У нашего клиента есть DC, который будет расположен в небезопасном месте. RODC и отдельные домены / леса не разрешены руководством.
Все серверы будут расположены на сервере VMWare ESX.
Меня интересуют конфигурации и настройки VMWare, Windows, AD, которые защитят Windows 2008R2 или более новый DC от взлома.
Одним из примеров конфигурации, которая может помочь, является использование
Это в значительной степени именно то, для чего был разработан RODC - ситуации, когда сервер может быть физически скомпрометирован.
Получение физического доступа к RODC даст злоумышленнику хорошее представление о вашем домене и его структуре, а также о хэшах паролей пользователей, для которых явно установлено, что их пароли реплицируются на RODC.
Однако это намного лучше, чем обычный DC, где физический доступ означает, что злоумышленник может легко получить контроль над доменом без дополнительных учетных данных; Односторонняя репликация на RODC гарантирует, что злоумышленник не сможет отправить вредоносные изменения в вашу AD.
RODC - это решение, которое вы ищете, и вы должны сообщить об этом руководству.
Мне любопытно говорить от лица человека, который однажды был вынужден поместить сервер (к счастью, не DC) в не оборудованный кондиционером шкаф с открытой дверью, дырой в потолке, через которую можно было видеть небо, и пешеходами, проходящими мимо. относительно как небезопасное место. Если они могут поставить ваш сервер на плечо и уйти посреди дня, вы мало что сможете сделать.
Похоже, вам нужны предложения, подобные предложению Спенсера, - и все они хороши, - но я думаю, что вместо технического решения вам нужно либо убедить руководство использовать RODC, либо убедить руководство разместить DC в более безопасном месте. . Возможно это презентация DefCon 21 поможет:
Так вы думаете, что ваш контроллер домена безопасен?
ДЖАСТИН ХЕНДРИКС ИНЖЕНЕР ПО БЕЗОПАСНОСТИ, MICROSOFT
Контроллеры домена - это жемчужина организации. Как только они падают, все в домене падает. Организации делают все возможное, чтобы защитить свои контроллеры домена, однако им часто не удается должным образом защитить программное обеспечение, используемое для управления этими серверами.
В этой презентации будут рассмотрены нетрадиционные методы получения администратора домена путем злоупотребления обычно используемым программным обеспечением управления, которое организации развертывают и используют.
Джастин Хендрикс работает в группе безопасности Office 365, где он участвует в красной команде, тестировании на проникновение, исследованиях безопасности, проверке кода и разработке инструментов.
Я склонен согласиться с Шейном, именно поэтому существует RODC. Что рассуждает руководство, чтобы запретить использование RODC? Помещать мозги вашей организации в небезопасное место - плохая идея.
Что касается BitLocker, это хорошая идея, но не похоже, что она поддерживается. Я бы посоветовал использовать TrueCrypt FDE (Full Disk Encryption) внутри виртуальной машины. Это заменяет загрузчик и заставляет вас вводить пароль для загрузки.
Какие еще службы будет запускать этот сервер? Я бы определенно предложил использовать какую-то службу сбора журналов и аудиторских предупреждений, которые вы считаете подходящими. Может попытки входа в систему?
Другое соображение заключается в том, как защитить реальный хост ESX, потому что, насколько я знаю, нет никакого способа получить доступ к виртуальным машинам с консоли хоста ESX. Итак, если диск зашифрован, это похоже на то, что злоумышленник находится в вашей сети и имеет такую же видимость только для вашего PDC. Это означает, что, вероятно, были открыты разные виртуальные локальные сети и только определенные порты.