更改管理
更改管理流程的一個主要目標是確保受即將實施的更改影響的所有各方都注意到並了解更改所產生的影響 由於大多數系統是密切相關的在系統的一個部分中進行的更改可能會對另一部分產生深遠影響 為了緩解或消除所有負面影響更改管理將在部署更改前先嘗試確定所有受影響的系統和過程 通常目標(或托管)環境是生產環境但還應該包括關鍵集成環境測試環境和臨時環境
對 IPsec 環境的所有更改都應遵循以下標准 MOF 更改管理過程
更改請求 通過提交更改請求 (RFC)正式啟動更改
更改分類 根據更改在基礎結構或用戶方面的緊急程度和影響程度來分配更改的優先級和類別 這一指定會影響實施速度和路由
更改授權 由更改管理者和擁有 IT 與業務代表的更改審批委員會 (CAB) 考慮更改並批准或否決它
更改開發 規劃和開發更改的過程其規模有大有小並包括關鍵的階段性審核
更改發布 將更改發布並部署到生產環境
更改審查 實施過程後的行為它審核更改是否達到了為其設定的目標並確定是保持更改有效還是取消
下節描述在您的 IPsec 環境中很可能需要定期進行的某些關鍵更改的更改開發過程 每個更改開發過程都將有一個配套的更改發布過程來描述如何將更改部署到生產中
更改 IPsec 策略
了解在 IPsec 策略中所進行的更改如何影響通信是很重要的 在初始部署時首先要考慮的問題是更改時間因為這個時間會影響實施更改的能力及回滾更改的時間段
策略應用延遲
當組策略對象 (GPO) 中的 IPsec 策略分配被更改為新的 IPsec 策略時會發生某些延遲 有域中包含分配的 GPO 屬性的 Active Directory 復制延遲也有檢測 GPO 中的更改的域成員組策略客戶端的輪詢延遲 這些延遲的范圍從小位置中的不足一分鐘到全球企業中的幾小時不等 Microsoft 建議為您的特定環境測試和記錄這些延遲(最小最大和中等延遲)以便在進行更改時可預計首次影響和整個部署所需的時間
當已分配的 IPsec 策略的內容被更改時也會發生類似的延遲 有 IPsec 策略對象的 Active Directory 復制延遲也有成員計算機上的 IPsec 策略服務的輪詢延遲 可創建這樣一個條件在復制 IPsec 策略之前復制 GPO 中的策略分配這將導致客戶端似乎已分配基於域的 IPsec 策略 — 但它們無法檢索該策略 在這種情況下Windows 和 Windows XP 主機將無法應用基於域的策略 也將無法應用可能被分配的任何本地策略
為了完全地適應 Active Directory 復制延遲請確保先創建所有對象(GPOIPsec 策略等)然後將 IPsec 策略分配到 GPO 中
影響 IPsec 連接性的更改
有很多領域可影響組成 IPsec 解決方案的策略和組內的連接性 本節提供有關在客戶端可能沒有最新更新時從更改服務器策略的角度來看常見更改如何影響 IPsec 連接性的信息 如果某項更改導致 Internet 密鑰交換 (IKE) 主模式或快速模式失敗則一旦當前 IPsec 安全關聯 (SA) 空閒或它們以字節或秒為單位的生命周期已過通信流就會停止
此討論包括大多數更改類型對 IPsec 客戶端服務器功能的影響 不假定 Woodgrove Bank IPsec 策略設計 針對此討論客戶端可能有類似於 Woodgrove Bank 設計(其中客戶端有可啟動 IKE 到服務器的篩選器)的策略或它們可能僅使用默認響應規則(在 Woodgrove 設計中不使用)
主模式更改
更改身份驗證方法或主模式安全措施將導致 IKE 刪除現有主模式但不會影響已建立的快速模式 IPsec SA 重新生成下一個快速模式密鑰時將生成新的主模式 SA
通常服務器策略更改不會影響現有客戶端重新生成主模式密鑰的功能 但對服務器方進行的某些更改會導致 IKE 主模式與客戶端協商失敗這些更改包括
&#
;
更改為新的身份驗證方法(僅適用於證書)不包括客戶端可使用的舊身份驗證方法
&#
;
更改為 DES/SHA/DH 或 DH在客戶端被配置為僅使用 DES/SHA/DH 時作為主模式安全措施
&#
;
激活主模式完全向前保密 (PFS)不更新客戶端和服務器策略以避免二者都使用主模式 PFS
&#
;
激活快速模式 PFS不更新客戶端和服務器策略避免二者都使用快速模式 PFS
下列服務器策略更改將不影響客戶端重新生成主模式 SA 密鑰的功能
&#
;
策略更改的輪詢間隔(因為不是主模式 IKE 設置)
&#
;
使用相同主密鑰的會話密鑰(例如每個主模式的 IKE 快速模式數量)
&#
;
添加客戶端不知道的新安全措施
&#
;
更改 IKE 主模式 SA 的身份驗證和生成新密鑰生命周期參數的 IPsec 策略高級密鑰交換設置
快速模式更改
在用於 IPsec SA 的篩選器操作中所做的更改將導致在那些策略設置下建立的現有 IPsec SA 被刪除 因此如果通信流正在傳輸則嘗試使用新的快速模式 在此更改過程中可能會丟失一些通信流但 TCP 連接應該會恢復 但在高速傳輸數據時立即刪除 IPsec SA 會導致出站通信流中斷直到建立新的快速模式才恢復正常 例如從視頻數據流突然增加數據包(TCP 無法恢復)將導致視頻應用程序的連接需要重置
以下服務器策略更改將影響活動 IPsec 客戶端重新生成快速模式密鑰的功能
&#
;
將普通篩選器更改為特定篩選器 這種更改的一個示例為服務器以所有通信流篩選器開始再刪除它保留僅 TCP 篩選器 為了避免麻煩添加特定篩選器時保留現有的普通篩選器 例如如果客戶端帶有默認響應策略並且服務器帶有從所有通信流更改為僅 TCP的策略則特定篩選器將取決於服務器上的出站通信流這將在客戶端進行默認響應時為僅 TCP 建立新的 IPsec SA 所有客戶端上的所有通信流篩選器最終將被刪除(兩個小時後)然後可在服務器策略中安全地刪除它
如果服務器添加了具有允許操作的特定篩選器則該通信流將允許立即開始傳輸並且可能被帶有普通 IPsec 默認響應篩選器的客戶端中斷 例如免除 Internet 控制消息協議 (ICMP) 的篩選器已被添加到服務器中但客戶端已確保了到服務器的所有通信流安全 在這種情況下客戶端將確保其出站 ICMP 的安全接收回復的明文 ICMP 並中斷數據包因為當前 IPsec 默認響應篩選器要求所有通信流都必須安全 此特定示例不會影響服務器和客戶端之間的任何通信流(除 ICMP 通信流外)並且將如預期設計的那樣在服務器請求客戶端的所有通信流都安全之後始終生成丟失的 ICMP 通信流 這可能是一個嚴重的操作問題也可能不是
&#
;
在不兼容安全措施之間或封裝類型之間更改 例如從 ESP 傳輸模式的僅 DES/SHA 到 ESP 傳輸模式的僅 DES/MD 通過在新安全措施中包括舊安全措施或封裝類型作為最後的選擇可避免由這種更改類型而導致 IKE 快速模式協商失敗 在觀察到所有 IPsec SA 都在使用新封裝方法之後可刪除安全措施列表底部的舊措施
&#
;
完全禁用客戶端建立 IKE 主模式或快速模式所需的規則 在快速模式下篩選器將被刪除以便其他篩選器或沒有篩選器來管理 IKE 主模式和快速模式協商
&#
;
完全將篩選器操作從協商安全性更改為允許或阻止 明確允許或阻止的通信流將不需要重新生成密鑰因為通信流將不再參與由 IPsec 保護的通信通道
&#
;
清除回退到使用明文復選框 此操作將導致只要軟 SA 持續下去當前連接的客戶端就一直保持連接 SA 到期或空閒後將有更多服務器出站通信流會導致 IKE 嘗試進行新的主模式協商並確定不回退的新設置 不可對 IKE 協商成功響應的客戶端將無法連接 這可能是預定行為
&#
;
清除允許不安全的通信復選框 如果某些客戶端沒有 IPsec 篩選器啟動出站 IKE 主模式則此操作將導致這些客戶端斷開連接 默認響應規則客戶端將一直保持連接直到其動態默認響應篩選器在兩小時沒有通信流傳輸到服務器後空閒下來並無法重新連接時才斷開
下列服務器策略更改將不影響客戶端重新生成快速模式密鑰的功能
&#
;
添加與已在當前 IPsec SA 中的通信流不匹配的篩選器將不影響該通信流 例如如果允許將篩選器添加到域控制器的新 IP 地址的服務器策略中
&#
;
更改以字節或時間為單位的篩選器操作 IPsec SA 生命周期
&#
;
將篩選器操作從允許更改為協商安全性 如果客戶端可響應它們將仍能夠為該通信流協商安全連接
IPsec 策略更改步驟
下列各節提供修改通過使用 GPO 發送的 IPsec 策略的步驟 雖然每個任務給出的步驟使用 IP 安全策略 Microsoft 管理控制台 (MMC) 管理單元但通過使用 Windows Server 系統上的 Netsh 命令行工具也可完成這些任務中的每個任務
Microsoft 建議將 Windows Server 平台作為策略管理站因為該平台提供了用於編制腳本和監視的最佳功能
Windows IPsec 策略導出和導入的目的在於執行備份和恢復 導出功能復制存儲位置中的所有 IPsec 策略對象以確保在備份中捕獲所有相關對象 要將所有當前域策略移到本地存儲中進行測試建議使用導出 因為有可能會出錯因此在使用導出功能之前從本地存儲中刪除每個不想要的對象(包括策略篩選器列表和篩選器操作)時要小心 Microsoft 建議不使用導出的本地存儲來導入到域中因為舊對象版本可能會覆蓋較新域版本並斷開對象之間的鏈接
要創建 IPsec 策略並對現有對象添加重要的內容(如在現有篩選器列表中添加篩選器)時建議使用命令行腳本 通常這種在 IPsec 策略中進行的重要更改應通過創建新的 IPsec 策略版本來完成
創建策略之後可使用腳本或 IPsec 策略管理 MMC 管理單元進行更改 IPsec 策略已創建並可正常工作之後建議使用 IPsec 策略管理 MMC 管理單元進行小改動
由於 Windows 命令行工具 Ipsecpolexe 僅支持創建策略的功能因此可使用 MMC 管理單元來管理 Windows Active Directory 中的更改 在 Netsh 的添加命令中不允許添加具有相同名稱的新對象 出於此原因及由於通常多次運行腳本Netsh 腳本應包括添加新對象之前刪除現有策略對象的初始步驟 刪除不存在的對象將返回預期的錯誤消息該消息不會導致腳本停止執行
刪除已分配給 GPO 的域 IPsec 策略將使 GPO 鏈接無效 GPO 必須被編輯為重新分配 IPsec 策略的最新版本
注雖然下節將討論如何在 Active Directory 中直接修改 IPsec 策略但在生產環境中部署之前假定所有更改已在本地系統或測試環境中進行過測試
更改分配給隔離組的 IPsec 策略
要更改分配給隔離組的 IPsec 策略可用新 IPsec 策略替換當前 IPsec 策略
組策略管理控制台 (GPMC) 用於更改特定 GPO 分發的 IPsec 策略 確定新 IPsec 策略和分發當前策略的 GPO 之後請完成下列步驟
更改分配給隔離組的 IPsec 策略
以域管理員身份登錄到域控制器
啟動 GPMC
依次展開林<域名>域和<域名>
右鍵單擊組策略對象名稱然後單擊編輯
依次展開計算機配置Windows 設置和安全設置然後單擊IP 安全策略在 Active Directory(域名)
在右窗格中右鍵單擊然後單擊指派
確保已指派 然後關閉組策略編輯器和組策略管理控制台
更改域中現有的 IPsec 策略
因為在 Windows XP 中擴展了 IPsec 功能並且在 Windows Server 中也擴展了其功能因此 IPsec 策略存儲格式已更改為包括這些擴展功能的設置 小心不要使用早期版本的 IPsec 策略管理 MMC 管理單元來查看或編輯包含這些擴展功能的策略 查看策略組件時如果單擊了確定則即使沒進行任何更改也會用當前內存中的設置覆蓋現有設置 已在 Windows XP Service Pack 和 Windows Service Pack (SP) 中進行更新以檢測策略的較新版本從而幫助避免出現此潛在問題 但 MMC 管理單元保存更改失敗好像拒絕修改訪問並使用發布產品時存在的錯誤消息 同樣如果運行 MMC 管理單元的用戶僅有 IPsec 策略對象的閱讀權限則發生拒絕訪問錯誤時所有更改都將丟失 不打算進行更改時請使用 Windows Server 中的 IPsec 策略管理 MMC 管理單元的僅閱讀模式 最後在連接到遠程計算機或域時MMC 管理單元不提供輸入其他用戶 ID 和密碼的功能 用戶必須以具有適當權限的某人身份登錄到桌面來進行計劃中的更改
更改現有規則的篩選器列表
多次需要修改現有規則的篩選器列表以添加刪除或修改篩選器項 可使用 IP 安全策略管理 MMC 管理單元來執行此修改 記住篩選器列表中的篩選器順序不影響 IPsec 驅動程序處理數據包的順序 IPsec 策略的所有規則中的所有篩選器列表列出的篩選器都使用權重的內部算法來排序 要進行更改必須手動執行以確保不是創建 IPsec 策略中使用的任何其他篩選器的復制篩選器 作為更改測試過程的一部分此策略應該在計算機上本地分配以便可使用 IPsec 監視器 MMC 管理單元或命令行輸出來查看准確的篩選器順序並檢測復制篩選器
將計算機添加到篩選器列表中
以域管理員身份登錄到域控制器
啟動 IP 安全策略管理 MMC 管理單元並將其集中在域上
用鼠標右鍵單擊IP 安全策略在 Active Directory然後單擊管理 IP 篩選器表和篩選器操作
在管理 IP 篩選器表和操作窗口中的管理 IP 篩選器列表選項卡上單擊免除篩選器列表然後單擊編輯
確保已清除使用添加向導復選框
在IP 篩選器列表對話框中單擊添加
在源地址下拉框中單擊任何 IP 地址
在目標地址下拉框中單擊一個特定的 IP 地址
在IP 地址文本框中鍵入此特定的 IP 地址
確保選中了鏡像復選框
在描述選項卡上鍵入篩選器項的適當說明
單擊確定然後再次單擊確定
關閉 IP 安全策略管理 MMC 管理單元
注將新系統添加到免除篩選器列表中之後應將計算機帳戶添加到 No IPsec 安全組中
在篩選器列表中編輯計算機條目
以域管理員身份登錄到域控制器
啟動 IP 安全策略管理 MMC 管理單元並將其集中在域上
用鼠標右鍵單擊IP 安全策略在 Active Directory然後單擊管理 IP 篩選器表和篩選器操作
在管理 IP 篩選器表和操作窗口中的管理 IP 篩選器列表選項卡上單擊免除篩選器列表然後單擊編輯
確保已清除使用添加向導復選框
在IP 篩選器列表中單擊與 <計算機名稱> 系統相對應的篩選器然後單擊編輯
在IP 地址文本框中將此項更改為新的 IP 地址
單擊確定然後再次單擊確定
關閉 IP 安全策略管理 MMC 管理單元
從篩選器列表中刪除條目
以域管理員身份登錄到域控制器
啟動 IP 安全策略管理 MMC 管理單元並將其集中在域上
用鼠標右鍵單擊IP 安全策略在 Active Directory然後單擊管理 IP 篩選器表和篩選器操作
在管理 IP 篩選器表和操作窗口中的管理 IP 篩選器列表選項卡上單擊免除篩選器列表然後單擊編輯
在IP 篩選器列表中單擊與 <計算機名稱> 系統相對應的篩選器
在IP 篩選器列表對話框中單擊刪除
單擊是刪除篩選器項
單擊確定然後再次單擊確定
關閉 IP 安全策略管理 MMC 管理單元
注將系統從免除篩選器列表中刪除之後應將計算機帳戶從 No IPsec 安全組中刪除
更改現有規則的篩選器操作
IPsec 策略中的每個規則都有一個在規則匹配時執行的對應的篩選器操作 雖然對組合新規則和篩選器操作的計算機分配新的 IPsec 策略是可能的但為 IPsec 策略中現有規則更改篩選器操作則更有意義 例如如果一組計算機有一個自定義 IPsec 策略則更改分配給規則的篩選器操作比生成一個新的 IPsec 策略更有意義
可使用 IP 安全策略管理 MMC 管理單元在 IPsec 策略中配置規則以使用新的篩選器操作
更改現有規則的篩選器操作
以域管理員身份登錄到域控制器
啟動 IP 安全策略管理 MMC 管理單元並將其集中在域上
在右窗格中右鍵單擊然後單擊屬性
在IP 安全規則列表中單擊<規則名稱>然後單擊編輯
在篩選器操作選項卡上的篩選器操作列表中單擊<新篩選器操作>以選擇相鄰的按鈕
單擊確定然後再次單擊確定
關閉 IP 安全策略管理 MMC 管理單元
更改現有規則的身份驗證方法
IPsec 策略中的默認身份驗證方法使用 Kerberos V 協議 隨著時間的推移可能有必要更改與現有規則關聯的身份驗證方法 例如可部署公鑰基礎結構 (PKI) 以便使用證書對計算機進行身份驗證
雖然可選擇的每個身份驗證方法需要的信息都不同但添加身份驗證方法的常規步驟都是相似的 例如要使用預共享密鑰則必須確定此密鑰要使用證書則必須了解證書頒發機構 (CA) 要將新身份驗證選項添加到現有 IPsec 規則中請完成下列步驟
添加選項到現有規則中
以域管理員身份登錄到域控制器
啟動 IP 安全策略管理 MMC 管理單元並將其集中在域上
在右窗格中右鍵單擊然後單擊屬性
在IP 安全規則列表中單擊<規則名稱>然後單擊編輯
在身份驗證方法選項卡上單擊添加
單擊要選擇的新身份驗證選項旁邊的按鈕然後按需要配置所有選項
單擊確定
在身份驗證方法首選順序列表中使用上移和下移按鈕創建身份驗證方法的優先順序
注要刪除身份驗證方法請在身份驗證方法首選順序列表中單擊它然後單擊刪除
單擊確定然後再次單擊確定
關閉 IP 安全策略管理 MMC 管理單元
將新規則添加到現有的 IPsec 策略中
將新規則添加到現有的 IPsec 策略中以進一步限制或允許環境中的計算機之間發生通信 例如如果具有 IPsec 功能的系統需要與特定隔離組中的系統進行通信但不可從 IPsec 基礎結構中獲得其策略則您可對隔離組策略進行更改以允許通信
在此示例中不受管理的 IPsec 主機需要應用到其中允許發生通信的策略 而且必須確定一個共享的身份驗證方法可使用證書或預共享密鑰 在決定使用適當的身份驗證方法之後在現有的 IPsec 策略中可為隔離組創建一個新規則以允許發生通信
必須在目錄中創建新篩選器列表將新篩選器列表與現有策略關聯起來然後配置身份驗證機制以包括選擇的新身份驗證方法
創建新篩選器列表以允許特定計算機進行所有通信
以域管理員身份登錄到域控制器
啟動 IP 安全策略管理 MMC 管理單元並將其集中在域上
用鼠標右鍵單擊IP 安全策略在 Active Directory然後單擊管理 IP 篩選器表和篩選器操作
在管理 IP 篩選器列表選項卡上單擊添加
在名稱文本框中鍵入適當的篩選器列表名稱
在描述文本框中鍵入篩選器列表的適當說明
確保已清除使用添加向導復選框
在IP 篩選器列表對話框中單擊添加
在源地址下拉框中單擊任何 IP 地址
在目標地址下拉框中單擊一個特定的 IP 地址
在IP 地址文本框中鍵入此特定計算機的 IP 地址
確保選中了鏡像復選框
注在默認情況下此步驟創建與從任何 IP 地址到特定 IP 地址的任何通信流匹配的規則 如果需要在特定端口或協議基礎上完成匹配則在協議選項卡上必須完成其他配置
在描述選項卡上鍵入篩選器項的適當說明
單擊確定然後再次單擊確定
修改 IPsec 策略以便使用新的篩選器列表和篩選器操作
右鍵單擊然後單擊屬性
確保已清除使用添加向導復選框
單擊添加
在IP 篩選器列表選項卡上的IP 篩選器列表中單擊新篩選器列表選項按鈕
在篩選器操作選項卡上的篩選器操作列表中單擊篩選器操作選項按鈕
在身份驗證方法選項卡上單擊添加
單擊要選擇的身份驗證方法旁邊的按鈕然後配置需要的所有選項
注選擇的身份驗證方法必須是發起方和響應方都可協商的方法如預共享密鑰或證書 如有必要請從列表中選中 Kerberos 協議然後單擊刪除按鈕這樣就可以刪除該 Kerberos 協議
單擊確定
在身份驗證方法首選順序列表中如果列出了多個身份驗證方法則使用上移和下移按鈕來創建身份驗證方法的優先順序
單擊確定然後再次單擊確定
關閉 IP 安全策略管理 MMC 管理單元
在隔離組之間移動主機
由於各種原因需要定期將主機從一個組移到另一個組 了解根據通信流通信對組成員身份進行更改的含義是很重要的 下列各節描述從組中添加或刪除主機的步驟
在免除列表中添加或刪除主機
通過修改 IPsec 免除篩選器列表和 No IPsec 安全組可將主機添加到免除列表中或從免除列表中刪除主機 為此請按照本章前面的更改現有規則的篩選器列表一節中的步驟執行操作
要完成此任務必須了解免除篩選器列表主機名稱和其 IP 地址
在現有組中添加或刪除主機和用戶
將主機添加到網絡訪問組 (NAG) 中或從網絡訪問組中刪除主機時這些步驟適用於組中主機扮演的角色 如果主機僅充當發起方則從關聯的 NAG 添加或刪除它即可 但如果主機充當響應方則必須應用或刪除控制從網絡訪問此計算機權限的更新的策略 如果系統既充當發起方又充當響應方則必須采取這兩個步驟
在現有網絡訪問組中添加或刪除發起方
通過使用標准組管理工具來修改關聯的安全組您可以在網絡訪問組中添加或刪除發起方
修改與特定計算機相關的 NAG
以域管理員身份登錄到域控制器然後啟動Active Directory 用戶和計算機
展開域然後單擊Users
在右窗格中右鍵單擊然後單擊屬性
要添加計算機到組中
單擊成員選項卡然後單擊添加
單擊對象類型按鈕選擇計算機復選框然後單擊確定
在輸入對象名稱來選擇文本框中鍵入 <計算機名稱>然後單擊確定
單擊確定
要從組中刪除計算機
在現有網絡訪問組中添加或刪除用戶
盡管創建隔離組是為了限制可發起通信到受限制資源的主機但它們還可用於幫助限制有訪問資源權限的用戶 如果沒有要求以類似於限制 NAG 的方式來限制資源則 Domain Users 組被授予響應方的從網絡訪問此計算機權限 如果要求限制資源則創建 NAG Users 組
通過使用標准組管理工具來修改關聯的安全組您可以從 NAG Users 組中添加或刪除受限制的用戶 僅當創建 NAG Users 組並分配給 NAG 時才需執行此步驟如果使用了 Domain Users 組則不需執行此步驟
修改與特定用戶相關的 NAG Users 組
以域管理員身份登錄到域控制器然後啟動Active Directory 用戶和計算機
展開域然後單擊Users
在右窗格中右鍵單擊NAG Users安全組然後單擊屬性
要將用戶添加到 NAG
單擊成員選項卡然後單擊添加
在輸入對象名稱來選擇文本框中鍵入 <用戶名>然後單擊確定
單擊確定
要從 NAG 中刪除用戶
單擊成員選項卡
在成員列表中單擊特定的 <用戶名>然後單擊刪除
單擊是刪除 <用戶名> 帳戶
單擊確定
注在用戶帳戶被添加到組中和用戶可訪問受限制的資源之間有一個延遲 此延遲由復制延遲和更新托管受限制的資源的服務器上的會話票證之間的時間導致(如果緩存了此票證)
在現有網絡訪問組中添加或刪除響應方
要從現有 NAG 中刪除響應主機(響應方)您可以刪除配置響應方的從網絡訪問此計算機權限的 GPO 分配 GPO 應用程序可通過確保 Active Directory 策略應用的任何標准方式來控制 但是本指南中使用的方法將 GPO 分配給為保留響應方的域計算機帳戶而創建的組織單位 (OU) 僅從響應方 OU 中移出計算機帳戶將導致不再接收分配的 GPO並且訪問也不再受到限制 計算機將還原到隔離域策略 (如果計算機帳戶也是組成網絡訪問組的域本地安全組的成員則也必須從該組中刪除它)
必須小心對待以確保是多個 NAG 的成員的主機從其中一個 NAG 中被刪除之後仍能與其他 NAG 進行通信
添加新的網絡訪問組
創建一個新的 NAG 過程相當簡單 首先必須創建可控制資源訪問的域本地組和可更新充當 NAG 中的服務器的主機上的從網絡訪問此計算機權限的 GPO 然後必須將該 GPO 應用於服務器並確定屬於組的主機
只有發起方才需要是 NAG 的成員 換言之如果兩台服務器在同一個隔離組中並且從不相互發起通信則不需要將它們添加到隔離組的 NAG 中 然而如果這兩台服務器需要相互進行通信則和所有其他發起方一樣需要將它們添加到 NAG 中
如果服務器在多個 NAG 內充當響應方則必須小心處理以確保應用 GPO 之後在該系統的從網絡訪問此計算機權限上提供所有服務器參與的 NAG 安全組 如有必要可能需要其他 GPO 使特定計算機滿足此需求
為發起方計算機創建新網絡訪問組
要創建新的 NAG請完成下列步驟
為發起方計算機創建新 NAG
以域管理員身份登錄到域控制器然後啟動Active Directory 用戶和計算機
用鼠標右鍵單擊Users容器單擊新建再單擊組
在組名文本框中輸入組的適當的名稱
單擊本地域安全組然後單擊確定
右鍵單擊新建的組然後單擊屬性
在描述文本框中輸入組的適當說明
單擊確定
將發起方計算機帳戶添加到網絡訪問組中
要使用發起方帳戶填充新的 NAG請完成下列步驟
使用發起方帳戶填充發起方的新 NAG
以域管理員身份登錄到域控制器然後啟動Active Directory 用戶和計算機
展開域然後單擊Users
在右窗格中右鍵單擊NAG initiators組然後單擊屬性
單擊成員選項卡然後單擊添加
單擊對象類型按鈕選擇計算機復選框然後單擊確定
在輸入對象名稱來選擇文本框中鍵入 <發起方名稱>然後單擊確定
單擊確定
如果需要進一步限制域中的哪些用戶允許訪問受限制的資源則必須創建受限制的 NAG Users 組 否則可使用 Domain Users 組
為受限制的用戶創建新的網絡訪問組
要為受限制的用戶創建 NAG請完成下列步驟
為用戶帳戶創建新的 NAG
以域管理員身份登錄到域控制器然後啟動Active Directory 用戶和計算機
用鼠標右鍵單擊Users容器單擊新建再單擊組
在組名文本框中輸入組的適當的名稱
單擊本地域安全組然後單擊確定
右鍵單擊新建的組然後單擊屬性
在描述文本框中輸入組的適當說明
單擊確定
將受限制的用戶帳戶添加到網絡訪問組中
要使用受限制的用戶填充新的 NAG請完成下列步驟
使用用戶帳戶填充新的 NAG
以域管理員身份登錄到域控制器然後啟動Active Directory 用戶和計算機
展開域然後單擊Users
在右窗格中右鍵單擊NAG Users組然後單擊屬性
單擊成員選項卡然後單擊添加
在輸入對象名稱來選擇文本框中鍵入 <用戶名>然後單擊確定
單擊確定
創建可授予從網絡訪問此計算機權限的 GPO
GPO 用於將從網絡訪問此計算機權限分配給適當的 NAG
下表提供了 GPO 實施需授予從網絡訪問此計算機權限的 NAG 和相關組名稱的一個示例
表 NAG 策略定義示例
組策略對象名稱
組名
Administrators
Backup Operators
NAG Users 或 Domain Users
注至少應該添加上面列出的這些組 管理員需確定是否還有其他組應被授予此權限
默認情況下添加了 Domain Users 組 如果管理員還想限制用戶和計算機則需創建與包含選擇的用戶帳戶的計算機帳戶一樣的NAG Users組
創建可授予從網絡訪問此計算機權限的 GPO
以域管理員身份登錄到域控制器
啟動 GPMC
依次展開林<域名>域和<域名>
用鼠標右鍵單擊組策略對象然後單擊新建
在名稱文本框中鍵入 <組策略對象名稱>然後單擊確定
用鼠標右鍵單擊<組策略對象名稱>然後單擊編輯
依次展開計算機配置Windows 設置安全設置和本地策略然後單擊用戶權限分配
在右窗格中右鍵單擊從網絡訪問此計算機然後單擊屬性
選擇定義這些策略設置復選框
單擊添加用戶或組按鈕
單擊浏覽按鈕
在輸入對象名稱來選擇文本框中鍵入上表中列出的每個組的名稱用分號分隔 然後單擊確定
單擊確定
關閉組策略編輯器然後關閉組策略控制台
部署網絡訪問組 GPO
要部署 NAG GPO首先必須將它們鏈接到域環境內的某個位置以便將它們應用到 NAG 內的適當的響應方 GPO 應用程序可通過確保 Active Directory 策略應用程序的任何標准方法來控制 本指南不提供特殊步驟因為它們取決於組織內部部署的 OU 結構及管理方法
在隔離組中禁用 IPsec
通過修改發送策略的 GPO 可禁用 IPsec 策略 要禁用 IPsec 策略需配置 GPO 以便禁用計算機設置
禁用 GPO 的計算機設置
以域管理員身份登錄到域控制器
啟動 GPMC
依次展開林<域名>域<域名>和組策略對象
用鼠標右鍵單擊<組策略對象名稱>單擊組策略對象狀態然後單擊計算機配置設置已禁用
關閉 GPMC
在隔離組中重新啟用 IPsec
通過修改發送策略的 GPO 可重新啟用已禁用的 IPsec 策略 要重新啟用已禁用的 IPsec 策略需配置 GPO 以便啟用計算機設置
啟用 GPO 的計算機設置
以域管理員身份登錄到域控制器
啟動 GPMC
依次展開林<域名>域<域名>和組策略對象
用鼠標右鍵單擊<組策略對象名稱>單擊組策略對象狀態然後單擊已啟用
關閉 GPMC
從隔離組中刪除 IPsec
通過修改發送策略的 GPO 可刪除 IPsec 策略 要刪除 IPsec 策略需配置 GPO 以便不再分配 IPsec 策略
不分配 GPO 的 IPsec 策略
以域管理員身份登錄到域控制器
啟動 GPMC
依次展開林<域名>域和<域名>
用鼠標右鍵單擊<組策略對象名稱>然後單擊編輯
依次展開計算機配置Windows 設置和安全設置然後單擊IP 安全策略在 Active Directory(域名)
在右窗格中右鍵單擊然後單擊不指派
確保未指派 然後關閉組策略編輯器再關閉組策略管理控制台
備份/還原注意事項
本節提供有關如何評估專門處理服務器和域隔離解決方案組件的備份與還原過程的信息
Active Directory 備份
IPsec 策略不存儲在用於發送策略的組策略對象中 組策略備份和還原功能將僅捕獲有關哪些 IPsec 策略被分配到組策略對象中的信息而不捕獲實際 IPsec 策略的信息
雖然域控制器的完整系統狀態備份將捕獲 IPsec 策略信息但還可使用 IP 安全策略管理 MMC 管理單元的導出策略和導入策略菜單命令來備份和還原 IPsec 策略
注務必要確保 IPsec 策略備份的安全 但是備份是一個繼承存儲文件的目錄的 NTFS 文件系統權限的文件並且文件中的數據沒有進行加密或簽名 應使用適當的權限或安全步驟來保護這些文件中的 IPsec 配置信息 只有經過授權的 IPsec 管理員才應有權訪問這些備份文件
主機還原
在已從備份(磁帶備份或基於圖像的備份)還原 IPsec 策略的計算機上應用的 IPsec 策略可能是基於 Active Directory 的 IPsec 策略或本地 IPsec 策略的緩存副本
如果計算機被分配了基於 Active Directory 的 IPsec 策略則在應用基於 Active Directory 的策略的緩存副本之前IPsec 服務將嘗試從 Active Directory 中檢索分配的 IPsec 策略的最新副本 為此IPsec 服務將首先查詢域名系統 (DNS) 中所有域控制器的 IP 地址的當前列表 如果已從 Active Directory 中刪除了 IPsec 策略對象則反而會應用基於 Active Directory 的策略的緩存副本
由於創建了 IPsec 策略備份因此可能會對基於 Active Directory 的 IPsec 策略的緩存副本中的域控制器 IP 地址列表進行重大改動(例如添加了新的域控制器) 如果那樣則可能會阻止當前域控制器的通信 — 因此在嘗試遠程建立 IPsec 保護的連接時使用 Kerberos 協議的身份驗證將會失敗 此外計算機也可能無法接收到組策略更新 要解決此問題請執行以下步驟
本地訪問計算機並停止該計算機上的 IPsec 服務
通過網絡在安全模式下重新啟動計算機並且配置 IPsec 服務來手動啟動或禁用 IPsec 服務以允許與新的域控制器的 IP 地址進行 IPsec 保護的通信
緩解基於網絡的感染
在某些情況下可能需要快速中斷通信以確保環境的安全如病毒發作或安全入侵時 下列各節討論隔離參與已驗證的通信的主機的各種方法 根據設計這些方法不隔離基礎結構或免除的服務器因為必須小心不要隔離基礎結構服務器以避免系統失去從域更新 IPsec 策略的功能
注雖然從技術上來說這些隔離方法是合理的但沒有在實驗室環境中測試過 強烈建議您先在實驗室環境中測試這些方法再依賴它們
隔離隔離域
允許隔離域中的主機發起與不受信任的主機之間的通信 如果有必要快速阻止這種通信流可修改IPSEC – 安全請求模式(忽略入站允許出站)篩選器操作以便禁用允許和不支持 IPsec 的計算機進行不安全的通訊權限 IPsec 輪詢期過去之後應阻止隔離域中的所有主機與不參與 IPsec 環境的系統進行通信
要修改IPSEC – 安全請求模式(忽略入站允許出站)篩選器操作請執行以下步驟
以域管理員身份登錄到域控制器
啟動 IP 安全策略管理 MMC 管理單元並將其集中在域上
用鼠標右鍵單擊IP 安全策略在 Active Directory然後單擊管理 IP 篩選器表和篩選器操作
在管理 IP 篩選器操作選項卡上單擊IPSEC – 安全請求模式(忽略入站允許出站)篩選器操作然後單擊編輯
選擇或清除允許和不支持 IPsec 的客戶端進行不安全的通訊復選框
單擊確定
單擊確定
設置此選項之後策略將阻止發往不受信任的主機的所有網絡通信 此問題解決之後通過重新啟用該選項可還原通信
阻塞端口
部署到內部組織局域網 (LAN) 計算機的 IPsec 策略被配置為允許所有端口之間進行所有通信 此方法簡化了環境的配置和管理 但是如果使用 IPsec 的主機被惡意軟件(如病毒或蠕蟲)感染則主機很可能會將感染傳播到其他計算機上 根據計算機使用的策略此感染不僅會傳播到受信任的主機上也會傳播到不受信任的主機上
IPsec 策略可用於通過明確阻塞惡意軟件使用的端口來幫助減少惡意軟件的傳播 此方法的主要限制在於所有計算機檢測添加阻塞篩選器的策略更改所需的延遲 此外某些蠕蟲已充斥整個網絡使得很難檢索 IPsec 策略更改 並且有些蠕蟲使用了關鍵服務(如 DNS)也使用的端口這就使得在主機上應用阻塞篩選器之後很難更新策略 通過創建阻止從任何 IP 地址到特定端口(某種形式的惡意軟件使用的)的通信流的規則可完成阻塞 此規則被添加到環境中的所有策略中 刪除惡意軟件之後就可從策略中刪除規則
確定某種形式的惡意軟件使用的端口和協議之後按照本章前面的更改 IPsec 策略一節中的將新規則添加到現有的 IPsec 策略中過程中的步驟創建一個符合惡意軟件通信標准的篩選器列表 一旦決定在域策略中使用端口阻塞就應立即減少 IPsec 策略輪詢間隔 如果威脅減少就可再次增加輪詢間隔
但是需創建使用我的 IP 地址到任何 IP 地址的篩選器而不是創建使用任何 IP 地址到特定 IP 地址的篩選器 通常不使用鏡像的篩選器 需要包含兩個單向篩選器的篩選器列表一個是到已知端口的入站通信流一個是到已知端口的出站通信流 例如以下篩選器阻塞被 SQLSlammer 蠕蟲利用的 SQL 端口
從任何 IP 地址 > 我的 IP 地址 TCP src * dst 未鏡像
從我的 IP 地址 > 任何 IP 地址 TCP src * dst 未鏡像
很明顯當蠕蟲威脅減少時這些篩選器還會阻塞 SQL 應用程序連接並且會被刪除 小心不要阻止對重要基礎結構端口(如 DNS)的訪問除非特別必要 這些篩選器比協商內部網絡上所有通信流的 IPsec 的 Woodgrove Bank 子網篩選器更特殊因為它們定義了特定的 IP 地址
創建篩選器後添加一個規則到所有隔離域和組 IPsec 策略中以便將篩選器列表與IPsec 阻止篩選器操作關聯起來 您可能想在策略設計中包括一個已將用於阻塞端口的空 IPsec 篩選器列表與阻塞操作關聯起來的規則 所有 IPsec 策略中的規則都可啟用和使用這個空篩選器列表以便所有域成員都可按照每個輪詢間隔檢查此篩選器列表 或者也可禁用此規則並且 IPsec 服務輪詢可檢測何時在每個隔離組策略中啟用規則
如果由於某些原因端口阻塞會阻止 IPsec 訪問 Active Directory 以獲取更新的策略則可在計算機上以管理方式停止 IPsec 服務再重新啟動或重新啟動計算機 IPsec 服務啟動時在緩存中應用舊版本之前將嘗試下載已分配的 IPsec 策略的最新版本
僅隔離到子域內
如果需要將一個完整的域從林中其余的域中隔離出來則可將該域的策略配置為使用預共享密鑰而非 Kerberos 協議 此方法將允許子域內的計算機保持與相同域中的其他系統進行通信但將阻止與它們通常有權訪問的域之外的系統進行通信
需要修改子域中的每個策略以便它僅為IPsec 安全組織子網規則使用預共享密鑰 必須刪除所有現有的身份驗證方法(如 Kerberos 協議) 要配置身份驗證方法請執行本章前面的更改現有規則的身份驗證方法一節中的步驟
如果策略中存在執行身份驗證的其他規則則也需將它們配置為使用預共享密鑰 需按此方法配置子域中要被隔離的所有策略 配置策略時要使 IKE 主模式身份驗證失敗的機率降到最低可將預共享密鑰身份驗證方法排在身份驗證方法列表的首要位置Kerberos 方法緊跟其後 所有計算機都有更新的策略之後就可刪除 Kerberos 身份驗證方法 威脅減少之後要還原 Kerberos 協議的身份驗證並刪除預共享密鑰可采用類似的過程
隔離到預定義組
雖然網絡訪問組是可用於隔離計算機的預定義組的一個實施但預共享密鑰或證書也可用於執行相同的隔離 與網絡訪問組的主要區別在於需要為計算機的每個組創建獨立的策略以確保擁有預共享密鑰或證書的計算機之間的通信流的安全 本解決方案需要進行額外的通信流通信規劃特別是在系統屬於多個組的情況下
預共享密鑰的主要缺點是它們以純文本形式存儲在策略中這樣從域內的客戶端上就很容易發現它們(它們的機密被洩露) 如果預共享密鑰值僅在蠕蟲發作期間用於臨時隔離則這個缺點可能無關緊要
因為在 IKE 如何檢查根 CA 而不是頒發 CA 上的證書約束上有限制所以需要為每個組部署一個唯一的根 CA
總結
本章提供成功部署服務器和域隔離解決方案並且使其可正常工作之後有關管理維護及修改本解決方案的信息過程和步驟
應很好地記錄這些過程和步驟並將其傳達給參與環境中主機的日常管理的所有職員 由於始終有可能對 IPsec 策略進行一些小改動以禁用受保護的通信路徑因此這些過程和步驟應該用於幫助確保不會發生因某人不了解策略更改的結果而導致的錯誤
From:http://tw.wingwit.com/Article/Security/201312/30109.html
