Active-Directory

現場低安全性電腦的最佳域配置

  • June 23, 2017

我們有許多工作站將生活在偏遠的地方,我們不一定有良好的物理安全性。我們需要確保我們可以完全訪問這些機器(通過遠端桌面、組策略、IPMI/遠端 KVM 等),因此我們將在每個位置使用硬體 VPN。因為我們使用的是硬體 VPN,這意味著可以想像有人可以插入 VPN 上的埠,但他們需要了解我們的網路基礎設施、使用者名/密碼等,我們還將阻止所有入站流量返回除了 Active Directory 流量外,我們在防火牆處的辦公室。

那麼,這就帶來了一個問題,使用什麼樣的域控制器?起初我設置了一個只讀域控制器,它是我們主域的成員,但即使這樣也讓我們感到不舒服。另外,它有自己的一系列痛苦,所以現在我正在考慮在我們真正開始使用該系統之前的其他選擇(它仍在開發中)。

我在想我要麼設置一個子域,要麼走一個完全獨立的域的路線。不過,我仍然需要在域之間建立信任關係,因為我希望我的辦公室使用者能夠輕鬆管理現場的遠端電腦,但這純粹是出於管理目的,並且可以隨時斷開連接仍然使現場電腦完全執行。是的,我可以完全沒有信任,但如果可能的話,我想管理一個域中的大部分使用者資源。這裡的關鍵是我們有能力遠端管理和訪問這些電腦,而不會讓它們危及我們的辦公室網路安全。

有一個更好的方法嗎?其他人在這種情況下做了什麼?謝謝!

這一切都將歸結為安全性的權衡,以便能夠使用您的主域中的一組管理員憑據。我的建議是不要設置新的域和信任,因為這只會給你一種虛假的安全感。甚至不要將域控制器部署到該位置。不要過度設計它。您最終將獲得比安全方面很少獲得的所需更多的工作。使用 VPN 允許客戶端針對辦公室 DC 進行身份驗證。在您的防火牆上鎖定他們的網路訪問權限,以將他們限制為僅訪問其目的所需的 IP、埠和協議。在客戶端上啟用憑據記憶體,以便使用者在網路中斷時仍然可以登錄。在客戶端上啟用 BitLocker 驅動器加密以減少離線磁碟訪問。使用 Microsoft LAPS 解決方案確保本地管理員密碼是唯一的並備份到 Active Directory。最重要的是,切勿使用對網路上任何其他電腦具有管理訪問權限的域帳戶登錄客戶端。應用組策略來拒絕您的域管理員帳戶網路和互動式登錄到這些系統,以確保它永遠不會發生。更好的是,使用 LAPS 帳戶對這些進行所有遠端管理。這樣一來,如果有人被入侵,他們就會被限制在該系統和仍在記憶體中的任何帳戶中。如果您對這些建議有任何疑問或疑慮,請告訴我。便利性/可用性和安全性總是會相互矛盾。不幸的是,關鍵是找到安全且可用但並不總是方便的最佳位置。

引用自:https://serverfault.com/questions/857421