为什么在域控制器上部署远程桌面服务不好?

为什么在域控制器上部署远程桌面服务不好?

我在 VPS 上有一个应用程序,我想用 RemoteApp 运行它,而不必通过远程桌面进入服务器。我们的 VPS 提供商可以向我们出售一包五个 RDS 许可证,这已经足够了。

我打算遵循这个指南,该指南指出出于安全原因不建议这样做: https://ryanmangansitblog.com/2015/02/22/deploying-rds-2012-r2-on-a-domain-controller-the-walk-through-guide/

关于如何为 remoteApp 设置单个服务器的另一个指南实际上使用了两个服务器: https://msfreaks.wordpress.com/2013/12/09/windows-2012-r2-remote-desktop-services-part-1/

最后,微软有一个关于在 DC 上安装 RDS 的指南,基本上只是说不:https://technet.microsoft.com/en-us/library/cc742817(v=ws.11).aspx他们说它不安全而且性能差。不过我们有一个大小合适的 VPS,并且信任用户。

我的问题是安全风险是什么?运行 remoteApp 应用程序的用户是受信任的员工。

答案1

我认为,这通常被认为是一个坏主意,因为域控制器应该是您的网络的关键核心,存储着您王国的所有密钥。因此,它们应该保持独立,不要与其他应用程序混合,也不要由非管理员用户(甚至定期的管理员)登录,这样关键数据被泄露的可能性就会降低。

但是,就您的具体情况而言,AD 存在的唯一原因似乎是为了支持 RDS 的安装,因为除非您也拥有域,否则您无法在基本远程管理模式之外使用它。因此,在我看来,将所有角色放在一台服务器上以节省托管成本是完全可以的。您实际上只是用 Active Directory 数据库替换了服务器的本地 SAM 数据库。入侵服务器和 AD 的攻击者无关紧要,因为唯一使用 AD 的就是被入侵的服务器上的服务。因此,您可以擦除它并重建或从备份中恢复,这没什么大不了的。

据我所知,这两种服务的结合不会在服务器上产生某种新的漏洞。

相关内容