Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Anhang C: Leitfaden zum Aufbau einer Testumgebung

  • Artikel

Dieser Anhang bietet umfassende Anleitungen zum Aufbau der erforderlichen Infrastruktur für die Unterstützung von Isolierungsgruppen, die IPSec verwenden. Sie erhalten Hilfestellung zur Installation und Konfiguration von Microsoft® Windows Server 2003, zur Vorbereitung des Active Directory®-Verzeichnisdiensts und zur Konfiguration von IPSec-Richtlinien.

Dieser Anhang enthält auch Implementierungsanweisungen für das Rollout der IPSec-Basisrichtlinie im Szenario der Woodgrove Bank, das in einem vorhergehenden Abschnitt dieses Leitfadens beschrieben wurde.

Dieser Anhang sollte in Verbindung mit denjenigen Kapiteln dieses Leitfadens verwendet werden, die den Entwurfsprozess und die Gründe für die in diesem Anhang verwendeten Implementierungsentscheidungen erläutern. Zudem werden hier die Aufgaben und Prozesse erläutert, die zur erfolgreichen Erstellung und Umsetzung einer Basisinfrastruktur für IPSec-Richtlinien ausgeführt werden müssen. Es wird ausdrücklich empfohlen, die vorhergehenden Kapitel zu studieren, bevor Sie sich mit diesem Anhang befassen. Sie sollten zudem die in Kapitel 6, "Verwalten einer Server- und Domänenisolierungsumgebung", aufgeführten Implikationen der Unterstützungsanforderungen lesen und verstehen, bevor Sie die Anweisungen dieses Anhangs umsetzen.

Auf dieser Seite

In diesem Beitrag

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Voraussetzungen

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Bereitstellung der Basisrichtlinie

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Implementieren der IPSec-Richtlinien

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Verwenden der schrittweisen Methode zur Aktivierung der IPSec-Basisrichtlinie

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Testen der Tools und Skripts für die Funktionstests

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Aktivieren der Filterliste sicherer Organisations-Subnetze für die verbleibenden Richtlinien

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Aktivieren der Netzwerkzugriffsgruppen-Konfiguration

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Aktivieren der Isolierungsdomäne

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Aktivieren der Isolierungsgruppe "Kein Klartext"

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Aktivieren der Isolierungsgruppe "Verschlüsselung"

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Aktivieren der Isolierungsgruppe "Domänengrenze"

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Konfigurieren der Isolierungsdomäne als Standardisolierungsgruppe

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Endgültige Funktionstests nach Aktivierung sämtlicher Isolierungsgruppen

Dn308971.ACDCF196BC98A92A7E35715F19C8C405(de-de,TechNet.10).png Zusammenfassung

Vollständige Lösung downloaden

Server-und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien (engl.)

Voraussetzungen

Mit den Informationen in diesem Abschnitt können Sie ermitteln, ob Ihre Organisation zum Einführen der Lösung bereit ist.

Vorausgesetzte Kenntnisse

Sie sollten mit den Konzepten von IPSec, Netzwerken und Netzwerkarchitekturen vertraut sein. Vertrautheit mit Microsoft Windows Server 2003 (oder höher) ist in den folgenden Bereichen ebenfalls erforderlich:

  • Installation des Betriebssystems
  • Active Directory®-Konzepte, einschließlich Active Directory-Struktur und -Tools; Verwalten von Benutzern, Gruppen und anderen Active Directory-Objekten; Verwenden der Gruppenrichtlinien.
  • Windows-Systemsicherheit einschließlich Sicherheitskonzepten, wie z. B. Benutzer, Gruppen, Überwachung und Zugriffssteuerungslisten (ACLs); Verwenden von Sicherheitsvorlagen; Anwenden von Sicherheitsvorlagen mit Gruppenrichtlinien oder Befehlszeilenprogrammen

Bevor Sie mit diesem Anhang fortfahren, sollten Sie die in diesem Leitfaden enthaltenen Informationen zur Planung lesen und die Architektur und den Aufbau der Lösung verstehen.

Unternehmensvoraussetzungen

Sie sollten sich mit anderen Personen in Ihrer Organisation besprechen, die in die Implementierung dieser Lösung mit einbezogen werden müssen. Hierzu gehören möglicherweise folgende Personen:

  • Geschäftssponsoren

  • Für Sicherheit und Überwachung zuständige Mitarbeiter

  • Für Verwaltung, Betrieb und technische Aspekte von Active Directory zuständige Mitarbeiter

  • Für Verwaltung, Betrieb und technische Aspekte von DNS (Domain Name System), Webservern und Netzwerk zuständige Mitarbeiter

    Hinweis


    Je nach Struktur Ihrer IT-Organisation werden diese Positionen jeweils von einer Reihe von Mitarbeitern ausgefüllt bzw. wenige Mitarbeiter decken mehrere Bereiche ab.

Grundvoraussetzungen der IT-Infrastruktur

In diesem Anhang wird davon ausgegangen, dass die folgende IT-Infrastruktur vorhanden ist:

  • Eine Windows Server 2003-Active Directory-Domäne im gemischten oder einheitlichen Modus Bei dieser Lösung werden universelle Gruppen für die Anwendung von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) verwendet. Wenn Ihre Organisation weder im gemischten noch im einheitlichen Modus ausgeführt wird, ist es dennoch möglich, das GPO über Standardkonfigurationen globaler und lokaler Gruppen anzuwenden. Da diese Option jedoch schwieriger zu verwalten ist, wird sie in dieser Lösung nicht verwendet.

    Hinweis


    Windows Server 2003 umfasst eine Reihe von Verbesserungen, die sich auf IPSec-Richtlinien auswirken. Windows Server 2003 enthält keine speziellen Konfigurationen, die den einwandfreien Betrieb dieser Lösung mit Windows 2000 verhindern würden. Die Lösung wurde jedoch nur mit Windows Server 2003 Active Directory getestet. Weitere Informationen zu den Verbesserungen an IPSec in Windows Server 2003 finden Sie auf der Seite New features for IPsec der Microsoft-Website unter www.microsoft.com/resources/documentation/WindowsServ/
    2003/standard/proddocs/en-us/ipsec_whatsnew.asp (in englischer Sprache).

  • Serverhardware, auf der Windows Server 2003 ausgeführt werden kann.

  • Lizenzen, Installationsmedien und Produktschlüssel für Windows Server 2003 Standard und Enterprise Edition.

Grundlegende Implementierungsvoraussetzungen

Bevor die in diesem Anhang beschriebenen Aufgaben ausgeführt werden, müssen einige Voraussetzungen erfüllt sein, damit eine erfolgreiche Bereitstellung gewährleistet werden kann.

Hardwareanforderungen

Bevor die grundlegende IPSec-Infrastruktur umgesetzt wird, stellen Sie sicher, dass die aktuelle Infrastruktur physisch in der Lage ist, die Zusatzlast der IPSec-Implementierung zu unterstützen. Der hierzu erforderliche Überprüfungsprozess wird in Kapitel 3 "Ermitteln des aktuellen Status der IT-Infrastruktur" dieses Leitfadens beschrieben.

Tools

Für die Konfiguration der IPSec-Richtlinien und deren Aktivierung durch Active Directory-GPOs stehen vier Haupttools zur Verfügung. Diese Tools sind:

  • Netsh. Dieses Befehlszeilenprogramm ist in Windows Server 2003 enthalten. Es wird sowohl für die Konfiguration lokaler Richtlinien auf einem Windows Server 2003-System wie auch für Domänenrichtlinien verwendet. Diese Lösung verwendet Netsh-Skripts für die Konfiguration der Domänenrichtlinien.
  • Gruppenrichtlinien-Verwaltungskonsole. Die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) ist ein Add-On-Tool, das die unternehmensweite Verwaltung der Gruppenrichtlinien erheblich erleichtert. Sie ist im Microsoft Download Center auf der Webseite Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 an folgender Adresse zum Download verfügbar: www.microsoft.com/downloads/details.aspx?
    FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=de.
  • IP-Sicherheitsrichtlinienverwaltung. Mit diesem Tool kann der Administrator IPSec-Richtlinien, Filteraktionen und Filterlisten erstellen, anzeigen oder bearbeiten. Obwohl es sich um ein Snap-In der Microsoft Management Console (MMC) handelt, wird es auf dem Computer nicht in der Standardliste der Verwaltungsprogramme angezeigt. Um es zu verwenden, führen Sie mmc.exe an der Eingabeaufforderung aus, und fügen Sie das Snap-In manuell hinzu.
  • IP-Sicherheitsmonitor. Mit diesem Tool kann ein Administrator nicht nur die mit einem Computer verbundenen Sicherheitszuordnungen für den Haupt- und den Schnellmodus anzeigen, sondern auch die unterschiedlichen Regeln, die für den Computer gelten. Wie die IP-Sicherheitsrichtlinienverwaltung wird auch dieses Tool standardmäßig nicht im Menü der Verwaltungsprogramme angezeigt, sondern muss erst manuell über das Programm mmc.exe geladen werden.

Es wird empfohlen, diese Tools auf den Arbeitsstationen des Implementierungsteams zu installieren, so dass die Teammitglieder sich vor der Implementierung mit der Funktionalität dieser Tools vertraut machen können.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Bereitstellung der Basisrichtlinie

Die Woodgrove Bank entschied, bei der Bereitstellung alle Computer zunächst schrittweise in die Isolierungsgruppe "Domänengrenze" verschieben. Mit diesem Ansatz konnten sich die Administratoren langsam vorarbeiten und Probleme lösen, ohne dabei die Kommunikation zwischen den Computern zu beeinträchtigen. Indem zunächst eine Richtlinie ohne sichere Subnetze eingesetzt wurde, konnte das Administrationsteam Computer identifizieren, denen eine lokale IPSec-Richtlinie zugewiesen war, und diese Informationen berücksichtigen. Als dann Subnetze in die Richtlinien aufgenommen wurden, konnten weitere identifizierte Konflikte gelöst werden.

Nachdem die Computer unter der Richtlinie "Boundary Isolation Group Policy" ausgeführt wurden, ging das Team zur Implementierung der Isolierungsgruppen "Standard Isolation Group Policy", "Outbound Clear Allowed Group Policy" und "Encryption Isolation Group Policy" über. Diese Isolierungsgruppen wurden über die Methode "Bereitstellung nach Gruppe" eingesetzt; diese Methode wird in Kapitel 4 "Entwerfen und Planen von Isolierungsgruppen" dieses Leitfadens erläutert. Mehrere Computer wurden für einen Test ausgewählt und in die entsprechenden Gruppen aufgenommen, die die neuen Richtlinien steuerten. Eventuelle Probleme wurden ausgeräumt, und den Gruppen wurden zusätzliche Computer hinzugefügt, bis die Isolierungsgruppen vollständig waren.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Implementieren der IPSec-Richtlinien

Das Zuweisen der korrekten IPSec-Richtlinie zu den einzelnen Computern kann in großen Organisationen schnell zu einem komplexen Vorgang werden. Der in Active Directory enthaltene Mechanismus für Richtlinien kann diesen Vorgang erheblich vereinfachen. In den folgenden Abschnitten dieses Anhangs finden Sie die für die Implementierung der IPSec-Richtlinien erforderlichen Informationen.

Kopieren von Konfigurationsskripts

Um die IPSec-Richtlinien einzurichten, müssen zunächst die benötigten Konfigurationsskripts auf den Domänencontroller kopiert werden, auf dem sie gespeichert werden sollen. Zum Konfigurieren der Testumgebung für die Woodgrove Bank wurden die mit der Software ausgelieferten Konfigurationsskripts verwendet. Im Szenario der Woodgrove Bank wurden folgende Schritte ausgeführt:

So kopieren Sie Konfigurationsskripts

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.
  2. Erstellen Sie einen Ordner mit dem Namen C:\IPsec Scripts.
  3. Kopieren Sie die Skriptdateien aus dem Ordner Tools and Templates dieser Lösung in den Ordner C:\IPsec Scripts.

Installieren der Gruppenrichtlinien-Verwaltungskonsole

Mit der GPMC werden die von dieser Lösung verwendeten GPOs installiert und konfiguriert. Die GPMC muss nur auf IPS-CH-DC-01 installiert werden; die Installation auf weiteren Servern ist optional.

Hinweis


Durch die Installation der GPMC ändert sich die Benutzeroberfläche der MMC für Active Directory-Benutzer und -Computer auf dem Installationscomputer geringfügig. Weitere Informationen zum Verwenden der GPMC und dem Download der Installationsdatei finden Sie auf der Webseite Gruppenrichtlinien-Verwaltungskonsole mit Service Pack 1 im Microsoft Download Center unter www.microsoft.com/downloads/details.aspx?
familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en.

So installieren Sie die Gruppenrichtlinien-Verwaltungskonsole

  1. Downloaden Sie die Installationsdatei Gpmc.msi aus dem Microsoft Download Center.

  2. Stellen Sie sicher, dass Sie als Mitglied der Domänenadministratorengruppe bei IPS-CH-DC-01 angemeldet sind.

  3. Doppelklicken Sie im Windows-Explorer auf die Installationsdatei Gpmc.msi.

  4. Installieren Sie die GMPC, indem Sie den Anweisungen des Assistenten folgen; übernehmen Sie hierbei alle Standardeinstellungen.

    Wichtig


    Die GPMC muss im Ordner "Programme" installiert werden; es ist dabei unerheblich, auf welchem Laufwerk sich dieser Ordner befindet. Es empfiehlt sich zudem, innerhalb des Ordners "Programme" das Standardinstallationsverzeichnis für die GMPC zu wählen. Wenn Sie den Verzeichnisnamen ändern, müssen Sie den entsprechenden Namen in der Datei Constants.txt anpassen. Später folgende Verfahren verwenden einige der durch die GPMC installierten Tools; wenn die GPMC in einem anderen Verzeichnis installiert wurde, können die GPMC-Tools nur gefunden werden, wenn diese Datei entsprechend aktualisiert wurde.

Implementieren der IPSec-Filterlisten und -Filteraktionen

Das Erstellen der IPSec-Filterlisten und -Filteraktionen erfolgt entweder mit dem Netsh-Tool oder dem MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".

Obgleich das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung" eine grafische Benutzeroberfläche für IPSec zur Verfügung stellt, ziehen es viele Administratoren vor, Skripts zu unterhalten und zu aktualisieren, die das Befehlszeilenprogramms Netsh verwenden. Skripts können zudem problemlos über Domänen oder Gesamtstrukturen hinweg portiert werden. In dieser Lösung wurden die IPSec-Filterlisten und -Filteraktionen mithilfe von Netsh-Skripts implementiert.

Hinweis


Testen Sie sämtliche Skripts anhand der lokalen Richtlinienspeicher eines Windows Server 2003-Computers, indem Sie den Speicherfokus auf lokal setzen. Nachdem eventuelle Fehler in den Skripts beseitigt wurden, ändern Sie die Speicherkonfiguration, so dass der Fokus für den endgültigen Import auf der Domäne liegt.

So erstellen Sie die IPSec-Filterlisten und –Filteraktionen

  1. Melden Sie sich als Domänenadministrator der Domäne "Americas" bei der Domäne IPS-CH-DC-01 an.

  2. Öffnen Sie eine Eingabeaufforderung und geben Sie Folgendes ein:
    netsh f "c:\IPsec Scripts\PacketFilters.txt". Drücken Sie dann die EINGABETASTE.

    Hinweis


    Wenn das Skript leere Filterlisten erstellt, wird die folgende Fehlermeldung in der Befehlszeile ausgegeben: FEHLER IPSec [05022]: Filterliste namens "<Name der Filterliste>" enthält keine Filter. Diese Meldung kann ignoriert werden.

  3. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und bestätigen Sie, dass die Filterlisten und Filteraktionen in Active Directory erstellt wurden.

    Hinweis


    Um einen Abgleich mit der lokalen Richtlinie auszuführen, stellen Sie sicher, dass das in Schritt 2 ausgeführte Skript mit der Einstellung set store location=local konfiguriert ist. Stellen Sie in Schritt 3 sicher, dass der Fokus des MMC-Snap-Ins auf dem lokalen Computer liegt, nicht auf der Domäne.

Implementieren von IPSec-Richtlinien

Nachdem die Filterlisten und Filteraktionen erstellt wurden, können die Skripts, die die IPSec-Richtlinien erstellen, ausgeführt werden.

Hinweis


Die durch die Skripts erstellten Richtlinien werden zu Testzwecken mit einem Abfrageintervall von fünf Minuten konfiguriert.

In der folgenden Tabelle werden die Richtliniennamen und die Skripte aufgeführt, die die jeweilige Richtlinie erstellen. Dieser Skriptdateiname wird in Schritt 2 des im Anschluss erläuterten Verfahrens verwendet.

Tabelle C.1: IPSec-Richtlinie und zugehörige Skriptdatei

IPSec-Richtlinienname

Skriptdateiname

IPSEC Boundary Isolation Group IPsec Policy (1.0.041001.1600)

BoundaryIGPolicy.txt

IPSEC No Fallback Isolation Group IPsec Policy (1.0.041001.1600)

NoFallbackIGPolicy.txt

IPSEC Isolation Domain IPsec Policy (1.0.041001.1600)

IsolationDomainPolicy.txt

IPSEC Encryption Isolation Group IPsec Policy (1.0.041001.1600)

EncryptionIGPolicy.txt

So erstellen Sie die IPSec-Richtlinien

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.

  2. Öffnen Sie die Eingabeaufforderung. Geben Sie für jede Richtline Folgendes ein:

    netsh –f "c:\IPsec Scripts\<Script Filename>" 
and then press ENTER.

    Hinweis


    Wenn eine Filterliste leer ist, zeigt Netsh eine Fehlermeldung an, die mit "ERR IPSec [05022]..." beginnt. Diese Meldung kann ignoriert werden.

  3. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung", und bestätigen Sie, dass die IPSec-Richtlinien in Active Directory erstellt wurden.

    Hinweis


    Um einen Abgleich mit der lokalen Richtlinie auszuführen, stellen Sie sicher, dass das in Schritt 2 ausgeführte Skript mit der Einstellung set store location=local konfiguriert ist. Stellen Sie in Schritt 3 sicher, dass der Fokus des MMC-Snap-Ins auf dem lokalen Computer liegt, nicht auf der Domäne.

Erstellen von GPOs für IPSec-Richtlinien

Die Woodgrove Bank hat zur Auslieferung der IPSec-Richtlinien vier GPOs erstellt. Jedes dieser GPOs wurde nach der IPSec-Richtlinie benannt, der es innerhalb des GPOs zugewiesen ist. Die GPOs geben die IPSec-Richtlinien jedoch erst an die Umgebung aus, nachdem die Richtlinien innerhalb von Active Directory verknüpft wurden.

In der folgenden Tabelle sind die einzelnen GPO-Namen sowie die Richtlinie, die durch das jeweilige GPO ausgegeben wird, aufgeführt.

Tabelle C.2: GPOs der Woodgrove Bank und zugehörige IPSec-Richtlinien

Name des GPO

IPSec-Richtlinienname

IPSEC – Boundary Isolation Group Policy

IPSEC Boundary Isolation Group IPsec Policy (1.0.041001.1600)

IPSEC No Fallback Isolation Group Policy

IPSEC No Fallback Isolation Group IPsec Policy (1.0.041001.1600)

IPSEC Isolation Domain Policy

IPSEC Isolation Domain IPsec Policy (1.0.041001.1600)

IPSEC Encryption Isolation Group Policy

IPSEC Encryption Isolation Group IPsec Policy (1.0.041001.1600)

So erstellen Sie die GPOs für IPSec-Richtlinien

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.
  2. Starten Sie die GPMC.
  3. Erweitern Sie den Eintrag Gesamtstruktur: corp.woodgrovebank.com, erweitern Sie die Domäne und anschließend americas.corp.woodgrovebank.com.
  4. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und anschließend auf Neu.
  5. Geben Sie im Textfeld Name den Eintrag <Name des GPO> ein, und klicken Sie dann auf OK.
  6. Klicken Sie mit der rechten Maustaste auf <GPO-Name>, und wählen Sie Bearbeiten.
  7. Erweitern Sie Computerkonfiguration, Windows-Einstellungen und schließlich Sicherheitseinstellungen, und klicken Sie auf IP-Sicherheitsrichtlinie in Active Directory (corp.woodgrovebank.com).
  8. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf <IPSec-Richtlinienname>, und wählen Sie Zuweisen.
  9. Stellen Sie sicher, dass <IPSec-Richtlinienname> zugewiesen ist, und schließen Sie den GPO-Editor.
  10. Wiederholen Sie die Schritte 4-9 für alle Kombinationen von <GPO-Name> und <IPSec-Richtlinienname> in der oben stehenden Tabelle.

Einstellen der Sicherheit für die IPSec-Gruppenrichtlinien

Die Woodgrove Bank hat Sicherheits-Zugriffssteuerungslisten (Access Control Lists, ACLs) für das GPO eingesetzt, das die IPSec-Richtlinien enthält, um die Anwendung der Richtlinien zu steuern. Der Hauptvorteil bestand darin, dass die Richtlinien auf Domänenebene verknüpft werden konnten, anstatt über mehrfache Organisationseinheiten (OUs), wodurch die Verwaltung der Richtlinienanwendung vereinfacht wurde. Zudem wurde ein gestaffeltes Rollout durchgeführt, ohne Computerkonten in spezielle OUs zu verschieben. Stattdessen wurden die Computerkonten, die am Test teilgenommen hatten, zu den entsprechenden Gruppen hinzugefügt. Der Nachteil ist, dass die Organisation hierzu über gute Verwaltungstools verfügen muss.

Erstellen von Gruppen

Es wurden eine Reihe von Gruppen erstellt, um die Anwendung der Richtlinie im gesamten Bereich der Woodgrove Bank zu steuern. Da die Gesamtstruktur der Woodgrove Bank sich im einheitlichen Modus befand, wurden zur Steuerung der Richtlinien in allen Domänen universelle Gruppen verwendet.

Tabelle C.3: Universelle Gruppen der Woodgrove Bank

Name der Gruppe

Beschreibung

CG_NoIPsec_computers

Eine universelle Gruppe, die aus den Computerkonten besteht, die nicht Teil der IPSec-Umgebung sind. In der Regel sind dies Infrastruktur-Computerkonten.

CG_BoundaryIG_computers

Eine universelle Gruppe, die aus den Computerkonten besteht, die mit nicht vertrauenswürdigen Computern kommunizieren dürfen.

CG_ EncryptionIG_computers

Eine universelle Gruppe, die aus den Computerkonten besteht, die sich in der Isolierungsgruppe "Verschlüsselung" befinden.

CG_ IsolationDomain_computers

Eine universelle Gruppe, die aus den Computerkonten besteht, die Teil der Isolierungsdomäne sind.

CG_NoFallbackIG_computers

Eine universelle Gruppe, die aus den Computerkonten besteht, die Teil der Isolierungsgruppe "Kein Klartext" sind.

So erstellen Sie die universellen Gruppen für die Woodgrove Bank

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" auf IPS-CH-DC-01.
  2. Klicken Sie mit der rechten Maustaste auf den Container Benutzer, klicken Sie auf Neu, und anschließend auf Gruppe.
  3. Geben Sie im Feld Gruppenname den ersten <Gruppennamen> aus der oben stehenden Tabelle ein.
  4. Wählen Sie die Sicherheitsgruppe Universal, und klicken Sie auf OK.
  5. Wiederholen Sie die Schritte 2 bis 4 für jede Gruppe.
  6. Klicken Sie mit der rechten Maustaste auf den ersten <Gruppennamen>, und klicken Sie auf Eigenschaften.
  7. Geben Sie im Feld Beschreibung die erste <Beschreibung> aus der oben stehenden Tabelle ein.
  8. Klicken Sie auf OK.
  9. Wiederholen Sie die Schritte 6 bis 8 für alle in der oben stehenden Tabelle aufgeführten Gruppen.

Konfigurieren der GPO-Sicherheit

Welche Computer welche Richtlinien für die IPSec-Teilnahme erhalten, wird über Gruppen gesteuert. Die Sicherheits-ACLs müssen für jede der neu erstellten IPSec-Richtlinien konfiguriert werden, um so die entsprechenden Gruppen zu konfigurieren. Die nachstehende Tabelle führt die ACLs auf, die den einzelnen GPOs hinzugefügt werden müssen.

Hinweis


Wenn eine Organisation Administratorrechte für die Verwaltung von IPSec-Richtlinien an Nichtmitglieder der Domänenadministratorgruppe vergibt, muss diesen Vollzugriff auf den Container "IP-Sicherheit" in Active Directory eingeräumt werden.

Tabelle C.4: GPO-Berechtigungen für Woodgrove Bank-Richtlinien

Name des GPO

Gruppen- oder Kontoname

Zugewiesene Rechte

IPSEC - Boundary Isolation Group Policy

CG_NoIPsec_computers

"Gruppenrichtlinie übernehmen": Verweigern

CG_BoundaryIG_computers

"Lesen" und "Gruppenrichtlinie übernehmen": Zulassen

IPSEC No Fallback Isolation Group Policy

CG_NoIPsec_computers

"Gruppenrichtlinie übernehmen": Verweigern

CG_NoFallbackIG_computers

"Lesen" und "Gruppenrichtlinie übernehmen": Zulassen

IPSEC Isolation Domain Policy

CG_NoIPsec_computers

"Gruppenrichtlinie übernehmen": Verweigern

IPSEC Isolation Domain Policy

CG_ IsolationDomain_computers

"Lesen" und "Gruppenrichtlinie übernehmen": Zulassen

IPSEC Encryption Isolation Group Policy

CG_NoIPsec_computers

"Gruppenrichtlinie übernehmen": Verweigern

CG_ EncryptionIG_computers

"Lesen" und "Gruppenrichtlinie übernehmen": Zulassen

Hinweis


Die Konfiguration der Richtlinie für die Isolierungsgruppe "Domänengrenze" (Boundary Isolation Group Policy) ermöglicht der Gruppe der Domänencomputer die Anwendung der Richtlinie für den ursprünglichen Aufbauprozess, indem die Domänencomputergruppe in die Gruppe "CG_BoundaryIG_computers" platziert wird. Nachdem alle Computer in ihre jeweiligen Gruppen verschoben wurden, werden die Domänencomputer aus der Gruppe "CG_BoundaryIG_computers" entfernt.

So richten Sie die Gruppenberechtigungen für das GPO ein

  1. Starten Sie die GPMC als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.

  2. Erweitern Sie den Eintrag Gesamtstruktur: corp.woodgrovebank.com, erweitern Sie americas.corp.woodgrovebank.com und anschließend Gruppenrichtlinienobjekte.

  3. Klicken Sie auf den ersten <GPO-Namen> aus der oben stehenden Tabelle, und klicken Sie auf die Registerkarte Delegierung.

  4. Klicken Sie auf die Schaltfläche Erweitert.

  5. Klicken Sie in dem Bildlauffeld Gruppen- oder Benutzername auf Authentifizierte Benutzer, und deaktivieren Sie die Genehmigung Gruppenrichtlinie übernehmen.

  6. Klicken Sie auf die Schaltfläche Hinzufügen.

  7. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein die einzelnen <Gruppen- oder Kontonamen> aus der oben stehenden Tabelle ein (durch Semikola getrennt), und klicken Sie auf OK.

  8. Wählen Sie im Textfeld Gruppen- oder Benutzername den ***<Gruppen- oder Kontonamen>***aus, und richten Sie die <zugewiesenen Rechte> mithilfe der Kontrollkästchen für Berechtigungen ein.

  9. Wiederholen Sie Schritt 8 für jeden <Gruppen- oder Kontonamen>, der mit dem <Richtliniennamen> verbunden ist.

  10. Klicken Sie auf OK.

  11. Wenn es sich bei der Berechtigung um ein Verweigerungsrecht handelt, klicken Sie auf Ja, wenn die Meldung angezeigt wird; andernfalls fahren Sie mit Schritt 12 fort.

  12. Wiederholen Sie Schritt 3 bis 11 für jeden <Richtliniennamen>.

    Hinweis


    Stellen Sie sicher, dass dem Eintrag für authentifizierte Benutzer in den Sicherheits-ACLs für die einzelnen Richtlinien lediglich Leseberechtigungen gewährt wurden. Wenn zudem Übernahmeberechtigungen zugewiesen wurden, wird die Richtlinie an alle Computer ausgegeben.

Hindern von Computern der Isolierungsgruppe "Domänengrenze" am Initiieren von Verbindungen zu Computern der Isolierungsgruppe "Verschlüsselung"

Im Fall der Woodgrove Bank mussten die Computer der Isolierungsgruppe "Domänengrenze" daran gehindert werden, Kommunikationen mit den Computern der Isolierungsgruppe "Verschlüsselung" zu initiieren. Um diese Beschränkung umzusetzen, wurde eine Gruppe namens "DNAG_EncryptionIG_computers" erstellt, deren Mitgliedern der Zugriff auf Computern der Isolierungsgruppe "Verschlüsselung" untersagt wurde. Die Richtlinie dieser Isolierungsgruppe (Encryption Isolation Group Policy) wurde so konfiguriert, dass die Gruppe "DNAG_EncryptionIG_computers" die Berechtigung "Zugriff vom Netzwerk auf diesen Computer verweigern" erhielt, und die Gruppe "CG_BoundaryIG_computers" wurde in die Gruppe "DNAG_EncryptionIG_computers" platziert. Diese Konfiguration wurde erreicht, indem das GPO "IPSEC Encryption Isolation Group Policy" geändert wurde.

So erstellen Sie die Gruppe "DNAG_EncryptionIG_computers"

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" auf IPS-CH-DC-01.
  2. Klicken Sie mit der rechten Maustaste auf den Container Benutzer, klicken Sie auf Neu, und anschließend auf Gruppe.
  3. Geben Sie im Feld Gruppenname "DNAG_EncryptionIG_computers" ein.
  4. Wählen Sie die Sicherheitsgruppe Lokal (in Domäne) aus, und klicken Sie auf OK.
  5. Klicken Sie mit der rechten Maustaste auf DNAG_EncryptionIG_computers, und klicken Sie auf Eigenschaften.
  6. Geben Sie "Zur Verweigerung des Zugriffs auf die Isolierungsgruppe 'Verschlüsselung'" im Feld Beschreibung ein.
  7. Klicken Sie auf OK.

So konfigurieren Sie das GPO "IPSEC Encryption Isolation Group Policy" so, dass Mitglieder der Gruppe "DNAG_EncryptionIG_computers" blockiert warden

  1. Starten Sie die GPMC als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.
  2. Erweitern Sie den Eintrag Gesamtstruktur: corp.woodgrovebank.com, erweitern Sie americas.corp.woodgrovebank.com und anschließend Gruppenrichtlinienobjekte.
  3. Klicken Sie mit der rechten Maustaste auf IPSEC Encryption Isolation Group Policy, und klicken Sie auf Bearbeiten.
  4. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien und schließlich den Eintrag Zuweisen von Benutzerrechten.
  5. Klicken Sie mit der rechten Maustaste auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Eigenschaften.
  6. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
  7. Klicken Sie auf die Schaltfläche Benutzer oder Gruppe hinzufügen.
  8. Klicken Sie auf die Schaltfläche Durchsuchen.
  9. Geben Sie in dem Textfeld "DNAG_EncryptionIG_computers" ein, und klicken Sie auf OK.
  10. Klicken Sie auf OK.
  11. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.
  12. Schließen Sie den Gruppenrichtlinien-Editor.
  13. Schließen Sie die GPMC.

So nehmen Sie die Gruppe "CG_BoundaryIG_computers" in die Gruppe "DNAG_EncryptionIG_computers" auf

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.
  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe DNAG_EncryptionIG_computers, und wählen Sie Eigenschaften.
  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.
  5. Geben Sie "CG_BoundaryIG_computers" in das Textfeld Geben Sie die zu verwendenden Objektnamen ein ein, und klicken Sie auf OK.
  6. Klicken Sie auf OK.

Hinzufügen von Domänencomputern zu der Gruppe "Domänengrenze"

Bei der erstmaligen Bereitstellung wird die Isolierungsgruppe "Domänengrenze" als Standardisolierungsgruppe für die IPSec-fähigen Clients des Unternehmens verwendet. Die Gruppe der Domänencomputer wird in die Gruppe "CG_BoundaryIG_computers" aufgenommen, um diesen Plan zu implementieren.

So fügen Sie der Gruppe "CG_BoundaryIG_computers" Domänencomputer hinzu

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.

  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.

  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe CG_BoundaryIG_computers, und wählen Sie Eigenschaften.

  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.

  5. Geben Sie "Domänencomputer" in das Textfeld Geben Sie die zu verwendenden Objektnamen ein ein, und klicken Sie auf OK.

  6. Klicken Sie auf OK.

    Hinweis


    Aufgrund der Replikationsverzögerungen und der Abfragefrequenz der IPSec-Richtlinien entsteht eine Verzögerung zwischen dem Hinzufügen der Domänencomputergruppe zu der Gruppe "CG_BoundaryIG_computers" und dem Anwenden der Richtlinie "Boundary Isolation Group Policy". Der Computer kann zu diesem Zeitpunkt neu gestartet werden, falls die IPSec-Richtlinie sofort angewendet werden muss. Andernfalls wird die Richtlinie angewendet, nachdem das Zeitlimit des Sitzungstickets überschritten wurde; die Richtlinie wird dann durch die Informationen zu der neuen lokalen Gruppenmitgliedschaft aktualisiert.

Hinzufügen von Infrastrukturservern zu der Gruppe "CG_NoIPSec_Computers"

Um sicherzustellen, dass die Infrastrukturserver keine Richtlinie erhalten, die die Kommunikation unterbrechen könnte (wenn sich z. B. die IP-Adresse eines Servers ändert), wurden der Sicherheitsgruppe "CG_NoIPsec_computers" folgende Infrastrukturserver hinzugefügt.

  • IPS-RT-DC-01
  • IPS-CH-DC-01

So fügen Sie der Gruppe "CG_NoIPsec_computers" Infrastrukturserver hinzu

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.
  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe CG_NoIPsec_computers, und wählen Sie Eigenschaften.
  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.
  5. Klicken Sie auf die Schaltfläche Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie auf OK.
  6. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein die Namen der in der oben stehenden Liste aufgeführten Computer ein (durch Semikola getrennt), und klicken Sie auf OK.
  7. Klicken Sie auf OK.

Verknüpfen von IPSec-Richtlinien und GPOs in einer Domänenumgebung

Bevor IPSec-Richtlinien verteilt werden können, müssen Sie mit Positionen innerhalb der Domänenumgebung verknüpft werden. Da die Woodgrove Bank die GPOs über Sicherheitsgruppen verwalten wollte, war die Organisationseinheitenstruktur bei der Richtlinienverteilung nicht übermäßig wichtig. Wenn jedoch Organisationseinheiten vorhanden sind, die die Richtlinienanwendung blockieren, müssen die IPSec-GPOs direkt mit den Organisationseinheiten verbunden werden, damit die Anwendung der Richtlinien funktioniert. Stattdessen könnte die Richtliniendurchsetzung für die IPSec-Richtlinien-GPOs der Domäne auch erzwungen werden.

So verknüpfen Sie die IPSec-Richtlinien mit den vorhandenen GPOs

  1. Starten Sie die GPMC als Domänenadministrator.

  2. Erweitern Sie die Domäne.

  3. Klicken Sie mit der rechten Maustaste auf den Domänennamen, und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

  4. Markieren Sie in der Liste Gruppenrichtlinienobjekte alle Richtlinien, deren Namen mit IPSEC beginnt, und klicken Sie auf OK.

  5. Ordnen Sie die Richtlinien im rechten Fensterbereich mithilfe der Pfeiltasten, wie in der folgenden Tabelle gezeigt.

    Tabelle C.5: Verknüpfungsreihenfolge der Gruppenrichtlinienobjekte auf Domänenebene

    Verknüpfungsreihenfolge

    Gruppenrichtlinienobjekt-Name

    1

    IPSEC Encryption Isolation Group Policy

    2

    IPSEC No Fallback Isolation Group Policy

    3

    IPSEC Isolation Domain Policy

    4

    IPSEC – Boundary isolation Group Policy

    5

    Standarddomänenrichtlinie

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Verwenden der schrittweisen Methode zur Aktivierung der IPSec-Basisrichtlinie

Die erste Aufgabe beim Rollout der IPSec-Infrastruktur ist die Bereitstellung der Richtlinie "Boundary Isolation Group Policy" mit der Methode zur schrittweisen Richtlinienbereitstellung. Die Isolierungsgruppe "Domänengrenze" soll zwar nicht als Isolierungsdomäne für alle Computer in der Umgebung der Woodgrove Bank fungieren, sie wird jedoch so konfiguriert, dass sie in der ersten Bereitstellungsphase für alle Computer gilt.

Da die Richtlinie "Boundary Isolation Group Policy" Nicht-IPSec-Kommunikation zulässt und akzeptiert, schien es am sichersten, die Bereitstellung stufenweise vorzunehmen. Die Richtlinie wurde zunächst bereitgestellt, ohne dass sichere Subnetze definiert wurden. Auf diese Weise war es den Administratoren der Woodgrove Bank möglich, vorhandene, lokale IPSec-Richtlinien gegebenenfalls zu korrigieren. Sodann wurden nach und nach die einzelnen Subnetze hinzugefügt und getestet, um sicherzustellen, dass die IPSec-Aushandlung ordnungsgemäß vonstatten ging.

Hinzufügen von Subnetzen zur Filterliste der sicheren Subnetze

Nachdem die leere Richtlinie "Boundary Isolation Group Policy" auf die Computer der Organisation angewendet und jegliche Konflikte mit vorhandenen lokalen IPSec-Richtlinien ausgeräumt worden waren, begannen die Administratoren der Woodgrove Bank mit dem Aufbau der Richtlinie.

Hierzu mussten die abzusichernden Organisationssubnetze identifiziert werden. Die identifizierten Subnetze wurden der Richtlinie dann einzeln hinzugefügt. Nach der Aufnahme des ersten Eintrags in die Filterliste wird die Filterliste zu der Richtlinie hinzugefügt.

Nachdem alle Subnetze hinzugefügt worden waren, wurde die Richtlinie auf die Computer der Organisation angewendet, und auftretende Konflikte wurden gelöst. Dieser Prozess wurde so oft wiederholt, bis die gesamte Filterliste der sicheren Subnetze bereitgestellt war.

In der folgenden Tabelle sind die identifizierten Subnetze aufgeführt, die in der Testumgebung der Woodgrove Bank verwendet wurden, um das Produktionsnetzwerk widerzuspiegeln:

Tabelle C.6: Liste der sicheren Subnetze für die Testumgebung der Woodgrove Bank

Subnetz

Netzmaske

Beschreibung

192.168.1.0

255.255.255.0

Organisations-LAN-Subnetz 192.168.1.0/24

172.10.1.0

255.255.255.0

Organisations-LAN-Subnetz 172.10.1.0/24

So erstellen Sie den ersten Eintrag für die Filterliste der sicheren Subnetze

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.
  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".
  3. Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinie in Active Directory, und wählen Sie IP-Filterlisten und Filteraktionen verwalten.
  4. Klicken Sie auf der Registerkarte IP-Filterlisten verwalten, wählen Sie IPSEC Organization Secure Subnets, und klicken Sie auf Bearbeiten.
  5. Stellen Sie sicher, dass das Kontrollkästchen Assistenten verwenden deaktiviert ist.
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf der Registerkarte Adressen in der Dropdown-Liste Quelladresse auf Beliebige IP-Adresse.
  8. Klicken Sie in der Dropdown-Liste Zieladresse auf Spezielles IP-Subnetz, und geben Sie die IP-Adresse und die Subnetzmaske anhand der Informationen in der Tabelle oben ein.
  9. Stellen Sie sicher, dass die Option Gespiegelt ausgewählt ist.
  10. Geben Sie auf der Registerkarte Beschreibung die entsprechende <Beschreibung> aus der oben stehenden Tabelle ein.
  11. Klicken Sie zum Schließen des Dialogfelds mit den IP-Filtereigenschaften auf OK.
  12. Klicken Sie zum Schließen des Dialogfelds IP-Filterliste auf OK.
  13. Klicken Sie zum Schließen des Dialogfelds IP-Filterlisten und Filteraktionen verwalten auf Schließen.

So fügen Sie der Richtlinie "Boundary Isolation Group Policy" die Filterliste der sicheren Subnetze hinzu

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.
  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".
  3. Klicken Sie mit der rechten Maustaste auf IPSEC Boundary Isolation Group IPsec Policy (1.0.041001.1600), und wählen Sie Eigenschaften.
  4. Stellen Sie sicher, dass das Kontrollkästchen Assistenten verwenden auf der Registerkarte Regeln deaktiviert ist, und klicken Sie aufHinzufügen.
  5. Klicken Sie auf der Registerkarte IP-Filterliste auf IPSEC Organization Secure Subnets.
  6. Klicken Sie auf der Registerkarte Filteraktion auf IPSEC Request Mode (Accept Inbound, Allow Outbound).
  7. Stellen Sie sicher, dass das Kontrollkästchen Alle Netzwerkverbindungen auf der Registerkarte Verbindungstyp aktiviert ist.
  8. Stellen Sie sicher, dass das Kontrollkästchen Diese Regel spezifiziert keinen IPSec-Tunnel auf der Registerkarte Tunneleinstellungen aktiviert ist.
  9. Stellen Sie sicher, dass auf der Registerkarte Authentifizierungsmethoden ausschließlich die Kerberos-Methode aufgeführt ist.
  10. Klicken Sie zum Schließen des Dialogfelds Regel bearbeiten Eigenschaften auf OK.
  11. Klicken Sie auf OK, um das Dialogfeld IPSEC Boundary isolation group IPsec Policy (1.0.041001.1600) Eigenschaften zu schließen.
  12. Warten Sie, bis die Richtlinie angewendet wurde, und führen Sie dann die Überprüfung durch, wie unter "Überprüfen der Basisbereitstellung" weiter unten in diesem Anhang beschrieben.

So fügen Sie die restlichen Subnetze zur Filterliste der sicheren Subnetze hinzu

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.
  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".
  3. Klicken Sie mit der rechten Maustaste auf IP-Sicherheitsrichtlinie in Active Directory, und wählen Sie IP-Filterlisten und Filteraktionen verwalten.
  4. Klicken Sie auf die Registerkarte IP-Filterlisten verwalten, wählen Sie IPSEC Organization Secure Networks, und klicken Sie auf Bearbeiten.
  5. Stellen Sie sicher, dass das Kontrollkästchen Assistenten verwenden deaktiviert ist.
  6. Klicken Sie auf Hinzufügen.
  7. Klicken Sie auf der Registerkarte Adressen in der Dropdown-Liste Quelladresse auf Beliebige IP-Adresse.
  8. Klicken Sie in der Dropdown-Liste Zieladresse auf Spezielles IP-Subnetz, und geben Sie die IP-Adresse und die Subnetzmaske ein, wie in der oben stehenden Tabelle angegeben.
  9. Stellen Sie sicher, dass die Option Gespiegelt ausgewählt ist.
  10. Geben Sie auf der Registerkarte Beschreibung die entsprechende <Beschreibung> aus der oben stehenden Tabelle ein.
  11. Klicken Sie zum Schließen des Dialogfelds mit den IP-Filtereigenschaften auf OK.
  12. Klicken Sie zum Schließen des Dialogfelds IP-Filterliste auf OK.
  13. Klicken Sie zum Schließen des Dialogfelds IP-Filterlisten und Filteraktionen verwalten auf Schließen.
  14. Warten Sie, bis die Richtlinie angewendet wurde, und führen Sie dann die Überprüfung durch, wie unter "Überprüfen der Basisbereitstellung" weiter unten in diesem Anhang beschrieben.
  15. Wiederholen Sie die Schritte 2 bis 14 für jedes Subnetz.

Überprüfen der Basisbereitstellung

Nachdem die Richtlinienobjekte erstellt und in inaktivem Zustand in Active Directory bereitgestellt wurden, empfiehlt es sich, eine Überprüfung durchzuführen, bevor die Basisrichtlinie konfiguriert wird, um die Basisisolierungsgruppe für alle Computer der Organisation zu erzwingen. Falls die Basiskonfiguration einen Fehler enthält, können durch die Überprüfung potenzielle Störungen auf den betroffenen Hosts vermieden werden.

Funktionsimplementierungstests

Die IPSec-Funktionen können am einfachsten durch ein Ausführen der net view-Befehle geprüft werden für Computer, die sich in dem sicheren Organisationsnetzwerk befinden, und solche, die sich nicht in Subnetzen befinden, die in dem sicheren Organisationsnetzwerk aufgelistet sind.

Computer in einem sicheren Subnetz sollten eine starke Sicherheitszuordnung (Security Association; SA) aushandeln, die in dem MMC-Snap-In "IP-Sicherheitsmonitor" angezeigt wird. Zwischen einem IPSec-Teilnehmer und einem Computer, der sich nicht in einem im sicheren Organisationsnetzwerk aufgeführten Subnetz befindet, sollte eine schwache SA erstellt werden.

So prüfen Sie die Funktionen der angewendeten IPSec-Richtlinien

  1. Öffnen Sie auf einem sicheren Subnetzcomputer eine Eingabeaufforderung, und geben Sie Folgendes ein:
    net view \\<Computername>. Drücken Sie dann die Eingabetaste. Verwenden Sie für <Computername> sowohl die Namen anderer sicherer Subnetzcomputer als auch von Computern, die sich nicht in sicheren Subnetzen befinden.
  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor" auf dem Computer, der die net view-Befehle initiiert hat.
  3. Erweitern Sie IP-Sicherheitsmonitor, <Computername> und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.
  4. Bestätigen Sie Folgendes für jeden Computer, für den ein net view-Befehl initiiert wurde:
    • Teilnehmer des sicheren Unternehmensnetzwerks haben eine starke SA ausgehandelt. Die Spalte ESP-Integrität ist nicht auf <Kein> gesetzt.
    • Nicht-Teilnehmer haben eine schwache SA ausgehandelt. Die Spalte ESP-Integrität ist auf <Kein> gesetzt.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).png Zum Seitenanfang

Testen der Tools und Skripts für die Funktionstests

Während der Funktionalitätstests müssen eine Reihe von Konfigurationseinstellungen überwacht werden. Zwar können die meisten dieser Einstellungen über Standardtools überwacht werden, für zwei Aufgaben sind jedoch Tools erforderlich, mit denen der durchschnittliche Administrator nicht unbedingt vertraut ist. Zu diesen Aufgaben gehört das Identifizieren der IPSec-Richtlinie, die derzeit auf dem Computer aktiv ist, und das Bestimmen des ausgehandelten SA-Typs.

Überprüfen der IPSec-Richtlinienübernahme

Es ist nicht ganz einfach, festzustellen, welche IPSec-Richtlinie auf einem Computer aktiv ist, da es hierfür keine einheitliche Methode gibt, die auf allen Plattformen funktioniert. In manchen Fällen können Sie die IPSec-Richtlinie über die grafische Benutzeroberfläche (GUI) identifizieren, in anderen Fällen kann ein Befehlszeilentool erforderlich sein, das möglicherweise nicht mit dem Betriebssystem installiert wurde.

Windows 2000

Bei Computern, die Windows 2000 Server ausführen, kann der Administrator die derzeit angewendete IPSec-Richtlinie mithilfe des Befehls "Netdiag" identifizieren. Um den Namen und Informationen zu der Richtlinie abzurufen, meldet sich der Administrator bei dem Computer an, startet eine Eingabeaufforderung und macht folgende Eingabe:

Netdiag /test:IPsec

Bei dem Folgenden handelt es sich um ein Beispiel für die Ausgabe dieses Befehls:

IP Security test . . . . . . . . . : Passed
    Directory IPsec Policy Active: ' IPSEC – Isolation 
Domain IPsec Policy (1.0.041001.1600)'

Windows XP

Bei Computern, die Windows XP ausführen, kann der Administrator die derzeit angewendete IPSec-Richtlinie mithilfe des Befehlszeilentools IPseccmd.exe identifizieren. Um den Namen und Informationen zu der Richtlinie abzurufen, meldet sich der Administrator bei dem Computer an, startet eine Eingabeaufforderung und macht folgende Eingabe:

IPseccmd show gpo

Bei dem Folgenden handelt es sich um ein Beispiel für die Ausgabe dieses Befehls:

Active Directory Policy
-----------------------
     Directory Policy Name: IPSEC – Isolation Domain IPsec 
Policy (1.0.041001.1600)
     Description: Isolation Domain Policy (Allow Outbound) 
     Last Change: Fri Sep 03 15:20:29 2004
     Group Policy Object: IPSEC – Isolation Domain Policy
     Organizational Unit: 
LDAP://DC=americas,DC=woodgrovebank,DC=com
     Policy Path: LDAP://CN=IPsecPolicy{efa2185d-1a1d-40f6-
b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com

Windows Server 2003

Bei Computern, die Windows Server 2003 ausführen, kann der Administrator die derzeit angewendete IPSec-Richtlinie mithilfe des Befehlszeilentools "Netsh" identifizieren. Um den Namen und Informationen zu der Richtlinie abzurufen, meldet sich der Administrator bei dem Computer an, startet eine Eingabeaufforderung und macht folgende Eingabe:

netsh IPsec static show gpoassignedpolicy

Bei dem Folgenden handelt es sich um ein Beispiel für die Ausgabe dieses Befehls:

Source Machine          : Local Computer GPO 
for <IPS-TZ-W2K-02>
GPO Name                : IPSEC – Isolation Domain Policy
Local IPsec Policy Name : NONE
AD IPsec Policy Name    : IPSEC – Isolation 
Domain IPsec Policy 
(1.0.041001.1600)
AD Policy DN            : LDAP://CN=IPsecPolicy
{efa2185d-1a1d-40f6-b977-314f152643ca},CN=IP 
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Local IPsec Policy Assigned: Yes, but AD Policy is
Overriding

Bestimmung des SA-Typs mithilfe des IP-Sicherheitsmonitors

Mit dem MMC-Snap-In "IP-Sicherheitsmonitor" können Haupt- und Schnellmodus-SAs, die zugehörigen Filter, IKE- (Internet Key Exchange) und Aushandlungsrichtlinien untersucht werden. Bei der Fehlerbehebung kann mit dem MMC-Snap-In "IP-Sicherheitsmonitor" bestimmt werden, welcher Typ von SA zwischen Peers ausgehandelt wurde. Durch das Untersuchen der SAs in der Schnellmodus-Struktur kann ein Systemadministrator IPSec-Peers desjenigen Computers identifizieren, auf dem das Tool ausgeführt wird.

Wenn ein Computer eine IPSec-Verbindung aushandelt, wird eine starke SA erstellt. Diese SA verfügt in einem oder mehreren der Felder Authentifizierung, ESP-Vertraulichkeit oder ESP-Integrität über einen anderen Wert als <Kein> . Bei ESP mit SHA1 und ohne Authentifizierung stünde im Feld ESP-Integrität beispielsweise "HMAC-SHA1" und in den anderen beiden Feldern "<Kein>". Wenn die starke SA auch Verschlüsselung ausgehandelt hat, enthält das Feld ESP-Vertraulichkeit entweder den Wert "DES" oder "3DES".

Bei einer schwachen SA steht in allen drei Feldern "<Kein>", wodurch besagt wird, dass der Responder auf eine unsichere Verbindung zurückgegriffen hat.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Aktivieren der Filterliste sicherer Organisations-Subnetze für die verbleibenden Richtlinien

Bevor Sie die verbleibenden IPSec-Richtlinien aktivieren, muss die Filterliste der sicheren Organisationsnetzwerke zu den einzelnen Richtlinien hinzugefügt werden. Dies ist erforderlich, da die Filterliste der sicheren Organisationsnetzwerke zum Zeitpunkt der Richtlinienerstellung leer war und nicht in die Richtlinie aufgenommen werden konnte.

Die Implementierung der Filterliste für die sicheren Organisationsnetzwerke wurde weiter oben in diesem Anhang beschrieben; jetzt kann diese in die verbleibenden Richtlinien aufgenommen werden. Die folgende Tabelle zeigt die Richtliniennamen und die zugehörige Filteraktion, die der Filterliste der sicheren Organisationsnetzwerke zugeordnet ist.

Tabelle C.7: Richtlinien und zugehörige Filteraktionen

Name der Richtlinie

Filteraktion

IPSEC – No Fallback Isolation Group IPsec Policy (1.0.041001.1600)

IPSEC Full Require Mode (Ignore Inbound, Disallow Outbound)

IPSEC Isolation Domain IPsec Policy (1.0.041001.1600)

IPSEC Secure Request Mode (Ignore Inbound, Allow Outbound)

IPSEC Encryption Isolation Group IPsec Policy (1.0.041001.1600)

IPSEC Require Encryption Mode (Ignore Inbound, Disallow Outbound)

So fügen Sie die Filterliste der sicheren Organisationsnetzwerke zu den IPSec-Richtlinien hinzu

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.
  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsrichtlinienverwaltung".
  3. Klicken Sie mit der rechten Maustaste auf <Richtlinienname>, und wählen Sie Eigenschaften.
  4. Klicken Sie auf der Registerkarte Regeln auf Hinzufügen.
  5. Klicken Sie auf der Registerkarte IP-Filterliste auf IPSEC Organization Secure Subnets.
  6. Klicken Sie auf der Registerkarte Filteraktion auf die entsprechende <Filteraktion> aus Tabelle C.7.
  7. Stellen Sie sicher, dass das Kontrollkästchen Alle Netzwerkverbindungen auf der Registerkarte Verbindungstyp aktiviert ist.
  8. Stellen Sie sicher, dass das Kontrollkästchen Diese Regel spezifiziert keinen IPSec-Tunnel auf der Registerkarte Tunneleinstellungen aktiviert ist.
  9. Stellen Sie sicher, dass auf der Registerkarte Authentifizierungsmethoden ausschließlich die Kerberos-Methode aufgeführt ist.
  10. Klicken Sie zum Schließen des Dialogfelds Regel bearbeiten Eigenschaften auf OK.
  11. Klicken Sie zum Schließen des Eigenschaften-Dialogfelds für <Richtlinienname> auf OK.
  12. Wiederholen Sie die Schritte 3 bis 11 für alle in der oben stehenden Tabelle aufgeführten Richtlinien.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Aktivieren der Netzwerkzugriffsgruppen-Konfiguration

Mit Netzwerkzugriffsgruppen kann der IPSec-Responder noch weiter eingeschränkt werden, so dass er nur Verbindungen von einer bestimmten Gruppe initiierender Computer und von bestimmten Benutzern akzeptiert. Durch die Verwendung von Netzwerkzugriffsgruppen können Administratoren die ausführenden Client-Computer so konfigurieren, dass sie nur Übertragungen annehmen, die von ausführenden Computern initiiert wurden, jedoch weiterhin Datenverkehr auch zu anderen Ressourcen initiieren können.

Hinweis


Lassen Sie beim Definieren dieser Option Vorsicht walten &#0150; Computer, die mit anderen Computern in der Netzwerkzugriffsgruppe kommunizieren müssen (z. B. Überwachungssysteme, die mit Abfragen arbeiten) schlagen fehl, wenn sie nicht in die Netzwerkzugriffsgruppe aufgenommen werden.

Implementieren von Netzwerkzugriffsgruppen

Die Designer bei der Woodgrove Bank beschlossen, die Netzwerkzugriffsgruppen über die Verwendung lokaler Gruppen der Domäne zu implementieren. Mit diesen Gruppen wurden dann die Initiatoren definiert. Die Initiatorengruppe erhielt die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" für die Responder; die Gruppe der authentifizierten Benutzer wurde von dieser Berechtigung ausgeschlossen. Die Woodgrove Bank implementierte die Netzwerkzugriffsgruppe durch den Einsatz von lokalen Gruppen der Domäne, da diese Gruppen in dem Sitzungsticket gespeichert sind, das alle 60 Minuten aktualisiert wird. Wären globale oder universelle Gruppen verwendet worden, wäre die Netzwerkzugriffsgruppe in dem ticketgewährenden Ticket (Ticket Granting Ticket; TGT) gespeichert worden, das erst nach 8 Stunden aktualisiert wird. Durch das Verwenden von Lokalgruppen der Domäne treten Änderungen an Gruppen wesentlich schneller in Kraft.

Hinweis


Zwar verwendet diese Lösung zur Implementierung der Netzwerkzugriffsgruppe lokale Gruppen der Domäne, die die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" besitzen, doch kann die Implementierung einzelner Netzwerkzugriffsgruppen auch mit vorinstallierten Schlüsseln oder Zertifikaten erfolgen.

Die Designer der Woodgrove Bank haben eine Netzwerkgruppe bestimmt, die zur Steuerung des Zugriffs in der Isolierungsgruppe "Verschlüsselung" verwendet wird.

Erstellen von Sicherheitsgruppen für die Zugriffsteuerung

Tabelle C.8: Netzwerkzugriffsgruppen der Woodgrove Bank &#0150; Sicherheitsgruppen

Name der Gruppe

Beschreibung

ANAG _EncryptedResourceAccess_computers

Eine Lokalgruppe der Domäne, mit der eingeschränkt wird, welche Computer auf verschlüsselte Ressourcen zugreifen können

ANAG _EncryptedResourceAccess_users

Eine Lokalgruppe der Domäne, mit der eingeschränkt wird, welche Benutzer Kommunikation mit den eingeschränkten verschlüsselten Ressourcen initiieren können

So erstellen Sie die in der vorherigen Tabelle aufgeführten Gruppen

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" auf IPS-CH-DC-01.
  2. Klicken Sie mit der rechten Maustaste auf den Container Benutzer, klicken Sie auf Neu, und anschließend auf Gruppe.
  3. Geben Sie im Feld Gruppenname den <Gruppennamen> aus der oben stehenden Tabelle ein.
  4. Wählen Sie im Gruppenbereich die Option Lokal (in Domäne) aus, und klicken Sie auf OK.
  5. Wiederholen Sie die Schritte 2 bis 4 für jede aufgeführte Gruppe.
  6. Klicken Sie mit der rechten Maustaste auf <Gruppenname>, und klicken Sie auf Eigenschaften.
  7. Geben Sie im Feld Beschreibung die <Beschreibung> aus der oben stehenden Tabelle ein.
  8. Klicken Sie auf OK.
  9. Wiederholen Sie die Schritte 6 bis 8 für alle in der oben stehenden Tabelle aufgeführten Gruppen.

Hinzufügen von Konten zu Netzwerkzugriffs-Sicherheitsgruppen

Die Woodgrove Bank nahm die identifizierten Computer, die als Initiatoren für den Datenverkehr innerhalb der Netzwerkzugriffsgruppe fungieren, in die jeweiligen lokalen Gruppen der Domäne auf, mit denen die Netzwerkzugriffsgruppe implementiert wird.

In der folgenden Tabelle sind die Mitgliedschaften der von der Woodgrove Bank identifizierten Netzwerkzugriffsgruppe aufgelistet.

Tabelle C.9: Woodgrove Bank &#0150; Mitgliedschaft der Isolierungsgruppe

Name der Gruppe

Mitglieder

ANAG _EncryptedResourceAccess_computers

IPS-SQL-DFS-01

IPS-SQL-DFS-02

IPS-ST-XP-05

So füllen Sie die in der vorherigen Tabelle aufgeführte Gruppe

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.
  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe <Gruppenname>, und wählen Sie Eigenschaften.
  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.
  5. Klicken Sie auf die Schaltfläche Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie auf OK.
  6. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein die Namen der einzelnen Computer aus der Mitgliederspalte der oben stehenden Tabelle ein. Trennen Sie die einzelnen Mitglieder dabei durch ein Semikolon. Klicken Sie auf OK.
  7. Klicken Sie auf OK.

Hinzufügen von Benutzerkonten zu Netzwerkzugriffs-Sicherheitsgruppen

Die Woodgrove Bank identifizierte die Benutzerkonten, die als Initiatoren von Datenverkehr innerhalb der Netzwerkzugriffsgruppe berechtigt sind, und nahm sie in die jeweiligen lokalen Gruppen der Domäne auf, mit denen die Netzwerkzugriffsgruppe implementiert wird.

In der folgenden Tabelle sind die Mitgliedschaften der von der Woodgrove Bank identifizierten Netzwerkzugriffsgruppe aufgelistet.

Tabelle C.10: Netzwerkzugriffsgruppen der Woodgrove Bank &#0150; Mitgliedschaft

Name der Gruppe

Mitglieder

ANAG _EncryptedResourceAccess_users

User7

So erstellen Sie die in der vorherigen Tabelle aufgeführte Gruppe

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.
  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.
  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe <Gruppenname>, und wählen Sie Eigenschaften.
  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.
  5. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein den Namen des Benutzers aus der Mitgliederspalte der oben stehenden Tabelle ein. Wenn mehrere Benutzer vorhanden sind, trennen Sie die einzelnen Einträge durch Semikola. Klicken Sie anschließend auf OK.
  6. Klicken Sie auf OK.

Erstellen eines Gruppenrichtlinienobjekts für das Zuweisen der Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen"

Die Woodgrove Bank erstellte ein GPO, um die definierte Netzwerkzugriffsgruppe zu erzwingen. Das heißt, das GPO wies den jeweiligen Netzwerkzugriffs-Sicherheitsgruppen auf den Computern, die als Responder fungieren, die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" zu.

Die Administratoren erstellten die folgende Tabelle, in der der GPO-Name sowie die zugehörigen Gruppennamen aufgeführt sind, die zur Implementierung der Netzwerkzugriffsgruppe verwendet wurden.

Tabelle C.11: Woodgrove Bank &#0150; Isolierungsgruppen-Richtliniendefinition

Name des GPO

Name der Gruppe

Encrypted Resource Access Isolation Group Policy

ANAG_EncryptedResourceAccess_computers

ANAG_EncryptedResourceAccess_users

Administratoren

Sicherungs-Operatoren

Hinweis


Die genannten Gruppen stellen das Minimum an Gruppen dar, die hinzugefügt werden sollten. Der Administrator muss bestimmen, ob weitere Gruppen diese Berechtigung erhalten sollen.

So weisen Sie die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" zu

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.
  2. Starten Sie die GPMC.
  3. Erweitern Sie den Eintrag Gesamtstruktur: corp.woodgrovebank.com, erweitern Sie die Domäne und anschließend americas.corp.woodgrovebank.com.
  4. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und anschließend auf Neu.
  5. Geben Sie im Textfeld Name den Eintrag <Name des GPO> ein, und klicken Sie dann auf OK.
  6. Klicken Sie mit der rechten Maustaste auf <GPO-Name>, und wählen Sie Bearbeiten.
  7. Erweitern Sie Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen und Lokale Richtlinien, und klicken Sie dann auf Zuweisen von Benutzerrechten.
  8. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf Auf diesen Computer vom Netzwerk aus zugreifen, und wählen Sie Eigenschaften.
  9. Aktivieren Sie das Kontrollkästchen Diese Richtlinieneinstellungen definieren.
  10. Klicken Sie auf die Schaltfläche Benutzer oder Gruppe hinzufügen.
  11. Klicken Sie auf die Schaltfläche Durchsuchen.
  12. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein den <Gruppennamen> der einzelnen Gruppen aus der oben stehenden Tabelle ein. Trennen Sie die einzelnen Einträge dabei durch ein Semikolon. Klicken Sie auf OK.
  13. Klicken Sie erneut auf OK.
  14. Schließen Sie die GPMC.

Verknüpfen von Netzwerkzugriffsgruppen-Richtlinienobjekten

Bevor Sie die Netzwerkzugriffs-Gruppenrichtlinien verteilen, müssen die GPOs mit einer Position innerhalb der Domänenumgebung verknüpft werden. Die Woodgrove Bank beschloss, das GPO durch Verknüpfung mit der entsprechenden Organisationseinheit (OU) in Active Directory zu verteilen, wie in der folgenden Tabelle gezeigt.

Tabelle C.12: GPO-Name der Netzwerkzugriffsgruppe und gewünschte Organisationseinheit

GPO-Name der Netzwerkzugriffsgruppe

Ziel-OU

Encrypted Network Access Group Policy

Datenbankserver

So verknüpfen Sie eine GPO-Richtlinie mit einer Ziel-OU

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an.
  2. Starten Sie die GPMC.
  3. Erweitern Sie den Eintrag Gesamtstruktur: corp.woodgrovebank.com, erweitern Sie americas.corp.woodgrovebank.com, und suchen Sie die gewünschte <Ziel-OU>.
  4. Klicken Sie mit der rechten Maustaste auf <Ziel-OU>, und wählen Sie Vorhandenes Gruppenrichtlinienobjekt verknüpfen.
  5. Klicken Sie in der Liste der Gruppenrichtlinienobjekte auf <Netzwerkzugriffsgruppen-GPO-Name>, und klicken Sie auf OK.

Überprüfen der Bereitstellung von Netzwerkzugriffsgruppen

Nach dem Erstellen und Bereitstellen der Netzwerkzugriffsgruppen und Richtlinienobjekte prüften die Administratoren die Funktionalität der Computer in der Netzwerkzugriffsgruppe.

Erforderliche Implementierungstests

Bevor die Funktionalität der Computer in der Netzwerkzugriffsgruppe getestet wurde, überprüfte die Woodgrove Bank, dass die Zuweisungen der Benutzerrechte ordnungsgemäß aktualisiert wurden. Nachdem ausreichend Zeit für die Replikation und Aktualisierung der Richtlinien vergangen war, führte die Woodgrove Bank die folgenden Schritte für die in der unten stehenden Tabelle aufgeführten Computer aus.

Tabelle C.13: Netzwerkzugriffsgruppen-Mitgliedschaft

Computername

In Benutzerrecht aufgeführte Gruppe

IPS-SQL-DFS-01

ANAG_EncryptedResourceAccess_computers

ANAG_EncryptedResourceAccess_users

IPS-SQL-DFS-02

ANAG_EncryptedResourceAccess_computers

ANAG_EncryptedResourceAccess_users

So bestätigen Sie die korrekte Gruppenmitgliedschaft in der Netzwerkzugriffsgruppe

  1. Melden Sie sich bei <Computername> als Domänenadministrator der Domäne "Americas" an.
  2. Starten Sie das Tool für lokale Sicherheitsrichtlinien.
  3. Erweitern Sie Lokale Richtlinien und Zuweisen von Benutzerrechten, und doppelklicken Sie dann im rechten Fensterbereich auf Auf diesen Computer vom Netzwerk aus zugreifen.
  4. Bestätigen Sie, dass die Gruppe "Authentifizierte Benutzer" nicht vorhanden ist.
  5. Bestätigen Sie, dass die Gruppe <In Benutzerrecht aufgeführte Gruppe> vorhanden ist.
  6. Schließen Sie das Programm für lokale Sicherheitsrichtlinien.
  7. Wiederholen Sie die Schritte 1 bis 6 für jeden in der oben stehenden Tabelle aufgeführten <Computernamen>.

Funktionsimplementierungstests

Nachdem die Woodgrove Bank sichergestellt hatte, dass den Sicherheitsgruppen die korrekten Benutzerrechte zugewiesen worden waren, wurden die Computer der Netzwerkzugriffsgruppen gegeneinander getestet. Die Woodgrove Bank prüfte mit diesen Informationen, ob die Zugriffsbeschränkungen ordnungsgemäß eingerichtet waren und funktionierten. Woodgrove versuchte, net view-Befehle für verschiedene Initiator/Responder-Kombinationen auszuführen. Zusätzlich zu diesem Test wurde das MMC-Snap-In "IP-Sicherheitsmonitor" verwendet, um zu bestätigen, dass angemessene SAs erstellt wurden. Die folgende Tabelle führt den Initiator und Responder für jede Ausführung von net view auf, gibt an, ob diese Erfolg haben oder fehlschlagen sollte, und listet den Typ der ausgehandelten SA auf.

Tabelle C.14: Netzwerkzugriffsgruppen &#0150; Erwartete Ergebnisse des Funktionstests

Initiator

Responder

Ergebnis

Ausgehandelte SA

IPS-TZ-XP-06

IPS-SQL-DFS-01

Fehlgeschlagen

Keine

IPS-TZ-XP-06

IPS-SQL-DFS-02

Fehlgeschlagen

Keine

IPS-TZ-XP-06

IPS-ST-XP-05

Erfolgreich

Starke SA

IPS-SQL-DFS-01

IPS-SQL-DFS-02

Erfolgreich

Starke SA

IPS-SQL-DFS-01

IPS-ST-XP-05

Erfolgreich

Starke SA

IPS-SQL-DFS-02

IPS-SQL-DFS-01

Erfolgreich

Starke SA

IPS-ST-XP-05

IPS-SQL-DFS-01

Erfolgreich

Starke SA

IPS-ST-XP-05

IPS-SQL-DFS-02

Erfolgreich

Starke SA

So schließen Sie den Funktionstest ab

  1. Melden Sie sich bei <Initiator> als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor".

  3. Erweitern Sie IP-Sicherheitsmonitor, <Initiator> und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  4. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Responder>

  5. Bestätigen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor", dass für jede erfolgreiche Verbindung die jeweils angemessene SA ausgehandelt wurde.

  6. Wiederholen Sie die Schritte 1 bis 5 für jeden eindeutigen, in der Tabelle oben aufgeführten <Initiator>.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Aktivieren der Isolierungsdomäne

Bevor die Isolierungsdomänenrichtlinien verteilt werden, muss der Administrator eine Gruppe von Computern für den Funktionstest bestimmen. Bei dieser Auswahl von Computern sollte es sich um einen repräsentativen Querschnitt der IT-Infrastruktur der Organisation handeln; sie sollte sowohl Clients als auch Server enthalten.

Die ausgewählten Computerkonten werden in die Gruppe "CG_IsolationDomain_computers" aufgenommen. Nachdem ausreichend Zeit für die Replikation vergangen ist, muss die Isolierungsdomänenrichtlinie auf die Testcomputer angewendet werden und in Kraft treten.

Implementieren der Isolierungsdomäne

Die Woodgrove Bank wählte folgende Computer für den Test aus:

  • IPS-TZ-XP-01
  • IPS-TZ-W2K-02
  • IPS-TZ-XP-06
  • IPS-WEB-DFS-01

So fügen Sie der Gruppe "CG_IsolationDomain_computers" Testcomputer hinzu

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.

  2. Erweitern Sie die Domäne**,** und klicken Sie auf Benutzer.

  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe CG_IsolationDomain_computers, und wählen Sie Eigenschaften.

  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.

  5. Klicken Sie auf die Schaltfläche Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie auf OK.

  6. Geben Sie im Textfeld Geben Sie die zu verwendenden Objektnamen ein die Namen der in der oben stehenden Liste aufgeführten Computer ein (durch Semikola getrennt), und klicken Sie auf OK.

  7. Klicken Sie auf OK.

    Hinweis


    Nachdem die Computer in die universelle Gruppe "CG_IsolationDomain_computers" aufgenommen wurden, muss ausreichend Zeit für die Replikation der Gruppenmitgliedschaftsänderungen in der ganzen Struktur und für die Anwendung der Richtlinie auf die Hosts gewährt werden.

Überprüfen der Isolierungsdomänenbereitstellung

Nachdem die Richtlinienobjekte erstellt und in aktivem Zustand in Active Directory bereitgestellt wurden, sollte eine Überprüfung durchgeführt werden, um sicherzustellen, dass der Computer innerhalb der Isolierungsgruppe ordnungsgemäß funktioniert.

Erforderliche Implementierungstests

Bevor Funktionstests für den Computer in der Isolierungsdomäne ausgeführt wurden, stellte die Woodgrove Bank sicher, dass ausreichend Zeit für die Replikation und Richtlinienaktualisierung vergangen war und dass die korrekte IPSec-Richtlinie angewendet wurde.

So überprüfen Sie, ob die korrekte IPSec-Richtlinie auf IPS-TZ-XP-06 angewendet wurde

  1. Melden Sie sich bei IPS-TZ-XP-06 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    IPseccmd show gpo

  3. Überprüfen Sie, ob die Ausgabe zeigt, dass der Verzeichnisrichtlinienname "IPSEC Isolation Domain IPsec Policy (1.0.041001.1600)" lautet.

Funktionsimplementierungstests

Nachdem die Woodgrove Bank bestätigt hatte, dass die gewünschte Richtlinie auf IPS-TZ-XP-06 angewendet worden war, mussten einige grundlegende Funktionstests ausgeführt werden, um sicherzustellen, dass die Richtlinie wie erwartet funktionierte. Die Woodgrove Bank versuchte, net view-Befehle von IPS-TZ-XP-06 an verschiedene Computer in anderen Isolierungsgruppen zu senden. Zudem wurde das MMC-Snap-In "IP-Sicherheitsmonitor" verwendet, um zu bestätigen, dass angemessene SAs erstellt wurden. Die folgende Tabelle führt die Zielcomputer für jede Ausführung von net view auf, gibt an, ob diese Erfolg haben oder fehlschlagen sollte, und listet den Typ der ausgehandelten SA auf.

Hinweis


Wenn Sie versuchen, einen net view-Befehl für einen nicht vertrauenswürdigen Computer auszuführen, müssen Sie Anmeldeinformationen für den lokalen Administrator des Zielcomputers senden.

Tabelle C.15: Isolierungsdomäne Erwartete Ergebnisse des Funktionstests

Zielcomputer

Ergebnis

Ausgehandelte SA

IPS-TZ-W2K-02

Erfolgreich

Starke SA

IPS-WEB-DFS-01

Erfolgreich

Starke SA

IPS-UT-XP-03

Erfolgreich

Schwache SA

IPS-PRINTS-01

Erfolgreich

Starke SA

So führen Sie den Funktionstest auf den einzelnen Zielcomputern durch

  1. Melden Sie sich bei IPS-TZ-XP-06 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-TX-XP-06 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Aktivieren der Isolierungsgruppe "Kein Klartext"

Computer, die sich in der Isolierungsgruppe "Kein Klartext" befinden, können keinen unauthentifizierten Datenverkehr zu nicht vertrauenswürdigen Computern initiieren.

Implementieren der Isolierungsgruppe "Kein Klartext"

Die Woodgrove Bank platzierte diejenigen Computer, die keinen nicht authentifizierten Datenverkehr zu nicht vertrauenswürdigen Computern initiieren können, in die universelle Gruppe "CG_NoFallbackIG_computers".

So füllen Sie die Gruppe "CG_NoFallbackIG_computers"

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an, und starten Sie das Snap-In "Active Directory-Benutzer und -Computer".

  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.

  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe CG_NoFallbackIG_computers, und wählen Sie Eigenschaften.

  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.

  5. Klicken Sie auf die Schaltfläche Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie auf OK.

  6. Geben Sie IPS-LT-XP-01 in das Textfeld Geben Sie die zu verwendenden Objektnamen ein ein, und klicken Sie auf OK.

  7. Klicken Sie erneut auf OK und anschließend noch einmal.

    Hinweis


    Aufgrund der Replikationsverzögerungen und der Abfragefrequenz der IPSec-Richtlinien entsteht eine Verzögerung zwischen dem Hinzufügen des Computers zu der Gruppe "CG_NoFallbackIG_computers" und dem Anwenden der Richtlinie "No Fallback Isolation Group Policy". Der Computer kann zu diesem Zeitpunkt neu gestartet werden, falls die IPSec-Richtlinie sofort angewendet werden muss. Andernfalls wird die Richtlinie angewendet, nachdem das Zeitlimit des Sitzungstickets überschritten wurde; die Richtlinie wird dann durch die Informationen zu der neuen lokalen Gruppenmitgliedschaft aktualisiert.

Überprüfen der Bereitstellung der Isolierungsgruppe "Kein Klartext"

Nachdem die Richtlinienobjekte erstellt und in aktivem Zustand in Active Directory bereitgestellt wurden, sollte eine Überprüfung durchgeführt werden, um sicherzustellen, dass der Computer innerhalb der Isolierungsgruppe ordnungsgemäß funktioniert.

Erforderliche Implementierungstests

Bevor Funktionstests für die Computer in der Isolierungsgruppe "Kein Klartext" ausgeführt wurden, stellte die Woodgrove Bank sicher, dass ausreichend Zeit für die Replikation und Richtlinienaktualisierung vergangen war und dass die korrekte IPSec-Richtlinie angewendet wurde.

So überprüfen Sie, ob die korrekte IPSec-Richtlinie auf IPS-LT-XP-01 angewendet wurde

  1. Melden Sie sich bei IPS-LT-XP-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    IPseccmd show gpo

  3. Überprüfen Sie, ob die Ausgabe den Verzeichnisrichtliniennamen als "Outbound Clear Allowed" anzeigt.

Funktionsimplementierungstests

Nachdem die Woodgrove Bank bestätigt hatte, dass die Richtlinie auf IPS-LT-XP-01 angewendet wurde, mussten einige grundlegende Funktionstests ausgeführt werden, um sicherzustellen, dass die Richtlinie wie erwartet funktionierte. Die Woodgrove Bank versuchte, net view-Befehle von IPS-LT-XP-01 an verschiedene Computer in anderen Isolierungsgruppen zu senden. Zudem wurde das MMC-Snap-In "IP-Sicherheitsmonitor" verwendet, um zu bestätigen, dass angemessene SAs erstellt wurden. Die folgende Tabelle führt die Zielcomputer für jede Ausführung von net view auf, gibt an, ob diese Erfolg haben oder fehlschlagen sollte, und listet den Typ der ausgehandelten SA auf.

Hinweis


Wenn Sie versuchen, einen net view-Befehl für einen nicht vertrauenswürdigen Computer auszuführen, müssen Sie Anmeldeinformationen für den lokalen Administrator des Zielcomputers senden.

Tabelle C.16: Outbound Clear Allowed Erwartete Ergebnisse des Funktionstests

Zielcomputer

Ergebnis

Ausgehandelte SA

IPS-PRINTS-01

Erfolgreich

Starke SA

IPS-TZ-XP-01

Erfolgreich

Starke SA

IPS-UT-XP-03

Fehlgeschlagen

Keine

So führen Sie den Funktionstest auf den einzelnen Zielcomputern durch

  1. Melden Sie sich bei IPS-LT-XP-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-LT-XP-01 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Aktivieren der Isolierungsgruppe "Verschlüsselung"

Der Datenverkehr von Computern, die sich in der Isolierungsgruppe "Verschlüsselung" befinden, muss verschlüsselt werden. Zudem ist der Netzwerkzugriff auf Server, die Daten hosten, eingeschränkt. Zu diesem Zweck wird eine Isolierungsgruppe für die ausgewählten Server implementiert.

Durch Verwenden einer zusätzlichen Gruppenrichtlinie und einer Sicherheitsgruppe kann der Zugriff auf den Server gesteuert werden. Hierzu wird die Berechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" bearbeitet. Lassen Sie beim Bearbeiten von Berechtigungen auf einem Server Vorsicht walten, da Sie sonst möglicherweise den Zugriff legitimer Benutzer blockieren.

Hinweis


Die in diesem Abschnitt verwendete Isolierungsgruppe wurde im Zuge des Abschnitts "Aktivieren der Netzwerkzugriffsgruppen-Konfiguration" dieses Dokuments implementiert.

Implementieren der Isolierungsgruppe "Verschlüsselung"

Das Implementierungsteam der Woodgrove Bank bestimmte die Computer, die IPSec-Verschlüsselung benötigten und nahm diese in die universelle Gruppe "Verschlüsselung erforderlich" auf.

So füllen Sie die Gruppe "Verschlüsselung erforderlich"

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an, und starten Sie das Snap-In "Active Directory-Benutzer und -Computer".

  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.

  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe CG_EncryptionIG_computers, und wählen Sie Eigenschaften.

  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.

  5. Klicken Sie auf die Schaltfläche Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie auf OK.

  6. Geben Sie "IPS-SQL-DFS-01; IPS-SQL-DFS-02" in das Textfeld Geben Sie die zu verwendenden Objektnamen ein ein, und klicken Sie auf OK.

  7. Klicken Sie auf OK.

    Hinweis


    Aufgrund der Replikationsverzögerungen und der Abfragefrequenz der IPSec-Richtlinien entsteht eine Verzögerung zwischen dem Hinzufügen des Computers zu der Gruppe "CG_EncryptionIG_computers" und dem Anwenden der Richtlinie "Encryption Isolation Group Policy". Der Computer kann zu diesem Zeitpunkt neu gestartet werden, falls die IPSec-Richtlinie sofort angewendet werden muss. Andernfalls wird die Richtlinie angewendet, nachdem das Zeitlimit des Sitzungstickets überschritten wurde; die Richtlinie wird dann durch die Informationen zu der neuen lokalen Gruppenmitgliedschaft aktualisiert.

Überprüfen der Bereitstellung der Isolierungsgruppe "Verschlüsselung"

Nachdem die Richtlinienobjekte erstellt und in aktivem Zustand in Active Directory bereitgestellt wurden, sollte eine Überprüfung durchgeführt werden, um sicherzustellen, dass der Computer innerhalb der Isolierungsgruppe ordnungsgemäß funktioniert.

Erforderliche Implementierungstests

Bevor Funktionstests für den Computer in der Isolierungsgruppe "Verschlüsselung" ausgeführt wurden, stellte die Woodgrove Bank sicher, dass ausreichend Zeit für die Replikation und Richtlinienaktualisierung vergangen war und dass die korrekte IPSec-Richtlinie auf die Computer IPS-SQL-DFS-01 und IPS-SQL-DFS-02 angewendet wurde.

So überprüfen Sie, ob die korrekte IPSec-Richtlinie angewendet wurde

  1. Melden Sie sich bei IPS-SQL-DFS-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    netsh IPsec static show gpoassignedpolicy

  3. Überprüfen Sie, ob die Ausgabe zeigt, dass der Verzeichnisrichtlinienname "IPSEC Encryption Isolation Group IPsec Policy (1.0.041001.1600)" lautet.

  4. Starten Sie das Tool für lokale Sicherheitsrichtlinien.

  5. Erweitern Sie Lokale Richtlinien und Zuweisen von Benutzerrechten, und doppelklicken Sie dann im rechten Fensterbereich auf Auf diesen Computer vom Netzwerk aus zugreifen.

  6. Bestätigen Sie, dass die Gruppe "Authentifizierte Benutzer" nicht vorhanden ist.

  7. Bestätigen Sie, dass die Gruppen "ANAG_EncryptedResourceAccess_computers" und "ANAG_EncryptedResourceAccess_users" vorhanden sind.

  8. Beenden Sie das Programm für lokale Sicherheitsrichtlinien.

  9. Wiederholen Sie die Schritte 1 bis 8 auf IPS-SQL-DFS-02.

Funktionsimplementierungstests

Nachdem die Woodgrove Bank bestätigt hatte, dass die gewünschte Richtlinie auf IPS-SQL-DFS-01 und IPS-SQL-DFS-02 angewendet worden war, mussten einige grundlegende Funktionstests ausgeführt werden, um sicherzustellen, dass die Richtlinie wie erwartet funktionierte. Woodgrove versuchte, net view-Befehle für IPS-SQL-DFS-01 und IPS-SQL-DFS-02 auszuführen. Zudem wurde das MMC-Snap-In "IP-Sicherheitsmonitor" verwendet, um zu bestätigen, dass angemessene SAs erstellt wurden. Die folgende Tabelle führt die Zielcomputer für die Ausführung von net view auf, gibt an, ob diese Erfolg haben oder fehlschlagen sollte, und listet den Typ der ausgehandelten SA auf.

Hinweis


Wenn Sie versuchen, einen net view-Befehl für einen nicht vertrauenswürdigen Computer auszuführen, müssen Sie Anmeldeinformationen für den lokalen Administrator an den Computer senden.

Tabelle C.17: IPS-SQL-DFS-01 &#0150; Erwartete Ergebnisse des Funktionstests

Zielcomputer

Ergebnis

Ausgehandelte SA

IPS-SQL-DFS-02

Erfolgreich

Starke SA

IPS-TZ-XP-01

Erfolgreich

Starke SA

IPS-PRINTS-01

Erfolgreich

Starke SA

IPS-UT-XP-03

Fehlgeschlagen

Keine

So testen Sie die Funktionalität der Implementierung auf Zielcomputern

  1. Melden Sie sich bei IPS-SQL-DFS-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-SQL-DFS-01 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Aktivieren der Isolierungsgruppe "Domänengrenze"

Die Woodgrove Bank platzierte diejenigen Computer, die nicht authentifizierten Datenverkehr von nicht vertrauenswürdigen Computern initiieren oder empfangen müssen, in die universelle Gruppe "CG_BoundaryIG_computers".

Implementieren der Isolierungsgruppe "Domänengrenze"

Das Implementierungsteam von Woodgrove Bank bestimmte die Computer, die zur Isolierungsgruppe "Domänengrenze" gehörten, und nahm diese in die universelle Gruppe "CG_BoundaryIG_computers" auf.

So füllen Sie die Gruppe "CG_BoundaryIG_computers"

  1. Melden Sie sich bei IPS-CH-DC-01 als Domänenadministrator der Domäne "Americas" an, und starten Sie das Snap-In "Active Directory-Benutzer und -Computer".

  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.

  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe CG_BoundaryIG_computers, und wählen Sie Eigenschaften.

  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.

  5. Klicken Sie auf die Schaltfläche Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie auf OK.

  6. Geben Sie "IPS-PRINTS-01" in das Textfeld Geben Sie die zu verwendenden Objektnamen ein ein, und klicken Sie auf OK.

  7. Klicken Sie auf OK.

    Hinweis


    Aufgrund der Replikationsverzögerungen und der Abfragefrequenz der IPSec-Richtlinien entsteht eine Verzögerung zwischen dem Hinzufügen der Gruppe zu der Gruppe "CG_BoundaryIG_computers" und dem Anwenden der Richtlinie "Boundary Isolation Group Policy". Der Computer kann zu diesem Zeitpunkt neu gestartet werden, falls die IPSec-Richtlinie sofort angewendet werden muss. Andernfalls wird die Richtlinie angewendet, nachdem das Zeitlimit des Sitzungstickets überschritten wurde; die Richtlinie wird dann durch die Informationen zu der neuen lokalen Gruppenmitgliedschaft aktualisiert.

Überprüfen der Bereitstellung der Isolierungsgruppe "Domänengrenze"

Nachdem die Richtlinienobjekte erstellt und in Active Directory aktiviert wurden, sollte eine Überprüfung durchgeführt werden, um sicherzustellen, dass der Computer innerhalb der Isolierungsgruppe ordnungsgemäß funktioniert.

Erforderliche Implementierungstests

Bevor Funktionstests für den Computer in der Isolierungsgruppe "Domänengrenze" ausgeführt wurden, stellte die Woodgrove Bank sicher, dass ausreichend Zeit für die Replikation und Richtlinienaktualisierung vergangen war und dass die korrekte IPSec-Richtlinie auf den Computer angewendet wurde.

So überprüfen Sie, ob die korrekte IPSec-Richtlinie auf IPS-PRINTS-01 angewendet wurde

  1. Melden Sie sich bei IPS-PRINTS-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    netsh IPsec static show gpoassignedpolicy

  3. Überprüfen Sie, ob die Ausgabe zeigt, dass der Verzeichnisrichtlinienname "IPSEC Boundary Isolation Group IPsec Policy (1.0.041001.1600)" lautet.

Funktionsimplementierungstests

Nachdem die Woodgrove Bank bestätigt hatte, dass die gewünschte Richtlinie auf IPS-PRINTS-01 angewendet worden war, mussten einige grundlegende Funktionstests ausgeführt werden, um sicherzustellen, dass die Richtlinie wie erwartet funktionierte. Woodgrove versuchte, net view-Befehle für die in der nachstehenden Tabelle aufgelisteten Computer auszuführen. Zudem wurde das MMC-Snap-In "IP-Sicherheitsmonitor" verwendet, um zu bestätigen, dass angemessene SAs erstellt wurden. Die folgende Tabelle führt die Zielcomputer für jede Ausführung von net view auf, gibt an, ob diese Erfolg haben oder fehlschlagen sollte, und listet den Typ der verhandelten SA für jeden Computer auf, der Teil der Gruppe mit Zugriff auf verschlüsselte Ressourcen ist.

Hinweis


Wenn Sie versuchen, einen net view-Befehl für einen nicht vertrauenswürdigen Computer auszuführen, müssen Sie Anmeldeinformationen für den lokalen Administrator an den Computer senden.

Tabelle C.18: IPS-PRINTS-01 &#0150; Erwartete Ergebnisse des Funktionstests

Zielcomputer

Ergebnis

Ausgehandelte SA

IPS-UT-XP-03

Erfolgreich

Schwache SA

IPS-TZ-XP-01

Erfolgreich

Starke SA

IPS-SQL-DFS-01

Fehlgeschlagen

Keine

So testen Sie die Funktionalität der Implementierung auf Zielcomputern

  1. Melden Sie sich bei IPS-PRINTS-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-PRINTS-01 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Öffnen Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Konfigurieren der Isolierungsdomäne als Standardisolierungsgruppe

Vor dem Ausführen der Funktionstests konfigurierten die Administratoren der Woodgrove Bank die Sicherheit für die Isolierungsdomäne so, dass diese für alle Domänencomputer angewendet wird. Hierdurch wurde sichergestellt, dass neue Computer, die der Domäne hinzugefügt werden, automatisch in die Isolierungsdomäne aufgenommen werden, sofern sie nicht aufgrund bestimmter Anforderungen in eine andere Isolierungsgruppe platziert werden.

Zudem wurde die Gruppe der Domänencomputer aus der Gruppe "CG_BoundaryIG_computers" entfernt.

So entfernen Sie Domänencomputer aus der Gruppe "CG_BoundaryIG_computers"

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.

  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.

  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe CG_BoundaryIG_computers, und wählen Sie Eigenschaften.

  4. Klicken Sie auf die Registerkarte Mitglieder, klicken Sie auf die Gruppe Domänencomputer, und wählen Sie Entfernen.

  5. Klicken Sie auf Ja, um die Gruppe zu entfernen.

  6. Klicken Sie auf OK.

    Hinweis


    Aufgrund der Replikationsverzögerungen und der Abfragefrequenz der IPSec-Richtlinien entsteht eine Verzögerung zwischen dem Entfernen der Gruppe aus der Gruppe "CG_BoundaryIG_computers" und dem Entfernen der Richtlinie "Boundary Isolation Group Policy". Der Computer kann zu diesem Zeitpunkt neu gestartet werden, falls die IPSec-Richtlinie sofort angewendet werden muss. Andernfalls wird die Richtlinie angewendet, nachdem das Zeitlimit des Sitzungstickets überschritten wurde; die Richtlinie wird dann durch die Informationen zu der neuen lokalen Gruppenmitgliedschaft aktualisiert.

So fügen Sie der Gruppe "CG_IsolationDomain_computers" Domänencomputer hinzu

  1. Starten Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer" als Domänenadministrator der Domäne "Americas" auf IPS-CH-DC-01.

  2. Erweitern Sie die Domäne, und klicken Sie auf Benutzer.

  3. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf die Sicherheitsgruppe CG_IsolationDomain_computers, und wählen Sie Eigenschaften.

  4. Klicken Sie auf die Registerkarte Mitglieder, und wählen Sie Hinzufügen.

  5. Geben Sie "Domänencomputer" in das Textfeld Geben Sie die zu verwendenden Objektnamen ein ein, und klicken Sie auf OK.

  6. Klicken Sie auf OK.

    Hinweis


    Aufgrund der Replikationsverzögerungen und der Abfragefrequenz der IPSec-Richtlinien entsteht eine Verzögerung zwischen dem Hinzufügen der Domänencomputergruppe zu der Gruppe "CG_IsolationDomain_computers" und dem Anwenden der Richtlinie "Isolation Domain Group Policy". Der Computer kann zu diesem Zeitpunkt neu gestartet werden, falls die IPSec-Richtlinie sofort angewendet werden muss. Andernfalls wird die Richtlinie angewendet, nachdem das Zeitlimit des Sitzungstickets überschritten wurde; die Richtlinie wird dann durch die Informationen zu der neuen lokalen Gruppenmitgliedschaft aktualisiert.

Umstellen der Reihenfolge für die IPSec-Richtlinienverknüpfungen

Um sicherzustellen, dass die korrekten Richtlinien auf die Hosts angewendet werden, muss die Verknüpfungsreihenfolge der IPSec-Richtlinien aktualisiert werden. Dies hängt mit der Tatsache zusammen, dass die Richtlinie als Standardrichtlinie "Standard Isolation Group Policy" vorgesehen ist und nicht die Richtlinie "Boundary Isolation Group Policy", die während der ursprünglichen Bereitstellung als Standardrichtlinie verwendet wurde.

So verknüpfen Sie die IPSec-Richtlinien mit den vorhandenen GPOs

  1. Starten Sie die GPMC als Domänenadministrator.

  2. Erweitern Sie die Domäne.

  3. Klicken Sie auf den Domänennamen.

  4. Ordnen Sie die Richtlinien in der Liste Verknüpfte Gruppenrichtlinienobjekte mithilfe der Pfeiltasten, wie in der folgenden Tabelle gezeigt.

    Tabelle C.19: Verknüpfungsreihenfolge der Gruppenrichtlinienobjekte auf Domänenebene

    Verknüpfungsreihenfolge

    Gruppenrichtlinienobjekt-Name

    1

    IPSEC Encryption Isolation Group Policy

    2

    IPSEC No Fallback Isolation Group Policy

    3

    IPSEC – Boundary Isolation Group Policy

    4

    IPSEC Isolation Domain Policy

    5

    Standarddomänenrichtlinie

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Endgültige Funktionstests nach Aktivierung sämtlicher Isolierungsgruppen

Nachdem die Woodgrove Bank alle Isolierungsgruppen aktiviert hatte, mussten einige grundlegende Funktionstests durchgeführt werden, um sicherzustellen, dass die Richtlinien wie geplant funktionierten. Obgleich beim Implementieren der einzelnen Richtlinien bereits einige Basistests durchgeführt worden waren, konnten die Administratoren der Woodgrove Bank keinen vollständigen Funktionstest durchführen, da die Isolierungsgruppen einzeln aktiviert wurden. Die Administrators versuchten, net view-Befehle mit einem oder mehreren Computern in den einzelnen Isolierungsgruppen für Computer in anderen Isolierungsgruppen auszuführen, um zu prüfen, ob die entsprechende Konnektivität vorhanden war. In manchen Isolierungsgruppen wurden mehrere Computer ausgewählt, da je nach Status (Initiator oder Responder) unterschiedliche Datenverkehrsmuster vorlagen. Zudem verwendeten die Administratoren das MMC-Snap-In "IP-Sicherheitsmonitor", um zu bestätigen, dass angemessene SAs erstellt wurden.

Die folgende Tabelle führt die Zielcomputer für jede Ausführung von net view auf, gibt an, ob diese Erfolg haben oder fehlschlagen sollte, und listet den Typ der ausgehandelten SA für jeden Computer auf, der zu Testzwecken ausgewählt wurde.

Hinweis


Wenn Sie versuchen, einen net view-Befehl für nicht vertrauenswürdige Computer auszuführen, müssen Sie Anmeldeinformationen für den lokalen Administrator an den Computer senden.

Das im Folgenden beschriebene Verfahren testet die Konnektivität von IPS-SQL-DFS-01 (fungiert als Initiator) zu diversen Computern in anderen Isolierungs- und Netzwerkzugriffsgruppen.

Tabelle C.20: IPS-SQL-DFS-01 &#0150; Erwartete Ergebnisse des Funktionstests

Zielcomputer

Ergebnis

Ursache

Ausgehandelte SA

IPS-ST-XP-05

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA mit Verschlüsselung

IPS-TZ-XP-01

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA mit Verschlüsselung

IPS-PRINTS-01

Erfolgreich

Computer kann IPSec erfolgreich aushandeln.

Starke SA mit Verschlüsselung

IPS-UT-XP-03

Fehlgeschlagen

Initiator unterstützt nicht das Zurückgreifen auf unsichere Verbindung.

Keine

So testen Sie die Konnektivität von Zielcomputern aus

  1. Melden Sie sich bei IPS-SQL-DFS-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-SQL-DFS-01 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Das im Folgenden beschriebene Verfahren testet die Konnektivität von IPS-TX-XP-06 (fungiert als Initiator) zu diversen Computern in anderen Isolierungs- und Netzwerkzugriffsgruppen.

Tabelle C.21: IPS-TZ-XP-06 &#0150; Erwartete Ergebnisse der Funktionstests

Zielcomputer

Ergebnis

Ursache

Ausgehandelte SA

IPS-SQL-DFS-01

Fehlgeschlagen

Responder ist Teil der Gruppe mit Zugriff auf verschlüsselte Ressourcen.

Keine

IPS-ST-XP-05

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-TZ-XP-01

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-PRINTS-01

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-UT-XP-03

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Schwache SA

So testen Sie die Konnektivität von Zielcomputern aus

  1. Melden Sie sich bei IPS-TZ-XP-06 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-TZ-XP-06 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Das im Folgenden beschriebene Verfahren testet die Konnektivität von IPS-ST-XP-06 (fungiert als Initiator) zu diversen Computern in anderen Isolierungsgruppen.

Tabelle C.22: IPS-ST-XP-05 &#0150; Erwartete Ergebnisse der Funktionstests

Zielcomputer

Ergebnis

Ursache

Ausgehandelte SA

IPS-SQL-DFS-01

Erfolgreich

Initiator ist Teil der Gruppe mit Zugriff auf verschlüsselte Ressourcen.

Starke SA mit Verschlüsselung

IPS-TZ-XP-01

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-PRINTS-01

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-UT-XP-03

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Schwache SA

So testen Sie die Konnektivität von Zielcomputern aus

  1. Melden Sie sich bei IPS-ST-XP-05 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-ST-XP-05 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Das im Folgenden beschriebene Verfahren testet die Konnektivität von IPS-TZ-XP-01 (fungiert als Initiator) zu diversen Computern in anderen Isolierungs- und Netzwerkzugriffsgruppen.

Tabelle C.23: IPS-TZ-XP-01 &#0150; Erwartete Ergebnisse des Funktionstests

Zielcomputer

Ergebnis

Ursache

Ausgehandelte SA

IPS-SQL-DFS-01

Fehlgeschlagen

Responder ist Teil der Gruppe mit Zugriff auf verschlüsselte Ressourcen.

Keine

IPS-ST-XP-05

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-PRINTS-01

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-UT-XP-03

Erfolgreich

Initiator unterstützt das Zurückgreifen auf unsichere Verbindung.

Schwache SA

So testen Sie die Konnektivität von Zielcomputern aus

  1. Melden Sie sich bei IPS-TZ-XP-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das IP-Sicherheitsmonitor-Tool, erweitern Sie IP-Sicherheitsmonitor, IPS-TZ-XP-01 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Das im Folgenden beschriebene Verfahren testet die Konnektivität von IPS-LT-XP-01 (fungiert als Initiator) zu diversen Computern in anderen Isolierungs- und Netzwerkzugriffsgruppen.

Tabelle C.24: IPS-LT-XP-01 &#0150; Erwartete Ergebnisse des Funktionstests

Zielcomputer

Ergebnis

Ursache

Ausgehandelte SA

IPS-SQL-DFS-01

Fehlgeschlagen

Responder ist Teil der Gruppe mit Zugriff auf verschlüsselte Ressourcen.

Keine

IPS-ST-XP-05

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-TZ-XP-01

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-UT-XP-03

Fehlgeschlagen

Initiator unterstützt nicht das Zurückgreifen auf unsichere Verbindung.

Keine

So testen Sie die Konnektivität von Zielcomputern aus

  1. Melden Sie sich bei IPS-LT-XP-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-LT-XP-01 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Das im Folgenden beschriebene Verfahren testet die Konnektivität von IPS-PRINTS-01 (fungiert als Initiator) zu diversen Computern in anderen Isolierungsgruppen.

Tabelle C.25: IPS-PRINTS-01 &#0150; Erwartete Ergebnisse des Funktionstests

Zielcomputer

Ergebnis

Ursache

Ausgehandelte SA

IPS-SQL-DFS-01

Fehlgeschlagen

Responder untersagt ausdrücklich den Zugriff auf Hosts der Domänengrenze. Responder ist Teil der Gruppe mit Zugriff auf verschlüsselte Ressourcen.

Keine

IPS-ST-XP-05

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-TZ-XP-01

Erfolgreich

Computer können IPSec erfolgreich aushandeln.

Starke SA

IPS-UT-XP-03

Erfolgreich

Initiator unterstützt das Zurückgreifen auf unsichere Verbindung.

Schwache SA

So testen Sie die Konnektivität von Zielcomputern aus

  1. Melden Sie sich bei IPS-PRINTS-01 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-PRINTS-01 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

    net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für IPS-UT-XP-03 Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Das im Folgenden beschriebene Verfahren testet die Konnektivität von IPS-UT-XP-03 (fungiert als Initiator) zu diversen Computern in anderen Isolierungs- und Netzwerkzugriffsgruppen.

Tabelle C.26: IPS-UT-XP-03 &#0150; Erwartete Ergebnisse der Funktionstests

Zielcomputer

Ergebnis

Ursache

Ausgehandelte SA

IPS-SQL-DFS-01

Fehlgeschlagen

Responder unterstützt nicht das Zurückgreifen auf unsichere Verbindung und eingehendes Passthrough. Responder ist Teil der Gruppe mit Zugriff auf verschlüsselte Ressourcen.

Keine

IPS-ST-XP-05

Fehlgeschlagen

Responder unterstützt nicht das Zurückgreifen auf unsichere Verbindung und eingehendes Passthrough.

Keine

IPS-TZ-XP-01

Fehlgeschlagen

Responder unterstützt nicht das Zurückgreifen auf unsichere Verbindung und eingehendes Passthrough.

Keine

IPS-PRINTS-01

Erfolgreich

Responder unterstützt das Zurückgreifen auf unsichere Verbindung und eingehendes Passthrough.

Schwache SA

So testen Sie die Konnektivität von Zielcomputern aus

  1. Melden Sie sich bei IPS-UT-XP-03 als Domänenadministrator der Domäne "Americas" an.

  2. Starten Sie das MMC-Snap-In "IP-Sicherheitsmonitor", erweitern Sie IP-Sicherheitsmonitor, IPS-UT-XP-03 und Schnellmodus, und klicken Sie auf Sicherheitszuordnungen.

  3. Starten Sie eine Eingabeaufforderung, und führen Sie den folgenden Befehl aus:

     net view \\<Target Computer>

    Hinweis


    Stellen Sie sicher, dass für alle domänenbasierten Computer Anmeldeinformationen des lokalen Administrators mit dem net view-Befehl gesendet werden.

  4. Überprüfen Sie mithilfe des MMC-Snap-Ins "IP-Sicherheitsmonitor" das Feld Sicherheitszuordnungen für jede erfolgreiche Verbindung, um sicherzustellen, dass die jeweils angemessene SA ausgehandelt wurde.

  5. Wiederholen Sie die Schritte 3 bis 4 für jeden in der oben stehenden Tabelle aufgeführten <Zielcomputer>.

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

Zusammenfassung

Nachdem Sie alle Aufgaben dieses Anhangs beendet haben, haben Sie Folgendes erreicht:

  • Erstellen der Filterlisten, Filteraktionen, Regeln und IPSec-Richtlinien in Active Directory
  • Konfigurieren der GPOs in Active Directory für die ordnungsgemäße Anwendung der IPSec-Richtlinien
  • Ausführen eines schrittweisen Rollouts der Isolierungsgruppe "Domänengrenze" und der Isolierungsdomäne für das gesamte Unternehmen
  • Konfigurieren verschiedener Isolierungsgruppen zur Steuerung des Responderzugriffs
  • Aktivieren und Testen der Isolierungsdomäne
  • Aktivieren und Testen der Isolierungsgruppe "Kein Klartext"
  • Aktivieren und Testen der Isolierungsgruppe "Verschlüsselung"
  • Aktivieren und Testen der Isolierungsgruppe "Domänengrenze"

Dn308971.590B5404BFEA7F06684DB47B00539355(de-de,TechNet.10).pngZum Seitenanfang

| Home | Technische Artikel | Community