Czy serwery Windows Web powinny być członkami domeny Active Directory

14

Pod względem bezpieczeństwa i łatwości zarządzania - jaka jest najlepsza praktyka?

Powinny serwery sieciowe

  • Być dodawanym do domeny Active Directory i zarządzanym z niej

lub

  • Czy należysz do grupy roboczej „serwer WWW”, która jest niezależna od katalogu aktywnego „serwer zasobów”?

Nie ma wymogu, aby istniały konta użytkowników na serwerach internetowych, tylko konta zarządzania (zarządzanie serwerami, raportowanie systemu, wdrażanie treści itp.)

iis active-directory web-server windows David Christiansen
źródło
Czy te serwery są w Colo czy w DMZ w twoim biurze?
Rob Bergin
Dobry punkt do podniesienia. Serwery są pod naszą kontrolą w naszej serwerowni.
David Christiansen

Odpowiedzi:

8

Jeśli chcesz użyć delegacji Kerberos do zbudowania bezpiecznej infrastruktury (i TY ROBIĆ), musisz dołączyć te serwery WWW do domeny. Serwer WWW (lub konto usługi) będzie potrzebował możliwości delegowania przypisanego do niego, aby umożliwić personifikację użytkownika przeciwko Twojemu serwerowi SQL.

Prawdopodobnie nie chcesz używać uwierzytelniania opartego na SQL na serwerze SQL, jeśli masz jakieś wymagania kontrolne lub ustawowe dotyczące śledzenia dostępu do danych (HIPAA, SOX itp.) Powinieneś śledzić dostęp poprzez proces udostępniania (tj. Kto jest w jakie grupy, jak to zostało zatwierdzone i przez kogo) oraz cały dostęp do danych powinien odbywać się za pośrednictwem przypisanego konta użytkownika.

W przypadku problemów DMZ związanych z dostępem do AD można rozwiązać niektóre z nich za pomocą Server 2008 przy użyciu DC tylko do odczytu (RODC), ale nadal istnieje ryzyko związane z wdrożeniem w DMZ. Istnieją również sposoby zmuszenia kontrolera domeny do korzystania z określonych portów w celu przebijania się przez zaporę ogniową, ale ten typ cutomizacji może utrudniać problemy z uwierzytelnianiem.

Jeśli masz szczególne potrzeby, aby umożliwić zarówno użytkownikom Internetu, jak i intranetowi dostęp do tej samej aplikacji, być może zajrzysz do korzystania z jednego z produktów Federeated Services, oferty Microsoft lub czegoś w rodzaju Ping Federated.

Ryan Fisher
źródło
8

Do użytku wewnętrznego, absolutnie. W ten sposób zarządzają nimi GPO, łatanie nie jest tak trudne, a monitorowanie można przeprowadzić bez wielu obejść.

W DMZ ogólnie radzę nie, nie powinny być w DMZ. Jeśli znajdują się one w domenie i strefie DMZ, problemem jest to, że serwer WWW musi mieć pewną łączność z powrotem do co najmniej jednego kontrolera domeny. Dlatego jeśli atakujący z zewnątrz naruszy serwer WWW, może teraz bezpośrednio przeprowadzać ataki na jeden z kontrolerów domeny. Posiadaj kontroler domeny, domenę. Posiadaj domenę, posiadaj las.

K. Brian Kelley
źródło
Dzięki KB i Rob. Utworzenie kolejnego AD w sieci obwodowej to jedna odpowiedź, ale nie mogę usprawiedliwić, że muszę kupić inny serwer, aby być gospodarzem AD dla serwerów sieciowych. Urg. Inną komplikacją jest to, że na serwerach WWW musi być dozwolony ruch SOME do wewnętrznej „zaufanej” sieci (na przykład SQL) oraz że ruch SQL jest zabezpieczony za pomocą zaufanego połączenia sieciowego. Chyba musimy rozmawiać o dwóch AD i zaufaniu między nimi?
David Christiansen
Tak, to najbezpieczniejsza trasa. Masz las dla serwerów opartych na DMZ i ma on jednokierunkowe zaufanie do wewnętrznego lasu. Chciałbym jednak najpierw zezwolić na uwierzytelnianie oparte na SQL Server.
K. Brian Kelley
Zgadzam się, to jest ta droga.
squillman
6

Dlaczego nie mieć domeny serwera w DMZ?

Może to być osobny las z jednokierunkową relacją zaufania do administrowania domeną z domeny głównej bez zezwolenia na domenę WS dla domeny głównej.

Wszystkie radości związane z AD / WSUS / GPO - szczególnie przydatne, jeśli masz ich całą farmę - a jeśli jest to zagrożone, nie jest to twoja główna sieć.

Jon Rhoades
źródło
1
To najbezpieczniejsza droga, jeśli musisz korzystać z domeny. Nadal jednak mówisz o uzyskaniu bezpośredniego ataku na kontroler domeny. W scenariuszu, który podajesz, jeśli dostanę ten kontroler domeny, chyba że zabrałeś poświadczenia z pamięci podręcznej, nadal mogę je pobrać i mieć poświadczenia do użycia w domenie podstawowej / lesie.
K. Brian Kelley
KB, Zainteresowanie, czy możesz opisać „poświadczenia w pamięci podręcznej”
David Christiansen,
1
O ile go nie wyłączysz, system Windows buforuje poświadczenia hasła (w rzeczywistości skrót hasha) podczas logowania. Dzięki temu możesz mieć laptopa i zalogować się przy użyciu logowania do domeny, gdy jesteś poza siecią korporacyjną. Wyodrębnij to, użyj tęczowych tabel, masz pomysł.
K. Brian Kelley
3
Jeśli zaufanie jest tylko jedno, sposób buforowania danych uwierzytelniających nie ma znaczenia, ponieważ serwer DMZ nigdy nie będzie uwierzytelniany w domenie podstawowej.
Jon Rhoades
2

Jeśli serwer sieciowy znajduje się w tej samej sieci co kontrolery domeny, zdecydowanie dodałbym go do domeny - ponieważ to oczywiście dodaje wiele możliwości zarządzania. Jednak zwykle starałbym się umieścić serwery sieciowe w strefie DMZ, aby zwiększyć bezpieczeństwo - co uniemożliwia dostęp do domeny bez dziur (i to bardzo zły pomysł!)

Rob Golding
źródło
1

Jak wspomnieli inni, jeśli są dostępne publicznie i nie wymagają uwierzytelniania użytkowników w stosunku do katalogu, nie umieszczaj ich w domenie.

Jeśli jednak potrzebujesz uwierzytelnienia lub wyszukiwania informacji z usługi AD, prawdopodobnie zajrzyj do trybu aplikacji usługi Active Directory ( ADAM ) w strefie DMZ. Może być konieczne zreplikowanie informacji o odnowieniu z AD do partycji Applicaton, ponieważ ADAM nie synchronizuje standardowych partycji AD.

Jeśli szukasz tylko funkcji zarządzania, ADAM nie ma zastosowania.

Doug Luxem
źródło