Изоляция доменов на платформах MS Windows Server и не только ;-) .
Для более полного представления о данной технологии советую обратиться по следующим ссылкам:
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
Я хочу добавить немного к данной информации.
Ввиду того, что есть возможность изоляции не только доменов, серверов, компьютеров, не входящих в домен. Есть и возможность по изоляции компьютеров, входящих в существующий домен MS Windows. Скажите, а для чего это может понадобиться? Например, для изоляции копьютеров, входящих в домен MS Windows, которые оказались заражены сетевым вирусом (червем), но которым необходим доступ к некоторым ресурсам домена. Не совсем безопасно, правда? Но зато, мы оградим остальные компьютеры сети от прямого взаимодействия с зараженным рабочим местом. Кроме того, всегда существует возможность оградить данный компьютер и физически, заставив его работать через выделенную станцию безопасности, например, как через шлюз, которая, в свою очередь, станет блокировать нежелательный трафик. Всё это довольно гибко можно настроить на чёрный день с помощью политик безопасности AD (GPO), а затем, по мере необходимости, добавлять в данную политику хосты, нуждающиеся в изоляции. Не стоит также забывать и о возможности фильтрации трафика по портам с использованием IPSec, т. к. это может защитить от некоторых типов сетевых вирусов, которые используют для своей работы несистемные порты. Но, к сожалению, таких возможностей современнные вирусы оставляют все меньше. Да и повсеместно IT-службами подразделениями все еще используется протокол NetBIOS для публикации общих ресурсов в сети, что пагубно влияет на защищенность хостов в локальной сети. А можно же было использовать возможности AD для публикации в каталоге AD, тогда бы количество используемых системный портов на хостах в сети несколько сократилось, увеличились бы системные ресурсы из отказа от использования лишних сервисов, стало бы невозможным заражение некоторыми сетевыми вирусами и сделало бы невозможным атаки на протокол NetBIOS. Да, для критиков, в такую политику организации домена можно добавить и исключения из правил, для серверов печати, например.
Добавлю от себя еще, что данные возможности уже присутствовали с платформы MS Windows 2000, но на них никто не обращал внимания, либо не хотел изучать новые возможности по улучшению уровня безопасности в сети MS Windows, да мало ли еще почему. И до сих пор данные возможности мало кто использует.
Автор данных строк уже использовал возможности по изоляции доменов в своей работе еще в 2004 году, но затем мне не встречались организации, которые хотели бы улучшить информационную безопасность и упростить реагирование на те или иные инцинденты информационной безопасности, хотя предложения мною вносились и я ознакамливал руководство с данной технологией. А жаль! Не нужно топтаться на месте, необходимо развивать инфраструктуру и полностью использовать возможности, предлагаемые производителем данных платформ - Microsoft, а не искать несертифицированные и сомнительные решения сторонних производителей, которые, как правило, не бесплатны и требуют дополнительных финансовых ассигнований.
Небольшое дополнение к данной статье. Изоляцию доменов можно реализовать с использованием IPSec, без установки дополнительных компонентов, как это советует Microsoft, работать будет без проблем. Жаль, что об этом нет упоминания на сайте техподдержки Microsoft, возможно, о такой возможности они и не подумали? ;-) Удачи!
Источник
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
Я хочу добавить немного к данной информации.
Ввиду того, что есть возможность изоляции не только доменов, серверов, компьютеров, не входящих в домен. Есть и возможность по изоляции компьютеров, входящих в существующий домен MS Windows. Скажите, а для чего это может понадобиться? Например, для изоляции копьютеров, входящих в домен MS Windows, которые оказались заражены сетевым вирусом (червем), но которым необходим доступ к некоторым ресурсам домена. Не совсем безопасно, правда? Но зато, мы оградим остальные компьютеры сети от прямого взаимодействия с зараженным рабочим местом. Кроме того, всегда существует возможность оградить данный компьютер и физически, заставив его работать через выделенную станцию безопасности, например, как через шлюз, которая, в свою очередь, станет блокировать нежелательный трафик. Всё это довольно гибко можно настроить на чёрный день с помощью политик безопасности AD (GPO), а затем, по мере необходимости, добавлять в данную политику хосты, нуждающиеся в изоляции. Не стоит также забывать и о возможности фильтрации трафика по портам с использованием IPSec, т. к. это может защитить от некоторых типов сетевых вирусов, которые используют для своей работы несистемные порты. Но, к сожалению, таких возможностей современнные вирусы оставляют все меньше. Да и повсеместно IT-службами подразделениями все еще используется протокол NetBIOS для публикации общих ресурсов в сети, что пагубно влияет на защищенность хостов в локальной сети. А можно же было использовать возможности AD для публикации в каталоге AD, тогда бы количество используемых системный портов на хостах в сети несколько сократилось, увеличились бы системные ресурсы из отказа от использования лишних сервисов, стало бы невозможным заражение некоторыми сетевыми вирусами и сделало бы невозможным атаки на протокол NetBIOS. Да, для критиков, в такую политику организации домена можно добавить и исключения из правил, для серверов печати, например.
Добавлю от себя еще, что данные возможности уже присутствовали с платформы MS Windows 2000, но на них никто не обращал внимания, либо не хотел изучать новые возможности по улучшению уровня безопасности в сети MS Windows, да мало ли еще почему. И до сих пор данные возможности мало кто использует.
Автор данных строк уже использовал возможности по изоляции доменов в своей работе еще в 2004 году, но затем мне не встречались организации, которые хотели бы улучшить информационную безопасность и упростить реагирование на те или иные инцинденты информационной безопасности, хотя предложения мною вносились и я ознакамливал руководство с данной технологией. А жаль! Не нужно топтаться на месте, необходимо развивать инфраструктуру и полностью использовать возможности, предлагаемые производителем данных платформ - Microsoft, а не искать несертифицированные и сомнительные решения сторонних производителей, которые, как правило, не бесплатны и требуют дополнительных финансовых ассигнований.
Небольшое дополнение к данной статье. Изоляцию доменов можно реализовать с использованием IPSec, без установки дополнительных компонентов, как это советует Microsoft, работать будет без проблем. Жаль, что об этом нет упоминания на сайте техподдержки Microsoft, возможно, о такой возможности они и не подумали? ;-) Удачи!
Источник