Как я понял, компьютеры, подключенные к Windows AD, всегда надежно идентифицируются / аутентифицируются перед DC (с использованием автоматически изменяемых паролей учетных записей компьютеров).
Теперь я прочитал (в статье не на английском языке), что IPSec всегда следует настраивать в AD. Почему это? Предположим, что AD хорошо защищен от Интернета или даже не имеет подключения к Интернету в тесной корпоративной среде.
Когда IPSec «необходим» для AD?
Кстати, почему всегда нужна безопасная аутентификация компьютеров AD? Можно ли настроить DC для небезопасной аутентификации компьютеров (например, в небольшой среде разработки / тестирования)?
Обновление1:
Имея этот очень безопасный, очень гибкий и очень простой IPSec, как, черт возьми, вернуться к небезопасным компьютерам AD?
Правильно ли я понимаю, что эта безопасная аутентификация компьютеров AD делает невозможным
что является головной болью для инфраструктуры разработчиков или крошечных компаний. Эта негибкость не имеет особого смысла (имея IPSec)?
Когда IPSec «необходим» для AD?
Я подозреваю, что основной причиной этого требования может быть то, что вы не можете доверять физической сети. Возможно, потому что вы делитесь сетью с кем-то другим. Возможно, переключатели находятся вне вашего контроля.
Я бы не стал считать IPSec обязательный функция AD без особых требований к безопасности, но если вы сегодня внедряете новую среду AD, я бы серьезно ее рассмотрел.
Microsoft принимает идею полностью мобильных клиентских вычислений, и PKI и IPSec являются важной частью этой стратегии. Теперь вы можете легко подключить удаленных сотрудников в любом месте к вашей корпоративной сети через DirectAccess, чьи компьютеры управляются за пределами брандмауэра через SCCM в основном режиме. Довольно крутые штуки.
Другой вариант использования - если у вас есть сеть, в которой установлено множество брандмауэров, ограничивающих обмен данными между уровнями приложений, демилитаризованными зонами или другими политическими подразделениями. Размещение серверов AD в этих небольших сетях быстро становится дорогостоящим, а IPSec значительно упрощает безопасное прохождение этих межсетевых экранов и гарантирует, что только устройства, для которых вы выпустили сертификат, могут использовать IPSec для связи.
Когда я впервые столкнулся с этим мнением в 2001 году, это было достаточно рано в разработке Active Directory, и ИТ в целом все еще не понимал, что именно вы можете с этим делать. В Windows NT были некоторые элементы управления IPSec, но в Windows 2000 и Active Directory было гораздо больше. Мысль была такой:
Active Directory и групповые политики значительно упрощают настройку IPSec. Это означает полное шифрование в сети, что делает сеть невосприимчивой к перехвату! Это очень безопасно.
Это было воспринято как очень серьезный шаг в «глубокой защите». Те немногие люди, о которых я слышал, которым действительно удалось полностью реализовать IPSec в своих сетях, все же должны были проделать большую работу, чтобы сделать это так, даже несмотря на то, что AD теоретически облегчила это. Честно говоря, я не слышал о чистой IPSec AD сети за последние 5 лет.
Это хорошая идея? Наверное. Это обязательно? Это зависит от вашей безопасности. Если вы не можете доверять физическим или сетевым уровням вашей сети, то IPSec - это абсолютно хорошая идея. Как и указала Зоредаш. «Не могу доверять» может быть связано с явной политикой, утверждающей, что физическому уровню нельзя доверять, с фактическими открытыми портами, которые позволяют любому прослушивать, с необходимостью использовать общедоступную сеть.
IPSec, вероятно, очень хорошая идея, когда дело доходит до беспроводных сетей, но опять же, я не слышал, чтобы многие на самом деле это делали.