据我所知,joinWindows AD计算机总是安全地识别/authentication之前DC(使用自动更改的计算机帐户密码)。
现在,我阅读(在非英文文章中)始终应该在AD中configurationIPSec。 为什么? 假设AD在互联网上很安全,甚至在公司严密的环境中没有互联网连接。
什么时候IPSec“必须”为AD?
顺便说一下,为什么总是需要AD计算机的安全authentication呢? 可以将DCconfiguration为不安全的计算机身份validation(例如,在小型开发/testing环境中)?
UPDATE1:
有了这个非常安全,非常灵活,非常简单的IPSec,怎么回到不安全的AD计算机?
我是否正确理解AD计算机的安全authentication是不可能的
这是发展的屁股或小公司基础设施的痛苦。 这种灵活性没有多大意义(有IPSec)?
当我在2001年第一次遇到这个观点的时候,Active Directory的发展已经足够早,整个IT部门仍然在思考如何使用它。 Windows NT中有一些IPSec控件,但是Windows 2000和Active Directory带来了更多。 这个想法是这样的:
活动目录和组策略使得IPSec更容易configuration。 这意味着完全encryption的电线,使networking免疫嗅探! 这非常安全。
这被认为是“纵深防御”中非常坚实的一步。 我听到的几个人设法实际上使他们的networking完全IPSec仍然不得不做很多工作来做到这一点,尽pipeAD在理论上使它更容易。 老实说,在过去的5年里我还没有听说过一个纯粹的IPSec ADnetworking。
这是个好主意吗? 大概。 需要吗? 这取决于你的安全状况。 如果你不能信任networking的物理层或networking层,那么IPSec绝对是一个好主意。 就像Zoredache指出的那样。 “不能相信”可能是由于明确的政策,指出物理层不可信任,实际开放的端口,让任何人都可以嗅探,不得不利用公共networking。
当涉及到无线networking时,IPSec可能是一个非常好的主意,但是我还没有听说过许多实际的操作。
什么时候IPSec“必须”为AD?
我怀疑这个要求的主要原因是当你不能信任物理networking时。 也许是因为你正在与别人共享networking。 也许交换机不在你的控制范围之内。
如果没有特定的安全要求,我不会将IPSec视为一个必需的function,但是如果您今天正在实施一个新的AD环境,我会认真考虑这一点。
微软正在采用完全移动客户端计算的概念,PKI和IPSec是这一战略的重要组成部分。 现在,您可以非常方便地将远程工作人员通过DirectAccess连接到公司networking的任何位置,这些人员的计算机通过本机模式下的SCCM通过防火墙进行pipe理。 漂亮的东西。
另一个用例是如果你有一个networking,你有很多的防火墙来限制应用层,DMZ或其他政治部门之间的通信。 在这些小型networking中放置AD服务器变得非常昂贵,IPSec使安全地遍历这些防火墙变得更容易,并确保只有您颁发证书的设备才能使用IPSec进行通信。