http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
Я хочу добавить немного к данной информации.
Ввиду того, что есть возможность изоляции не только доменов, серверов, компьютеров, не входящих в домен. Есть и возможность по изоляции компьютеров, входящих в существующий домен MS Windows. Скажите, а для чего это может понадобиться? Например, для изоляции копьютеров, входящих в домен MS Windows, которые оказались заражены сетевым вирусом (червем), но которым необходим доступ к некоторым ресурсам домена. Не совсем безопасно, правда? Но зато, мы оградим остальные компьютеры сети от прямого взаимодействия с зараженным рабочим местом. Кроме того, всегда существует возможность оградить данный компьютер и физически, заставив его работать через выделенную станцию безопасности, например, как через шлюз, которая, в свою очередь, станет блокировать нежелательный трафик. Всё это довольно гибко можно настроить на чёрный день с помощью политик безопасности AD (GPO), а затем, по мере необходимости, добавлять в данную политику хосты, нуждающиеся в изоляции. Не стоит также забывать и о возможности фильтрации трафика по портам с использованием IPSec, т. к. это может защитить от некоторых типов сетевых вирусов, которые используют для своей работы несистемные порты. Но, к сожалению, таких возможностей современнные вирусы оставляют все меньше. Да и повсеместно IT-службами подразделениями все еще используется протокол NetBIOS для публикации общих ресурсов в сети, что пагубно влияет на защищенность хостов в локальной сети. А можно же было использовать возможности AD для публикации в каталоге AD, тогда бы количество используемых системный портов на хостах в сети несколько сократилось, увеличились бы системные ресурсы из отказа от использования лишних сервисов, стало бы невозможным заражение некоторыми сетевыми вирусами и сделало бы невозможным атаки на протокол NetBIOS. Да, для критиков, в такую политику организации домена можно добавить и исключения из правил, для серверов печати, например.
Добавлю от себя еще, что данные возможности уже присутствовали с платформы MS Windows 2000, но на них никто не обращал внимания, либо не хотел изучать новые возможности по улучшению уровня безопасности в сети MS Windows, да мало ли еще почему. И до сих пор данные возможности мало кто использует.
Автор данных строк уже использовал возможности по изоляции доменов в своей работе еще в 2004 году, но затем мне не встречались организации, которые хотели бы улучшить информационную безопасность и упростить реагирование на те или иные инцинденты информационной безопасности, хотя предложения мною вносились и я ознакамливал руководство с данной технологией. А жаль! Не нужно топтаться на месте, необходимо развивать инфраструктуру и полностью использовать возможности, предлагаемые производителем данных платформ – Microsoft, а не искать несертифицированные и сомнительные решения сторонних производителей, которые, как правило, не бесплатны и требуют дополнительных финансовых ассигнований.
Небольшое дополнение к данной статье. Изоляцию доменов можно реализовать с использованием IPSec, без установки дополнительных компонентов, как это советует Microsoft, работать будет без проблем. Жаль, что об этом нет упоминания на сайте техподдержки Microsoft, возможно, о такой возможности они и не подумали?
Удачи!https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b8%d0%b7%d0%be%d0%bb%d1%8f%d1%86%d0%b8%d1%8f-%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d0%be%d0%b2-%d0%bd%d0%b0-%d0%bf%d0%bb%d0%b0%d1%82%d1%84%d0%be%d1%80%d0%bc%d0%b0%d1%85-ms-windows-server-%d0%b8-%d0%bd/
Кроме того, не забываем отключать не используемые сервисы и сетевые
средства через использование редактирования локальных и групповых
политик безопасности, что дополнительно усилит защиту ресурсов ваших
серверов и рабочих станций. Не забываем о защите сервисов, фильтрации
пакетов и изоляции доменов (подсетей /аналог NAP в Windows 2008/).