Для более полного представления о данной технологии советую обратиться по следующим ссылкам:
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
Я хочу добавить немного к данной информации.
Ввиду того, что есть возможность изоляции не только доменов, серверов,
компьютеров, не входящих в домен. Есть и возможность по изоляции
компьютеров, входящих в существующий домен MS Windows. Скажите, а для
чего это может понадобиться? Например, для изоляции копьютеров, входящих
в домен MS Windows, которые оказались заражены сетевым вирусом
(червем), но которым необходим доступ к некоторым ресурсам домена. Не
совсем безопасно, правда? Но зато, мы оградим остальные компьютеры сети
от прямого взаимодействия с зараженным рабочим местом. Кроме того,
всегда существует возможность оградить данный компьютер и физически,
заставив его работать через выделенную станцию безопасности, например,
как через шлюз, которая, в свою очередь, станет блокировать
нежелательный трафик. Всё это довольно гибко можно настроить на чёрный
день с помощью политик безопасности AD (GPO), а затем, по мере
необходимости, добавлять в данную политику хосты, нуждающиеся в
изоляции. Не стоит также забывать и о возможности фильтрации трафика по
портам с использованием IPSec, т. к. это может защитить от некоторых
типов сетевых вирусов, которые используют для своей работы несистемные
порты. Но, к сожалению, таких возможностей современнные вирусы оставляют
все меньше. Да и повсеместно IT-службами подразделениями все еще
используется протокол NetBIOS для публикации общих ресурсов в сети, что
пагубно влияет на защищенность хостов в локальной сети. А можно же было
использовать возможности AD для публикации в каталоге AD, тогда бы
количество используемых системный портов на хостах в сети несколько
сократилось, увеличились бы системные ресурсы из отказа от использования
лишних сервисов, стало бы невозможным заражение некоторыми сетевыми
вирусами и сделало бы невозможным атаки на протокол NetBIOS. Да, для
критиков, в такую политику организации домена можно добавить и
исключения из правил, для серверов печати, например.
Добавлю от себя еще, что данные возможности уже присутствовали с
платформы MS Windows 2000, но на них никто не обращал внимания, либо не
хотел изучать новые возможности по улучшению уровня безопасности в сети
MS Windows, да мало ли еще почему. И до сих пор данные возможности мало
кто использует.
Автор данных строк уже использовал возможности по изоляции доменов в
своей работе еще в 2004 году, но затем мне не встречались организации,
которые хотели бы улучшить информационную безопасность и упростить
реагирование на те или иные инцинденты информационной безопасности, хотя
предложения мною вносились и я ознакамливал руководство с данной
технологией. А жаль! Не нужно топтаться на месте, необходимо развивать
инфраструктуру и полностью использовать возможности, предлагаемые
производителем данных платформ – Microsoft, а не искать
несертифицированные и сомнительные решения сторонних производителей,
которые, как правило, не бесплатны и требуют дополнительных финансовых
ассигнований.
Небольшое дополнение к данной статье. Изоляцию доменов можно
реализовать с использованием IPSec, без установки дополнительных
компонентов, как это советует Microsoft, работать будет без проблем.
Жаль, что об этом нет упоминания на сайте техподдержки Microsoft,
возможно, о такой возможности они и не подумали? Удачи!
https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b8%d0%b7%d0%be%d0%bb%d1%8f%d1%86%d0%b8%d1%8f-%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d0%be%d0%b2-%d0%bd%d0%b0-%d0%bf%d0%bb%d0%b0%d1%82%d1%84%d0%be%d1%80%d0%bc%d0%b0%d1%85-ms-windows-server-%d0%b8-%d0%bd/
Комментариев нет:
Отправить комментарий