Windows Web Servers ควรเป็นสมาชิกของโดเมน Active Directory หรือไม่

14

ในแง่ของความปลอดภัยและการจัดการ - แนวปฏิบัติที่ดีที่สุดคืออะไร?

ควรเว็บเซิร์ฟเวอร์

เพิ่มและจัดการจากโดเมน Active Directory

หรือ

เป็นส่วนหนึ่งของเวิร์กกรุ๊ป 'เว็บเซิร์ฟเวอร์' ที่แยกจากไดเรกทอรีที่ใช้งาน 'เซิร์ฟเวอร์ทรัพยากร' หรือไม่

ไม่จำเป็นต้องมีบัญชีผู้ใช้บนเว็บเซิร์ฟเวอร์เฉพาะบัญชีการจัดการ (การจัดการเซิร์ฟเวอร์การรายงานระบบการปรับใช้เนื้อหา ฯลฯ )

— เดวิดคริสเตียน
แหล่งที่มา

เว็บเซิร์ฟเวอร์เหล่านี้อยู่ใน Colo หรือ DMZ ที่สำนักงานของคุณหรือไม่

— Rob Bergin

จุดดีที่จะยกระดับ เซิร์ฟเวอร์อยู่ในการควบคุมของเราเองในห้องเซิร์ฟเวอร์ของเราเอง

— David Christiansen

8

หากคุณต้องการใช้การมอบหมาย Kerberos เพื่อสร้างโครงสร้างพื้นฐานที่ปลอดภัย (และคุณทำ) คุณจะต้องเข้าร่วมเว็บเซิร์ฟเวอร์เหล่านั้นกับโดเมน เว็บเซิร์ฟเวอร์ (หรือบัญชีบริการ) จะต้องมีความสามารถในการมอบหมายให้กับมันเพื่อให้การเลียนแบบผู้ใช้กับเซิร์ฟเวอร์ SQL ของคุณ

คุณอาจต้องการหลีกเลี่ยงการใช้การรับรองความถูกต้องแบบ SQL บนเซิร์ฟเวอร์ SQL หากคุณมีข้อกำหนดการตรวจสอบหรือตามกฎหมายสำหรับการติดตามการเข้าถึงข้อมูล (HIPAA, SOX, ฯลฯ ) คุณควรติดตามการเข้าถึงผ่านกระบวนการจัดเตรียมของคุณ กลุ่มใดวิธีที่ได้รับการอนุมัติและโดยใคร) และการเข้าถึงข้อมูลทั้งหมดควรผ่านบัญชีที่ได้รับมอบหมายของผู้ใช้

สำหรับปัญหา DMZ ที่เกี่ยวข้องกับการเข้าถึงโฆษณาคุณสามารถแก้ไขปัญหาบางอย่างกับ Server 2008 โดยใช้ DC แบบอ่านอย่างเดียว (RODC) แต่ยังมีความเสี่ยงในการปรับใช้กับ DMZ นอกจากนี้ยังมีวิธีการบังคับให้ DC ใช้พอร์ตเฉพาะเพื่อเจาะผ่านไฟร์วอลล์ แต่การตัดแบ่งประเภทนี้อาจทำให้ยากต่อการแก้ไขปัญหาการตรวจสอบสิทธิ์

หากคุณมีความต้องการเฉพาะเพื่ออนุญาตให้ทั้งผู้ใช้อินเทอร์เน็ตและอินทราเน็ตสามารถเข้าถึงแอปพลิเคชันเดียวกันคุณอาจต้องใช้ผลิตภัณฑ์ Federeated Services หนึ่งรายการทั้งข้อเสนอของ Microsoft หรือสิ่งที่คล้ายกับ Ping Federated

— ไรอันฟิชเชอร์
แหล่งที่มา

8

ใช้ภายในอย่างแน่นอน วิธีการที่พวกเขาได้รับการจัดการโดย GPO การแก้ไขไม่ใช่เรื่องยากและการตรวจสอบสามารถทำได้โดยไม่ต้องใช้วิธีแก้ปัญหามากมาย

ใน DMZ โดยทั่วไปฉันไม่แนะนำไม่ควรอยู่ใน DMZ หากอยู่ในโดเมนและใน DMZ ปัญหาที่คุณพบคือเว็บเซิร์ฟเวอร์ต้องมีการเชื่อมต่อบางอย่างกลับไปที่ DC อย่างน้อยหนึ่งแห่ง ดังนั้นหากผู้โจมตีจากภายนอกโจมตีเว็บเซิร์ฟเวอร์ตอนนี้เขาหรือเธอสามารถทำการโจมตีโดยตรงกับ DC หนึ่งในนั้นได้ เป็นเจ้าของ DC, เป็นเจ้าของโดเมน เป็นเจ้าของโดเมนเป็นเจ้าของฟอเรสต์

— เคไบรอันตวัด
แหล่งที่มา

ขอบคุณ KB และ Rob การสร้างโฆษณาอื่นในเครือข่ายในขอบเขตเป็นคำตอบเดียว แต่ฉันไม่สามารถพิสูจน์ได้ว่าฉันต้องซื้อเซิร์ฟเวอร์อื่นเพียงเพื่อเป็นโฮสต์ของโฆษณาสำหรับเว็บเซิร์ฟเวอร์ Urg ภาวะแทรกซ้อนอีกอย่างคือผู้ดูแลเว็บจะต้องมีการรับส่งข้อมูลบางอย่างที่อนุญาตให้เข้าสู่เครือข่ายภายใน 'ที่เชื่อถือได้' (เช่น SQL) และการรับส่งข้อมูล SQL นั้นปลอดภัยโดยใช้การเชื่อมต่อเครือข่ายที่เชื่อถือได้ ฉันเดาว่าเราต้องพูดถึงโฆษณาสองรายการและความไว้วางใจระหว่างสองโฆษณานี้หรือไม่?

— David Christiansen

นั่นคือเส้นทางที่ปลอดภัยที่สุดใช่ คุณมีฟอเรสต์สำหรับเซิร์ฟเวอร์ที่ใช้ DMZ และมีวิธีหนึ่งที่เชื่อถือได้กลับไปที่ฟอเรสต์ภายใน อย่างไรก็ตามฉันจะพิจารณาอนุญาตให้ใช้การพิสูจน์ตัวตนจาก SQL Server ก่อน

— K. Brian Kelley

ฉันเห็นด้วยนี่คือวิธีที่จะไป

— squillman

6

ทำไมไม่มีโดเมนเว็บเซิร์ฟเวอร์ใน DMZ

อาจเป็นฟอเรสต์แยกต่างหากที่มีความสัมพันธ์แบบเชื่อถือได้ทางเดียวเพื่อจัดการโดเมนจากโดเมนหลักของคุณโดยไม่ให้สิทธิ์ใด ๆ กับโดเมนของ WS สำหรับโดเมนหลักของคุณ

ความสุขทั้งหมดของ AD / WSUS / GPO - มีประโยชน์อย่างยิ่งถ้าคุณมีฟาร์มทั้งหมดของพวกเขา - และหากมันถูกบุกรุกมันไม่ใช่เครือข่ายหลักของคุณ

— Jon Rhoades
แหล่งที่มา

1

นี่เป็นเส้นทางที่ปลอดภัยที่สุดหากคุณต้องใช้โดเมน อย่างไรก็ตามคุณยังคงพูดถึงการโจมตี DC โดยตรง และในสถานการณ์ที่คุณให้ถ้าฉันได้รับ DC นั้นยกเว้นว่าคุณได้ลบข้อมูลประจำตัวที่เก็บไว้ฉันยังสามารถดึงข้อมูลเหล่านั้นและมีข้อมูลประจำตัวที่จะใช้กับโดเมนหลัก / ฟอเรสต์

— K. Brian Kelley

KB, ไม่สนใจคุณสามารถอธิบาย 'ข้อมูลประจำตัวที่เก็บไว้ชั่วคราว' ได้ไหม

— David Christiansen

1

นอกจากว่าคุณปิดระบบ Windows จะแคชข้อมูลประจำตัวของรหัสผ่าน (จริง ๆ แล้วแฮของแฮ) เมื่อคุณเข้าสู่ระบบ นี่คือสิ่งที่ช่วยให้คุณมีแล็ปท็อปและเข้าสู่ระบบด้วยการเข้าสู่ระบบโดเมนของคุณเมื่ออยู่ห่างจากเครือข่ายขององค์กร แยกว่าใช้ตารางรุ้งคุณจะได้รับความคิด

— K. Brian Kelley

3

หากความน่าเชื่อถือเป็นเพียงหนึ่งเดียวข้อมูลประจำตัวที่แคชจะไม่เกี่ยวข้องเนื่องจากเซิร์ฟเวอร์ DMZ จะไม่รับรองความถูกต้องกับโดเมนหลัก

— Jon Rhoades

2

หากเว็บเซิร์ฟเวอร์อยู่ในเครือข่ายเดียวกับตัวควบคุมโดเมนฉันจะเพิ่มไปยังโดเมนแน่นอน - เนื่องจากนี่เป็นการเพิ่มความสามารถในการจัดการอย่างมาก อย่างไรก็ตามฉันมักจะพยายามใส่ webservers ใน DMZ เพื่อเพิ่มความปลอดภัย - ซึ่งทำให้การเข้าถึงโดเมนเป็นไปไม่ได้โดยไม่ต้องรูเข็ม (และนั่นเป็นความคิดที่เลวมาก!)

— Rob Golding
แหล่งที่มา

1

เป็นคนอื่น ๆ ได้กล่าวว่าคนเหล่านี้กำลังเผชิญกับประชาชนและไม่จำเป็นต้องมีการตรวจสอบผู้ใช้กับไดเรกทอรีแล้วไม่ได้ใส่ไว้ในโดเมน

อย่างไรก็ตามหากคุณต้องการการรับรองความถูกต้องหรือค้นหาข้อมูลจาก AD อาจมีการเรียกใช้ Active Directory Application Mode ( ADAM ) ใน DMZ คุณอาจจำเป็นต้องทำซ้ำข้อมูล relavent จาก AD ลงใน Partition Applicaton เนื่องจาก ADAM ไม่ได้ซิงโครไนซ์ AD partition มาตรฐาน

หากคุณกำลังมองหาคุณสมบัติการจัดการ ADAM ใช้ไม่ได้

— ดั๊กลักเซม
แหล่งที่มา