Qualsiasi vantaggio di sicurezza relativo alla rete che utilizza RODC (Read Only DC) in DMZ?

3

I server Windows nella DMZ devono comunicare con Active Directory. Non mi piace che i server abbiano una comunicazione diretta con la mia Active Directory, quindi penso di installare un controller di dominio di sola lettura che replica quello reale.

Sembra che ci siano vantaggi di sicurezza con RODC solo quando non è sicuro dal punto di vista fisico - nessuna password viene memorizzata nella cache, se qualcuno lo ruba, non è ancora possibile modificare l'annuncio reale o trovare le credenziali per farlo.

link :

Inadequate physical security is the most common reason to consider deploying
an RODC. An RODC provides a way to deploy a domain controller more securely in 
locations that require fast and reliable authentication services but cannot
ensure physical security for a writable domain controller.

C'è un vantaggio reale nell'implementazione di un controller di dominio di sola lettura in termini di sicurezza della rete?

    
posta Dog eat cat world 30.06.2014 - 15:09
fonte

2 risposte

4

I controller di dominio di sola lettura riguardano davvero la sicurezza fisica e non la sicurezza della rete. Sono un aggiornamento dei controller di dominio di backup obsoleti, che hanno avuto una brutta tendenza a essere rubati (e al database insieme ad esso).

I RODC sono dotati di un unico account kbtgt, quindi non possono intromettersi su Active Directory, o decifrare i ticket di kerberos per conto dei WDC, in caso di violazione fisica e, per impostazione predefinita, i RODC non consentono il caching delle password, di nuovo in caso di violazione fisica.

Limitando le credenziali memorizzate nella cache, solo agli account utente e computer appartenenti a una succursale, limiti la ricaduta in caso di violazione e consenti alla filiale di continuare a funzionare in caso di un collegamento verso il basso.

So che Microsoft supporta ufficialmente la messa in produzione dei controller di dominio di sola lettura nella DMZ, ma per esperienza posso dire che questo è davvero più un problema che non ne vale la pena. Dovrai controllare ognuna delle tue applicazioni integrate AD per assicurarti che funzioni con un controller di dominio di sola lettura. Perché? Perché ci sono ancora molti scenari che i RODC semplicemente non supportano. Alcune chiamate RPC possono semplicemente fallire senza motivo. Questi scenari sono descritti nel documento Microsoft Pianificazione e distribuzione dei controller di dominio di sola lettura , sottosezione Database Active Directory di sola lettura, SYSVOL e Replica unidirezionale :

When a user or application in a site that is serviced by an RODC attempts to perform a write operation, one of the following actions can occur:

  • The RODC forwards the write request to a writable domain controller and then replicates the change back from the writable domain controller. For most write operations, the change is replicated back to the RODC during the next scheduled replication interval. In some other cases, the RODC attempts to replicate the change immediately. An RODC forwards a very limited set of writes, including the following:
    • Most types of password changes. For more information about password changes, see Password changes on an RODC.
    • Service principal name (SPN) updates. When a domain-joined computer has a secure channel to an RODC and Netlogon attempts to update SPNs, the forwarding is done over RPC.
    • Some updates to client attributes over Netlogon: client name, DnsHostName, OsVersionInfo, OsName, Supported Encryption Types
    • LastLogonTimeStamp. When a domain-joined computer has a secure channel to an RODC and Netlogon attempts to update these attributes, the forwarding is done over LDAP.
  • The RODC sends a referral for a writable domain controller to the client. The application from which the write operation originated can then chase the referral and target a writable domain controller to perform the write operation. By default, RODCs send referrals for Lightweight Directory Access Protocol (LDAP) updates and Domain Name System (DNS) record updates.
  • The write operation fails: it is neither referred nor forwarded to a writable domain controller. In this case, the application requesting the write should be updated to specifically target a writable domain controller. A number of RPC writes fall under this category.
    
risposta data 03.07.2014 - 14:48
fonte
3

Credo che ci siano vantaggi per la sicurezza nella distribuzione di un controller di dominio di sola lettura in una DMZ, ovvero perché è possibile controllare quali informazioni di AD vengono replicate. Puoi quindi scegliere in modo selettivo quali informazioni devono essere replicate (attributi account / password / etc) tutto evitando di esporre una DC scrivibile.

Microsoft ha rilasciato un articolo su come mettere i controller di dominio nella DMZ che dimostra una lettura interessante. Molti credono che molti prodotti MS proprietari di Internet possano essere esposti a Internet con un rischio minimo (come Exchange), motivo per cui hanno interrotto TMG, tuttavia è necessario soddisfare i requisiti di una DC nella DMZ nel proprio ambiente.

Il documento MS è qui e merita sicuramente una lettura per assicurarti di coprire tutte le tue basi.

    
risposta data 30.06.2014 - 16:07
fonte

Leggi altre domande sui tag