Haruskah Server Web Windows menjadi anggota Domain Direktori Aktif

14

Dalam hal keamanan dan pengelolaan - Apa praktik terbaik?

Haruskah server web

  • Ditambahkan dan dikelola dari domain Direktori Aktif

atau

  • Jadilah bagian dari kelompok kerja 'server web' yang terpisah dari direktori aktif 'server sumber'?

Tidak ada persyaratan untuk ada akun pengguna di server web, hanya akun manajemen (manajemen server, pelaporan sistem, penyebaran konten, dll.)

David Christiansen
sumber
Apakah webservers ini ada di Colo atau di DMZ di kantor Anda?
Rob Bergin
Poin bagus untuk diangkat. Server berada dalam kendali kita sendiri di ruang server kita sendiri.
David Christiansen

Jawaban:

8

Jika Anda ingin menggunakan delegasi Kerberos untuk membangun infrastruktur yang aman (dan ANDA MELAKUKAN), Anda harus bergabung dengan server Web tersebut ke domain. Server web (atau akun layanan) akan membutuhkan kemampuan untuk mendelegasikan yang ditugaskan untuk memungkinkan peniruan pengguna terhadap server SQL Anda.

Anda mungkin ingin menghindari menggunakan otentikasi berbasis SQL pada server SQL jika Anda memiliki persyaratan audit atau wajib untuk melacak akses data (HIPAA, SOX, dll.) Anda harus melacak akses melalui proses penyediaan Anda (yaitu siapa yang ada dalam kelompok apa, bagaimana hal itu disetujui, dan oleh siapa) dan semua akses ke data harus melalui akun yang ditugaskan pengguna.

Untuk masalah DMZ terkait dengan mengakses AD , Anda dapat menyelesaikannya dengan Server 2008 menggunakan Read-Only DC (RODC) tetapi masih ada risiko dengan menggunakan DMZ. Ada juga beberapa cara untuk memaksa DC menggunakan port spesifik untuk menembus firewall, tetapi jenis cutomization ini dapat mempersulit masalah otentikasi.

Jika Anda memiliki kebutuhan khusus untuk memungkinkan pengguna Internet dan Intranet mengakses aplikasi yang sama, Anda mungkin perlu melihat ke dalam menggunakan salah satu produk Layanan Federeated, baik penawaran Microsoft atau sesuatu seperti Ping Federated.

Ryan Fisher
sumber
8

Penggunaan internal, tentu saja. Dengan begitu mereka dikelola oleh GPO, menambal tidak sesulit, dan pemantauan dapat dilakukan tanpa banyak solusi.

Di DMZ, umumnya saya menyarankan tidak, mereka tidak boleh berada di DMZ. Jika mereka berada di domain dan di DMZ, masalah yang Anda hadapi adalah bahwa server web harus memiliki konektivitas tertentu kembali ke setidaknya satu DC. Oleh karena itu, jika penyerang eksternal membahayakan server web, ia sekarang dapat langsung meluncurkan serangan terhadap salah satu DC. Miliki DC, milik domain. Memiliki domain, memiliki hutan.

K. Brian Kelley
sumber
Terima kasih KB dan Rob. Menciptakan AD lain dalam jaringan perimeter adalah satu jawaban, tetapi saya tidak dapat membenarkan saya harus membeli server lain hanya untuk menjadi tuan rumah AD untuk server web. Urg. Komplikasi lain adalah bahwa server web harus memiliki BEBERAPA lalu lintas yang diizinkan masuk ke jaringan 'tepercaya' internal (misalnya SQL) dan lalu lintas SQL diamankan menggunakan koneksi jaringan tepercaya. Saya kira kita harus berbicara tentang dua iklan dan kepercayaan di antara keduanya?
David Christiansen
Itu rute teraman, ya. Anda memiliki hutan untuk server berbasis DMZ dan memiliki kepercayaan satu arah kembali ke hutan internal. Namun, saya akan melihat mengizinkan otentikasi berbasis SQL Server terlebih dahulu.
K. Brian Kelley
Saya setuju, ini jalan yang harus ditempuh.
squillman
6

Mengapa tidak memiliki Domain Webserver di DMZ?

Itu bisa berupa hutan terpisah dengan hubungan kepercayaan satu arah untuk mengelola domain dari domain utama Anda tanpa memberikan izin apa pun ke domain WS untuk domain utama Anda.

Semua kesenangan AD / WSUS / GPO - terutama berguna jika Anda memiliki seluruh pertaniannya - dan jika kompromi itu bukan jaringan utama Anda.

Jon Rhoades
sumber
1
Itu rute teraman untuk pergi jika Anda harus menggunakan domain. Namun, Anda masih berbicara tentang mendapatkan serangan langsung ke DC. Dan dalam skenario yang Anda berikan, jika saya mendapatkan DC itu, kecuali Anda telah mengambil kredensial cache, saya masih dapat menariknya dan memiliki kredensial untuk digunakan terhadap domain / hutan primer.
K. Brian Kelley
KB, Karena minat, dapatkah Anda menggambarkan 'kredensial yang disimpan dalam cache'
David Christiansen
1
Kecuali Anda mematikannya, sistem Windows akan menyimpan cache kredensial kata sandi (sebenarnya hash dari hash) ketika Anda masuk. Inilah yang memungkinkan Anda untuk memiliki laptop dan masuk dengan login domain Anda ketika jauh dari jaringan perusahaan. Ekstrak itu, gunakan tabel pelangi, Anda mendapatkan ide.
K. Brian Kelley
3
Jika kepercayaan hanya satu, kredensial cara di-cache tidak relevan karena server DMZ tidak akan pernah mengautentikasi terhadap domain utama.
Jon Rhoades
2

Jika server web berada di jaringan yang sama dengan Pengontrol Domain, maka saya pasti akan menambahkannya ke domain - karena ini jelas menambah banyak kemudahan pengelolaan. Namun, saya biasanya berusaha keras untuk menempatkan server web dalam DMZ untuk meningkatkan keamanan - yang membuat akses ke domain tidak mungkin tanpa lubang kecil (dan itu ide yang sangat buruk!)

Rob Golding
sumber
1

Seperti orang lain telah disebutkan, jika ini adalah menghadapi publik dan tidak memerlukan otentikasi pengguna terhadap direktori, maka jangan tidak menempatkan mereka dalam domain.

Namun, jika Anda memerlukan semacam otentikasi atau pencarian informasi dari AD, lihatlah kemungkinan menjalankan Mode Aplikasi Direktori Aktif ( ADAM ) di DMZ. Anda mungkin perlu mereplikasi informasi relavent dari AD ke dalam Applicaton Partition karena ADAM tidak mensinkronisasi partisi AD standar.

Jika Anda hanya mencari fitur manajemen, ADAM tidak berlaku.

Doug Luxem
sumber