Apa yang dimaksud dengan pengontrol domain hanya baca yang sebenarnya berguna?

18

Windows Server 2008 memperkenalkan pengontrol domain read-only, yang menerima replika penuh dari database domain tetapi tidak dapat memodifikasinya, sama seperti Windows NT BDC yang bagus.

Saya tahu semua seluk beluk teknis tentang cara menjalankan semi-DC (saya baru saja melewati 70-646 dan 70-647), tetapi saya masih belum memiliki jawaban yang jelas untuk pertanyaan paling penting: mengapa Anda harus menggunakannya ?

Komentar dari TheCleaner ini benar-benar merangkum saya:

@ Massimo - ya, Anda benar. Anda mencari alasan kuat untuk RODC dan tidak ada. Ini memiliki beberapa fitur keamanan tambahan untuk membantu meringankan keamanan kantor cabang dan benar-benar hanya perlu dikerahkan di sana jika Anda tidak memiliki DC di sana dan anal tentang keamanannya.

Itu sama dengan yang saya pikirkan ... sedikit peningkatan keamanan, ya, tentu saja, tapi jelas tidak sepadan dengan kerumitannya.

windows-server-2008 active-directory domain-controller Massimo
sumber

Jawaban:

10

Saya akan memberi Anda skenario dunia nyata:

  • kami memiliki satu di kantor cabang kami di Cina

Kami menggunakannya karena tidak ada departemen TI di sana, kami menangani semua permintaan untuk akun AD, dll di sini di Amerika Serikat. Dengan memiliki RODC di sana kita tahu:

  1. Tidak ada seorang pun di sana yang dapat masuk ke dalamnya dan mencoba "meretas" AD.
  2. Tidak ada yang bisa mencurinya dan mendapatkan sesuatu yang berharga untuk kemudian kembali dan "meretas" di jaringan nanti.

Dengan memiliki AD / DNS read-only kami tidak perlu khawatir tentang upaya untuk memanipulasi data di DC di sana.

Ini karena fitur yang ditemukan di sini: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Ini lebih dari "ketenangan pikiran" daripada apa pun bagi kita ... ditambah itu memungkinkan untuk menginstal server yang sangat minim karena itu hanya inti server dengan peran RODC diinstal. Kami menaruhnya di server 1U yang lebih lama dengan 2 drive Raid-1 18GB. Kami benar-benar menempatkan 2 di antaranya ... konfigurasi yang persis sama menggunakan perangkat keras yang tidak dijamin yang kami miliki di rak.

Sederhana, melakukan apa yang perlu dilakukan, dan kita tidak perlu khawatir. Jika salah satu kotak gagal, kami hanya akan menggantinya lagi.

Pembersih
sumber
1
Anda bilang tidak ada yang bisa masuk ke sana; tapi tidak ada yang bisa masuk ke DC standar juga, jika dia tidak memiliki kredensial domain yang tepat. Jadi di mana keamanan yang ditingkatkan? Tentang mencurinya: bagaimana tepatnya DC yang dicuri yang dapat ditulis lebih berbahaya daripada yang hanya baca yang dicuri?
Massimo
2
@ Massimo - merujuk ke masuk ke itu, itu hanya masalah jika orang tersebut telah log on hak lokal, Anda benar. Namun, kami memberikannya ke beberapa akun di sana sehingga mereka dapat memeriksa cadangan / pertukaran pita cadangan. Untuk keamanan fisik, DC yang dapat dicuri yang dapat ditulis memberi Anda kemampuan untuk mengetahui kredensial dan kata sandi mereka dan kembali ke jaringan nanti untuk mendapatkan data tambahan ... RODC tidak.
TheCleaner
@ Massimo - Saya perhatikan di OP Anda, Anda mengatakan "replika lengkap" ... ini KECUALI untuk kata sandi. Itu tidak mereplikasi kata sandi, sehingga akhirnya menjadi fitur pro-keamanan terbesar untuk pencurian.
TheCleaner
Setuju untuk kata sandi. Tapi bukankah mereka disimpan menggunakan enkripsi satu arah? Ini pasti adalah lebih baik jika seseorang tidak mendapatkan mereka sama sekali, tapi saya tidak berpikir retak password AD adalah sangat mudah.
Massimo
3
RODC tidak menyimpan hash kata sandi jika Anda menonaktifkan caching ... Saya percaya ini menyimpan "token login". Ya, awalnya klien mengautentikasi dengan DC asli di lokasi yang berbeda. Lihat di sini: devendrathatte.blogspot.com/2009/04/... dan di sini: milesconsultingcorp.com/...
TheCleaner
10

Saya memiliki seluruh bab tentang fitur ini dalam buku saya (www.briandesmond.com/ad4/). Panjang dan pendeknya adalah bahwa ini adalah fitur keamanan dan bagi organisasi terdistribusi, ini adalah masalah besar.

Ada dua skenario yang sangat besar di sini:

-> RODCs tidak menyimpan kata sandi secara default. Ini berarti bahwa jika seseorang secara fisik mendapatkan disk dari server, mereka tidak mendapatkan semua kata sandi pengguna (dan komputer) Anda.

Respons yang benar jika seseorang mencuri RWDC adalah menyetel ulang SEMUA kata sandi di domain karena Anda dapat menganggap semua itu dikompromikan. Ini adalah tugas besar.

Dengan RODC Anda hanya bisa mengatakan cache kata sandi untuk subset X pengguna dan komputer. Ketika RODC benar-benar menyimpan kata sandi, ia menyimpan informasi itu dalam AD. Jika RODC dicuri Anda sekarang memiliki daftar kata sandi kecil yang perlu diatur ulang.

-> RODC meniru satu arah. Jika seseorang mencuri Anda RWDC, membuat beberapa perubahan padanya, dan memasangnya kembali, perubahan itu akan mereplikasi kembali ke lingkungan. Misalnya mereka mungkin menambahkan sendiri ke grup admin domain atau mengatur ulang semua kata sandi admin atau sesuatu. Dengan RODC ini sama sekali tidak mungkin.

Tidak ada peningkatan kecepatan kecuali Anda menempatkan RODC di lokasi yang tidak memiliki DC di sana sebelum dan kemudian ada kemungkinan peningkatan kecepatan dalam beberapa skenario.

Balasan TheCleaner benar-benar salah. Ada banyak skenario yang menarik untuk RODCs dan saya bisa memikirkan beberapa penyebaran mereka pada skala begitu saja. Ini adalah hal-hal keamanan yang sederhana, bukan hal-hal "anal tentang keamanan".

Terima kasih,

Brian Desmond

MVP Direktori Aktif

Brian Desmond
sumber
Brian, terima kasih atas jawaban terinci, tapi saya masih ingin tahu seperti sebelumnya tentang beberapa hal: 1) Jika seseorang dapat memperoleh DC, bagaimana dia bisa membuat perubahan jadi domain, jika dia tidak memiliki administrasi Akun? Dia bahkan tidak bisa masuk. 2) Jika seseorang mencuri DC, bagaimana bisa mendapatkan kata sandi dari database AD? Mereka disimpan di dalam database berpemilik, menggunakan enkripsi satu arah (dan cukup kuat, IIRC). 3) Jika DC Anda dicuri dan siapa yang mencurinya dapat mengakses jaringan Anda dan menghubungkannya kembali, ada sesuatu yang pasti rusak dalam keamanan Anda ... dan tidak ada RODC yang akan memperbaikinya.
Massimo
1
Sehubungan dengan 1 dan 2, ada alat yang tersedia di Internet yang dengan senang hati akan mengambil database AD dan membaca / menulis langsung ke sana. Yang perlu Anda lakukan adalah memasukkan hard drive ke suatu tempat yang berisi dan membukanya dari komputer lain. Setuju pada 3 sampai batas tertentu. Banyak organisasi memiliki ratusan DC di kantor cabang di seluruh dunia. Saya dapat memberi tahu Anda secara langsung bahwa menegakkan keamanan fisik dalam lemari 10.000 mil dari meja Anda hampir tidak mungkin.
Brian Desmond
Jika orang jahat memiliki akses ke perangkat keras Anda - itu bukan perangkat keras Anda lagi. Apakah Anda menggunakan Bitlocker untuk DC saat ini? Jika tidak, coba lakukan itu untuk memulai dengan atau enkripsi disk lengkap lainnya ... jika orang jahat memiliki data Anda - Anda SOL ^^
Oskar Duveborn
1

Anda memerlukan RODC ketika Anda memiliki banyak kantor cabang dengan keamanan fisik yang buruk dan / atau konektivitas jaringan yang lambat atau tidak dapat diandalkan. Contoh:

  • Penyedia medis dengan kantor pusat dan klinik toko yang sering bergerak dan menggunakan DSL / Kabel untuk konektivitas
  • Perusahaan dengan fasilitas di daerah terpencil di mana infrastruktur telekomunikasi tidak dapat diandalkan, atau di mana Anda dipaksa untuk menggunakan jaringan seluler atau satelit.

Sebagian besar organisasi memiliki standar keamanan fisik untuk peralatan jarak jauh. Jika Anda tidak dapat memenuhi persyaratan tersebut, RODC memungkinkan Anda untuk menyediakan otentikasi kecepatan tinggi untuk akses ke aplikasi lokal dan berbagi file. Mereka juga memungkinkan Anda untuk membatasi jumlah kredensial yang disimpan di server. Server yang dikompromikan hanya membahayakan pengguna di lokasi terpencil. DC penuh dengan 75.000 pengguna memperlihatkan semua pengguna tersebut jika terjadi kompromi lokal.

Jika Anda bekerja di perusahaan yang lebih kecil, itu bukan masalah besar sama sekali. Saya dipompa untuk meluncurkannya dengan BitLocker karena RODC secara substansial mengurangi risiko keamanan.

duffbeer703
sumber
1

Kami akan menggunakan RODC dalam DMZ berdasarkan artikel TechNet ini. Menyiapkan hutan baru untuk layanan web dengan RODC di DMZ.

Tim IT
sumber
0

Terutama untuk keamanan, tetapi juga untuk kecepatan juga.

Lihat tulisan singkatnya di sini

geeklin
sumber
2
Saya tidak setuju dengan hal "kecepatan". Jika pengguna perlu mengautentikasi terhadap DC "asli", maka RODC tidak benar-benar mempercepat apa pun: memiliki DC yang dapat ditulis tersedia di situs alih-alih RODC sebenarnya akan lebih cepat .
Massimo
0

RODC berisi salinan read-only dari AD Anda dan Anda menggunakannya di kantor cabang tempat Anda tidak memiliki staf TI dan karenanya tidak dapat menjamin keamanan atau integritas ruang server Anda. Dalam hal RODC dikompromikan Anda aman dalam pengetahuan bahwa siapa pun yang mengkompromikannya hanya akan memiliki akses ke AD Anda di negara itu pada saat penemuan. Tidak ada perubahan yang dibuat untuk itu akan direplikasi kembali ke DC utama Anda. Itu berarti bahwa siapa pun yang kompromi tidak dapat melakukan hal-hal buruk seperti mengangkat diri mereka ke Domain Admin, mengunci admin Anda sendiri, dan memiliki cara jahat mereka dengan seluruh jaringan Anda.

Maximus Minimus
sumber
Apa yang Anda maksud dengan "tidak ada perubahan yang dibuat untuk itu akan direplikasi"? Jika saya bisa mendapatkan akses administratif ke AD, yang diperlukan untuk mengubah apa saja, maka saya dapat menghubungkan ADUC ke DC "nyata" (atau RDP ke dalamnya) dan membuat perubahan saya langsung di sana . Dan jika saya tidak bisa mendapatkan akses administratif, saya tidak bisa melakukan apa-apa walaupun saya memiliki DC di meja saya.
Massimo
2
@ Massimo - ya, Anda benar. Anda mencari alasan kuat untuk RODC dan tidak ada. Ini memiliki beberapa fitur keamanan tambahan untuk membantu meringankan keamanan kantor cabang dan benar-benar hanya perlu dikerahkan di sana jika Anda tidak memiliki DC di sana dan anal tentang keamanannya.
TheCleaner
@ Massimo Anda tidak perlu akses administratif ke AD untuk mengubah apa pun - boot dari DVD dan Anda dapat langsung menulis ke database AD.
Richard Gadsden
0

RODC berguna untuk organisasi perusahaan besar, layanan Direktori perusahaan yang bersaing seperti Novell eDirectory telah memiliki replika Read-Only selama bertahun-tahun.


sumber
0

Keuntungan lain dari RODC adalah, bahwa mereka akan memungkinkan Anda untuk memiliki pengontrol domain yang berfungsi saat Anda melakukan pemulihan bencana, yang melibatkan mencatat semua pengontrol domain normal untuk membangun kembali direktori aktif. Anda tidak harus mematikan RODC dalam situasi itu.

JPS
sumber