IP Security schützt den Netzwerkverkehr auf einer grundlegenden Ebene , und deshalb viele geschäftskritische Anwendungen benötigen diese erweiterte Konfiguration Ansatz . Einrichten IP Security ( IPsec) Herausforderungen Netzwerkadministratoren , aber, weil es ein hohes Maß an Kontrolle über den Client und Server Seiten der Netzwerkkonfiguration erfordert . Konfigurieren Sie IPsec unter Windows Group Policy Objects ( GPOs) durch die Schaffung von verschiedenen Politiken für den Client und den Server. Things You
Windows Active Directory Domain
Active Directory Group Policy Editor
brauchen anzeigen Weitere Anweisungen
1
Konfigurieren der Windows- Firewall zu umgehen , um Client-Datenverkehr zu ermöglichen, umgehen der Host -basierte Firewall . In der Active Directory- Gruppenrichtlinien-Editor auf der Organizational Unit (OU) mit dem Computer Objekt Ihrer Zielserver mit der rechten Maustaste und wählen Sie " Neues GPO in dieser Domäne und verknüpfen Sie es hier. " Geben Sie die Group Policy Object ( GPO) einen aussagekräftigen Namen und klicken Sie auf " OK". Auf der GPO die rechte Maustaste und wählen Sie " Bearbeiten". Erweitern Sie die Vorlage für Baum in der folgenden Reihenfolge : . "Computer Configuration ", " Administrative Vorlagen ", " Network", "Netzwerkverbindungen " und " Windows-Firewall " Im rechten Fensterbereich auf die Politik "Windows -Firewall: Authentifizierte IPSec durchlassen " doppelklicken Sie auf und klicken Sie auf
Eine Firewall Bypass Politik für IPsec benennt eine bestimmte Gruppe, die Erlaubnis erteilt wird , um sein "Enabled ". IPsec verwenden , um die Host -basierte Firewall durchqueren. In das Feld " Definieren von IPSec- Peers von Firewall-Richtlinie ausgenommen werden : " geben Sie die Security Descriptor Definition Language ( SDDL ) string für die zulässige Gruppe . Das Format der SDDL-Zeichenfolge für eine einzelne Gruppe ist : " O: DAG : DAD : (A; ; RCGW ; ; ; SID) , " wo SID ist die SID (Security Identifier ) einer Gruppe angemeldet . Deshalb, um die Einstellung für Ihre Gruppe zu definieren, lautet der Text der Politik so etwas wie " Definieren von IPSec- Peers von Firewall-Richtlinie ausgenommen werden : O: DAG : DAD : (A; ; RCGW ; ; ; S-1- 5-21 -4214763869-96332444560-8429442246-100290 ) . " Verwenden Sie die GETSID Befehlszeilenprogramm gegen die Sicherheit Gruppennamen, um die SID bestimmen, ob Sie nicht bereits wissen es .
2
Zuweisen eines Server-seitigen " Verschlüsselung erforderlich "-Regel in den Gruppenrichtlinien . Um Verschlüsselung über IPsec benötigen, müssen Sie eine Regel, um die Sicherheit der Gruppenrichtlinien- Windows- Einstellungen> Sicherheitseinstellungen > IP-Sicherheitsrichtlinien Abschnitt hinzuzufügen. In der Gruppenrichtlinien- Editor auf der OU mit dem Computer Objekt Ihrer Zielserver mit der rechten Maustaste und wählen Sie " Neues GPO in dieser Domäne und verknüpfen Sie es hier. " Geben Sie dem Group Policy Object ( GPO) einen aussagekräftigen Namen und klicken Sie auf " OK".
Erweitern Sie die Vorlage für Baum in der folgenden Reihenfolge : "Computer Configuration ", " Windows-Einstellungen " und " IP-Sicherheitsrichtlinien auf Active Directory . " Auf dem " Secure Server (Sicherheit erforderlich ) " Politik im rechten Fensterbereich mit der rechten Maustaste und wählen Sie "Zuweisen ". Wenn zugewiesen , erfordert diese Politik , dass der gesamte Datenverkehr versucht, den Server erreichen IPsec verwenden .
3
Konfigurieren eines Client -side " Verschlüsselung erforderlich "-Regel . Um für die Kunden , um die Verschlüsselung zu verwenden, um den Server zu erreichen , müssen Sie eine Politik für jene Kunden , die eine Verschlüsselung ermöglicht nur für den Zielserver . In der Gruppenrichtlinien- Editor auf der OU mit der Gruppe -Objekt, das alle Clients mit der Berechtigung zum IPsec verwenden, um den Zielserver zu erreichen haben wird umfasst mit der rechten Maustaste . Wählen Sie " Erstellen eines Gruppenrichtlinienobjekts in diesem Bereich und verknüpfen Sie es hier. " Geben Sie dem GPO einen aussagekräftigen Namen und klicken Sie auf " OK".
Erweitern Sie die Vorlage für Baum in der folgenden Reihenfolge : . "Computer Configuration ", " Windows-Einstellungen " und " IP-Sicherheitsrichtlinien auf Active Directory " Auf dem "Client ( nur Antwort ) " Politik im rechten Fensterbereich doppelt an. Klicken Sie auf "Hinzufügen ..." den Sicherheitsrat Regel -Assistenten zu starten . Übernehmen Sie die Standardwerte für " Tunnel-Endpunkt " und " Network Type ", sondern auf den " IP Filter List "-Seite klicken Sie auf " Hinzufügen ..." Auf der " IP Filter List "-Seite Namen der Filterliste und klicken Sie auf "Hinzufügen ..." um den Server hinzuzufügen . Folgen Sie dem Assistenten , Einzelheiten enthält " Beliebige IP-Adresse " für die Quell-Adresse und "A DNS -Name" für den Zielserver . Geben Sie den Ziel-Server den Namen in der "Host-Name : " ein. Beenden Sie den Assistenten mit den übrigen Standardwerte, und klicken Sie auf " OK ", um die " IP- Filer List" Assistenten zu schließen. In der " Assistent für " die Option " Permit" als Filter Aktion und klicken Sie auf "Weiter" , um den Assistenten zu beenden.
Zugeordnet , erfordert diese Politik , dass jeder Verkehr von den Client-Rechnern , um den Server zu erreichen versucht wird IPsec verwenden , aber Datenverkehr zu einem anderen Server nicht .
4
Gruppenrichtlinien anwenden Updates sowohl für die Clients und dem Server . Auf jeder Maschine öffnen Sie eine Eingabeaufforderung und geben Sie " gpupdate ". Wenn Sie dazu aufgefordert werden , sich abzumelden , so zu tun.
