DMZ 中的 Active Directory 成员服务器

DMZ 中的 Active Directory 成员服务器

我想具体说明一下术语。当我说 DMZ 时,我指的是放置服务器的地方,这些服务器会将服务暴露给不受信任的网络(如互联网),或者在某些情况下,仅仅是暴露给不太受信任的网络。

我试图通过审核防火墙暴露的内容来加强我们的网络边界。我所说的防火墙不是 Microsoft ISA 服务器,也永远不会是。如果你们中有人遇到这种情况,你们就会知道允许成员服务器连接到域控制器所需的端口非常多。微软在试图解决这个问题时提供了几种使用 RODC 来减少开放端口数量的设计,但即使只有一个端口,Active Directory 本身对于已经破坏了 DMZ 成员服务器的未经授权的人来说也是一大情报宝库。

关于 DMZ 中的 AD 成员服务器的共识是什么?太不安全,还是可以接受的风险?假设是前者(我倾向于前者),除了本地帐户身份验证之外,还有比 AD 更安全的选项来对登录到 DMZ Windows 服务器的用户进行身份验证吗?如果没有,那么是否有一种机制可以将本地帐户与登录时的真实人员关联起来以进行审计?似乎在独立服务器 DMZ 中跟踪用户行为的唯一选项是为每个登录到服务器的用户创建本地机器帐户。

当然,理想情况下,您不需要有人登录服务器进行正常操作;整个过程应该使用服务帐户通过代理进行管理(这是另一个讨论)。但目前我们的操作还没有“完成”。我们希望 DSC 能够实现这一点。

在我看来,微软的建议要么不切实际,要么没有抓住重点。仅针对 DMZ 的 Active Directory 会降低入侵者收集情报的能力,但仍然会保留基本不变的载体。他们的解决方案所能做的最好的事情就是将情报限制在 DMZ(以及您的 DMZ AD 可能提供的其他服务)内,从而分散风险。权衡是每个 DMZ 都有一个 AD。因此,现在您的管理员正在管理一个帐户 + N 个 DMZ。

并不是说微软在听,而是需要有一种中间方法来对 Windows 用户进行身份验证,但不需要使用可以执行诸如枚举 LDAP 用户之类的操作的凭据。

答案1

我不知道其他人怎么想,但我的观点是这样的:

如果 AD 服务器用于企业/内部身份验证/授权,则它绝不应位于 DMZ 上。如果它用于外部可用应用程序的身份验证,那么是的 - 它属于那里,假设它与 DRN 完全没有挂钩。

正如您所说,DMZ 允许不受信任的网络访问所提供的服务。这些服务可能会受到损害,如果您的内部目录也在那里 - 也会受到损害。

相关内容