我们有许多工作站位于远程位置,这些位置不一定具有良好的物理安全性。我们需要确保我们可以完全访问这些机器(通过远程桌面、组策略、IPMI/远程 KVM 等),因此我们将在每个位置使用硬件 VPN。因为我们使用的是硬件 VPN,这意味着有人可以插入 VPN 上的端口,但他们需要了解我们的网络基础设施、用户名/密码等,我们还将在防火墙处阻止所有返回我们办公室的入站流量(Active Directory 流量除外)。
那么,这就带来了一个问题,要使用哪种域控制器?起初,我设置了一个只读域控制器,它是我们主域的成员,但即使这样也让我们感到不舒服。此外,它本身也存在一系列与之相关的麻烦,所以现在我在考虑其他选择,然后再真正开始使用该系统(它仍在开发中)。
我正在考虑要么设置一个子域,要么采用完全独立的域。不过,我仍然需要在域之间建立信任关系,因为我希望我的办公室用户能够轻松管理现场的远程计算机,但这纯粹是为了管理目的,并且可以随时切断连接,同时仍使现场计算机完全正常运行。是的,我可以完全没有信任,但如果可能的话,我想从一个域管理大多数用户资源。这里的关键是我们能够远程管理和访问这些计算机,而不会让它们危及我们的办公室网络安全。
有没有更好的方法?其他人遇到这种情况时做了什么?谢谢!
答案1
这一切都归结为在安全性和能够使用主域中的一组管理员凭据的便利性之间做出权衡。我的建议是不要设置新的域和信任,因为这只会给您一种虚假的安全感。甚至不要在该位置部署域控制器。不要过度设计它。最终,您将做比必要更多的工作,而安全方面收获甚微。使用 VPN 允许客户端针对办公室 DC 进行身份验证。在防火墙上锁定他们的网络访问权限,以将其限制为其目的所需的 IP、端口和协议。在客户端上启用凭据缓存,以便用户在网络断开时仍可以登录。在客户端上启用 BitLocker 驱动器加密以减轻脱机磁盘访问。使用 Microsoft LAPS 解决方案确保本地管理员密码是唯一的并备份到 Active Directory。最重要的是,切勿使用对网络上任何其他计算机具有管理访问权限的域帐户登录客户端。应用组策略以拒绝您的域管理员帐户网络和交互式登录这些系统,以确保永远不会发生这种情况。更好的是,使用 LAPS 帐户进行所有这些远程管理。这样,如果某个帐户被入侵,他们就只能使用该系统和内存中任何帐户。如果您对这些建议有任何疑问或顾虑,请告诉我。便利性/可用性和安全性总是相互矛盾的。关键是找到既安全又可用的最佳点,但不幸的是,这并不总是方便的。