Windows-Firewall mit erweiterter Sicherheit-Entwurfshandbuch
Betrifft: Windows Server 2012
Windows-Firewall mit erweiterter SicherheitinWindows Server 2012Windows Server 2008 R2Windows Server 2008Windows 8Windows 7undWindows Vistaist eine Hostfirewall, die dabei hilft, den Computer auf zwei Arten zu sichern. Zunächst kann den Netzwerkverkehr gestattet, geben Sie den Computer aus dem Netzwerk zu filtern, und auch steuern, welcher Netzwerkverkehr, der der Computer mit dem Netzwerk senden darf. ZweitensWindows-Firewall mit erweiterter Sicherheitunterstützt IPsec, ermöglicht es Ihnen, die Authentifizierung von jedem Computer, der versucht, mit dem Computer kommunizieren. Wenn Authentifizierung erforderlich ist, können keine Computer, die nicht authentifiziert werden können mit dem Computer kommunizieren. Mithilfe von IPsec können Sie auch festlegen, dass bestimmte Netzwerkdatenverkehr verschlüsselt werden, um zu verhindern, dass es gelesen oder abgefangen wird, während bei der Übertragung zwischen Computern.
Die Schnittstelle fürWindows-Firewall mit erweiterter Sicherheitist viel fähig und flexibler als die benutzerfreundliche Schnittstelle finden Sie in der Windows-Firewall-Systemsteuerung. Sie sowohl die gleichen zugrunde liegenden Dienste interagieren, sondern bieten verschiedene Ebenen der Kontrolle über diese Dienste. Während der Windows-Firewall-Systemsteuerung den Anforderungen für den Schutz von einem einzelnen Computer in einer privaten Umgebung entspricht, bietet es keine genug zentralisierte Management- oder -Funktionen, um komplexere Netzwerkdatenverkehr finden Sie in einem Unternehmen üblicherweise Enterprise-Umgebung zu schützen.
Weitere Informationen zuWindows-Firewall mit erweiterter SicherheitundWindows-Firewall mit erweiterter Sicherheit: Übersicht.
Informationen zum Handbuch
In diesem Handbuch empfohlenen helfen Ihnen beim auswählen oder erstellen einen Entwurf für die Bereitstellung vonWindows-Firewall mit erweiterter Sicherheitin der Enterprise-Umgebung. Das Handbuch beschreibt einige der allgemeinen Ziele für die Verwendung vonWindows-Firewall mit erweiterter Sicherheitund klicken Sie dann ordnen Sie die Ziele, die für Ihr Szenario auf die Entwürfe gelten, die in diesem Handbuch beschriebenen hilft.
Dieses Handbuch ist für IT-Experten gedacht, die die Aufgabe der Bereitstellung von Firewall und IPsec-Technologien auf das Netzwerk einer Organisation zur Einhaltung der Sicherheitsziele für die Organisation zugewiesen wurde.
Windows-Firewall mit erweiterter Sicherheitsollte Teil einer umfassenden Lösung, die eine Vielzahl von Sicherheitsfeatures, wie z. B. Umkreisfirewalls, Systeme zur Erkennung von Eindringversuchen, virtuelle private Netzwerke (VPN), IEEE 802.1 X-Authentifizierung für drahtlose und verdrahtete Verbindungen und IPsec-Verbindungssicherheitsregeln implementiert.
Um dieses Handbuch erfolgreich verwenden zu können, benötigen Sie ein gutes Verständnis der beiden die Funktionen vonWindows-Firewall mit erweiterter Sicherheitund wie Sie Einstellungen auf verwalteten Computern mithilfe von Gruppenrichtlinien in Active Directory zu übermitteln.
Können Sie die Bereitstellungsziele Formular einen der folgendenWindows-Firewall mit erweiterter SicherheitEntwürfe oder ein benutzerdefiniertes Design, das Elemente aus den hier vorgestellten kombiniert:
Design der Basisfirewall. Beschränkt den Netzwerkverkehr und die Computer, die benötigt und autorisiert ist.
Design der domänenisolationsrichtlinie. Verhindert, dass Computer, die Domänenmitglieder Empfang von unerwünschten Netzwerkverkehr aus Computern, die keine Domänenmitglieder sind. Zusätzliche "Zonen" wird festgelegt, wie z. B. die speziellen Anforderungen von einigen Computern unterstützen:
"Grenzzone" für Computer, die empfangen werden müssen, fordert von nicht-isolierten Computern.
Eine "Verschlüsselung Zone" für Computer speichern, die vertrauliche Daten, die während der Übertragung im Netzwerk geschützt werden müssen.
Design der domänenisolationsrichtlinie Server. Beschränkt den Zugriff auf einen Server, nur eine eingeschränkte Gruppe von autorisierten Benutzern und Computern. Im Allgemeinen als eine Zone in einer Domain Isolation-Design konfiguriert, aber auch als eigenständige Design bietet viele der Vorteile der Isolation von Domänen zu einer kleinen Gruppe von Computern konfiguriert werden.
Design der Zertifikat-basierte Isolation. Dieser Entwurf ist eine Ergänzung zu einem der zwei vorherigen Entwürfe und einer ihrer Funktionen unterstützt. Es verwendet kryptografische Zertifikate, die für Clients und Server für die Authentifizierung statt der Kerberos V5-Authentifizierung verwendet wird, wird standardmäßig in Active Directory bereitgestellt werden. Dies ermöglicht Computern, die nicht Teil einer Active Directory-Domäne, z. B. Computer mit Betriebssystemen als Windows, zur Teilnahme an der Isolierung Projektmappe sind.
Zusätzlich zur Beschreibung und Beispiel für jedes Design finden Sie Richtlinien für die erforderliche Daten zu Ihrer Umgebung sammeln. Anschließend können Sie die folgenden Richtlinien zum Planen und Entwerfen IhrerWindows-Firewall mit erweiterter SicherheitBereitstellung. Nachdem Sie dieses Handbuch gelesen und Fertig stellen erfassen, dokumentieren und Zuordnen von Anforderungen Ihres Unternehmens, haben Sie die Informationen, die Sie bereitstellen beginnen müssenWindows-Firewall mit erweiterter Sicherheitmit der Anleitung in derWindows-Firewall mit erweiterter Sicherheit-Bereitstellungshandbuch.
Sie finden dieWindows-Firewall mit erweiterter SicherheitDeployment Guide an folgenden Speicherorten:
(Webseite)
(Herunterladbares Word-Dokument)
Terminologie in dieser Anleitung
Die folgende Tabelle identifiziert und in diesem Handbuch verwendeten Begriffe definiert.
Begriff |
Definition |
|---|---|
Active Directory-Domäne |
Eine Gruppe von Computern und Benutzern, die von einem Administrator mithilfe von Active Directory-Domänendienste (AD DS) verwaltet. Computer in einer Domäne gemeinsam nutzen eine gemeinsame Verzeichnis und gemeinsame Sicherheitsrichtlinien. Mehrere Domänen können in einer "Gesamtstruktur" mit Vertrauensstellungen bestehen, die die Gesamtstruktur als Sicherheitsgrenze einzurichten. |
Authentifizierung |
Ein Vorgang, den Absender einer Nachricht an den Empfänger seine Identität nach ermöglicht. Zur der verbindungssicherheit in Windows wird die Authentifizierung von der IPsec-Protokollsuite implementiert. |
Begrenzung zone |
Eine Teilmenge von Computern in einer isolierten Domäne, die nicht angeforderten und nicht authentifizierte Datenverkehr von Computern empfangen, die nicht Mitglieder der isolierten Domäne sind sein müssen. Computer in der Grenzzone anfordern, aber es ist keine Authentifizierung erforderlich. Sie verwenden Sie IPsec für die Kommunikation mit anderen Computern in der Domäne isoliert. |
Verbindungssicherheitsregel |
Eine Regel inWindows-Firewall mit erweiterter Sicherheitenthält eine Reihe von Bedingung und eine Aktion auf Pakete angewendet werden, die den Suchkriterien übereinstimmen. Die Aktion kann das Paket zulassen, blockieren das Paket oder erfordern das Paket durch IPsec geschützt werden. In früheren Versionen von Windows wurde dies bezeichnet einIPsec-Regel. |
Zertifikat-basierte isolation |
Eine Möglichkeit zum Hinzufügen von Computern, die Kerberos V5-Authentifizierung nicht mithilfe einer alternativen Authentifizierungstechnik isolierten Domäne verwenden können. Alle Computer in der isolierten Domäne und die Computer, die Kerberos V5 verwendet werden können, werden mit einem Computerzertifikat, das verwendet werden kann, um miteinander zu authentifizieren bereitgestellt. Zertifikat-basierte Isolation ist eine Möglichkeit zum Erstellen und verteilen ein entsprechendes Zertifikat (Wenn Sie nicht von einem kommerziellen Zertifikatanbieter kaufen) erforderlich. |
Domänenisolation |
Ein Verfahren zum Schutz der Computer in einer Organisation dadurch, dass die Computer die Identität des jeweils anderen, authentifizieren bevor Sie den Austausch von Informationen und verweigert Verbindungsanfragen von Computern, die nicht authentifiziert werden. Domänenisolation nimmt die Vorteile von Active Directory-Domänenmitgliedschaft und das Kerberos V5-Authentifizierungsprotokoll verfügbar für alle Mitglieder der Domäne. Siehe auch "Isolierten Domäne" in dieser Tabelle. |
Verschlüsselung zone |
Eine Teilmenge von Computern in einer isolierten Domäne, die vertrauliche Daten verarbeiten. Computer, die Teil der Zone Verschlüsselung verfügen alle Netzwerkverkehr, um zu verhindern, dass bei der Anzeige von nicht autorisierten Benutzern verschlüsselt. Computer, die Teil der Zone für die Verschlüsselung auch in der Regel sind werden die zugriffssteuerungseinschränkungen der Serverisolation. |
Firewall-Regel |
Eine Regel inWindows-Firewall mit erweiterter Sicherheitenthält eine Reihe von Situationen verwendet, um zu bestimmen, ob ein Netzwerkpaket darf die Firewall passieren. In der Standardeinstellung die Firewall-RegelnWindows Server 2012Windows Server 2008 R2Windows Server 2008Windows 8Windows 7undWindows Vistanicht angeforderten eingehenden Netzwerkdatenverkehr blockieren. Ebenso ist in der Standardeinstellung alle ausgehenden Netzwerkverkehr zulässig. Die früheren Versionen von Windows-Firewall gefiltert nur eingehenden Netzwerkdatenverkehr. |
Internet Protocol Security (IPsec) |
Ein Satz von Schutz für Industriestandards und Kryptographie basierenden Diensten und Protokollen. IPsec schützt alle Protokolle der TCP/IP-Protokollsuite mit Ausnahme der Address Resolution Protocol (ARP). |
IPsec-Richtlinie |
Eine Auflistung von Verbindungssicherheitsregeln, die den erforderlichen Schutz aktivieren und Deaktivieren des Computers den Netzwerkverkehr zu bieten. Der Schutz bietet die Authentifizierung des senden und Empfangen von Computer, Schutz der Integrität des Netzwerkverkehrs zwischen ihnen ausgetauscht, und kann die Verschlüsselung enthalten. |
Isolierten Domäne |
Active Directory-Domäne (oder ein Active Directory-Gesamtstruktur oder eine Gruppe von Domänen mit bidirektionaler Vertrauensstellungen), das über Gruppenrichtlinien angewendet werden, um deren Mitgliedscomputern schützen, mithilfe von IPsec-Verbindungssicherheitsregeln verfügt. Mitglieder der isolierten Domäne erfordern eine Authentifizierung auf alle nicht angeforderten eingehenden Verbindungen (mit Ausnahmen, die von anderen Zonen behandelt). In diesem Handbuch wird der Begriffisolierten Domänebezieht sich auf die IPsec-Konzept einer Gruppe von Computern, die Authentifizierung freigeben können. Der BegriffActive Directory-Domänebezieht sich auf die Gruppe von Computern, die eine Sicherheitsdatenbank mithilfe von Active Directory. |
Serverisolation |
Eine Technik für die Verwendung der Gruppenmitgliedschaft den um Zugriff auf einen Server zu beschränken, die in der Regel bereits Mitglied einer isolierten Domäne ist. Der zusätzliche Schutz stammen von Anmeldeinformationen für die Authentifizierung des anfordernden Computers verwenden, um die Gruppenmitgliedschaft zu bestimmen und dann den Zugriff nur erlaubt, wenn das Computerkonto (und optional das Benutzerkonto) ein Mitglied einer autorisierten Gruppe ist. |
Angeforderter Netzwerkverkehr |
Netzwerkverkehr, der als Antwort auf eine Anforderung gesendet wird. In der StandardeinstellungWindows-Firewall mit erweiterter Sicherheitüber alle angeforderten Netzwerkdatenverkehr zulässt. |
Nicht angeforderten Netzwerkverkehr |
Netzwerkverkehr, die Antwort ist auf eine frühere Anforderung und der empfangende Computer kann nicht notwendigerweise erwarten. In der StandardeinstellungWindows-Firewall mit erweiterter Sicherheitblockiert alle nicht angeforderten Netzwerkverkehr. |
Zone |
Eine Zone ist eine logische Gruppierung von Computern, die aufgrund ihrer Kommunikation Anforderungen allgemeine IPsec-Richtlinien zu teilen. Beispielsweise ermöglicht die Begrenzung Zone eingehende Verbindungen von nicht vertrauenswürdigen Computern. Die Zone Verschlüsselung erfordert, dass alle Verbindungen verschlüsselt werden. Dies bezieht sich nicht auf den Begriff Zone von Domain Name System (DNS) verwendet. |
Weiter: Grundlegendes zu Windows-Firewall mit erweiterter Sicherheit-Entwurfsprozess