DMZ 中的 Active Directory 成員伺服器
我想具體說明條款。當我說 DMZ 時,我指的是一個放置伺服器的地方,這些伺服器會將服務暴露給 Internet 等不受信任的網路,或者在某些情況下僅僅是不太受信任的網路。
我試圖通過審核我們通過防火牆暴露的內容來支持我們的網路邊界。我所說的防火牆不是 Microsoft ISA 伺服器,也永遠不會是。如果你們中的任何人處於這種情況,您就會知道允許成員伺服器連接到域控制器所需的埠非常廣泛。為了解決這個問題,Microsoft 提供了幾種使用 RODC 的設計來減少開放埠的數量,但即使它只是一個埠,Active Directory 本身對於已經破壞 DMZ 成員伺服器的未經授權的人來說也是一大堆情報。
DMZ 中的 AD 成員伺服器的共識是什麼?太不安全,或可接受的風險?假設前者(我傾向於),除了本地帳戶身份驗證之外,還有比 AD 更安全的選項來驗證登錄到 DMZ Windows 伺服器的使用者嗎?如果沒有,那麼是否有一種機制可以在登錄時將本地帳戶與真人相關聯以進行審核?在獨立伺服器 DMZ 中跟踪使用者行為的唯一選擇似乎是為每個登錄伺服器的使用者創建本地電腦帳戶。
當然,理想情況下,您沒有人登錄伺服器進行正常操作;整個事情應該由使用服務帳戶的代理管理(這是一個完整的“另一個討論”)。但是現在我們的操作還沒有“在那裡”。我們希望 DSC 能夠做到這一點。
微軟建議的重點對我來說要麼不切實際,要麼沒有抓住重點。僅用於 DMZ 的 Active Directory 降低了入侵者收集情報的能力,但仍然使向量保持原位。他們的解決方案可以做的最好的事情是通過將情報限制在 DMZ(加上您的 DMZ AD 可能提供的任何其他服務)來分散風險寶貝。權衡是每個 DMZ 的 AD。所以現在您的管理員正在管理一個帳戶 + N 個 DMZ。
並不是微軟在監聽,而是需要一種中間方式來驗證 Windows 使用者,但不需要使用可以執行列舉 LDAP 使用者之類的操作的憑據。
我不知道其他人的感受,但我的觀點是這樣的:
如果 AD 伺服器用於公司/內部身份驗證/授權,則它永遠不應位於 DMZ 上。如果它被用於外部可用應用程序的身份驗證,那麼是的 - 它屬於那裡,假設它根本沒有掛鉤到 DRN。
正如您所說,DMZ 允許不受信任的網路訪問所提供的服務。這些服務可能會受到損害,如果您的內部目錄在那裡 - 它也會受到損害。