IP Security protege o tráfego de rede em um nível fundamental , e, portanto, muitas aplicações críticas de negócio exigem essa abordagem configuração avançada. Configurando IP Security (IPSec ) desafia os administradores de rede , no entanto, porque requer uma grande quantidade de controle sobre o cliente eo servidor lados da configuração de rede . Configurar IPsec usando Group Policy Objects (GPOs) do Windows , criando políticas diferentes para o cliente eo servidor. Coisas que você precisa
domínio do Windows Active Directory
atividade Group Policy Editor Diretório
Show Mais instruções
1
Configurar o desvio firewall do Windows para permitir o tráfego do cliente para desvio o firewall baseado em host. No Editor de Política de Grupo do Active Directory , clique com o botão direito na unidade organizacional (OU) que contém o objeto de computador do servidor de destino e selecione "Criar um GPO neste domínio e vinculá-lo aqui . " Dê o Group Policy Object ( GPO) um nome significativo e clique em " OK". Botão direito do mouse no GPO e selecione " Editar". Expanda a árvore de política de modelo na seguinte ordem: . " Configuração do Computador ", " Modelos Administrativos ", "Rede ", " Conexões de Rede " e " Firewall do Windows " No painel à direita , clique duas vezes sobre a política de "Firewall do Windows: Autorizar autenticado desvio IPsec " e clique em
Uma política de bypass firewall para nomes IPsec um grupo específico , que será concedida a permissão para " Ativado". usar o IPsec para atravessar o firewall baseado em host. No campo " Definir pontos IPSec a ser isentos da política de firewall: " digite a seqüência Security Descriptor Definition Language ( SDDL ) para o grupo permitido. O formato da seqüência SDDL para um único grupo é: " O: DAG : DAD : (A; ; RCGW ; ; ; SID) ", onde SID é o identificador de segurança (SID) de uma conta de grupo. Portanto, para definir o cenário para o seu grupo , o texto da política lê algo como " Definir pontos IPSec a ser isentos da política de firewall : O: DAG : DAD : (A; ; RCGW ; ; ; S-1- 5-21 -4214763869-96332444560-8429442246-100290 ) . " Use o utilitário de linha de comando GETSID contra o nome do grupo de segurança para determinar o SID se você ainda não sabe disso.
2
Atribua um do lado do servidor " exigir criptografia " regra de política de grupo. A fim de exigir a criptografia via IPsec , você deve adicionar uma regra de segurança para Configurações do Windows da política do grupo > Configurações de segurança> seção Políticas de Segurança IP . No Editor de Diretiva de Grupo, clique com o botão direito sobre a OU que contém o objeto de computador do servidor de destino e selecione "Criar um GPO neste domínio e vinculá-lo aqui . " Dê o Group Policy Object ( GPO) um nome significativo e clique em " OK".
Expanda a árvore modelo de política na seguinte ordem : " Configuração do computador ", "Configurações do Windows" e "Políticas de Segurança IP no Active Directory . " Botão direito do mouse sobre o "Servidor seguro (requer segurança ) " política no painel da direita e selecione " Atribuir ". Quando atribuído , esta política exige que todo o tráfego de tentar alcançar o servidor irá usar IPsec.
3
Configurar um client-side " exigir criptografia " regra. Para que os clientes para usar a criptografia para alcançar o servidor , você deve configurar uma política para os clientes que permite a criptografia apenas para o servidor de destino. No Editor de Diretiva de Grupo, clique com o botão direito sobre a OU que contém o objeto grupo que inclui todos os clientes que terão permissão para usar IPsec para chegar ao servidor de destino. Selecione "Criar um GPO neste domínio e vinculá-lo aqui . " Dê o GPO um nome significativo e clique em " OK".
Expanda a árvore modelo de política na seguinte ordem : . " Configuração do computador ", "Configurações do Windows" e "Políticas de Segurança IP no Active Directory" Clique duas vezes sobre o "Cliente (responder somente) " política no painel do lado direito. Clique em " Adicionar ... " para iniciar o Assistente de regra de segurança . Aceite os valores padrão para " Tunnel Endpoint " e " Tipo de rede ", mas na " Lista de filtros IP" da página , clique em " Adicionar ... " Na página " Lista de filtros IP" o nome da lista de filtros e clique em " Adicionar ... " adicionar o servidor . Siga o assistente , especificando " Qualquer endereço IP" para o endereço de origem e " Um nome DNS específico " para o servidor de destino. Digite o nome do servidor de destino no " Host name :" campo . Concluir o assistente com os valores restantes e clique em " OK" para fechar o assistente "Lista Filer IP" . Na " Regra de Segurança Wizard" , selecione " Permitir ", como a ação do filtro e clique em " Next" para concluir o assistente .
Quando atribuído , esta política exige que todo o tráfego das máquinas clientes que tentam acessar o servidor será usar IPsec, mas o tráfego indo para qualquer outro servidor não .
4
Aplicar atualizações de política de grupo para ambos os clientes eo servidor. Em cada máquina abrir um prompt de comando e digite " gpupdate ". Se for solicitado a fazer logoff , faça isso.