·让XP Home使用组策略、本地用户、安全·巧用组策略 关闭无用端口·让XP Home 使用组策略、安全策略·利用组策略设置优化网络环境·实战组策略 给局域网客户打补丁·Win2003组策略和安全模板的应用·Windows 2000中的组策略简介·GPMC：组策略的大管家·利用组策略调整上网设置·轻松限制对本地组策略的访问 更改管理

更改管理流程的一个主要目标是：确保受即将实施的更改影响的所有各方都注意到并了解更改所产生的影响。 由于大多数系统是密切相关的，在系统的一个部分中进行的更改可能会对另一部分产生深远影响。 为了缓解或消除所有负面影响，更改管理将在部署更改前先尝试确定所有受影响的系统和过程。 通常，目标（或托管）环境是生产环境，但还应该包括关键集成环境、测试环境和临时环境。

对 IPsec 环境的所有更改都应遵循以下标准 MOF 更改管理过程：

1.

更改请求。 通过提交更改请求 (RFC)，正式启动更改。

2.

更改分类。 根据更改在基础结构或用户方面的紧急程度和影响程度来分配更改的优先级和类别。 这一指定会影响实施速度和路由。

3.

更改授权。 由更改管理者和拥有 IT 与业务代表的更改审批委员会 (CAB) 考虑更改并批准或否决它。

4.

更改开发。 规划和开发更改的过程，其规模有大有小，并包括关键的阶段性审核。

5.

更改发布。 将更改发布并部署到生产环境。

6.

更改审查。 实施过程后的行为，它审核更改是否达到了为其设定的目标，并确定是保持更改有效还是取消。

下节描述在您的 IPsec 环境中很可能需要定期进行的某些关键更改的更改开发过程。 每个更改开发过程都将有一个配套的更改发布过程来描述如何将更改部署到生产中。

更改 IPsec 策略

了解在 IPsec 策略中所进行的更改如何影响通信是很重要的。 在初始部署时，首先要考虑的问题是更改时间，因为这个时间会影响实施更改的能力及回滚更改的时间段。

策略应用延迟

当组策略对象 (GPO) 中的 IPsec 策略分配被更改为新的 IPsec 策略时，会发生某些延迟。 有域中包含分配的 GPO 属性的 Active Directory 复制延迟，也有检测 GPO 中的更改的域成员组策略客户端的轮询延迟。 这些延迟的范围从小位置中的不足一分钟到全球企业中的几小时不等。 Microsoft 建议为您的特定环境测试和记录这些延迟（最小、最大和中等延迟），以便在进行更改时可预计首次影响和整个部署所需的时间。

当已分配的 IPsec 策略的内容被更改时，也会发生类似的延迟。 有 IPsec 策略对象的 Active Directory 复制延迟，也有成员计算机上的 IPsec 策略服务的轮询延迟。 可创建这样一个条件：在复制 IPsec 策略之前复制 GPO 中的策略分配，这将导致客户端似乎已分配基于域的 IPsec 策略 — 但它们无法检索该策略。 在这种情况下，Windows 2000 和 Windows XP 主机将无法应用基于域的策略。 也将无法应用可能被分配的任何本地策略。

为了完全地适应 Active Directory 复制延迟，请确保先创建所有对象（GPO、IPsec 策略等），然后将 IPsec 策略分配到 GPO 中。

影响 IPsec 连接性的更改

有很多领域可影响组成 IPsec 解决方案的策略和组内的连接性。 本节提供有关在客户端可能没有最新更新时，从更改服务器策略的角度来看常见更改如何影响 IPsec 连接性的信息。 如果某项更改导致 Internet 密钥交换 (IKE) 主模式或快速模式失败，则一旦当前 IPsec 安全关联 (SA) 空闲或它们以字节或秒为单位的生命周期已过，通信流就会停止。

此讨论包括大多数更改类型对 IPsec 客户端服务器功能的影响。 不假定 Woodgrove Bank IPsec 策略设计。 针对此讨论，客户端可能有类似于 Woodgrove Bank 设计（其中客户端有可启动 IKE 到服务器的筛选器）的策略或它们可能仅使用默认响应规则（在 Woodgrove 设计中不使用）。

主模式更改

更改身份验证方法或主模式安全措施将导致 IKE 删除现有主模式，但不会影响已建立的快速模式 IPsec SA。 重新生成下一个快速模式密钥时将生成新的主模式 SA。

通常，服务器策略更改不会影响现有客户端重新生成主模式密钥的功能。 但对服务器方进行的某些更改会导致 IKE 主模式与客户端协商失败，这些更改包括：

•

更改为新的身份验证方法（仅适用于证书），不包括客户端可使用的旧身份验证方法。

•

更改为 3DES/SHA1/DH1 或 DH2，在客户端被配置为仅使用 DES/SHA1/DH1 时作为主模式安全措施。

•

激活主模式完全向前保密 (PFS)，不更新客户端和服务器策略，以避免二者都使用主模式 PFS。

•

激活快速模式 PFS，不更新客户端和服务器策略，避免二者都使用快速模式 PFS。

下列服务器策略更改将不影响客户端重新生成主模式 SA 密钥的功能：

•

策略更改的轮询间隔（因为不是主模式 IKE 设置）

•

使用相同主密钥的会话密钥（例如，每个主模式的 IKE 快速模式数量）

•

添加客户端不知道的新安全措施

•

更改 IKE 主模式 SA 的“身份验证和生成新密钥”生命周期参数的 IPsec 策略高级密钥交换设置。

快速模式更改

在用于 IPsec SA 的筛选器操作中所做的更改将导致在那些策略设置下建立的现有 IPsec SA 被删除。 因此，如果通信流正在传输，则尝试使用新的快速模式。 在此更改过程中可能会丢失一些通信流，但 TCP 连接应该会恢复。 但在高速传输数据时，立即删除 IPsec SA 会导致出站通信流中断，直到建立新的快速模式才恢复正常。 例如，从视频数据流突然增加数据包（TCP 无法恢复）将导致视频应用程序的连接需要重置。

以下服务器策略更改将影响活动 IPsec 客户端重新生成快速模式密钥的功能：

•

将普通筛选器更改为特定筛选器。 这种更改的一个示例为：服务器以所有通信流筛选器开始，再删除它，保留仅 TCP 筛选器。 为了避免麻烦，添加特定筛选器时保留现有的普通筛选器。 例如，如果客户端带有默认响应策略并且服务器带有从“所有通信流”更改为“仅 TCP”的策略，则特定筛选器将取决于服务器上的出站通信流，这将在客户端进行默认响应时为仅 TCP 建立新的 IPsec SA。 所有客户端上的“所有通信流”筛选器最终将被删除（两个小时后），然后可在服务器策略中安全地删除它。

如果服务器添加了具有允许操作的特定筛选器，则该通信流将允许立即开始传输并且可能被带有普通 IPsec 默认响应筛选器的客户端中断。 例如，免除 Internet 控制消息协议 (ICMP) 的筛选器已被添加到服务器中，但客户端已确保了到服务器的所有通信流安全。 在这种情况下，客户端将确保其出站 ICMP 的安全、接收回复的明文 ICMP 并中断数据包，因为当前 IPsec 默认响应筛选器要求所有通信流都必须安全。 此特定示例不会影响服务器和客户端之间的任何通信流（除 ICMP 通信流外），并且将如预期设计的那样在服务器请求客户端的所有通信流都安全之后始终生成丢失的 ICMP 通信流。 这可能是一个严重的操作问题，也可能不是。

•

在不兼容安全措施之间或封装类型之间更改。 例如，从 ESP 传输模式的仅 3DES/SHA1 到 ESP 传输模式的仅 3DES/MD5。 通过在新安全措施中包括旧安全措施或封装类型作为最后的选择，可避免由这种更改类型而导致 IKE 快速模式协商失败。 在观察到所有 IPsec SA 都在使用新封装方法之后，可删除安全措施列表底部的旧措施。

•

完全禁用客户端建立 IKE 主模式或快速模式所需的规则。 在快速模式下，筛选器将被删除，以便其他筛选器或没有筛选器来管理 IKE 主模式和快速模式协商。

•

完全将筛选器操作从协商安全性更改为允许或阻止。 明确允许或阻止的通信流将不需要重新生成密钥，因为通信流将不再参与由 IPsec 保护的通信通道。

•

清除“回退到使用明文”复选框。 此操作将导致只要软 SA 持续下去当前连接的客户端就一直保持连接。 SA 到期或空闲后，将有更多服务器出站通信流会导致 IKE 尝试进行新的主模式协商并确定不回退的新设置。 不可对 IKE 协商成功响应的客户端将无法连接。 这可能是预定行为。

•

清除“允许不安全的通信”复选框。 如果某些客户端没有 IPsec 筛选器启动出站 IKE 主模式，则此操作将导致这些客户端断开连接。 默认响应规则客户端将一直保持连接，直到其动态默认响应筛选器在两小时没有通信流传输到服务器后空闲下来并无法重新连接时才断开。

下列服务器策略更改将不影响客户端重新生成快速模式密钥的功能：

•

添加与已在当前 IPsec SA 中的通信流不匹配的筛选器将不影响该通信流。 例如，如果允许将筛选器添加到域控制器的新 IP 地址的服务器策略中。

•

更改以字节或时间为单位的筛选器操作 IPsec SA 生命周期。

•

将筛选器操作从“允许”更改为“协商”安全性。 如果客户端可响应，它们将仍能够为该通信流协商安全连接。

IPsec 策略更改步骤

下列各节提供修改通过使用 GPO 发送的 IPsec 策略的步骤。 虽然每个任务给出的步骤使用 IP 安全策略 Microsoft 管理控制台 (MMC) 管理单元，但通过使用 Windows Server 2003 系统上的 Netsh 命令行工具也可完成这些任务中的每个任务。

Microsoft 建议将 Windows Server 2003 平台作为策略管理站，因为该平台提供了用于编制脚本和监视的最佳功能。

Windows IPsec 策略导出和导入的目的在于执行备份和恢复。 导出功能复制存储位置中的所有 IPsec 策略对象，以确保在备份中捕获所有相关对象。 要将所有当前域策略移到本地存储中进行测试，建议使用导出。 因为有可能会出错，因此在使用导出功能之前，从本地存储中删除每个不想