Do czego faktycznie służy kontroler domeny tylko do odczytu?

18

Windows Server 2008 wprowadził kontrolery domeny tylko do odczytu, które otrzymują pełną replikę bazy danych domeny, ale nie mogą jej modyfikować, podobnie jak stary dobry BDC systemu Windows NT.

Znam wszystkie techniczne rozwiązania tego, jak prowadzić te pół-DC (właśnie zdałem 70-646 i 70-647), ale wciąż nie mam jasnej odpowiedzi na najważniejsze ze wszystkich pytań: dlaczego miałbyś użyć ich ?


Ten komentarz TheCleaner naprawdę podsumowuje:

@Massimo - tak, masz rację. Szukacie ważnego powodu dla RODC i nie ma takiego. Ma kilka dodatkowych funkcji bezpieczeństwa, które pomagają zmniejszyć bezpieczeństwo w oddziale firmy. Naprawdę trzeba go tam wdrożyć tylko wtedy, gdy nie masz jeszcze kontrolera domeny i jesteś analitykiem na temat jego bezpieczeństwa.

Tak samo myślałem ... mały wzrost bezpieczeństwa, tak, jasne, ale zdecydowanie nie tyle warty wysiłku.

Massimo
źródło

Odpowiedzi:

10

Dam ci scenariusz z prawdziwego świata:

  • mamy jeden w naszym oddziale w Chinach

Używamy go, ponieważ nie ma tam działu IT, obsługujemy wszystkie żądania kont AD itp. Tutaj w USA. Dzięki RODC wiemy, że:

  1. Nikt tam nie może się zalogować i spróbować „zhakować” w AD.
  2. Nikt nie może go ukraść i zdobyć niczego, co byłoby warte później, a potem „zhakować” sieć.

Dzięki AD / DNS tylko do odczytu nie musimy się martwić o próby manipulowania tam danymi w DC.

Wynika to z funkcji znalezionych tutaj: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Jest to bardziej „spokój ducha” niż cokolwiek innego dla nas… a ponadto pozwolił na bardzo minimalną instalację serwera, ponieważ był to tylko rdzeń serwera z zainstalowaną rolą RODC. Umieszczamy go na starszym serwerze 1U z 2 dyskami Raid-1 18 GB. Umieściliśmy 2 z nich w ... tej samej dokładnej konfiguracji, używając starszego nie objętego gwarancją sprzętu, który mieliśmy w szafach.

Proste, robi to, co musi, i nie musimy się o to martwić. Jeśli jedno z pudeł ulegnie awarii, po prostu wymienimy je ponownie.

TheCleaner
źródło
1
Powiedziałeś, że nikt nie może się na nim zalogować; ale nikt nie byłby również w stanie zalogować się do standardowego kontrolera domeny, gdyby nie miał odpowiednich poświadczeń domeny. Więc gdzie jest poprawione bezpieczeństwo? O kradzieży: jak dokładnie skradziony zapisywalny DC byłby bardziej niebezpieczny niż skradziony tylko do odczytu?
Massimo,
2
@Massimo - odnosząc się do logowania, to tylko problem, jeśli dana osoba ma lokalne uprawnienia do logowania, masz rację. Przydzielamy je jednak kilku kontom, aby mogły sprawdzić kopie zapasowe / swapy kopii zapasowych. W celu zapewnienia bezpieczeństwa fizycznego skradziony zapisywalny kontroler domeny umożliwia wykrycie poświadczeń i haseł oraz powrót do sieci w celu uzyskania dodatkowych danych ... RODC nie.
TheCleaner
@Massimo - zauważyłem w twoim OP, że powiedziałeś „pełna replika” ... to prawda Z WYJĄTKIEM dla haseł. Nie replikuje haseł, dzięki czemu jest największą funkcją zabezpieczającą przed kradzieżą.
TheCleaner
Uzgodniono hasła. Ale czy nie są one przechowywane przy użyciu szyfrowania jednokierunkowego? Z pewnością lepiej, jeśli ktoś ich nie złapie, ale nie sądzę, że łamanie haseł AD jest takie łatwe.
Massimo,
3
RODC nie przechowuje skrótów haseł, jeśli wyłączysz buforowanie ... Wierzę, że przechowuje „token logowania”. Tak, początkowo klient uwierzytelnia się z prawdziwym DC w innym miejscu. Zobacz tutaj: devendrathatte.blogspot.com/2009/04/… i tutaj: milesconsultingcorp.com/…
TheCleaner
10

Mam cały rozdział na temat tej funkcji w mojej książce (www.briandesmond.com/ad4/). Krótko mówiąc, jest to funkcja bezpieczeństwa, a dla rozproszonych organizacji to ogromna sprawa.

Istnieją tutaj dwa naprawdę duże scenariusze:

-> RODC domyślnie nie przechowują haseł. Oznacza to, że jeśli ktoś fizycznie pobierze dyski z serwera, nie otrzyma wszystkich haseł użytkownika (i komputera).

Prawidłowa odpowiedź, jeśli ktoś ukradnie RWDC, polega na zresetowaniu WSZYSTKICH haseł w domenie, ponieważ można uznać, że wszystkie zostały naruszone. To duże przedsięwzięcie.

Za pomocą kontrolera RODC możesz powiedzieć tylko buforowanie haseł dla podzbioru X użytkowników i komputerów. Gdy RODC faktycznie buforuje hasło, przechowuje te informacje w AD. Jeśli RODC zostanie skradziony, masz teraz małą listę haseł, które należy zresetować.

-> RODC replikują się w jedną stronę. Gdyby ktoś ukradł ci RWDC, dokonał pewnych zmian i włączył z powrotem, zmiany te powielą się z powrotem w środowisku. Na przykład mogą dodać się do grupy administratorów domeny lub zresetować wszystkie hasła administratora lub coś w tym rodzaju. Z RODC jest to po prostu niemożliwe.

Nie ma poprawy prędkości, chyba że umieścisz kontroler RODC w miejscu, w którym wcześniej nie było DC, a w niektórych scenariuszach prawdopodobnie nastąpi poprawa prędkości.

Odpowiedź Oczyszczacza jest naprawdę niepoprawna. Istnieje wiele atrakcyjnych scenariuszy dla kontrolerów RODC i mogę sobie wyobrazić kilka ich wdrożeń na dużą skalę. To proste rzeczy związane z bezpieczeństwem, a nie „anal o bezpieczeństwie”.

Dzięki,

Brian Desmond

MVP usługi Active Directory

Brian Desmond
źródło
Brian, dziękuję za szczegółową odpowiedź, ale wciąż jestem ciekawy niektórych rzeczy: 1) Jeśli ktoś może zdobyć DC, jak może wprowadzić zmiany w domenie, jeśli nie ma administracji konto? Nie byłby nawet w stanie się zalogować. 2) Jeśli ktoś kradnie kontroler domeny, w jaki sposób może uzyskać hasła z bazy danych AD? Są one przechowywane w zastrzeżonej bazie danych, przy użyciu szyfrowania jednokierunkowego (i dość silnego, IIRC). 3) Jeśli twój DC zostanie skradziony, a kto go ukradł, może uzyskać dostęp do twojej sieci i podłączyć ją z powrotem, coś jest zdecydowanie zepsute w twoim bezpieczeństwie ... i żaden kontroler RODC tego nie naprawi.
Massimo,
1
W odniesieniu do 1 i 2 w Internecie dostępne są narzędzia, które chętnie pobiorą bazę danych AD i odczytują / zapisują bezpośrednio do niej. Wszystko, co musisz zrobić, to wsunąć dyski twarde w miejsca, które je zawierają i otworzyć z innego komputera. Uzgodniono w pewnym stopniu 3. Wiele organizacji ma setki DC w oddziałach na całym świecie. Mogę powiedzieć z pierwszej ręki, że egzekwowanie bezpieczeństwa fizycznego w szafie 10 000 mil od twojego biurka jest prawie niemożliwe.
Brian Desmond,
Jeśli zły facet ma dostęp do twojego sprzętu - to już nie jest twój sprzęt. Czy na początku używasz Bitlockera? Jeśli nie, rozważ zrobienie tego na początek lub innego szyfrowania całego dysku ... jeśli źli mają twoje dane - jesteś SOL ^^
Oskar Duveborn,
1

Potrzebujesz kontrolerów RODC, jeśli masz wiele oddziałów o słabym bezpieczeństwie fizycznym i / lub powolnej lub zawodnej łączności z siecią. Przykłady:

  • Dostawca usług medycznych z centralnym biurem i klinikami sklepowymi, które często się przemieszczają i używają DSL / Cable do łączności
  • Firma posiadająca obiekty na odległych obszarach, na których infrastruktura telekomunikacyjna jest zawodna lub w których użytkownik jest zmuszony korzystać z sieci komórkowych lub satelitarnych.

Większość organizacji ma fizyczne standardy bezpieczeństwa dla urządzeń zdalnych. Jeśli nie możesz spełnić tych wymagań, kontrolery RODC umożliwiają szybkie uwierzytelnianie w celu uzyskania dostępu do lokalnych aplikacji i udziałów plików. Pozwalają również ograniczyć liczbę poświadczeń przechowywanych na serwerze. Zaatakowany serwer naraża tylko użytkowników w zdalnej lokalizacji. Pełna kontroler domeny z 75 000 użytkowników ujawnia wszystkich tych użytkowników w przypadku lokalnego kompromisu.

Jeśli pracujesz w mniejszej firmie, to nic wielkiego. Mam ochotę wdrożyć je za pomocą funkcji BitLocker, ponieważ RODC znacznie zmniejsza ryzyko bezpieczeństwa.

duffbeer703
źródło
1

Będziemy używać kontrolera RODC w strefie DMZ na podstawie tego artykułu TechNet . Utworzenie nowego lasu dla usług sieciowych z RODC w DMZ.

Zespół IT
źródło
0

Przede wszystkim dla bezpieczeństwa, ale także dla szybkości.

Zobacz krótki opis tutaj

geeklin
źródło
2
Nie zgadzam się z „szybkością”. Jeśli użytkownicy muszą uwierzytelnić się na „prawdziwym” kontrolerze domeny, kontroler RODC tak naprawdę niczego nie przyspiesza: posiadanie zapisywalnego kontrolera domeny dostępnego w witrynie zamiast kontrolera RODC byłoby w rzeczywistości szybsze .
Massimo,
0

Kontroler RODC zawiera kopię reklamy tylko do odczytu i używasz jej w oddziale, w którym nie ma personelu IT, a zatem nie może zagwarantować bezpieczeństwa ani integralności serwerowni. W przypadku naruszenia RODC masz pewność, że ktokolwiek naruszy ten kod, będzie miał dostęp do AD tylko w stanie, w jakim znajdował się w momencie odkrycia. Żadne wprowadzone zmiany nie zostaną zreplikowane z powrotem na główne kontrolery domeny. Oznacza to, że ktokolwiek pójdzie na kompromis, nie może robić paskudnych rzeczy, takich jak awansowanie do administratora domeny, blokowanie własnych administratorów i niegodziwy sposób w całej sieci.

Maximus Minimus
źródło
Co rozumiesz przez „żadne zmiany dokonane w nim nie będą replikowane”? Jeśli mogę uzyskać dostęp administracyjny do AD, który jest potrzebny do zmiany czegokolwiek, to mogę podłączyć ADUC do „prawdziwego” kontrolera domeny (lub RDP) i wprowadzić tam bezpośrednio moje zmiany . A jeśli nie mogę uzyskać dostępu administracyjnego, nie mogę nic zrobić, nawet jeśli na stole siedzi DC.
Massimo,
2
@Massimo - tak, masz rację. Szukacie ważnego powodu dla RODC i nie ma takiego. Ma kilka dodatkowych funkcji bezpieczeństwa, które pomagają zmniejszyć bezpieczeństwo w oddziale firmy. Naprawdę trzeba go tam wdrożyć tylko wtedy, gdy nie masz jeszcze kontrolera domeny i jesteś analitykiem na temat jego bezpieczeństwa.
TheCleaner
@Massimo Nie potrzebujesz dostępu administracyjnego do AD, aby cokolwiek zmienić - uruchom komputer z dysku DVD i możesz bezpośrednio pisać do baz danych AD.
Richard Gadsden
0

Kontrolery RODC są przydatne dla dużych organizacji korporacyjnych, konkurencyjne usługi katalogowe dla przedsiębiorstw, takie jak Novell eDirectory, od lat mają repliki tylko do odczytu.


źródło
0

Kolejną zaletą kontrolerów RODC jest to, że pozwalają one mieć działające kontrolery domeny podczas odzyskiwania po awarii, co wiąże się z usunięciem wszystkich normalnych kontrolerów domeny w celu odbudowania active directory. W takich sytuacjach nie musisz wyłączać kontrolerów RODC.

JPS
źródło