.png "Działanie izolacji domen w Microsoft Windows")
.png "Jak działa izolacja domen"){kind=icon}
Działanie izolacji domen w Microsoft Windows - Wstęp .png "Udostępnij na: Facebook")
Opublikowano: 10 września 2007
Zawartość strony
.gif){kind=icon} |
Omówienie zagadnienia |
|
Korzyści |
|
Zasady Grupy |
|
Przeczytaj pozostałe części tej publikacji |
Omówienie zagadnienia
Funkcja izolacji domen korzystając z domeny usługi katalogowej Active Directory®, członkostwa domen i ustawień Zasad Grupy egzekwuje zasady sieciowe, zgodnie z którymi komputery należące do domeny mogą przyjmować przychodzące żądania komunikacyjne wyłącznie od urządzeń mogących się uwierzytelnić za pomocą poświadczeń domeny. Zasada ta izoluje komputery należące do domeny od komputerów spoza niej.
Izolacja domeny tworzy dodatkową warstwę ochronną dla ruchu sieciowego. Technologie zabezpieczające, np. IEEE 802.1X, wymagają, by komputer uwierzytelnił się przed wysłaniem danych w sieci. Jednak technologia 802.1X nie chroni ruchu pochodzącego od komputera uwierzytelnionego za jej pomocą, kiedy ten znajdzie się już w sieci. Technologia Secure Sockets Layer (SSL) zapewnia uwierzytelnianie komputerów i poufność danych (szyfrowanie) dla aplikacji klienckich i serwerowych, które są z nią zgodne. Jednak wymóg zgodności z SSL ogranicza zakres zastosowań tej technologii. Podczas gdy 802.1X działa w warstwie łącza danych modelu Open Systems Interconnections (OSI), a SSL w warstwie aplikacji, izolacja domen funkcjonuje w warstwie sieci, zapewniając dodatkową ochronę ruchu opartego na technologii IP. Organizacje często wysyłające poufne dane przez sieć – na przykład firmy działające na rynku usług finansowych lub służby zdrowia, a także instytucje rządowe – potrzebują dodatkowej ochrony tej warstwy.
.gif){kind=icon}
Do początku strony
Korzyści
Izolacja domen zapewnia wiele korzyści:
Ograniczenie połączeń przychodzących do komputerów należących do domeny.
W Microsoft® Windows® można zarządzać komputerem należącym do domeny Active Directory, centralnie konfigurując ustawienia Zasad Grupy stosowane do wszystkich komputerów w domenie. Na komputerach należących do domeny można także wdrażać aktualizacje zabezpieczeń, np. aktualizacje systemu i nowe sygnatury wirusów. Komputery należące do domeny do komunikacji pomiędzy sobą używają poświadczeń domeny. Komputery nie należące do domeny – samodzielne, nieznane czy komputery-goście – nie dysponują takimi poświadczeniami i dlatego nie mogą uwierzytelnić komunikacji z domeną.
Wzmocnienie innych mechanizmów zabezpieczających przed niechcianą komunikacją.
Izolacja domen uzupełnia zabezpieczenia zapewniane przez inne technologie używane w sieci. Jeśli na przykład atakujący pokona zaporę sieciową, izolacja domeny uniemożliwi bezpośrednią komunikację z izolowanymi hostami.
Zachęcanie do dołączenia się do domeny.
Umieszczając najważniejsze serwery, np. serwery pocztowe, w domenie izolowanej, można zapobiec łączeniu się z nimi użytkowników z komputera nie należącego do tej domeny. Aby uzyskać ważne poświadczenia, umożliwiające uwierzytelnienie na izolowanych serwerach, konieczne jest połączenie komputera z domeną. Po połączeniu z domeną komputerem takim można zarządzać na inne sposoby, np. upewniając się, że ma on najnowsze aktualizacje systemu operacyjnego i oprogramowania antywirusowego.
Ochrona ruchu pomiędzy komputerami należącymi do domeny.
Ruch pomiędzy komputerami w domenie jest chroniony za pomocą szyfrowania, dzięki czemu komputer odbierający może sprawdzić, czy pakiet został wysłany przez uwierzytelniony komputer i czy nie został zmodyfikowany po wysłaniu. Opcjonalnie ruch pomiędzy komputerami w domenie może być zaszyfrowany, co chroni przed atakującymi, usiłującymi przechwycić i odczytać przesyłane dane.
Do początku strony
Zasady Grupy
Aby włączyć izolację domen, należy skonfigurować ustawienia Zasad Grupy w taki sposób, aby wymagać, by wszystkie przychodzące żądania połączeń i następujące po nich dane były uwierzytelniane i chronione za pomocą technologii IPsec. IPsec chroni ruch przed fałszowaniem adresu, iniekcją danych, atakiem metodą powtórzeń, przejmowaniem sesji i innymi sposobami fałszowania danych. Opcjonalnie można włączyć szyfrowanie pakietów. Można także skonfigurować wyjątki, dzięki którym wybrane komputery nie należące do domeny będą mogły komunikować się z izolowanymi hostami.
Do początku strony
Przeczytaj pozostałe części tej publikacji
| Do początku strony |