本附录为构建必需的基础结构以支持使用 IPsec 的隔离组提供全面指导。 本指南讨论了 Microsoft® Windows Server™ 2003 的安装和配置、Active Directory® 目录服务的准备工作以及 IPsec 策略的配置。
本附录还提供了为本指南前面描述的 Woodgrove Bank 方案配置基准 IPsec 策略的实施说明。
阅读本附录时,请参阅本指南的其他章节,那些章节对本附录使用的实施决策背后的设计过程和基本原理进行了解释。 本附录还对成功创建和实施基准 IPsec 策略基础结构所需完成的任务和过程作了解释。 如果您尚未阅读本附录前面的各章节,强烈建议您先阅读那些章节,然后再阅读本附录。 在实施本附录提供的指导之前,您还应该阅读并理解第 6 章“管理服务器和域隔离环境”详细介绍的支持需求的影响。
本页内容
 | 先决条件 |
| 基准策略的部署 |
| 实施 IPsec 策略 |
| 使用策略累积方法来启用基准 IPsec 策略 |
| 用于功能测试的测试工具和脚本 |
| 对余下的策略启用组织安全子网筛选器列表 |
| 启用网络访问组配置 |
| 启用隔离域 |
| 启用无回退隔离组 |
| 启用加密隔离组 |
| 启用边界隔离组 |
| 将隔离域配置为默认隔离组 |
| 最终功能测试 - 启用所有隔离组 |
| 总结 |
先决条件
本部分包含的信息可用来帮助您确定组织是否已经为实施解决方案作好准备。
预备知识
您应该熟悉 IPsec、联网和网络体系结构概念。 还需要熟悉 Windows Server 2003 的以下方面:
| • | 操作系统的安装。 |
| • | Active Directory 概念,包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用。 |
| • | Windows 系统安全,包括安全概念,如用户、组、审核和访问控制表 (ACL);使用安全模板;使用组策略或命令行工具应用安全模板。 |
在继续本附录之前,应该先阅读本指南提供的规划指导并透彻理解本解决方案的体系结构和设计。
组织先决条件
应咨询组织中其他可能需要参与实施本解决方案的人员的意见。 这些人员可能包括:
| • | 公司所有者。 |
| • | 安全和审核人员。 |
| • | Active Directory 工程、管理和操作人员。 |
| • | 域名系统 (DNS)、Web 服务器和网络工程管理及操作人员。 注:IT 组织的结构决定这些角色是由许多人员担任,还是由较少的人员同时担任几个角色。 |
IT 基础结构的先决条件
本附录还假定存在以下 IT 基础结构:
| • | 以混合或纯模式运行的 Windows Server 2003 Active Directory 域。 本解决方案使用通用组应用组策略对象 (GPO)。 如果组织不是以混合模式或纯模式运行,仍然可以通过使用标准全局和本地组配置来应用 GPO。 但是,由于这种方法管理起来很复杂,本解决方案未予采用。 注:Windows Server 2003 引入了许多影响 IPsec 策略的改进。 Windows Server 2003 没有任何特别之处会妨碍本解决方案与 Windows 2000 一起正常工作。 但是,只使用 Windows Server 2003 Active Directory 对本解决方案进行了测试。 有关 Windows Server 2003 中对 IPsec 所做的增强的详细信息,请参阅 Microsoft 网站上的“New features for IPsec”页面,网址为 www.microsoft.com/resources/documentation/WindowsServ/ |
| • | 足以运行 Windows Server 2003 的服务器硬件。 |
| • | Windows Server 2003 Standard Edition 和 Enterprise Edition 许可证、安装媒体和产品密钥。 |
基准实施先决条件
执行本附录中的任务之前,为确保部署成功,应将以下几项准备就绪。
硬件要求
配置基准 IPsec 基础结构之前,请确保当前基础结构在物理上能够支持实施 IPsec 所带来的开销。 本指南的第 3 章“确定 IT 基础结构的当前状态”讨论了可以帮助您验证是否具备此能力的过程。
工具
可以使用四个主要工具来配置 IPsec 策略和通过 Active Directory GPO 启用这些策略。 这些工具是:
| • | Netsh。 这个命令行工具是 Windows Server 2003 附带提供的。 此工具既可用于配置 Windows Server 2003 系统上的本地策略,也可以用于配置域策略。 本解决方案使用 Netsh 脚本来配置域策略。 |
| • | 组策略管理控制台 (GPMC)。 此工具是一个附加的组策略管理工具,它简化了企业内对组策略的管理。 此工具可从 Microsoft 下载中心的“Group Policy Management Console with Service Pack 1”页面下载,网址为 www.microsoft.com/downloads/details.aspx? |
| • | IP 安全策略管理控制台。 使用此工具,管理员可以创建、查看或修改 IPsec 策略、筛选器操作和筛选器列表。 虽然此工具是 Microsoft 管理控制台 (MMC) 管理单元,但它并未出现在计算机上的“管理工具”默认列表中。 要使用此工具,请在命令提示符处运行 mmc.exe,然后手动添加管理单元。 |
| • | IP 安全监视器管理控制台。 管理员使用此工具不仅可以查看主模式以及与主模式相关的快速模式安全关联 (SA),还可以查看已对计算机应用的各种规则。 与 IP 安全管理控制台类似,此工具在默认情况下并未出现在“管理工具”菜单中,而是必须通过 mmc.exe 程序手动加载。 |
建议您首先取得这些工具并将它们安装在实施小组的工作站上,以便小组成员在开始实施前可以花些时间熟悉每个工具的功能。
基准策略的部署
为实施其部署,Woodgrove Bank 选择使用“堆积”方法首先将全部计算机移到“边界”隔离组。 这种方法使管理员能够缓慢推进并解决所有突出问题,而不会给计算机之间的通信带来重大影响。 通过首先部署一个不带任何安全子网的策略,管理小组能够确定所有被指派了本地 IPsec 策略的计算机并考虑该信息。 随着将子网加入到策略中,发现的所有其他冲突都得到解决。
当计算机在边界隔离组策略下运行之后,该小组接着实施标准隔离组、允许出站明文通信隔离组和加密隔离组。 这些隔离组是使用本指南第 4 章“设计和规划隔离组”介绍的“按组部署”方法部署的。 选择了一组计算机来进行试验,并将它们添加到控制新策略的适当组中。 在解决所有问题之后,将其他计算机添加到各个组中,直到隔离组填满为止。
实施 IPsec 策略
为大型机构中每台有需要的计算机配置正确 IPsec 策略的过程很快会变得相当复杂。 Active Directory 提供的策略机制可以大大简化此过程。 本附录的以下部分提供了实施 IPsec 策略所必需的信息。
复制配置脚本
要设置 IPsec 策略,第一项任务是将所需的配置脚本复制到用于存储它们的域控制器。 Woodgrove Bank 实验室方案是使用本解决方案附带提供的配置脚本配置的。 在 Woodgrove Bank 方案中,执行了下列步骤:
复制配置脚本
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 创建文件夹“C:/IPsec Scripts”。 |
3. | 将脚本文件从本解决方案的“工具和模板”文件夹复制到“C:/IPsec Scripts”文件夹中。 |
安装组策略管理控制台
使用 GPMC 来安装和配置本解决方案使用的 GPO。 只需要将 GPMC 安装在 IPS-CH-DC-01 上;它在后续服务器上的安装是可选的。
注:在计算机上安装 GPMC 会略微改变该计算机上的“Active Directory 用户和计算机”MMC 的用户界面。 有关使用 GPMC 以及下载安装文件的详细信息,请参阅 Microsoft 下载中心的“Group Policy Management Console with Service Pack 1”页面,网址为 www.microsoft.com/downloads/details.aspx?
familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en。
安装组策略管理控制台
1. | 从 Microsoft 下载中心下载 Gpmc.msi 安装文件。 |
2. | 务必以 IPS-CH-DC-01 上的域管理员组成员身份登录。 |
3. | 在 Windows 资源管理器中,双击 Gpmc.msi 安装文件。 |
4. | 按照安装向导的提示安装 GPMC,接受所有默认设置。 重要:您应该将 GPMC 安装在“Program Files”文件夹中;该文件夹位于哪个驱动器上并不重要。 您还应该使用“Program Files”文件夹中的默认安装文件夹 (GPMC)。 如果您更改了文件夹名称,则必须在 Constants.txt 文件中更新它的名称。 后面的步骤使用了 GPMC 安装的一些工具,如果将 GPMC 安装在其他位置,除非更新了 Constants.txt 文件,否则这些步骤将找不到 GPMC 工具。 |
实施 IPSec 筛选器列表和筛选器操作
通过使用 Netsh 工具或 IP 安全策略管理 MMC 管理单元,可以创建 IPSec 筛选器列表和筛选器操作。
虽然 IP 安全策略管理 MMC 管理单元为 IPsec 提供了图形界面,但许多管理员会发现维护和更新使用 Netsh 命令行工具的脚本将会更为方便。 此外,在域或目录林之间可以很方便地移植这些脚本。 在本解决方案中,使用了 Netsh 脚本来实施 IPSec 筛选器列表和筛选器操作。
注:通过设置集中在本地的存储库,针对运行 Windows Server 2003 的计算机上的本地策略存储库测试所有脚本。 调试这些脚本后,将存储库配置修改为集中在用于最终导入的域。
创建 IPSec 筛选器列表和筛选器操作
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01 域。 |
2. | 打开命令提示符并键入 注:如果使用此脚本创建了任何空筛选器列表,在命令行上就会出现以下错误消息:ERR IPsec [05022]: No filters in FilterList with name "<Filter List Name>.",您可以安全地忽略此消息。 |
3. | 启动 IP 安全策略管理 MMC 管理单元,并确认已经在 Active Directory 中创建了筛选器列表和筛选器操作。 注:要针对本地策略进行测试,请确保已使用 set store location=local 对第 2 步中运行的脚本进行了配置。 在第 3 步中,确保 MMC 管理单元面向本地计算机而不是域。 |
实施 IPsec 策略
创建筛选器列表和筛选器操作之后,就可以运行用于创建 IPsec 策略的脚本了。
注:为便于进行测试,这些脚本创建的策略已被配置成轮询间隔为 5 分钟。
下表列出了策略名称以及用于创建该策略的脚本文件。 以下过程的第 2 步将用到此脚本文件名。
表 C.1:从 IPsec 策略到脚本文件的映射
| IPsec 策略名 | 脚本文件名 |
IPSEC - 边界隔离组 IPsec 策略 (1.0.041001.1600) | BoundaryIGPolicy.txt |
IPSEC – 无回退隔离组 IPsec 策略 (1.0.041001.1600) | NoFallbackIGPolicy.txt |
IPSEC – 隔离域 IPsec 策略 (1.0.041001.1600) | IsolationDomainPolicy.txt |
IPSEC – 加密隔离组 IPsec 策略 (1.0.041001.1600) | EncryptionIGPolicy.txt |
创建 IPsec 策略
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 打开命令提示符。 对于每个策略,键入 netsh –f "c:/IPsec Scripts/<Script Filename>" and then press ENTER. 注:如果筛选器列表是空的,Netsh 就会显示以“ERR IPsec [05022]...”开头的错误,您可以安全地忽略此消息。 |
3. | 启动 IP 安全策略管理 MMC 管理单元,并确认已经在 Active Directory 中创建了 IPsec 策略。 注:要针对本地策略进行测试,请确保已使用 set store location=local 对第 2 步中运行的脚本进行了配置。 在第 3 步中,确保 MMC 管理单元面向本地计算机而不是域。 |
为 IPsec 策略创建 GPO
为了提供 IPsec 策略,Woodgrove Bank 创建了 4 个 GPO。 在这些 GPO 中,每个 GPO 都按该 GPO 中指派的 IPsec 策略命名。 在 Active Directory 中链接策略之前,这些 GPO 不会为环境提供任何 IPsec 策略。
下表列出了每个 GPO 名称以及由该 GPO 提供的 IPsec 策略名。
表 C.2:从 Woodgrove Bank GPO 到 IPsec 的映射
| 组策略对象名称 | IPsec 策略名 |
IPSEC - 边界隔离组策略 | IPSEC - 边界隔离组 IPsec 策略 (1.0.041001.1600) |
IPSEC – 无回退隔离组策略 | IPSEC – 无回退隔离组 IPsec 策略 (1.0.041001.1600) |
IPSEC – 隔离域策略 | IPSEC – 隔离域 IPsec 策略 (1.0.041001.1600) |
IPSEC – 加密隔离组策略 | IPSEC – 加密隔离组 IPsec 策略 (1.0.041001.1600) |
为 IPsec 策略创建 GPO
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 启动 GPMC。 |
3. | 依次展开“林:corp.woodgrovebank.com”、域和“americas.corp.woodgrovebank.com”。 |
4. | 用鼠标右键单击“组策略对象”,然后单击“新建”。 |
5. | 在“名称”文本框中,键入 <组策略对象名称>,然后单击“确定”。 |
6. | 用鼠标右键单击“<组策略对象名称>”,然后单击“编辑”。 |
7. | 依次展开“计算机配置”、“Windows 设置”和“安全设置”,然后单击“IP 安全策略,在 Active Directory (corp.woodgrovebank.com)”。 |
8. | 在右窗格中,用鼠标右键单击“<IPsec 策略名称>”然后单击“指派”。 |
9. | 确保已指派 <IPsec 策略名称>,然后关闭“组策略对象编辑器”。 |
10. | 对于上表中的每个 <组策略对象名称> 与 <IPsec 策略名称> 的组合,重复第 4 步到第 9 步。 |
对 IPsec 组策略设置安全性
Woodgrove Bank 对包含 IPsec 策略的 GPO 使用了安全 ACL 以控制策略的应用。 这样做的主要好处是,可以在域级别链接策略而不是通过多个组织单位 (OU) 来链接策略,从而简化了对策略应用的管理。 此外,实施了分阶段配置,而不必将任何计算机帐户移至特殊的 OU。 相反,将参与试运行的计算机帐户添加到适当的组中。 这样做的缺点是,组织必须要有良好的组管理工具。
创建组
为了控制策略在整个 Woodgrove Bank 组织中的应用,创建了一些组。 由于 Woodgrove Bank 林处于纯模式,所以使用了通用组来控制所有域中的策略。
表 C.3:Woodgrove Bank 通用组
| 组名 | 描述 |
CG_NoIPsec_computers | 这是由不参与 IPsec 环境的计算机帐户(通常是基础结构计算机帐户)组成的通用组。 |
CG_BoundaryIG_computers | 这是由被允许与不受信任计算机进行通信的计算机帐户组成的通用组。 |
CG_EncryptionIG_computers | 这是由加密隔离组中的计算机帐户组成的通用组。 |
CG_ IsolationDomain_computers | 这是由隔离域包含的计算机帐户组成的通用组。 |
CG_NoFallbackIG_computers | 这是由无回退隔离组包含的计算机帐户组成的通用组。 |
创建 Woodgrove Bank 通用组
1. | 在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 用鼠标右键单击“Users”容器,单击“新建”,再单击“组”。 |
3. | 在“组名”文本框中,键入上表中的第一个 <组名>。 |
4. | 选择“通用安全组”,然后单击“确定”。 |
5. | 对于每个组,重复第 2 步到第 4 步。 |
6. | 用鼠标右键单击第一个 <组名>,然后单击“属性”。 |
7. | 在“描述”文本框中,键入上表的第一个 <描述>。 |
8. | 单击“确定”。 |
9. | 对于上表中列示的每个组,重复第 6 步到第 8 步。 |
配置 GPO 安全性
组用来控制哪些计算机获得哪些策略从而参与 IPsec。 需要对新创建的每个 IPsec 策略配置安全 ACL,以便配置适当的组。 下表显示了要添加到每个 GPO 中的 ACL。
注:如果组织准备将管理权限委派给除“Domain Admins”以外的某个人,请他管理 IPsec 策略,接受委派的管理组就需要被授予对 Active Directory 中的“IP Security”容器的完全控制权限。
表 C.4:Woodgrove Bank 策略组权限
| 组策略对象名称 | 组或帐户名 | 分配的权限 |
IPSEC - 边界隔离组策略 | CG_NoIPsec_computers | 拒绝应用组策略 |
| CG_BoundaryIG_computers | 允许读取和应用组策略 |
IPSEC – 无回退隔离组策略 | CG_NoIPsec_computers | 拒绝应用组策略 |
| CG_NoFallbackIG_computers | 允许读取和应用组策略 |
IPSEC – 隔离域策略 | CG_NoIPsec_computers | 拒绝应用组策略 |
IPSEC – 隔离域策略 | CG_ IsolationDomain_computers | 允许读取和应用组策略 |
IPSEC – 加密隔离组策略 | CG_NoIPsec_computers | 拒绝应用组策略 |
| CG_EncryptionIG_computers | 允许读取和应用组策略 |
注:边界隔离组策略已被配置成允许“Domain Computers”组为最初的“累积”过程应用策略,方法是将“Domain Computers”组放到 CG_BoundaryIG_computers 组中。 在将所有计算机都移至它们各自的组之后,就会从 CG_BoundaryIG_computers 组中删除域计算机。
对 GPO 设置组权限
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动 GPMC。 |
2. | 依次展开“林:corp.woodgrovebank.com”、域、“americas.corp.woodgrovebank.com”和“组策略对象”。 |
3. | 单击上表中的第一个 <组策略对象名称>,然后单击“委派”选项卡。 |
4. | 单击“高级”按钮。 |
5. | 在“组或用户名称”滚动框中,单击“Authenticated Users”,然后清除“允许”权限中的“应用组策略”复选框。 |
6. | 单击“添加”按钮。 |
7. | 在“输入对象名称来选择”文本框中,输入上表中的每个 <组或帐户名>(用分号隔开),然后单击“确定”。 |
8. | 在“组或用户名称”文本框中,选择 <组或帐户名>,然后在“权限”复选框中设置 <已分配的权限>。 |
9. | 对于每个与 <策略名称> 相关联的 <组或帐户名>,重复第 8 步。 |
10. | 单击“确定”。 |
11. | 如果正在分配的权限是“拒绝”权限,则在消息框显示时单击“是”,否则转到第 12 步。 |
12. | 对于每个 <策略名称>,重复第 3 步到第 11 步。 注:在每个策略的安全 ACL 中,确保“Authenticated Users”条目仅被授予了“读取”权限。 如果还授予了“应用”权限,则此策略将部署到所有计算机。 |
阻止边界隔离组计算机对加密隔离组计算机发起连接
Woodgrove Bank 要求禁止边界隔离组中的计算机对加密隔离组中的计算机发起通信。 为了实施此限制,创建了一个名为 DNAG_EncryptionIG_computers 的组以拒绝该组的成员访问加密隔离组中的计算机。 配置了加密隔离组策略,DNAG_EncryptionIG_computers 被授予“拒绝从网络访问这台计算机”权限,并且 CG_BoundaryIG_computers 组被放到 DNAG_EncryptionIG_computers 组中。 此配置是通过修改“IPSEC - 加密隔离组策略”GPO 完成的。
创建 DNAG_EncryptionIG_computers 组
1. | 在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 用鼠标右键单击“Users”容器,单击“新建”,再单击“组”。 |
3. | 在“组名”文本框中,键入 DNAG_EncryptionIG_computers。 |
4. | 选择“本地域”安全组,然后单击“确定”。 |
5. | 用鼠标右键单击“DNAG_EncryptionIG_computers”,然后单击“属性”。 |
6. | 在“描述”文本框中,键入“用来拒绝对加密隔离组的访问”。 |
7. | 单击“确定”。 |
配置 IPSEC - 加密隔离组策略以阻止 DNAG_EncryptionIG_computers 的成员
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动 GPMC。 |
2. | 依次展开“林:corp.woodgrovebank.com”、域、“americas.corp.woodgrovebank.com”和“组策略对象”。 |
3. | 用鼠标右键单击“IPSEC - 加密隔离组策略”,然后单击“编辑”。 |
4. | 依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”和“用户权限分配”。 |
5. | 用鼠标右键单击“拒绝从网络访问这台计算机”,然后单击“属性”。 |
6. | 选择“定义这些策略设置”复选框。 |
7. | 单击“添加用户或组”按钮。 |
8. | 单击“浏览”按钮。 |
9. | 在文本字段中,键入 DNAG_EncryptionIG_computers,然后单击“确定”。 |
10. | 再次单击“确定”。 |
11. | 单击“确定”关闭“属性”页。 |
12. | 关闭“组策略编辑器”。 |
13. | 关闭 GPMC。 |
用 CG_BoundaryIG_computers 组填充 DNAG_EncryptionIG_computers 组
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击“DNAG_EncryptionIG_computersNAG”安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 在“输入对象名称来选择”文本框中,键入 CG_BoundaryIG_computers,然后单击“确定”。 |
6. | 单击“确定”。 |
将“Domain Computers”添加至边界组
对于初始部署,边界隔离组被用作企业中支持 IPsec 的客户端的默认隔离组。 为了实施此规划,“Domain Computers”组被添加到 CG_BoundaryIG_computers 组中。
将“Domain Computers”添加到 CG_BoundaryIG_computers 组
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击 CG_BoundaryIG_computersNAG 安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 在“输入对象名称来选择”文本框中,键入 Domain Computers,然后单击“确定”。 |
6. | 再次单击“确定”。 注:复制延迟和 IPsec 策略轮询频率导致在“Domain Computers”组被添加至 CG_BoundaryIG_computers 组与边界隔离组策略被应用这两个时刻之间有一段延迟。 如果需要将 IPsec 策略立即应用于计算机,现在可以重启计算机。 否则,在会话票证超时并且使用新的本地组成员身份信息进行刷新后,才会应用此策略。 |
将基础结构服务器添加至 CG_NoIPSec_Computers 组
要确保基础结构服务器未接收到可能导致通信中断的策略(例如,服务器的 IP 地址发生改变),下列基础结构服务器计算机帐户被添加到 CG_NoIPsec_computers 安全组中。
| • | IPS-RT-DC-01 |
| • | IPS-CH-DC-01 |
将基础结构服务器添加到 CG_NoIPsec_computers 组
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击 CG_NoIPsec_computersNAG 安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 单击“对象类型”按钮,选择“计算机”复选框,然后单击“确定”。 |
6. | 在“输入对象名称来选择”文本框中,键入上表中每台计算机的名称(用分号分隔),然后单击“确定”。 |
7. | 再次单击“确定”。 |
在域环境中链接 IPsec 策略和 GPO
在可以分发 IPsec 策略之前,需要将它们链接到域环境中的各个位置。 由于 Woodgrove Bank 选择了通过使用安全组来管理 GPO,因此 OU 结构对于策略的分发来说完全不重要。 然而,如果 OU 导致无法应用策略,IPsec GPO 就必须直接链接至 OU,这样才能应用策略。 另一种方法是对域 IPsec 策略 GPO 启用策略强制实施。
将 IPsec 策略链接至现有的 GPO
1. | 以域管理员身份启动 GPMC。 | ||||||||||||
2. | 展开域。 | ||||||||||||
3. | 用鼠标右键单击域名,然后单击“链接现有的组策略对象”。 | ||||||||||||
4. | 在“组策略对象”列表中,选择所有以 IPSEC 命名的策略,然后单击“确定”。 | ||||||||||||
5. | 在右窗格中,使用键头键对策略进行排序,如下表所示。 表 C.5:组策略对象在域级别的链接顺序
|
使用策略累积方法来启用基准 IPsec 策略
在 IPsec 基础结构的配置过程中,第一项任务是使用策略累积部署方法来部署边界隔离组策略。 虽然边界隔离组并不打算作为 Woodgrove Bank 环境中所有计算机的隔离域,但是它被配置为在第一阶段部署期间适用于所有计算机。
由于边界隔离组策略允许并接受非 IPsec 通信,所以它被认为是能够逐渐部署到环境中的最安全策略。 最初部署的策略未定义安全子网。 这允许 Woodgrove Bank 管理员修复任何现有的本地 IPsec 策略。 接下来,逐个添加子网并进行测试,确保 IPsec 协商正常进行。
将子网添加到安全子网筛选器列表中
在对组织内的计算机应用空边界隔离组策略,并且与现有本地 IPsec 策略的所有冲突都得到解决之后,Woodgrove Bank 管理员开始累积策略。
累积策略时,需找出要进行保护的组织子网。 然后,将找到的子网逐个添加到策略中。 在将第一个条目添加到筛选器列表后,筛选器列表就会被添加到策略中。
添加每个子网后,允许花费一些时间来将策略应用于组织内的计算机以及解决所有冲突。 此过程重复,直到整个安全子网筛选器列表部署完毕为止。
下表列示了确定的在 Woodgrove Bank 实验室中使用的安全子网,以准确地反映它们的生产网络:
表 C.6:Woodgrove Bank 测试实验室的安全子网列表
| 子网 | 掩码 | 描述 |
192.168.1.0 | 255.255.255.0 | 组织的局域网子网 192.168.1.0/24 |
172.10.1.0 | 255.255.255.0 | 组织的局域网子网 172.10.1.0/24 |
在安全子网筛选器列表中创建第一个条目
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 启动 IP 安全策略管理 MMC 管理单元。 |
3. | 用鼠标右键单击“IP 安全策略,在 Active Directory”,然后单击“管理 IP 筛选器表和筛选器操作”。 |
4. | 在“管理 IP 筛选器列表”选项卡中,单击“IPSEC – 组织安全子网”,然后单击“编辑”。 |
5. | 确保已清除“使用添加向导”复选框。 |
6. | 单击“添加”。 |
7. | 在“地址”选项卡的“源地址”下拉列表中,单击“任何 IP 地址”。 |
8. | 在“目标地址”下拉列表中,单击“一个特定的 IP 子网”,然后使用上表中的信息填写“IP 地址”和“子网掩码”框。 |
9. | 确保选中了“镜像”选项。 |
10. | 在“描述”选项卡中,键入上表中的相应描述。 |
11. | 单击“确定”以关闭“IP 筛选器属性”对话框。 |
12. | 单击“确定”以关闭“IP 筛选器列表”对话框。 |
13. | 单击“关闭”以关闭“管理 IP 筛选器表和筛选器操作”对话框。 |
将安全子网筛选器列表添加至边界隔离组策略
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 启动 IP 安全策略管理 MMC 管理单元。 |
3. | 用鼠标右键单击“IPSEC - 边界隔离组 IPsec 策略 (1.0.041001.1600)”,然后单击“属性”。 |
4. | 在“规则”选项卡中,确保“使用‘添加向导’”复选框未被选中,然后单击“添加”。 |
5. | 在“IP 筛选器列表”选项卡中,单击“IPSEC - 组织安全子网”。 |
6. | 在“筛选器操作”选项卡中,单击“IPSEC - 请求模式(接受入站,允许出站)”。 |
7. | 在“连接类型”选项卡中,确保已选中“所有网络连接”复选框。 |
8. | 在“隧道设置”选项卡中,确保已选中“此规则不指定 IPSec 隧道”复选框。 |
9. | 在“身份验证方法”选项卡中,确保 Kerberos 方法是唯一列出的方法。 |
10. | 单击“确定”以关闭“编辑规则属性”对话框。 |
11. | 单击“确定”以关闭“IPSEC - 边界隔离组 IPsec 策略 (1.0.041001.1600) 属性”对话框。 |
12. | 允许应用此策略,然后运行本附录随后的“验证基准部署”一节中列出的验证步骤。 |
将其余子网添加到安全子网筛选器列表中
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 启动 IP 安全策略管理 MMC 管理单元。 |
3. | 用鼠标右键单击“IP 安全策略,在 Active Directory”,然后单击“管理 IP 筛选器表和筛选器操作”。 |
4. | 在“管理 IP 筛选器列表”选项卡中,单击“IPSEC - 组织安全网络”,然后单击“编辑”。 |
5. | 确保已清除“使用添加向导”复选框。 |
6. | 单击“添加”。 |
7. | 在“地址”选项卡的“源地址”下拉列表中,单击“任何 IP 地址”。 |
8. | 在“目标地址”下拉列表中,单击“一个特定的 IP 子网”,然后使用上表中的信息填写“IP 地址”和“子网掩码”。 |
9. | 确保选中了“镜像”选项。 |
10. | 在“描述”选项卡中,键入上表中的相应描述。 |
11. | 单击“确定”以关闭“IP 筛选器属性”对话框。 |
12. | 单击“确定”以关闭“IP 筛选器列表”对话框。 |
13. | 单击“关闭”以关闭“管理 IP 筛选器表和筛选器操作”对话框。 |
14. | 允许应用此策略,然后运行本附录随后的“验证基准部署”一节中列出的验证步骤。 |
15. | 对于每个子网,重复第 2 步到第 14 步。 |
验证基准部署
在创建策略对象并将它们部署到处于非活动状态的 Active Directory 中之后,应该先执行验证过程,然后再配置基准策略以便对组织中的所有计算机强制实施基准隔离组。 验证过程有助于最大程度地降低当基准配置有错误时对所参与的主机造成的任何潜在破坏的程度。
功能实施测试
您可以执行的用于确认 IPsec 功能的最简单测试是:分别尝试对安全组织网络中的计算机以及不位于安全组织网络中列示的子网中的计算机执行 net view 命令。
安全子网中的计算机应该对在 IP 安全监视器 MMC 管理单元中可视的硬 SA 进行协商。 在 IPsec 参与者与不在安全组织网络中列示的子网中的计算机之间,应该创建软 SA。
测试所应用的 IPsec 策略的功能
1. | 在受保护的子网计算机中,打开命令提示符并键入 | ||||
2. | 在启动 net view 命令的计算机上启动 IP 安全监视器 MMC 管理单元。 | ||||
3. | 依次展开“IP 安全监视器”、“<计算机名称>”和“快速模式”,然后单击“安全关联”。 | ||||
4. | 对于启动 net view 命令的每台计算机,请确认以下各项:
|
用于功能测试的测试工具和脚本
在功能测试期间,必须监视许多配置设置。 虽然这些设置中的大部分设置可以使用标准工具进行监视,但有两个任务要求使用一般管理员可能不熟悉的工具。 这些任务包括找出计算机上当前处于活动状态的 IPsec 策略以及确定协商了哪种 SA。
验证 IPsec 策略应用
由于不同平台使用不同的方法,所以确定计算机上哪个 IPsec 策略处于活动状态是比较困难的。 在某些情况下,您可以通过图形用户界面 (GUI) 来找到 IPsec 策略,而在其他情况下则需要使用命令行工具,这些命令行工具可能是随操作系统一起安装的,也可能不是。
Windows 2000
对于运行 Windows 2000 Server 的计算机来说,管理员可以使用 Netdiag 命令来确定当前应用的 IPsec 策略。 要检索策略名称和信息,管理员登录到此计算机,然后启动命令提示符并键入以下命令:
Netdiag /test:IPsec
下面是此命令的输出示例:
IP Security test . . . . . . . . . : Passed Directory IPsec Policy Active: ' IPSEC – Isolation Domain IPsec Policy (1.0.041001.1600)'
Windows XP
对于运行 Windows XP 的计算机来说,管理员可以使用 IPseccmd.exe 命令行工具来确定当前应用的 IPsec 策略。 要检索策略名称和信息,管理员登录到此计算机,然后启动命令提示符并键入以下命令:
IPseccmd show gpo
下面是此命令的输出示例:
Active Directory Policy
-----------------------
Directory Policy Name: IPSEC – Isolation Domain IPsec
Policy (1.0.041001.1600)
Description: Isolation Domain Policy (Allow Outbound)
Last Change: Fri Sep 03 15:20:29 2004
Group Policy Object: IPSEC – Isolation Domain Policy
Organizational Unit:
LDAP://DC=americas,DC=woodgrovebank,DC=com
Policy Path: LDAP://CN=IPsecPolicy{efa2185d-1a1d-40f6-
b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Windows Server 2003
对于运行 Windows Server 2003 的计算机来说,管理员可以使用 Netsh 命令行工具来确定当前应用的 IPsec 策略。 要检索策略名称和信息,管理员登录到此计算机,然后启动命令提示符并键入以下命令:
netsh IPsec static show gpoassignedpolicy
下面是此命令的输出示例:
Source Machine : Local Computer GPO
for <IPS-TZ-W2K-02>
GPO Name : IPSEC – Isolation Domain Policy
Local IPsec Policy Name : NONE
AD IPsec Policy Name : IPSEC – Isolation
Domain IPsec Policy
(1.0.041001.1600)
AD Policy DN : LDAP://CN=IPsecPolicy
{efa2185d-1a1d-40f6-b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Local IPsec Policy Assigned: Yes, but AD Policy is
Overriding
使用 IP 安全监视器来确定 SA 类型
通过使用 IP 安全监视器 MMC 管理单元,可以检查主模式和快速模式 SA、相关联的筛选器、Internet 密钥交换 (IKE) 策略和协商策略。 在疑难解答期间,可以使用 IP 安全监视器 MMC 管理单元来确定对等端之间协商的 SA 类型。 通过查看“快速模式”树下的 SA,系统管理员可以找到运行工具所在的计算机的 IPsec 对等端。
当计算机协商 IPsec 连接时,就创建了硬 SA。 在这个 SA 的“身份验证”、“ESP 机密性”或“ESP 完整性”字段中,有一个或多个字段具有除“<无>”以外的值。 例如,对于具有 SHA1 并且不进行身份验证的 ESP,“ESP 完整性”字段值将是 HMAC-SHA1,其他两个字段的值为“<无>”。 如果硬 SA 还进行了加密协商,则“ESP 机密性”字段值将是 DES 或 3DES。
对于软 SA 来说,这三个字段值都是“<无>”,这表示响应方回退到明文方式进行通信。
对余下的策略启用组织安全子网筛选器列表
在启用余下的 IPsec 策略之前,需要对每个策略添加“安全组织网络”筛选器列表。 由于创建策略时“安全组织网络”筛选器列表是空的,并且无法将其添加到策略中,所以您必须完成此任务。
本附录前面的内容已实施了安全组织网络筛选器列表,现在可将该列表添加到余下的策略中。 下表显示了策略名称以及对“安全组织网络”筛选器列表指派的相关筛选器操作。
表 C.7:策略和筛选器操作映射
| 策略名称 | 筛选器操作 |
IPSEC - 无回退隔离组 IPsec 策略 (1.0.041001.1600) | IPSEC - 完全要求模式(忽略入站,禁止出站) |
IPSEC – 隔离域 IPsec 策略 (1.0.041001.1600) | IPSEC - 安全请求模式(忽略入站,允许出站) |
IPSEC – 加密隔离组 IPsec 策略 (1.0.041001.1600) | IPSEC - 要求加密模式(忽略入站,禁止出站) |
将“安全组织网络”筛选器列表添加到 IPsec 策略
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 启动 IP 安全策略管理 MMC 管理单元。 |
3. | 用鼠标右键单击“<策略名称>”,然后单击“属性”。 |
4. | 在“规则”选项卡上,单击“添加”。 |
5. | 在“IP 筛选器列表”选项卡中,单击“IPSEC - 组织安全子网”。 |
6. | 在“筛选器操作”选项卡中,单击表 C.7 中的相应“<筛选器操作>”。 |
7. | 在“连接类型”选项卡中,确保已选中“所有网络连接”复选框。 |
8. | 在“隧道设置”选项卡中,确保已选中“此规则不指定 IPSec 隧道”复选框。 |
9. | 在“身份验证方法”选项卡中,确保 Kerberos 方法是唯一列出的方法。 |
10. | 单击“确定”以关闭“编辑规则属性”对话框。 |
11. | 单击“确定”以关闭“<策略名称> 属性”对话框。 |
12. | 对于上表中列示的每个策略,重复第 3 步到第 11 步。 |
启用网络访问组配置
网络访问组用来将 IPsec 响应方进一步限制为只接受来自一组选择的发起方计算机和确定用户的连接。 例如,通过使用网络访问组,管理员可以配置执行客户端计算机,以使它们只接受由执行计算机发起的传入通信流,但仍然能够对其他资源发起通信流。
注:定义此选项时务必小心谨慎,这是因为,需要对网络访问组中的计算机发起通信的计算机(例如使用轮询的监视系统)如果未包括在网络访问组中,它们就会失败。
实施网络访问组
Woodgrove Bank 的设计者选择通过使用域本地组来实施网络访问组。 然后,这些组被用来定义发起方。 它们授予发起方组对响应方的“从网络访问此计算机”权限,并使“Authenticated Users”组不具备此权限。 Woodgrove Bank 使用域本地组来实施这个网络访问组,这是因为域本地组存储在每 60 分钟刷新一次的会话票证中。 如果已使用了全局组或通用组,则网络访问组已存储在生存期为 8 小时的票证授权票证 (TGT) 中。 通过使用域本地组,组更改会更及时地生效。
注:虽然本解决方案使用具有“从网络访问此计算机”权限的域本地组来实施网络访问组,但可以使用预共享密钥或证书来实施个别网络访问组。
Woodgrove Bank 的设计者确定了一个网络组,该网络组用来控制加密隔离组中的访问控制。
创建安全组以进行访问控制
表 C.8:Woodgrove Bank 网络访问组安全组
| 组名 | 描述 |
ANAG _EncryptedResourceAccess_computers | 域本地组,这个组用来限制哪些计算机可以访问加密资源 |
ANAG _EncryptedResourceAccess_users | 域本地组,这个组用来限制哪些用户可以对受限制的加密资源发起通信 |
创建上表中列示的组
1. | 在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 用鼠标右键单击“Users”容器,单击“新建”,再单击“组”。 |
3. | 在“组名”文本框中,键入上表中的 <组名>。 |
4. | 在“组作用域”中,选择“本地域”,然后单击“确定”。 |
5. | 对于列示的每个组,重复第 2 步到第 4 步。 |
6. | 用鼠标右键单击“<组名>”,然后单击“属性”。 |
7. | 在“描述”文本框中,键入上表中的 <描述>。 |
8. | 单击“确定”。 |
9. | 对于上表中列示的每个组,重复第 6 步到第 8 步。 |
将帐户添加到网络访问组安全组
Woodgrove Bank 将标识的在网络访问组中充当通信流发起方的计算机添加至用来实施网络访问组的适当域本地组中。
下表列出了 Woodgrove Bank 标识的网络访问组的成员身份。
表 C.9:Woodgrove Bank 隔离组成员身份
| 组名 | 成员 |
ANAG _EncryptedResourceAccess_computers | IPS-SQL-DFS-01 IPS-SQL-DFS-02 IPS-ST-XP-05 |
填充上表中列示的组
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击“<组名>”安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 单击“对象类型”按钮,选择“计算机”复选框,然后单击“确定”。 |
6. | 在“输入对象名称来选择”文本框中,键入上表中“成员”列中每台计算机的名称,并用分号将各个成员分隔开。 单击“确定”。 |
7. | 单击“确定”。 |
将用户帐户添加到网络访问组安全组
Woodgrove Bank 确定了有权在网络访问组中发起通信流的用户帐户并将这些帐户添加到用于实施网络访问组的适当域本地组中。
下表列出了 Woodgrove Bank 标识的网络访问组的成员身份。
表 C.10:Woodgrove Bank 网络访问组成员身份
| 组名 | 成员 |
ANAG _EncryptedResourceAccess_users | User7 |
填充上表中列示的组
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击“<组名>”安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 在“输入对象名称来选择”文本框中,键入上表中“成员”列中每个用户的名称。 如果有多个用户,请用分号将各个用户名分隔开。 然后单击“确定”。 |
6. | 单击“确定”。 |
创建组策略对象以授予“从网络访问此计算机”权限
Woodgrove Bank 创建了 GPO 来强制实施已定义的网络访问组。 确切地说,GPO 对适当的网络访问组安全组进行授权,使之对充当响应方的适当计算机拥有“从网络访问此计算机”权限。
管理员创建了下表,此表列出了 GPO 名称以及用来实施网络访问组的相关组名。
表 C.11:Woodgrove Bank 隔离组策略定义
| 组策略对象名称 | 组名 |
加密资源访问隔离组策略 | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users Administrators Backup Operators |
注:至少应该添加上面列出的这些组。 管理员需要确定是否应该将此权限授予任何其他组。
分配“从网络访问此计算机”权限
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 启动 GPMC。 |
3. | 依次展开“林:corp.woodgrovebank.com”、域和“americas.corp.woodgrovebank.com”。 |
4. | 用鼠标右键单击“组策略对象”,然后单击“新建”。 |
5. | 在“名称”文本框中,键入 <组策略对象名称>,然后单击“确定”。 |
6. | 用鼠标右键单击“<组策略对象名称>”,然后单击“编辑”。 |
7. | 依次展开“计算机配置”、“Windows 设置”、“安全设置”和“本地策略”,然后单击“用户权限分配”。 |
8. | 在右窗格中,用鼠标右键单击“从网络访问此计算机”,然后单击“属性”。 |
9. | 选择“定义这些策略设置”复选框。 |
10. | 单击“添加用户或组”按钮。 |
11. | 单击“浏览”按钮。 |
12. | 在“输入对象名称来选择”文本框中,对于上表中列示的每个组,键入 <组名>,并用分号将各个组名分隔开。 单击“确定”。 |
13. | 再次单击“确定”。 |
14. | 关闭 GPMC。 |
链接网络访问组策略对象
在分发网络访问组策略之前,需要将 GPO 链接到域环境中的某个位置。 Woodgrove Bank 选择的 GPO 分发方法是将其链接到 Active Directory 中的适当 OU,如下表所示。
表 C.12:网络访问组 GPO 名称和目标 OU
| 网络访问组 GPO 名称 | 目标 OU |
加密网络访问组策略 | 数据库服务器 |
将 GPO 策略链接到目标 OU
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01。 |
2. | 启动 GPMC。 |
3. | 依次展开“林:corp.woodgrovebank.com”、域和 “americas.corp.woodgrovebank.com”,然后找到 <目标 OU>。 |
4. | 用鼠标右键单击“<目标 OU>”,然后单击“链接现有的组策略对象”。 |
5. | 在“组策略对象”列表中,单击“<网络访问组组策略对象名称>”,然后单击“确定”。 |
验证网络访问组的部署
在创建并部署网络访问组和策略对象后,管理员测试了网络访问组中的计算机的功能。
必要的实施测试
在测试网络访问组中的计算机的功能之前,Woodgrove Bank 确认用户权限分配已被适当更新。 在经过足够的时间以进行复制和策略更新之后,Woodgrove Bank 对下表中列示的计算机执行了下列步骤。
表 C.13:网络访问组成员身份
| 计算机名称 | 用户权限中列示的组 |
IPS-SQL-DFS-01 | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users |
IPS-SQL-DFS-02 | ANAG_EncryptedResourceAccess_computers ANAG_EncryptedResourceAccess_users |
确认网络访问组中的组成员身份正确
1. | 以 Americas 域的域管理员身份登录到 <计算机名称>。 |
2. | 启动“本地安全策略”工具。 |
3. | 依次展开“本地策略”和“用户权限分配”,然后在右窗格中双击“从网络访问此计算机”。 |
4. | 确认还不存在“Authenticated Users”组。 |
5. | 确认存在 <用户权限中列示的组> 组。 |
6. | 关闭“本地安全策略”工具。 |
7. | 对于上表中列示的每个 <计算机名称>,重复第 1 步到第 6 步。 |
功能实施测试
在 Woodgrove Bank 确认安全组被授予适当的用户权限后,就对属于网络访问组的计算机进行了相互测试。 Woodgrove Bank 使用了此信息来确认访问权限制是否恰当并且有效。 Woodgrove 已尝试对各种发起方与响应方组合执行 net view 命令。 除此项测试以外,他们还使用了 IP 安全监视器 MMC 管理单元来确认已创建了适当的 SA。 下表列示了每次执行 net view 时的发起方和响应方,表明该命令能否成功并列出了协商的 SA 类型。
表 C.14:网络访问组功能测试预期结果
| 发起方 | 响应方 | 结果 | 协商的 SA |
IPS-TZ-XP-06 | IPS-SQL-DFS-01 | 失败 | 无 |
IPS-TZ-XP-06 | IPS-SQL-DFS-02 | 失败 | 无 |
IPS-TZ-XP-06 | IPS-ST-XP-05 | 成功 | 硬 SA |
IPS-SQL-DFS-01 | IPS-SQL-DFS-02 | 成功 | 硬 SA |
IPS-SQL-DFS-01 | IPS-ST-XP-05 | 成功 | 硬 SA |
IPS-SQL-DFS-02 | IPS-SQL-DFS-01 | 成功 | 硬 SA |
IPS-ST-XP-05 | IPS-SQL-DFS-01 | 成功 | 硬 SA |
IPS-ST-XP-05 | IPS-SQL-DFS-02 | 成功 | 硬 SA |
完成功能测试
1. | 以 Americas 域的域管理员身份登录到 <发起方>。 |
2. | 启动 IP 安全监视器 MMC 管理单元。 |
3. | 依次展开“IP 安全监视器”、<发起方>和“快速模式”,然后单击“安全关联”。 |
4. | 启动命令提示符,然后运行以下命令: net view //<Responder> |
5. | 使用 IP 安全监视器 MMC 管理单元,确认每次成功的连接都协商了适当的 SA。 |
6. | 对于上表中列示的每个唯一 <发起方>,重复第 1 步到第 5 步。 |
启用隔离域
在配置隔离域策略之前,管理员必须确定一组用于进行试运行测试的计算机。 理想情况下,这组计算机在组织的 IT 基础结构中应该具有代表性,并且应该既包括客户端也包括服务器。
确定的计算机帐户被添加到 CG_IsolationDomain_computers 组中。 在经过足够长的时间以便进行复制后,隔离域策略应该应用于试运行计算机并生效。
实施隔离域
Woodgrove Bank 确定了下列用于试运行的计算机:
| • | IPS-TZ-XP-01 |
| • | IPS-TZ-W2K-02 |
| • | IPS-TZ-XP-06 |
| • | IPS-WEB-DFS-01 |
将试运行计算机添加到 CG_IsolationDomain_computers 组中
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击“CG_IsolationDomain_computers”安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 单击“对象类型”按钮,选择“计算机”复选框,然后单击“确定”。 |
6. | 在“输入对象名称来选择”文本框中,键入以上列表中每台计算机的名称(用分号将各个名称分隔开),然后单击“确定”。 |
7. | 再次单击“确定”。 注:在将计算机添加到 CG_IsolationDomain_computers 通用组之后,应该留出足够的时间以允许在整个林中复制组成员身份更改和将策略应用于各个主机。 |
验证隔离域的部署
在创建策略对象并将其部署到处于活动状态的 Active Directory 中后,应该执行验证过程以确认计算机在隔离组中能够正常工作。
必要的实施测试
在对隔离域中的计算机运行任何功能测试之前,Woodgrove Bank 确认已经经过了足够的时间来进行复制和策略更新,并且已经对计算机应用了正确的 IPsec 策略。
确认已将正确的 IPsec 策略应用于 IPS-TZ-XP-06
1. | 以 Americas 域的域管理员身份登录到 IPS-TZ-XP-06。 |
2. | 启动命令提示符,然后运行以下命令: IPseccmd show gpo |
3. | 确认输出显示目录策略名为“IPSEC - 隔离域 IPsec 策略 (1.0.041001.1600)”。 |
功能实施测试
Woodgrove Bank 确认已将策略应用于 IPS-TZ-XP-06 之后,下一步是执行一些基本的功能测试以确保策略按预期方式工作。 Woodgrove Bank 尝试了从 IPS-TZ-XP-06 对其他隔离组中的各种计算机执行 net view 命令。 此外,他们还使用了 IP 安全监视器 MMC 管理单元来确认是否已创建了适当的 SA。 下表列示了每次执行 net view 时的目标计算机,表明该命令能否成功并列出了协商的 SA 类型。
注:当您尝试对不受信任的计算机执行 net view 命令时,您必须传递目标计算机的本地管理员的凭据。
表 C.15:隔离域预期功能测试结果
| 目标计算机 | 结果 | 协商的 SA |
IPS-TZ-W2K-02 | 成功 | 硬 SA |
IPS-WEB-DFS-01 | 成功 | 硬 SA |
IPS-UT-XP-03 | 成功 | 软 SA |
IPS-PRINTS-01 | 成功 | 硬 SA |
对每台目标计算机执行功能测试
1. | 以 Americas 域的域管理员身份登录到 IPS-TZ-XP-06。 |
2. | 启动 IP 安全监视器 MMC 管理单元,然后依次展开“IP 安全监视器”、“IPS-TX-XP-06”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
启用无回退隔离组
无回退隔离组中的计算机无法对不受信任的计算机发起未经身份验证的通信流。
实施无回退隔离组
Woodgrove Bank 将那些不能对不受信任计算机发起未经身份验证的通信的计算机放在 CG_NoFallbackIG_computers 通用组中。
填充 CG_NoFallbackIG_computers 组
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01,然后启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击“CG_NoFallbackIG_computers”安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 单击“对象类型”按钮,选择“计算机”复选框,然后单击“确定”。 |
6. | 在“输入对象名称来选择”文本框中,键入 IPS-LT-XP-01,然后单击“确定”。 |
7. | 再次单击“确定”,然后再单击一次。 注:复制延迟和 IPsec 策略轮询频率导致在计算机被添加至 CG_NoFallbackIG_computers 组与无回退隔离组策略被应用这两个时刻之间有一段延迟。 如果需要将 IPsec 策略立即应用于计算机,现在可以重启计算机。 否则,在会话票证超时并且使用新的本地组成员身份信息进行刷新后,才会应用此策略。 |
验证无回退隔离组的部署
在创建策略对象并将其部署到处于活动状态的 Active Directory 中后,应该执行验证过程以确认计算机在隔离组中能够正常工作。
必要的实施测试
在对无回退隔离组中的计算机执行任何功能测试之前,并且在经过足够的时间以便进行复制和策略更新之后,Woodgrove Bank 确认已应用正确的 IPsec 策略。
确认是否已将正确的 IPsec 策略应用于 IPS-LT-XP-01
1. | 以 Americas 域的域管理员身份登录到 IPS-LT-XP-01。 |
2. | 启动命令提示符,然后运行以下命令: IPseccmd show gpo |
3. | 确认输出显示目录策略名为“允许出站明文”。 |
功能实施测试
Woodgrove Bank 确认已将策略应用于 IPS-LT-XP-01 之后,下一步是执行一些基本的功能测试以确保策略按预期方式工作。 Woodgrove Bank 尝试了从 IPS-LT-XP-01 对其他隔离组中的各种计算机执行 net view 命令。 除此项测试以外,他们还使用了 IP 安全监视器 MMC 管理单元来确认已创建了适当的 SA。 下表列示了每次执行 net view 时的目标计算机,表明该命令能否成功并列出了协商的 SA 类型。
注:当您尝试对不受信任的计算机执行 net view 命令时,您必须传递目标计算机的本地管理员的凭据。
表 C.16:“允许出站明文”预期功能测试结果
| 目标计算机 | 结果 | 协商的 SA |
IPS-PRINTS-01 | 成功 | 硬 SA |
IPS-TZ-XP-01 | 成功 | 硬 SA |
IPS-UT-XP-03 | 失败 | 无 |
对每台目标计算机执行功能测试
1. | 以 Americas 域的域管理员身份登录到 IPS-LT-XP-01。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-LT-XP-01”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
启用加密隔离组
加密隔离组中的计算机要求对它们的通信流进行加密。 此外,通过为选择的服务器实施隔离组,将托管数据的服务器配置为限制可以通过网络访问那些服务器的计算机。
通过使用其他组策略和安全组,可以通过修改“从网络访问此计算机”权限来控制对服务器的访问。 在更改对服务器的权限时务必小心谨慎,以确保合法用户不会被禁止访问服务器。
注:本部分使用的隔离组是在本文档前面的“启用隔离组配置”一节中实施的。
实施加密隔离组
Woodgrove Bank 的实施小组确定了那些要求进行 IPsec 加密的计算机并将它们放到“要求加密”通用组中。
填充“要求加密”组
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01,然后启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击“CG_EncryptionIG_computers”安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 单击“对象类型”按钮,选择“计算机”复选框,然后单击“确定”。 |
6. | 在“输入对象名称来选择”文本框中,键入 IPS-SQL-DFS-01 和 IPS-SQL-DFS-02,然后单击“确定”。 |
7. | 单击“确定”。 注:复制延迟和 IPsec 策略轮询频率导致在计算机被添加至 CG_EncryptionIG_computers 组与加密隔离组策略被应用这两个时刻之间有一段延迟。 如果需要将 IPsec 策略立即应用于计算机,现在可以重启计算机。 否则,在会话票证超时并且使用新的本地组成员身份信息进行刷新后,才会应用此策略。 |
验证加密隔离组部署
在创建策略对象并将其部署到处于活动状态的 Active Directory 中后,应该执行验证过程以确认计算机在隔离组中能够正常工作。
必要的实施测试
在对加密隔离组中的计算机执行任何功能测试之前,并且在经过足够时间以便进行复制和策略更新之后,Woodgrove Bank 确认已将正确的 IPsec 策略应用于 IPS-SQL-DFS-01 和 IPS-SQL-DFS-02 计算机。
确认是否应用了正确的 IPsec 策略
1. | 以 Americas 域的域管理员身份登录到 IPS-SQL-DFS-01。 |
2. | 启动命令提示符,然后运行以下命令: netsh IPsec static show gpoassignedpolicy |
3. | 确认输出显示目录策略名为“IPSEC - 加密隔离组 IPsec 策略 (1.0.041001.1600)”。 |
4. | 启动“本地安全策略”工具。 |
5. | 依次展开“本地策略”和“用户权限分配”,然后在右窗格中双击“从网络访问此计算机”。 |
6. | 确认还不存在“Authenticated Users”组。 |
7. | 确认存在 ANAG_EncryptedResourceAccess_computers 和 NAG_EncryptedResourceAccess_users 组。 |
8. | 退出“本地安全策略”工具。 |
9. | 对 IPS-SQL-DFS-02 重复第 1 步到第 8 步。 |
功能实施测试
Woodgrove Bank 确认已将策略应用于 IPS-SQL-DFS-01 和 IPS-SQL-DFS-02 之后,下一步是执行一些基本的功能测试以确保策略按预期方式工作。 Woodgrove 尝试对 IPS-SQL-DFS-01 和 IPS-SQL-DFS-02 执行 net view 命令。 此外,他们还使用了 IP 安全监视器 MMC 管理单元来确认是否已创建了适当的 SA。 下表列示了执行 net view 时的目标计算机,指示了该命令能否成功并列出了协商的 SA 类型。
注:当您尝试对不受信任的计算机执行 net view 命令时,必须将本地管理员的凭据传递给该计算机。
表 C.17:IPS-SQL-DFS-01 预期功能测试结果
| 目标计算机 | 结果 | 协商的 SA |
IPS-SQL-DFS-02 | 成功 | 硬 SA |
IPS-TZ-XP-01 | 成功 | 硬 SA |
IPS-PRINTS-01 | 成功 | 硬 SA |
IPS-UT-XP-03 | 失败 | 无 |
在目标计算机上测试实施的功能
1. | 以 Americas 域的域管理员身份登录到 IPS-SQL-DFS-01。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-SQL-DFS-01”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
启用边界隔离组
Woodgrove Bank 将那些必须对不受信任的计算机发起未经身份验证的通信或从那些计算机接收该通信的计算机放在 CG_BoundaryIG_computers 通用组中。
实施边界隔离组
Woodgrove Bank 的实施小组确定了属于边界隔离组的计算机并将它们放在 CG_BoundaryIG_computers 通用组中。
填充 CG_BoundaryIG_computers 组
1. | 以 Americas 域的域管理员身份登录到 IPS-CH-DC-01,然后启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击 CG_BoundaryIG_computersNAG 安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 单击“对象类型”按钮,选择“计算机”复选框,然后单击“确定”。 |
6. | 在“输入对象名称来选择”文本框中,键入 IPS-PRINTS-01,然后单击“确定”。 |
7. | 单击“确定”。 注:复制延迟和 IPsec 策略轮询频率导致在该组被添加到 CG_BoundaryIG_computers 组与边界隔离组策略被应用这两个时刻之间有一段延迟。 如果需要将 IPsec 策略立即应用于计算机,现在可以重启计算机。 否则,在会话票证超时并且使用新的本地组成员身份信息进行刷新后,才会应用此策略。 |
验证边界隔离组部署
在创建策略对象并将其部署到处于活动状态的 Active Directory 中后,应该执行验证过程以确认计算机在隔离组中能够正常工作。
必要的实施测试
在对边界隔离组中的计算机运行任何功能测试之前,并且在经过足够时间以便进行复制和策略更新之后,Woodgrove Bank 确认已将正确的 IPsec 策略应用于计算机。
确认已将正确的 IPsec 策略应用于 IPS-PRINTS-01
1. | 以 Americas 域的域管理员身份登录到 IPS-PRINTS-01。 |
2. | 启动命令提示符,然后运行以下命令: netsh IPsec static show gpoassignedpolicy |
3. | 确认输出显示目录策略名为“IPSEC - 边界隔离组 IPsec 策略 (1.0.041001.1600)”。 |
功能实施测试
Woodgrove Bank 确认已将策略应用于 IPS-PRINTS-01 之后,下一步是执行一些基本的功能测试以确保策略按预期方式工作。 Woodgrove 尝试对下表中列示的计算机执行 net view 命令。 此外,他们还使用了 IP 安全监视器 MMC 管理单元来确认是否已创建了适当的 SA。 下表列示了每次执行 net view 时的目标计算机,表明该命令能否成功并列出了参与加密资源访问组的每台计算机协商的 SA 类型。
注:当您尝试对不受信任的计算机执行 net view 命令时,必须将本地管理员的凭据传递给该计算机。
表 C.18:IPS-PRINTS-01 预期功能测试结果
| 目标计算机 | 结果 | 协商的 SA |
IPS-UT-XP-03 | 成功 | 软 SA |
IPS-TZ-XP-01 | 成功 | 硬 SA |
IPS-SQL-DFS-01 | 失败 | 无 |
在目标计算机上测试实施的功能
1. | 以 Americas 域的域管理员身份登录到 IPS-PRINTS-01。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-PRINTS-01”和“快速模式”,然后单击“安全关联”。 |
3. | 打开命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
将隔离域配置为默认隔离组
在执行最终的功能测试之前,Woodgrove Bank 管理员对隔离域配置了安全性,以使该安全性应用于所有域计算机。 这种方法确保添加到该域的任何新计算机都将自动地被添加到隔离域,除非要求将这些计算机放到其他隔离组中。
此外,从 CG_BoundaryIG_computers 组中删除了 Domain Computers 组。
从 CG_BoundaryIG_computers 组中删除 Domain Computers
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击“CG_BoundaryIG_computers”安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,单击“域计算机”组,然后单击“删除”。 |
5. | 单击“是”以删除该组。 |
6. | 单击“确定”。 注:复制延迟和 IPsec 策略轮询频率导致在从 CG_BoundaryIG_computers 组中删除该组与边界隔离组策略被删除这两个时刻之间有一段延迟。 如果需要将 IPsec 策略立即应用于计算机,现在可以重启计算机。 否则,在会话票证超时并且使用新的本地组成员身份信息进行刷新后,才会应用此策略。 |
将域计算机添加到 CG_IsolationDomain_computers 组
1. | 以 Americas 域的域管理员身份在 IPS-CH-DC-01 上启动“Active Directory 用户和计算机”。 |
2. | 展开域,然后单击“Users”。 |
3. | 在右窗格中,用鼠标右键单击“CG_IsolationDomain_computers”安全组,然后单击“属性”。 |
4. | 单击“成员”选项卡,然后单击“添加”。 |
5. | 在“输入对象名称来选择”文本框中,键入 Domain Computers,然后单击“确定”。 |
6. | 再次单击“确定”。 注:复制延迟和 IPsec 策略轮询频率导致在域计算机组被添加至 CG_IsolationDomain_computers 组与隔离域组策略被应用这两个时刻之间有一段延迟。 如果需要将 IPsec 策略立即应用于计算机,现在可以重启计算机。 否则,在会话票证超时并且使用新的本地组成员身份信息进行刷新后,才会应用此策略。 |
重新安排 IPsec 策略链接顺序
要确保将正确的策略应用于主机,您需要更新 IPsec 策略的链接顺序。 由于已将标准隔离组策略指定为默认策略,而不是将最初部署期间用作默认策略的边界隔离组策略指定为默认策略,所以您必须完成此项任务。
将 IPsec 策略链接至现有的 GPO
1. | 以域管理员身份启动 GPMC。 | ||||||||||||
2. | 展开域。 | ||||||||||||
3. | 单击域名。 | ||||||||||||
4. | 在“链接的组策略对象”列表中,使用键头键按照下表给出的顺序安排策略。 表 C.19:组策略对象在域级别的链接顺序
|
最终功能测试 - 启用所有隔离组
Woodgrove Bank 在启用所有隔离组后,下一步是执行一些基本的功能测试以确保策略按预期的方式工作。 虽然实施每个策略时都进行了一些基本的功能测试,但由于隔离组是一个个启用的,所以 Woodgrove Bank 的管理员无法执行全面的功能测试。 管理员尝试了使用每个隔离组中的一台或多台计算机对其他隔离组中的计算机执行 net view 命令,以验证是否已经建立了适当的连接。 选择了某些隔离组中的多台计算机,这是因为这些计算机具有不同的通信量模式,而通信模式依赖于这些计算机是响应方还是发起方。 此外,管理员还使用了 IP 安全监视器 MMC 管理单元来确认是否已创建适当的 SA。
下表列出了每次执行 net view 时的目标计算机,表明该命令能否成功,并列示了为进行测试而选择的每台计算机协商的 SA 类型。
注:当您尝试对不受信任的计算机执行 net view 命令时,必须将本地管理员的凭据传递给该计算机。
下列步骤测试从 IPS-SQL-DFS-01(充当发起方)到其他隔离组和网络访问组中的各台计算机的连接。
表 C.20:IPS-SQL-DFS-01 预期功能测试结果
| 目标计算机 | 结果 | 原因 | 协商的 SA |
IPS-ST-XP-05 | 成功 | 计算机可以成功地协商 IPsec。 | 进行加密的硬 SA |
IPS-TZ-XP-01 | 成功 | 计算机可以成功地协商 IPsec。 | 进行加密的硬 SA |
IPS-PRINTS-01 | 成功 | 计算机可以成功地协商 IPsec。 | 进行加密的硬 SA |
IPS-UT-XP-03 | 失败 | 发起方不支持回退到使用明文进行通信。 | 无 |
测试源于目标计算机的连接
1. | 以 Americas 域的域管理员身份登录到 IPS-SQL-DFS-01。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-SQL-DFS-01”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
下列步骤测试从 IPS-TX-XP-06(充当发起方)到其他隔离组和网络访问组中的各台计算机的连接。
表 C.21:IPS-TZ-XP-06 预期功能测试结果
| 目标计算机 | 结果 | 原因 | 协商的 SA |
IPS-SQL-DFS-01 | 失败 | 响应方是加密资源访问的一部分。 | 无 |
IPS-ST-XP-05 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-TZ-XP-01 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-PRINTS-01 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-UT-XP-03 | 成功 | 计算机可以成功地协商 IPsec。 | 软 SA |
测试源于目标计算机的连接
1. | 以 Americas 域的域管理员身份登录到 IPS-TZ-XP-06。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-TZ-XP-06”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
下列步骤测试从 IPS-ST-XP-06(充当发起方)到其他隔离组中的各台计算机的连接。
表 C.22:IPS-ST-XP-05 预期功能测试结果
| 目标计算机 | 结果 | 原因 | 协商的 SA |
IPS-SQL-DFS-01 | 成功 | 发起端是加密资源访问组的一部分。 | 进行加密的硬 SA |
IPS-TZ-XP-01 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-PRINTS-01 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-UT-XP-03 | 成功 | 计算机可以成功地协商 IPsec。 | 软 SA |
测试源于目标计算机的连接
1. | 以 Americas 域的域管理员身份登录到 IPS-ST-XP-05。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-ST-XP-05”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
下列步骤测试从 IPS-TZ-XP-01(充当发起方)到其他隔离组和网络访问组中的各台计算机的连接。
表 C.23:IPS-TZ-XP-01 预期功能测试结果
| 目标计算机 | 结果 | 原因 | 协商的 SA |
IPS-SQL-DFS-01 | 失败 | 响应方是加密资源访问组的一部分。 | 无 |
IPS-ST-XP-05 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-PRINTS-01 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-UT-XP-03 | 成功 | 发起方支持回退到使用明文进行通信。 | 软 SA |
测试源于目标计算机的连接
1. | 以 Americas 域的域管理员身份登录到 IPS-TZ-XP-01。 |
2. | 启动 IP 安全监视器工具,依次展开“IP 安全监视器”、“IPS-TZ-XP-01”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
下列步骤测试从 IPS-LT_XP-01(充当发起方)到其他隔离组和网络访问组中的各台计算机的连接。
表 C.24:IPS-LT-XP-01 预期功能测试结果
| 目标计算机 | 结果 | 原因 | 协商的 SA |
IPS-SQL-DFS-01 | 失败 | 响应方是加密资源访问组的一部分。 | 无 |
IPS-ST-XP-05 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-TZ-XP-01 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-UT-XP-03 | 失败 | 发起方不支持回退到使用明文进行通信。 | 无 |
测试源于目标计算机的连接
1. | 以 Americas 域的域管理员身份登录到 IPS-LT-XP-01。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-LT-XP-01”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
下列步骤测试从 IPS-PRINTS-01(充当发起方)到其他隔离组中的各台计算机的连接。
表 C.25:IPS-PRINTS-01 预期功能测试结果
| 目标计算机 | 结果 | 原因 | 协商的 SA |
IPS-SQL-DFS-01 | 失败 | 响应方明确拒绝对边界主机的访问。 响应方是加密资源访问组的一部分。 | 无 |
IPS-ST-XP-05 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-TZ-XP-01 | 成功 | 计算机可以成功地协商 IPsec。 | 硬 SA |
IPS-UT-XP-03 | 成功 | 发起方支持回退到使用明文进行通信。 | 软 SA |
测试源于目标计算机的连接
1. | 以 Americas 域的域管理员身份登录到 IPS-PRINTS-01。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-PRINTS-01”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于 IPS-UT-XP-03,务必随 net view 命令一起传递本地管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
下列步骤测试从 IPS-UT-XP-03(充当发起方)到其他隔离组和网络访问组中的各台计算机的连接。
表 C.26:IPS-UT-XP-03 预期功能测试结果
| 目标计算机 | 结果 | 原因 | 协商的 SA |
IPS-SQL-DFS-01 | 失败 | 响应方既不支持回退到使用明文进行通信,也不支持入站通过。 响应方是加密资源访问组的一部分。 | 无 |
IPS-ST-XP-05 | 失败 | 响应方既不支持回退到使用明文进行通信,也不支持入站通过。 | 无 |
IPS-TZ-XP-01 | 失败 | 响应方既不支持回退到使用明文进行通信,也不支持入站通过。 | 无 |
IPS-PRINTS-01 | 成功 | 响应方既支持回退到使用明文进行通信,也支持入站通过。 | 软 SA |
测试源于目标计算机的连接
1. | 以 Americas 域的域管理员身份登录到 IPS-UT-XP-03。 |
2. | 启动 IP 安全监视器 MMC 管理单元,依次展开“IP 安全监视器”、“IPS-ST-XP-03”和“快速模式”,然后单击“安全关联”。 |
3. | 启动命令提示符,然后运行以下命令: net view //<Target Computer> 注:对于所有基于域的计算机,务必随 net view 命令一起传递域管理员凭据。 |
4. | 使用 IP 安全监视器 MMC 管理单元来检查每个成功连接的“安全关联”字段,以确认是否协商了适当的 SA。 |
5. | 对于上表中列示的每个 <目标计算机>,重复第 3 步到第 4 步。 |
总结
完成本附录中的任务后,您已经:
| • | 在 Active Directory 中创建了筛选器列表、筛选器操作、规则和 IPsec 策略。 |
| • | 在 Active Directory 中配置了 GPO 以正确地应用 IPsec 策略。 |
| • | 在整个企业内执行了边界隔离组和隔离域的分阶段配置。 |
| • | 配置了若干个隔离组以控制响应方访问权限。 |
| • | 启用并测试了隔离域。 |
| • | 启用并测试了无回退隔离组。 |
| • | 启用并测试了加密隔离组。 |
| • | 启用并测试了边界隔离组。 |
2690
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
