client innerhalb der Domäne aufgespürt werden können (ihre Geheimhaltung ist also nicht gewährleistet). Dieser Nachteil muss jedoch kein Problem darstellen, wenn der Wert des vorinstallierten Schlüssels lediglich für eine vorübergehende Isolierung im Falle eines Wurmbefalls verwendet wird.

Aufgrund der einschränkenden Tatsache, dass IKE die Zertifikatsbeschränkungen an der Stamm-CA und nicht an der ausstellenden CA prüft, müsste für jede Gruppe eine eindeutige Stamm-CA bereitgestellt werden.

Dn308961.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Zusammenfassung

In diesem Kapitel wurden Informationen, Prozesse und Verfahren präsentiert, nach denen eine erfolgreich bereitgestellte und in Betrieb genommene Lösung zur Server- und Domänenisolierung verwaltet, gewartet und geändert werden kann.

Die Prozesse und Verfahren sollten klar dokumentiert und allen Mitarbeitern vermittelt werden, die an der laufenden Verwaltung der Hosts in der jeweiligen Umgebung beteiligt sind. Da ohnehin immer die Möglichkeit besteht, dass eine kleine Änderung an einer IPSec-Richtlinie einen geschützten Kommunikationsweg deaktiviert, sollen diese Prozesse und Verfahren dazu beitragen, dass sich Fehler nicht durch Unwissenheit über die Auswirkungen einer Richtlinienänderung einschleichen.

Dn308961.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

| Home | Technische Artikel | Community