Windows Web Sunucuları bir Active Directory Etki Alanına üye olmalı mı?

14

Güvenlik ve yönetilebilirlik açısından - En iyi uygulama nedir?

Web sunucuları olmalı

  • Bir Active Directory etki alanına eklenecek ve bir Active Directory etki alanından yönetilecek

veya

  • 'Kaynak sunucu' etkin dizininden ayrı bir 'web sunucusu' çalışma grubunun parçası mısınız?

Web sunucularında kullanıcı hesaplarının bulunmasına gerek yoktur, yalnızca yönetim hesaplarında (sunucu yönetimi, sistem raporlaması, içerik dağıtımı vb.)

iis  active-directory  web-server  windows 
David Christiansen
kaynak
Bu web sunucuları bir Colo'da mı yoksa ofisinizde bir DMZ'de mi?
Rob Bergin
Yükseltmek için iyi bir nokta. Sunucular kendi sunucu odamızda kendi kontrolümüz altındadır.
David Christiansen

Yanıtlar:

8

Güvenli bir altyapı oluşturmak için Kerberos temsilcisini kullanmak istiyorsanız (ve SİZ YAPIN), bu Web sunucularını etki alanına katmanız gerekir. Web sunucusunun (veya hizmet hesabının) SQL sunucunuza kullanıcı kimliğine bürünme izni vermek için kendisine atanmış temsilci seçme yeteneğine sahip olması gerekir.

Veri erişimini izlemek için herhangi bir denetim veya yasal gereksiniminiz varsa (HIPAA, SOX, vb.) SQL sunucusunda SQL tabanlı kimlik doğrulamasını kullanmaktan uzak durmak istersiniz. hangi gruplar, bunun nasıl onaylandığı ve kimler tarafından) ve verilere tüm erişimin kullanıcının atanmış hesabı aracılığıyla olması gerekir.

İçin AD'yi erişmek için ilgili DMZ konularda , bir Salt Okunur DC (RODC) kullanarak Server 2008 ile bunun bazı çözebilirsiniz ancak DMZ içine dağıtma risk hala var. Bir DC'yi bir güvenlik duvarından geçmek için belirli bağlantı noktalarını kullanmaya zorlamanın bazı yolları da vardır, ancak bu tür cutomization kimlik doğrulama sorunlarını gidermeyi zorlaştırabilir.

Hem İnternet hem de Intranet kullanıcılarının aynı uygulamaya erişmesine izin vermek için özel gereksinimleriniz varsa, Federeated Services ürünlerinden birini (Microsoft teklifi veya Ping Federated gibi) kullanmayı düşünmeniz gerekebilir.

Ryan Fisher
kaynak
8

Dahili kullanım, kesinlikle. Bu şekilde GPO tarafından yönetilirler, yama yapmak o kadar da zor değildir ve izleme birkaç geçici çözüm olmadan gerçekleştirilebilir.

DMZ'de genellikle hayır öneririm, DMZ'de olmamalıdırlar. Etki alanında ve DMZ'de ise, karşılaştığınız sorun, web sunucusunun en az bir DC'ye belirli bir bağlantıya sahip olması gerektiğidir. Bu nedenle, harici bir saldırgan web sunucusunu tehlikeye atarsa, artık DC'lerden birine doğrudan saldırı başlatabilir. DC'nin sahibi olun, etki alanının sahibi olun. Etki alanının sahibi, orman sahibi.

Brian Kelley
kaynak
Teşekkürler KB ve Rob. Çevre ağında başka bir AD'nin oluşturulması bir cevaptır, ancak sadece web sunucuları için bir AD'nin sahibi olmak için başka bir sunucu satın almak zorunda kalmamı haklı çıkaramıyorum. Urg. Diğer bir zorluk ise, web sunucularının dahili 'güvenilir' ağa (örneğin SQL) bazı BAZ trafiğine izin vermesi ve SQL trafiğinin güvenilir bir ağ bağlantısı kullanılarak güvenli hale getirilmesidir. Sanırım iki AD hakkında konuşmalıyız ve ikisi arasında bir güven var mı?
David Christiansen
Bu en güvenli rota, evet. DMZ tabanlı sunucular için bir ormanınız var ve iç ormana tek yönlü bir güven var. Ancak, önce SQL Server tabanlı kimlik doğrulamasına izin verir bakmak.
K. Brian Kelley
Katılıyorum, bu yol.
squillman
6

Neden DMZ'de bir Web Sunucusunun Etki Alanı yok?

Ana etki alanınız için WS'nin etki alanına izin vermeden etki alanını ana etki alanınızdan yönetmek için tek yönlü güven ilişkisi olan ayrı bir orman olabilir.

AD / WSUS / GPO'nun tüm sevinçleri - özellikle de bir çiftliğiniz varsa yararlıdır - ve tehlikeye atıldığında ana ağınız değildir.

Jon Rhoades
kaynak
1
Bir alan adı kullanmanız gerekiyorsa, gidilecek en güvenli yol budur. Ancak, hala bir DC'ye doğrudan saldırı yapmaktan bahsediyorsunuz. Ve verdiğiniz senaryoda, bu DC'yi alırsam, önbelleğe alınmış kimlik bilgilerini almadıysanız, yine de bunları alabilir ve birincil etki alanına / ormana karşı kullanmak için kimlik bilgilerine sahip olabilirim.
K. Brian Kelley
KB, İlgi alanı dışında, 'önbelleğe alınmış kimlik bilgilerini' açıklayabilir misiniz
David Christiansen
1
Kapatmazsanız, bir Windows sistemi oturum açtığınızda parola kimlik bilgilerini (aslında bir karma karması) önbelleğe alır. Kurumsal ağdan uzakta olduğunuzda dizüstü bilgisayar kullanmanıza ve alan adınızla oturum açmanıza izin veren budur. Bunu çıkarın, gökkuşağı tablolarını kullanın, fikri anlayın.
K. Brian Kelley
3
Güven yalnızca bir ise, DMZ sunucusu hiçbir zaman birincil etki alanında kimlik doğrulaması yapmayacağından, yol önbelleğe alınmış kimlik bilgileri önemsizdir.
Jon Rhoades
2

Web sunucusu Etki Alanı Denetleyicileri ile aynı ağ üzerindeyse, kesinlikle etki alanına eklerdim - çünkü bu açıkça yönetilebilirlik ekler. Ancak, genellikle güvenliği artırmak için web sunucularını bir DMZ'ye koymaya çalışırım - bu da alanlara erişimi iğne deliği olmadan imkansız hale getirir (ve bu çok kötü bir fikir!)

Rob Golding
kaynak
1

Diğerleri de söylediğim gibi bu kamu bakan ve dizine karşı kimlik doğrulaması kullanıcıların ihtiyaç yoksa, o zaman do not etki koyun.

Ancak, AD'den bir tür kimlik doğrulaması veya bilgi araması gerekirse, muhtemelen DMZ'de Active Directory Uygulama Modu'nu ( ADAM ) çalıştırmaya bakın . ADAM standart AD bölümlerini senkronize etmediğinden, ilgili bilgileri AD'den Uygulama Bölümüne çoğaltmanız gerekebilir.

Yine de sadece yönetim özellikleri arıyorsanız, ADAM geçerli değildir.

Doug Luxem
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.