IP Security beschermt netwerkverkeer op een fundamenteel niveau , en dus veel bedrijfskritische toepassingen vereisen deze geavanceerde configuratie aanpak . Het opzetten van IP-beveiliging ( IPsec ) daagt netwerkbeheerders , echter, omdat het vereist een grote mate van controle over zowel de client als de server zijden van de netwerk configuratie . IPsec configureren met Windows Policy Objects Group ( GPO's ) door het creëren van bijzondere voorwaarden voor de client en de server . Wat je nodig hebt Windows Active Directory Domain Active Directory Group Policy Editor Toon Meer Aanwijzingen 1 configureren van de Windows-firewall te omzeilen om clientverkeer staat te omzeilen de host-based firewall . In de Active Directory Group Policy Editor , klik met de rechtermuisknop op het Organizational Unit ( OU ) met de computer object van je doelgroep server en selecteer "Maak een GPO in dit domein en Link is het hier . " Geef de Group Policy Object ( GPO ) een betekenisvolle naam en klik op "OK . " Klik met de rechtermuisknop op het groepsbeleidsobject en selecteer " Bewerken ". Vouw het beleid template boom in de volgende volgorde : . ' Computerconfiguratie ', ' Beheersjablonen ', ' Netwerk ', ' Network Connections " en " Windows Firewall " In het rechterpaneel dubbelklik op het beleid " Windows Firewall: geverifieerde IPsec bypass " en klik op Een firewall bypass beleid voor IPsec noemt een specifieke groep die toestemming zal worden verleend aan " Enabled . " gebruik IPsec naar de host - based firewall doorkruisen . In het veld " Definieer IPSec-peers moeten worden vrijgesteld van firewall- beleid : " voer de Veiligheidsraad Descriptor Definition Language ( SDDL ) string voor de toegestane groep . Het formaat van de SDDL string voor een enkele groep is : " O : DAG : DAD : ( A ,, RCGW ,,, SID ) , " waarbij SID is de Security Identifier ( SID ) van een groep rekening . Daarom , om de instelling te definiëren voor uw groep , de tekst van de polis leest iets als " Definieer IPSec-peers moeten worden vrijgesteld van firewall- beleid : O : DAG : DAD : ( A ,, RCGW ,,, S-1- 5-21 -4214763869-96332444560-8429442246-100290 ) . " Gebruik de GETSID command - line utility tegen de groepsnaam zekerheid te bepalen de SID als je niet al weet . Kopen van 2 Wijs een server - side " vereisen encryptie " regel in Groepsbeleid . Om encryptie via IPsec vereist , moet u een security regel toe te voegen aan de groep beleid van Windows Instellingen> Beveiligingsinstellingen > IP Beleid sectie Beveiliging . In de Group Policy Editor , klik met de rechtermuisknop op de organisatie-eenheid met de computer object van je doelgroep server en selecteer "Maak een GPO in dit domein en Link is het hier . " Geef de Group Policy Object ( GPO ) een betekenisvolle naam en klik op "OK . " Vouw het beleid template boom in de volgende volgorde : " Computer Configuration ',' Windows-instellingen " en " IP -beveiligingsbeleid op Active Directory . " Klik met de rechtermuisknop op de " Secure Server ( beveiliging vereisen ) " -beleid in het rechterpaneel en kies " Toewijzen . " Wanneer toegewezen , dit beleid vereist dat alle verkeer poging om de server te bereiken IPsec zal gebruiken . 3 configureren van een client - side " vereisen encryptie " regel. Om klanten om encryptie te gebruiken om de server te bereiken , moet u een beleid voor die cliënten die encryptie mogelijk maakt alleen voor het doel server te configureren . In de Group Policy Editor , klik met de rechtermuisknop op de organisatie-eenheid met de groep object dat alle klanten die toestemming om IPsec gebruiken om de doel server te bereiken zal hebben omvat . Selecteer " Maak een GPO in dit domein en Link is het hier . " Geef de GPO een betekenisvolle naam en klik op "OK . " Vouw het beleid template boom in de volgende volgorde : . "Computer Configuration ',' Windows-instellingen " en " IP -beveiligingsbeleid op Active Directory " Dubbelklik op het "Client ( alleen reageren ) " -beleid in het rechterpaneel . Klik op " Toevoegen ... " de Regel wizard Beveiliging starten . Accepteer de standaardwaarden voor " Tunnel Endpoint " en " Network Type ", maar op het " IP List Filter " pagina klikt u op " Toevoegen ... " Op het " IP-filterlijst " paginanaam de filter lijst en klik op "Add ... " naar de server toe te voegen . Volg de wizard en waarin wordt aangegeven " Elke IP-adres" voor de bron aan te pakken en " Een specifieke DNS Name " voor de doelserver . Voer de naam van de doelserver in het " Host name : " veld . Voltooi de wizard met de overgebleven standaardwaarden en klik op "OK " om het " IP- Filer List " wizard te sluiten. In de "Security Rule Wizard" selecteer " Permit" als de filter actie en klik op " Next" om de wizard te voltooien . Wanneer toegewezen , dit beleid vereist dat alle verkeer van de client machines poging om de server te bereiken zal IPsec , maar verkeer naar een andere server niet . 4 Solliciteer groepsbeleid updates voor zowel de cliënten en de server . Op elke machine opent een opdrachtprompt en typ " gpupdate . " Als u wordt gevraagd om af te melden , doe dat dan.
|