预备知识

　　需要熟悉 Microsoft® Windows Server™ 2003 的以下方面:

　　•Active Directory® 目录服务概念，包括 Active Directory 结构和工具;操纵用户、组和其他 Active Directory 对象;以及组策略的使用。

　　•身份验证概念，包括使用 Kerberos V5 协议和公钥基础结构 (PKI)。

　　•Microsoft Windows® 系统安全;安全概念，如用户、组、审核和访问控制表 (ACL);使用安全模板;相互身份验证概念;标准名称解析方法和概念，如域名系统 (DNS) 和 Windows Internet 命名服务 (WINS);标准 Windows 诊断工具和故障排除概念;以及使用组策略或命令行工具应用安全模板。

　　•了解 TCP/IP 概念，包括子网布局、网络屏蔽和路由。 还需了解一些低级别的功能、协议和术语，如 Internet 控制消息协议 (ICMP)、地址解析协议 (ARP) 和最大传输单位 (MTU)。

　　•了解安全风险管理规则。

　　注:Windows Server 2003 部署工具包的第 6 章“部署 IPsec”中所讨论的 IPsec 传输模式的某些方案当时未建议采用。 但是，Microsoft 本身已在其内部部署 IPsec 并同时提供了附加的指导，这意味着现在可以使用这些方案。

　　多播和广播通信流仍然无法使用 IPsec，但使用 IPsec 应该可以确保所有类型的单播 IP 通信流的安全。 每个客户都必须将在域或服务器隔离方案中部署 IPsec 的好处与成本、影响和其他权衡进行对照评估。 但 Microsoft 现在建议并支持按照本指南在客户网络上广泛使用 IPsec。

　　组织先决条件

　　规划组织的安全性不可能是某一个人的责任。 确定组织的准确要求所需的信息通常来自组织中的多个来源。 应咨询组织中其他人员的意见，他们可能需要参与隔离规划，包括扮演下列角色的人:

　　•公司所有者

　　•用户组代表

　　•安全和审核人员

　　•风险管理组

　　•Active Directory 工程、管理和操作人员

　　•DNS、Web 服务器以及网络工程、管理和操作人员

　　注:根据 IT 组织结构的不同，这些角色可能由几个不同的人担当，或有较少的人跨越几个角色。

　　服务器和域隔离项目的范围要求整个组都了解业务需求、技术问题、对用户的影响和整个项目过程。 需要进行广泛输入时，有可担当此项目的主要联系人的资深人士是很有益的，如支持人员或在部署中会受影响的用户。 在复杂项目中出现问题的两个主要原因是规划不好和通信差。 项目小组必须了解这些潜在的风险并确保已采取措施对其缓解。

　　标识受信任计算机

　　对信任及信任与计算机如何相关的讨论是服务器和域隔离主题的重要部分。 从其核心功能来说，隔离是任何特定的受信任主机决定谁对其有网络级访问权限的能力。 因此，不管远程计算机在远程连接端如何连接(例如，无线、LAN、Internet)，它都必须使用 IPsec 来协商信任并确保端到端的 TCP/IP 通信流与目标计算机的安全。 此端到端安全模型提供其他基于链接的网络访问控制和安全技术所无法提供的网络通信的保护级别(例如，VPN、802.1x、802.11 WEP)。 信任远程计算机将首先防止被盗窃、破坏或误用的用户凭据具有极大的价值。

　　在本解决方案的内容中，信任是组织的一种能力，它合理确保某特定的计算机处于已知状态并且符合组织已同意的最低安全要求。 这些要求可以是本身技术性的、以安全为重点的、与业务相关的或任何组合。 这些要求还规定计算机在建立与其他计算机的通信之前应处的状态。 Microsoft 建议受信任计算机的规格包括定期更新的安全更新列表和所需的 Service Pack。 理想情况是，应通过使用修补程序管理系统(如 Windows Update 服务或 Microsoft Systems Management Server (SMS))来管理和实施这些更新。 应用这些更新的频率取决于组织测试和部署每个更新所需的时间长度。 但要获得最高的安全性，应尽快为您的环境应用这些更新。

　　不受信任计算机是无法确保符合这些安全要求的计算机。 一般来说，一台计算机在无人管理或无安全保护的情况下被视为不受信任。

　　服务器和域隔离解决方案的目的在于通过实施保护组织资产的工具、技术和过程来缓解对受信任的资源带来的风险。 本解决方案可确保:

　　•只有那些被视为受信任的(那些符合特定安全要求的)计算机才可访问受信任资源。

　　•不受信任计算机被拒绝访问受信任资源，除非提出特殊的业务原因来证明没有风险。

　　应允许仅从其他受信任资源对受信任资源(在默认情况下)进行网络级别的访问。 此外，通过对受信任环境中的特定用户和计算机使用允许或拒绝权限及 ACL 来控制网络层的访问。

　　通过建立这种受信任环境及限制允许在该环境内部和外部通信，企业可降低对其数据资产带来的整体风险。 其他业务优势可能包括:

　　•对网络特定区域上的数据流的深入了解。

　　•用于达到“受信任”状态的安全计划的采用得以改进。

　　•创建了最新的主机和网络设备库存。

　　例如，在 Woodgrove Bank 方案中，受信任计算机包括在 Woodgrove 拥有和管理的任何域中运行 Windows 2000 Service Pack (SP) 4、Windows XP SP2 或更高版本，或 Windows Server 2003 或更新版本的所有计算机。 此外，IT 人员还定期检查受信任资产(包括运行使用组策略以提供安全设置的 Windows 2000 或更新版本的所有计算机)以确保它们继续满足最低要求。 IT 人员检查受信任资产还为了确保按照 Woodgrove 本身的安全要求可集中控制专用安全软件(如防病毒软件)的安装和配置。 有关在本解决方案的环境中哪些计算机被视为受信任的详细信息，请参阅本指南中的第 3 章“确定 IT 基础结构的当前状态”的“信任确定”一节。

　　无人管理的计算机

　　无人管理的计算机是 IT 部门不集中管理其安全设置的计算机。 此外，不提供所需的安全管理功能的计算机也被视为无人管理。 无人管理的计算机被视为不受信任是因为组织无法确保它们是否会满足试图访问的受信任计算机的安全要求。

　　无安全保护的计算机

　　不受信任计算机还包括那些使用没有(或无法配置为)所需安全级别的操作系统的计算机。 无安全保护的计算机可分为下列四组:

　　•较低操作系统安全分级的计算机。 此分组适用于运行缺少所需的安全基础结构分级的操作系统的计算机。 这种操作系统包括 Windows 9x、Microsoft Windows NT® 和 Windows CE。 通常，安全基础结构所需的功能可在 Windows XP 和 Windows Server 2003 等较现代的操作系统中找到。 这些功能包括访问控制(例如，文件权限)、数据包加密和强身份验证与授权的网络安全功能、不同级别的特权(用户和管理)、安全设置的集中管理支持、确保数据机密性和完整性的支持及其他安全技术的支持(如 Kerberos 身份验证协议和证书服务)。

　　•配置不正确的计算机。 即使是最安全的操作系统，如果配置方式不正确，也容易受到攻击。 这种计算机必须视为无安全保护的设备。

　　•缺少所需的更新级别的计算机。 因为 IT 安全是一个不断发展的领域，所以大多数软件供应商都会发布软件更新来确保正确解决最新的漏洞。 组织可能确定主机必须被视为受信任所需的最低级别的更新。 在这种情况下，那些缺少这些更新的计算机将被视为无安全保护的设备。

　　•可能已经被破坏的受信任计算机。 受信任计算机通常有可能被受信任的攻击者破坏。 受信任计算机被破坏之后，除非对该计算机执行某些补救措施以将其返回至受信任状态，否则将不再被视为受信任计算机。 如果无法信任一台计算机的用户，则也不能信任该计算机，了解这一点是很重要的。

　　属于这四组中的一组的那些设备被归为不受信任设备，因为组织无法确定它们是否未受到某种方式的破坏。 因此，它们会对其试图访问的受信任计算机带来巨大的风险。

　　使用服务器和域隔离可直接实现目标

　　总而言之，服务器和域隔离的目标是缓解由不受信任计算机对受信任计算机进行未授权的访问所带来的威胁。 使用当前的平台，通过限制入站网络访问隔离远程计算机的能力是基于以使用 IPsec Internet 密钥交换 (IKE) 安全协商协议的域成员计算机身份成功进行验证的能力。 仅在计算机身份验证已成功实现并且 IPsec 安全关联保护所有上层协议和两台计算机之间的应用程序连接之后才涉及用户身份验证。 因此，通过使用服务器和域隔离可实现下列目标:

　　•在网络级别上将受信任域成员计算机与不受信任设备隔离起来。

　　•确保对内部网络上的受信任域成员的入站网络访问需要使用另一受信任域成员。

　　•允许受信任域成员限制对域成员计算机的特定组的入站网络访问。

　　•将网络攻击风险集中在少量主机上，这些主机为受信任域提供一个边界，以便在其中更有效地应用最大风险缓解策略(如启动、监视和入侵检测)。

　　•在攻击前集中并优先进行主动监视和遵守工作。

　　•在攻击前、攻击中和攻击后集中并加快进行补救和恢复工作。

　　•通过添加每一数据包的强相互身份验证、完整性、反重放和加密来提高安全性，而无需更改应用程序和上层协议(如服务器消息块 [SMB] 或 NetBT)。

　　服务器和域隔离旨在保护受信任主机上的所有网络服务以防止不受信任网络的访问和攻击。 服务器和域隔离使主机不易受到基于网络的其他安全类型中的弱点和错误的攻击以及用户凭据保护中的弱点的攻击。 最后，服务器和域隔离解决方案可解决类似的网络威胁，但提供与基于网络的其他类型的安全技术不同的网络访问控制和通信流保护级别。 例如，服务器和域隔离解决方案可授权对基于主机和用户域身份的特定的受信任主机进行入站访问，从而确保对经过授权的通信的端到端保护。 但大多数基于网络的安全技术仅支持用户身份。