Izolarea domeniului (așa cum este descrisă în scopul anterior de a restricționa accesul numai la calculatoarele de încredere) permite calculatoarelor care fac parte dintr-un domeniu izolat să accepte traficul de rețea de la calculatoare necredite. Cu toate acestea, unele computere din rețea pot trimite date sensibile care trebuie restricționate în continuare pentru utilizatorii și computerele care au acces la datele despre solicitările de afaceri.
Paravanul de protecție Windows cu securitate avansată vă permite să restricționați accesul la computere și la utilizatorii care fac parte dintr-un grup de domenii, permisiunea de a accesa acest computer. Aceste grupuri se numesc grupuri de acces la rețea (NAG). Când computerul se autentifică la server, serverul verifică calitatea de membru al contului de computer și al contului de utilizator și oferă acces numai dacă este confirmat apartenența la NAG. Când adăugați această verificare, este creată o zonă "sigură" virtuală în zona de izolare a domeniului. Există mai multe computere într-o zonă de securitate și este probabil că va crea o zonă separată pentru fiecare set de servere cu cerințe de acces la securitate. Computerele care fac parte din această zonă de izolare a serverului sunt, de asemenea, adesea parte a zonei de criptare (a se vedea criptarea la accesarea resurselor de rețea confidențiale).
Figura următoare prezintă serverul izolat, precum și exemple de computere care pot și nu pot să-l contacteze. Computerele aflate în afara rețelei corporale Woodgrove sau computerele care se află într-un domeniu izolat, dar care nu fac parte din NAG-ul cerut, nu pot comunica cu serverul izolat.
Aceasta este abordarea care corespunde politicii Draft Server Isolation. oferă următoarele caracteristici:
Serverele izolate acceptă traficul de rețea care nu este solicitat numai de la computere sau utilizatori care sunt membri ai NAG.
Serverele izolate pot fi implementate ca parte a unui domeniu izolat și sunt tratate ca o altă zonă. Membrii grupului de zone primesc un GPO cu reguli care necesită autentificare și specifică faptul că traficul de rețea provenind de la membrul NAG este autentificat.
De asemenea, izolarea serverului poate fi configurată independent de domeniul izolat. Pentru a face acest lucru, configurați numai computerele care trebuie să comunice cu serverul izolat cu reguli de securitate a conexiunii pentru a implementa autentificarea și verificarea calității de membru NAG.
Ca zonă de criptare, puteți configura simultan zonele de izolare ale serverului. Pentru a face acest lucru, trebuie să configurați GPO cu regulile, criptarea forțată pe lângă cerința de autentificare și să restricționați accesul la membrii NAG. Pentru informații suplimentare, consultați Cerințe de criptare în timp ce accesați resurse confidențiale de rețea.
Pentru a efectua această sarcină de implementare, sunt necesare următoarele componente.
Active Directory. Active Directory acceptă gestionarea centralizată a regulilor de securitate a conexiunilor, configurarea regulilor într-unul sau mai multe obiecte ale politicii de grup, aplicate automat tuturor computerelor relevante din domeniu. Pentru mai multe informații despre Active Directory, consultați Resurse suplimentare.
Articole similare
Trimiteți-le prietenilor: