这是我的基础设施配置:
- 所有服务器都有公网IP
- 我已经设置了一个 GPO 以使用“要求入站和请求出站”规则为所有服务器启用 IPSec,并使用默认身份验证。
- 除了处于“请求/请求”状态的 Active Directory 服务器,因为它不能与“请求/请求”一起使用。
我的第一个问题是:为什么我必须在“请求/请求”上设置 AD 服务器?是因为我使用了基于 Kerberos 的默认身份验证方法吗?
我的第二个问题是:走这条路真的安全吗?根据我的看法,AD 根本没有受到 IPSec 的保护,所以它很容易受到攻击,对吧?有那么危险吗?
我的第三个也是最后一个问题:你们认为在 Windows Server 上拥有完整的 IPSec 域隔离策略的最佳方式是什么?在我发现 AD 根本不安全之前,我对这项技术非常满意......
谢谢你的时间!
它是安全的,并且您的 AD 不容易受到攻击(尽管我确实有义务问您到底要保护它免受什么侵害,如果只是为了让您考虑一下-安全是一个过程,而不是产品或技术)。
这就是 Kerberos 所做的,所以,事实上,Active Directory 并不像您想象的那样完全不安全。而且,由于您运行的是 Server 2008,这里介绍了如何手动配置Kerberos 通信的加密类型。他之前的条目也很不错,至少在对加密的更深入解释方面是这样,他剖析了一个示例 Kerberos 交换。不是我的乐趣时间的想法,但它是相当可以容忍的。
(如果您有任何 XP 客户端,请小心这些设置。家庭版本、SP3 之前的任何版本以及没有未安装到 Windows Update 的修补程序的更强大算法的兼容性变得不稳定。)
我还建议阅读这篇 Technet 文章,其中解释了 IPSec(以及更多关于 Kerberos 的内容),然后,如果您仍有疑问......好吧,是时候查阅一本书了,其中有很多是关于话题。