Active Directory.pdf - Gattner

532 Kapitel 13: Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit
Konfigurieren von Windows-Firewall und IPsec-Sicherheit
Windows Server 2008 und Windows Vista weisen eine bedeutende Verbesserung bezüglich der Verwendung
der Richtlinien für Windows-Firewall und IPsec für die sichere Netzwerkkommunikation auf. Die
Windows-Firewall mit erweiterter Sicherheit kombiniert die Funktionalität einer Hostfirewall mit den
Authentifizierungs- und Verschlüsselungsfunktionen von IPsec. Dieses Features bietet eine leistungsfähige
Hostfirewall, die zum Prüfen und Filtern des ein- und abgehenden IPv4- und IPv6-Datenverkehrs
verwendet werden kann. IPsec-Funktionen beinhalten die Möglichkeit zur Anforderung einer
gegenseitigen Authentifizierung von Computern vor der Kommunikation sowie die Verwendung von
Datenintegrität oder -verschlüsselung bei der Kommunikation mit anderen Netzwerkhosts.
Die Windows-Firewall mit erweiterter Sicherheit weist drei Hauptkomponenten auf, die direkt auf
dem Hostcomputer konfiguriert und verwaltet oder zentral konfiguriert und mittels eines Gruppenrichtlinienobjekts
auf einen Active Directory-Container angewendet werden können. Zu diesen Komponenten
gehören:
• Firewallregeln Firewallregeln können sowohl für den ein- als auch für den ausgehenden Datenverkehr
erstellt werden. Sie können Regeln erstellen, die bestimmen, welche Computer, Benutzer,
Programme, Dienste, Ports oder Protokolle sich mit dem geschützten Computer verbinden können.
Außerdem können Sie festlegen, auf welche Netzwerkverbindung die Regel angewendet
wird, z.B. auf ein lokales Netzwerk, ein drahtloses LAN, ein virtuelles privates Netzwerk oder
alle Typen.
• Verbindungssicherheitsregeln Verbindungssicherheitsregeln werden zum Konfigurieren von
IPsec-Einstellungen für die Verbindung zwischen dem Hostcomputer und anderen Computern verwendet.
Die Verbindungssicherheit bezieht sich in der Regel auf die Authentifizierung zwischen
zwei Computern, bevor diese beginnen, Daten auszutauschen. Sie können jedoch auch Datenintegrität
und -verschlüsselung konfigurieren, um zusätzliche Sicherheit zu gewährleisten.
• Profile Dem Hostcomputer wird ein spezifisches Profil zugewiesen, um eindeutige Firewall- und
Verbindungssicherheitsregeln bereitzustellen. Maßgeblich für das Profil ist, von wo aus der Computer
die Verbindung herstellt. Drei Profilen von Windows Vista und Windows Server 2008 können
Firewall- und Verbindungssicherheitsregeln zugewiesen werden:
Domäne Dieses Profil wird angewendet, wenn ein Computer mit der zugehörigen Unternehmensdomäne
verbunden wird.
Privat Dieses Profil wird angewendet, wenn ein Computer mit einem Netzwerk verbunden
wird, welches nicht das residente Domänenkonto des Computers enthält (z.B. ein Heimnetzwerk).
Diese Einstellung ist restriktiver als das Domänenprofil.
Öffentlich Dieses Profil wird angewendet, wenn ein Computer mit einem öffentlichen Netzwerk
verbunden wird (z.B. einem Flughafen oder Café). Diese Profileinstellung muss so restriktiv
wie möglich sein.
Wie in Abbildung 13.11 gezeigt, bietet der Knoten Windows-Firewall mit erweiterter Sicherheit im
Gruppenrichtlinienverwaltungs-Editor eine allgemeine Übersicht der aktuellen GPO-Konfiguration
für jedes Profil und eine assistentenbasierte Methode zum Konfigurieren von Verbindungssicherheitsregeln
sowie eingehenden und ausgehenden Regeln.