web-dev-qa-db-fra.com

Toutes les prestations de sécurité liées au réseau utilisant RODC (en lecture seule DC) dans DMZ?

Les serveurs Windows dans le DMZ === doivent communiquer avec l'Active Directory. Je n'aime pas que les serveurs ont une communication directe avec mon active Directory, alors je envisage d'installer un contrôleur de domaine en lecture seule qui reproduit le vrai.

Il semble qu'il y ait des avantages de sécurité avec Rodc uniquement lorsqu'il est n'est pas sécurisé physique - Aucun mot de passe n'est mis en cache, si quelqu'un le vole, ils ne peuvent toujours pas modifier la vraie annonce ou trouver les informations d'identification à le faire.

http://technet.microsoft.com/en-us/library/cc732801 (v = ws.10) .aspx :

Inadequate physical security is the most common reason to consider deploying
an RODC. An RODC provides a way to deploy a domain controller more securely in 
locations that require fast and reliable authentication services but cannot
ensure physical security for a writable domain controller.

Y a-t-il un bénéfice réel avec la mise en œuvre d'un RODC en matière de sécurité réseau?

windowsactive-directorydmz
3
Dog eat cat world

Les Rodcs sont vraiment sur la sécurité physicale et non du tout à propos de la sécurité du réseau. Ils sont une mise à niveau des contrôleurs de domaine de sauvegarde Ye Olde, qui ont eu une tendance méchante à être volée (et la base de données avec elle).

Rodcs viennent avec un compte KBTGT unique, de sorte qu'ils ne peuvent pas s'immiscer sur Active Directory, ni déchiffrer les billets Kerberos pour le compte de WDCS, en cas de violation physique, et par défaut, les Rodcs n'autorisent pas la mise en cache de mot de passe, à nouveau en cas de violation physique.

En limitant les informations d'identification mises en cache, uniquement des comptes de l'utilisateur et des ordinateurs appartenant à une succursale, vous limitez les retombées en cas de violation et vous permettez à la succursale de continuer à fonctionner en cas de lien vers le bas.

Je sais que Microsoft techniquement soutient officiellement mettre des Rodcs dans le DMZ, mais de l'expérience que je peux dire que c'est vraiment plus de problèmes que cela ne vaut. Vous devrez vérifier chaque de vos applications intégrées publicitaires pour vous assurer qu'elle prend en charge travailler avec un RODC. Pourquoi? Parce qu'il y a encore beaucoup de scénarios que Rodcs ne prenez pas de soutien. Certains appels RPC peuvent et vont simplement échouer sans raison. Ces scénarios sont décrits dans le document Microsoft Planification et déploiement de contrôleurs de domaine en lecture seule , Sous-section base de données Active Directory sur lecture seule, réplication SYSVOL et unidirectionnelle :

Lorsqu'un utilisateur ou une application sur un site entretenue par une TDRC tente d'effectuer une opération d'écriture, l'une des actions suivantes peut se produire:

  • La RODC transmet la demande d'écriture à un contrôleur de domaine écritable, puis reproduit le passage du contrôleur de domaine écritable. Pour la plupart des opérations d'écriture, la modification est reproduite à la Rodc lors de l'intervalle de réplication programmé suivant. Dans d'autres cas, la Rodc tente de reproduire immédiatement le changement. Un Rodc transmet un ensemble d'écritures très limitées, y compris les éléments suivants: [.____]
    • La plupart des types de modifications de mot de passe. Pour plus d'informations sur les modifications de mot de passe, voir Modifications de mot de passe sur un RODC.
    • Mises à jour du nom principal du service de service (SPN). Lorsqu'un ordinateur joint de domaine a un canal sécurisé vers un RODC et NetLogon tente de mettre à jour les SPNS, le transfert est effectué sur RPC.
    • Quelques mises à jour des attributs clients via NetLogon: Nom du client, DnshostName, OsversionInfo, Osname, Types de cryptage pris en charge
    • Lastlogontampestamp. Lorsqu'un ordinateur joint de domaine a un canal sécurisé à un RODC et NetLogon tente de mettre à jour ces attributs, le transfert est effectué sur LDAP.
  • Le RODC envoie une référence pour un contrôleur de domaine écritable au client. L'application à partir duquel l'opération d'écriture est originaire peut ensuite chasser la référence et cibler un contrôleur de domaine écritable pour effectuer l'opération d'écriture. Par défaut, Rodcs envoie des références pour les mises à jour et les mises à jour de l'enregistrement du système de protocole d'accès à l'annuaire Lightweight Directory (DNS).
  • L'opération d'écriture échoue: elle n'est ni référée ni transmise à un contrôleur de domaine écritable. Dans ce cas, l'application demandant l'écriture doit être mise à jour pour cibler spécifiquement un contrôleur de domaine écritable. Un certain nombre de RPC écrit tomber sous cette catégorie.
4
mtnielsen

Je pense qu'il existe des avantages de sécurité pour le déploiement de Rodc dans un DMZ, à savoir parce que vous pouvez contrôler les informations publicitaires répliquées. Vous pouvez donc choisir de manière sélective quelles informations doivent être répliquées (attributs de compte/mots de passe/etc.) tout en évitant l'exposition d'une DC écritable.

Microsoft a publié un article sur la mise en place de contrôleurs de domaine dans le DMZ qui prouve une lecture intéressante. Beaucoup croient que de nombreux produits MS exclusifs sur Internet peuvent être exposés à Internet avec un minimum de risques (tels que Exchange), ce qui est pourquoi ils ont interrompu TMG, mais vous devrez toutefois répondre aux exigences relatives à un DC dans le DMZ dans votre propre environnement.

Le document MS est ici et mérite certainement une lecture pour vous assurer que vous couvrez toutes vos bases.

3
DKNUCKLES