Я хочу уточнить термины. Когда я говорю DMZ, я имею в виду место, где можно разместить серверы, предоставляющие услуги ненадежным сетям, таким как Интернет, или, в некоторых случаях, просто сетям, которым не доверяют.
Я пытаюсь укрепить периметр нашей сети, проверяя то, что мы видим через наш брандмауэр. Брандмауэр, о котором я говорю, НЕ является сервером Microsoft ISA и никогда им не будет. Если кто-либо из вас попал в такую ситуацию, вы знаете, что количество портов, необходимых для подключения рядового сервера к контроллерам домена, довольно велико. Пытаясь решить эту проблему, Microsoft предлагает несколько проектов с использованием контроллеров домена только для чтения, чтобы уменьшить количество открытых портов, но даже если бы это был всего лишь один порт, сама Active Directory - это кладезь информации для неавторизованного лица, взломавшего сервер-член DMZ.
Каково общее мнение о серверах-членах AD в DMZ? Слишком небезопасно или приемлемый риск? Предполагая, что первое (к чему я склоняюсь), помимо аутентификации локальной учетной записи, существуют ли более безопасные варианты, чем AD, для аутентификации пользователей, которые входят на серверы DMZ Windows? Если нет, то существует ли механизм, который может связать локальную учетную запись с реальным человеком при входе в систему для целей аудита? Похоже, что единственным вариантом отслеживания поведения пользователей в DMZ автономного сервера было бы создание учетных записей локальных компьютеров для каждого пользователя, который входит на серверы.
Конечно, в идеале у вас не должно быть людей, заходящих на серверы для нормальной работы; все это должно управляться прокси-сервером с использованием учетных записей служб (это отдельное обсуждение). Но сейчас нашей операции еще нет. Мы надеемся, что DSC сделает это возможным.
Для меня рекомендации Microsoft либо непрактичны, либо упускают суть. Active Directory только для демилитаризованной зоны снижает способность злоумышленника собирать информацию, но по-прежнему оставляет вектор на месте. Лучшее, что могут сделать их решения, - это разделить ребенка риска, ограничив эту информацию DMZ (плюс все остальное, что может обслуживать AD DMZ). Компромисс - это AD для каждой DMZ. Итак, теперь ваши администраторы управляют одной учетной записью + N DMZ.
Не то чтобы Microsoft слушает, но должен быть средний способ аутентификации пользователя Windows, но не требующий использования учетных данных, которые могут выполнять такие вещи, как перечисление пользователей LDAP.
Не знаю, что чувствуют другие, но моя точка зрения такова:
Если сервер AD используется для корпоративной / внутренней аутентификации / авторизации, он никогда не должен находиться в DMZ. Если он используется для аутентификации во внешнем доступном приложении, тогда да - он принадлежит ему, при условии, что у него вообще нет перехватчиков в DRN.
Как вы заявили, DMZ позволяет ненадежным сетям получать доступ к предоставляемым услугам. Эти службы могут быть скомпрометированы, и если ваш внутренний каталог есть - он тоже будет.