1、部署基本域隔離策略更新時間2009年8月應用至Windows%WindowsServer2000,WindowsServer2003,WindowsServer2003R2WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2，WindowsVista通過使用高級安全Windows防火墻，您可以創建用來指定必須通過IPSec的一個或多個功能保護流量的連接安全規則。在域隔離中，使用IPsec身份驗證要求連接所涉及的每臺域成員計算機正確建立其他計算機的標識。通過創建要求域成員進行

2、身份驗證的規則，可有效地將域成員計算機與不屬于域的計算機隔離。域隔離環境中的計算機要求對入站連接進行身份驗證。X于出站連接，通常使用該選項來請求而非要求IPsec保護。這樣，計算機便可在與其他同樣可以使用IPSec的計算機通信時保護流量，但在與無法使用IPSec的計算機通信時，將恢復使用純文本。在WindowsX林口早期版本的Windows中，如果啟用了恢復使用純文本，則將在嘗試使用IPsec三秒后使用純文本。但是，某些服務的響應超時時間小于三秒，這導致其失敗。在以上早期版本的Windows中，這意味著必須創建（有時為大量的）出站豁免規則，以支持這些無法進行身份驗證的服務器或服務。為解決此問題

3、，Microsoft發布了WindowsServer2003和WindowsXP勺簡單策略更新。此更新會在受IPSec保護的客戶端和未受IPSec保護的客戶端之間的嘗試延遲縮短到半秒。有關WindowsServer2003和WindowsXP勺簡單策略更新的詳細信息，請參閱使用簡單策略更新簡化IPSec策略。較新版本的Windows進一步改進了這一點，不再需要更新。當在WindowsVista和較新版本的Windows中使用請求模式時，Windows同時發送兩種連接嘗試。如果遠程主機使用IPSec響應，則將放棄非IPSec嘗試。如果IPSec請求不生成響應，則非IPSec嘗試將繼續。延遲縮短或

4、消除后，解決了大多數程序的超時失敗問題。但是，有時仍希望確保計算機不使用IPSec來嘗試與網絡上的某些主機通信。在這些情況下，可為客戶端創建身份驗證豁免規則，它們不再使用IPSec與豁免列表中的計算機通信。有關域隔離的詳細信息，請參閱WindowsServer技術庫中"服務器和域隔離簡介和使用MicrosoftWindows的域隔離說明。創建連接安全規則以強制執行域隔離的步驟在此部分中，創建連接安全規則指定域中的計算機要求對入站網絡流量進行身份驗證并對出站流量請求身份驗證。M|。重要事項請記住，如果您已將默認的出站行為配置為阻止與出站允許規則不匹配的流量，則必須創建允許出站IPsec

5、網絡流量的規則。步驟1:創建請求身份驗證的連接安全規則步驟2:部署并測試連接安全規則步驟3:將隔離規則更改為要求身份驗證步驟4:使用不具有域隔離規則的計算機測試隔離步驟5:為不是域成員的計算機創建豁免規則步驟1:創建請求身份驗證的連接安全規則更新時間：2009年8月應用至Windows%WindowsServer2000,WindowsServer2003,WindowsServer2003R2WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2，WindowsVista在

6、此步驟中，為域創建連接安全規則，這些規則導致所有成員計算機要求對入站網絡流量進行身份驗證，并請求對出站流量進行身份驗證。首先，使用僅請求入站身份驗證的GPO確認它正常工作后，對其進行修改以要求入站身份驗證。指定要使用的IPsec算法為了簡化，在以下過程中創建的規則使用的是默認IPsec主模式和快速模式設置，它們指定了協商中包含的完整性算法和加密算法的某些組合。但是，Windows也為配置用于任意給定連接的特定主模式和快速模式算法提供了許多靈活性?？梢员舜送ㄐ诺乃杏嬎銠C必須至少支持一組通用的算法。如果必須使用某一特定算法組合，請執行以下操作之一：.更改全局IPSec的默認值。在GP8,打開“高

7、級安全Windows防火墻屬性”頁面，然后在“IPsec默認值”部分，單擊“自定義”?？梢耘渲糜糜趨f商保護主模式和快速模式安全關聯（SA）的算法，以及可用的身份驗證選項。更改這些設置將對連接安全規則沒有另行指定以及連接安全規則與主模式規則不符的計算機上經過的所有IPsec連接的設置進行更改。.使用特定快速模式設置創建連接安全規則。使用netshadvfirewallconsecaddrule命令可以創建包含特定快速模式算法組合的連接安全規則。如果在規則中指定這些算法，則將其用于代替全局IPsec默認設置中的算法。使用qmsecmethods參數。添力口至UWindows7和WindowsSer

8、ver2008R2的個快速模式選項是“空封裝”。此選項指定不向連接中的每個網絡數據包提供任何完整性保護。不使用任何AH或ESP標頭封裝數據。此選項為與AHESP不兼容的網絡設備和軟件提供兼容性。您可以指定在全局IPsec默認值中使用空封裝（不推薦），也可指定在僅符合必須使用空封裝的網絡通信的連接安全規則中使用空封裝。有關如何使用自定義的快速模式設置創建連接安全規則的詳細信息，請參閱NetshAdvFirewallConsec命令。卜回備注A無法使用高級安全Windows防火墻MMCT理單元創建特定快速模式設置的規則。創建主模式規則.從Windows7和WindowsServer2008R2開始

9、，您可以創建指定主模式加密、完整性和身份驗證設置的規則。符合主模式規則的連接使用的是主模式規則設置，而不是連接安全規則或全局IPsec默認值中指定的設置。若要創建主模式規則，請使用netshadvfirewallmainmodeaddrule命令。有關詳細信息，請參IMJNetshAdvFirewallMainMode命令。防火墻和連接安全集成將防火墻功能與IPsec集成的一個主要優勢就是可以在防火墻規則中使用其他選項。在WindowsVista及更高版本的Windows中，您現在可以創建根據以下條件篩選網絡通信的防火墻規則：僅允許經過身份驗證和完整性保護的連接。符合此防火墻規則的網絡通信必須

10、受到IPsec連接安全規則的保護，該規則要求對連接進行身份驗證并使用可以幫助保護連接中每個網絡數據包完整性的AH或ESPf法。.要求對連接進行加密。必須采用指定使用ESP#裝進行加密的IPsec連接安全規則對符合此規則的網絡通信進行加密。還必須對網絡通信進行身份驗證和完整性保護。“允許計算機動態協商加密”的其他選項使您可以對客戶端計算機部署較少的連接安全規則。例如，要在服務器上為單個端口啟用加密，而服務器上發送到所有其他端口的網絡通信以前并未加密，就需要對服務器和所有客戶端執行兩條規則：一條通用規則應用于發送到服務器的所有通信且不要求加密，另一條規則指定服務器的IP地址和服務器上所需的端口號，

11、且需要進行加密。隨著需要進行此特殊處理的端口號和服務器數量的增加，創建和維護所需連接安全規則的任務會變得更為困難。.使用此選項，僅將要求身份驗證和所需完整性的通用規則應用到客戶端。對于服務器，僅為要求加密和啟用動態加密的特定端口號創建了防火墻規則。因此，可以使用客戶端上的單個規則協商主模式SA當客戶端將通信發送至受到防火墻規則保護的指定端口號時，服務器對客戶端啟動快速模式協商以創建需要加密的“升級”SA均可以使用全局IPsec默認值中用于快速模式協商的任何加密算法組合。此外，為了能夠指定端口，可以另外創建僅需要對指定服務、可執行程序或協議進行加密的防火墻規則。計算機上所有發送到其他服務、其他程

12、序，或使用其他協議的網絡通信不會觸發快速模式SA協商要求加密。.雖然此選項是隨Windows講口WindowsServer2008R2引入的，但是它與運行WindowsVista和WindowsServer2008的計算機兼容，且可以使用組策略進行應用。允許連接使用空封裝。此選項指定主模式協商和身份驗證完成以后，快速模式SA不要求AH或ESP1寸裝。因止匕，連接的數據流不會接收每包完整性保護。此選項為與AH或ESP不兼容的網絡設備或軟件提供兼容性。為域隔離創建新的GPO勺步驟1 .在MBRSV的“組策略管理”中，右鍵單擊“組策略對象”，然后單擊“新建”。2 .在“名稱”中，鍵入域隔離，然后單擊

13、“確定”。3 .在導航窗格中，右鍵單擊新GPO然后單擊“編輯”。4 .在“組策略管理編輯器”中的導航窗格中右鍵單擊域隔離GPO勺頂級節點，然后單擊“屬性”。5 .選中“禁用用戶配置設置”復選框，因為這是一個僅計算機的GPO6 .在“確認禁用”對話框中，單擊“是”，然后單擊“確定”。7 .在導航窗格中，依次展開“計算機配置”、“策略”、“Windows設置”、“安全設置”、“高級安全Windows防火墻”，然后展開“高級安全Windows防火墻-LDAP/cn=GUID,cn=policies,cn=system,DC=contoso,DC=como8 .右鍵單擊“連接安全規則”，然后單擊“新建

14、規則”。9 .在“規則類型”頁中，單擊“隔離”，然后單擊“下一步”。10 .在“要求”頁中，確認已選中“入站和出站連接請求身份驗證”，然后單擊“下一步”。-注意在生產環境中，建議您首先設置請求模式，然后再允許GP說全傳播到網絡。在將規則更改為要求模式之前，請確認所有計算機正在通過使用IPSec成功進行通信。首先將規則設置為要求模式可能導致計算機在所有計算機接收和應用GPO：前無法通信。在稍后一步中，修改規則以將其更改為要求入站身份驗證。11 .在“身份驗證方法”頁中，單擊“計算機和用戶(KerberosV5)”，然后單擊“下一步”。1囹1備注¥盡管通常不會在域隔離中按用戶憑據進行篩選

15、，但是除了計算機身份驗證之外，用戶身份驗證可以增強安全性，并使得稍后根據用戶標識實現服務器隔離變得更為輕松，因為已實施了兼容性身份驗證方法。12 .在“配置文件”頁上，清除“專用”和“公用”復選框，然后單擊“下一步”。13 .在“名稱”頁中，鍵入請求入站請求出站，然后單擊“完成”。步驟2:部署弁測試連接安全規則更新時間：2009年8月應用至Windows%WindowsServer2000,WindowsServer2003,WindowsServer2003R2WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer200

16、8,WindowsServer2008R2，WindowsVista在此步驟中，部署并測試域隔離規則。將包含該規則的GPO連接到包含計算機帳戶的OU然后測試連接性并查看已創建以支持連接的IPSec安全關聯(SA)。從將GPO連接到包含接收該規則的計算機的OUFF始。將GPO連接至U相應的OU的步驟1. 在MBRSVR1,打開組策略管理管理單元。2. 右鍵單擊“我的客戶端計算機”，然后單擊“鏈接現有GPO3. 在“組策略對象”列表中，選擇“域隔離”，然后單擊“確定4. 右鍵單擊“我的成員服務器”，然后單擊“鏈接現有GPOo5. 在“組策略對象”列表中，選擇“域隔離”，然后單擊“確定瀏覽OU時，會

17、看到類似于下圖的列表：DefaultDornunPolicyDomainControllersnDoriaiitIsolationFl| Firewall SettingE-MyM errterServrsVi st a Cli ent e富'Don'in工51glmti©nxfireirallSettingsforTfSEWSServers匕畫組策略對象MU磨f血ItDcvainContrsllersPolicyUe£皿、DomainFolicyDoE&inIsolationfir&wallSattingzforVizliClientsfi

18、reyrallSetting£for出強（JOBServers受陶工篩選黑1+11Sttrt*rGPO9重要事項II請勿將域隔離GPOS用到域控制器上。回備注|_在上述過程中，您沒有使用WM或安全組篩選器，是因為本指南中使用到的實驗室設置比較簡單，并且此處演示的內容并不重要。但是，在生產環境中，請確保使用適當的WM和安全組篩選器認真將GPOZ部署到所需目標計算機上。現在，請確保兩臺計算機都接收并應用新的GPO在計算機上測試新的GPO步步驟1. 在MBRSVR1CLIENT1上的“管理員：命令提示符”處，運行gpupdate/force。等待命令完成。2. 在CLIENT1上的命令提示

19、符處，運行telnetmbrsvM。連接已成功。請暫不結束Telnet會話。3. 打開高級安全Windows防火墻管理單元。4. 依次展開“監視”、“安全關聯”，然后單擊“主模式5. 在“主模式”窗格中，雙擊顯示的安全關聯（SA）6. 檢查設置（如下圖所示），本地計算機（CLIENT1）已與遠程計算機（MBRSVR1I行協商。顯示的具體算法可能會不同，具體取決于在CLIENT1上使用了Windows7還是WindowsVista,以及對MBRSVR1用了WindowsServer2008R2還是WindowsServer2008。7. 單擊“確定”。8. 在導航窗格中，單擊“快速模式”，然后雙

20、擊顯示的SA9. 檢查設置，它顯示已使用封裝安全有效負載（ESP）完整性算法安全哈希算法（SHA-1）對使用任何協議的兩臺計算機間的任何流量進行保護。ESP完整性使用加密保護的校驗和來確保收到的數據包在發送后未經修改。完整性測試失敗的任何數據包均被丟棄，且無任何提示。10. 在Telnet提示符處，鍵入exit結束Telnet會話。步驟3:將隔離規則更改為要求身份驗證更新時間：2009年8月應用至Windows%WindowsServer2000,WindowsServer2003,WindowsServer2003R2WindowsServer2003withSP1,WindowsServe

21、r2003withSP2,WindowsServer2008,WindowsServer2008R2，WindowsVista在此步驟中，修改已創建的規則，以便要求而不是請求身份驗證。在完成此步驟之后，無法進行身份驗證的客戶端，或沒有連接安全規則對流量進行身份驗證的客戶端，將無法與作為域成員的計算機通信。ir1J_注意II在生產環境中，只有在確認所有客戶端和服務器使用“請求”版本規則中的IPsec設置進行通信后，才能執行此過程。在確認計算機可以使用其設置成功進行通信之前，如果將規則更改成“需要”，則可能會無意中將計算機置于無法通信的狀態。將策略從請求更改為要求身份驗證的步驟1 .在MBRSVR

22、1,切換到“組策略管理編輯器”。2 .在結果窗格中，右鍵單擊“請求入站請求出站”，然后單擊“屬性”。3 .在“名稱”文本框中，將名稱更改為要求入站請求出站以準確反映其新行為。4 .單擊“身份驗證”選項卡。5 .在“要求”下，將“身份驗證模式”更改為“要求入站和請求出站”，然后單擊“確定”。Ir囹備注盡管使用“要求入站和出站”在本指南中可以工作，但在生產環境中要求出站身份驗證通常并不可行。通常域成員計算機必須啟動與不是域中的計算機（例如遠程網站）的通信。請確認即使要求身份驗證，計算機也仍可以通信。測試要求身份mt證的已修改GPO勺步驟1. 在MBRSVR1CLIENT1上的“管理員：命令提示符”

23、處，運行gpupdate/force。2. 在CLIENT1上的命令提示符處，運行telnetmbrsvM。連接已成功。3. 鍵入exit結束Telnet會話。步驟4:使用不具有域隔離規則的計算機測試隔離更新時間：2009年8月應用至Windows%WindowsServer2000,WindowsServer2003,WindowsServer2003R2WindowsServer2003withSP1,WindowsServer2003withSP2,WindowsServer2008,WindowsServer2008R2，WindowsVista若要模擬不屬于域的計算機，請從CLIEN

24、T1中刪除GPO然后重新嘗試連接。從CLIENT1中刪除GPO勺步驟1. 在MBRSVR1,切換到“組策略管理”。2. 在MyClientComputers下，右鍵單擊"域隔離”，然后單擊"已啟用鏈接"來禁用鏈接。在下一組步驟中，將刷新CLIENT1上的GPO嘗t與MBRSVR1信。在CLIENT1上測試經過修改的GPO勺步驟1. 在CLIENT1上的"管理員：命令提示符"下，運行gpupdate/force。等待命令完成。2. 在命令提示符下，運行telnetmbrsvr1。連接失敗，因為它從未收到對其請求的回復。由于MBRSVR1求身份驗證

25、，而CLIENT1無法提供身份驗證，因此所有傳入數據包將被丟棄。3. 鍵入exit,然后按Enter結束Telnet會話。在下一組步驟中，會將GPOS原到客戶端，以便布置好正確的規則供后面的步驟使用。將GPOM新應用于CLIENT1的步驟1. 在MBRSVR1的MyClientComputers下，右鍵單擊“域隔離”，然后單擊“已啟用鏈接”。2. 如果需要，可以重復前面的“在CLIENT1上測試經過修改的GP。勺步驟”來確認可以重新連接。此次連接成功。步驟5:為不是域成員的計算機創建豁免規則更新時間：2009年8月應用至Windows%WindowsServer2000,WindowsServer2003,WindowsS