L’administrateur informatique peut verrouiller la DMZ d’un point de vue externe, mais ne pas mettre ce niveau de sécurité sur l’accès à la DMZ d’un point de vue interne, car vous devrez également accéder, gérer et surveiller ces systèmes au sein de la DMZ, mais d’une manière légèrement différente que vous le feriez avec des systèmes sur votre LAN interne. Dans cet article, nous aborderons les meilleures pratiques recommandées par Microsoft pour les contrôleurs de domaine DMZ.
Qu’est-ce qu’un contrôleur de domaine DMZ ?
En sécurité informatique, une DMZ, ou zone démilitarisée, est un sous-réseau physique ou logique qui contient et expose les services externes d’une organisation à un réseau plus vaste et non fiable, généralement Internet. Le but d’une DMZ est d’ajouter une couche de sécurité supplémentaire au réseau local d’une organisation ; un nœud de réseau externe a un accès direct uniquement aux systèmes de la DMZ et est isolé de toute autre partie du réseau. Idéalement, il ne devrait jamais y avoir de contrôleur de domaine assis dans une DMZ pour aider à l’authentification auprès de ces systèmes. Toute information considérée comme sensible, en particulier les données internes, ne doit pas être stockée dans la DMZ ou avoir des systèmes DMZ qui en dépendent.
Meilleures pratiques du contrôleur de domaine DMZ
L’équipe Active Directory de Microsoft a mis à disposition un documentation avec les meilleures pratiques pour exécuter AD dans une DMZ. Le guide couvre les modèles AD suivants pour le réseau de périmètre :
Pas d’Active Directory (comptes locaux)Modèle de forêt isoléeModèle de forêt d’entreprise étendueModèle d’approbation de forêt
Le guide contient des instructions pour déterminer si les services de domaine Active Directory (AD DS) sont approprié pour votre réseau de périmètre (également appelé DMZ ou extranets), les différents modèles de déploiement d’AD DS dans les réseaux de périmètre et les informations de planification et de déploiement pour les contrôleurs de domaine en lecture seule (RODC) dans le réseau de périmètre. Étant donné que les RODC offrent de nouvelles fonctionnalités pour les réseaux de périmètre, la majeure partie du contenu de ce guide décrit comment planifier et déployer cette fonctionnalité de Windows Server 2008. Cependant, les autres modèles Active Directory présentés dans ce guide sont également des solutions viables pour votre réseau de périmètre.
C’est tout !
En résumé, l’accès à la DMZ d’un point de vue interne doit être verrouillé aussi étroitement que possible. Il s’agit de systèmes susceptibles de contenir des données sensibles ou d’avoir accès à d’autres systèmes contenant des données sensibles. Si un serveur DMZ est compromis et que le réseau local interne est grand ouvert, les attaquants ont soudainement accès à votre réseau.
Lire ensuite : Échec de la vérification des conditions préalables à la promotion du contrôleur de domaine
Le contrôleur de domaine doit-il être en DMZ ?
Ce n’est pas recommandé car vous exposez vos contrôleurs de domaine à un certain risque. La forêt de ressources est un modèle de forêt AD DS isolé qui est déployé dans votre réseau de périmètre. Tous les contrôleurs de domaine, les membres et les clients joints au domaine résident dans votre DMZ.
Lire : le contrôleur de domaine Active Directory pour le domaine n’a pas pu être contacté
Pouvez-vous déployer en DMZ ?
Vous pouvez déployer des applications Web dans une zone démilitarisée (DMZ) pour permettre aux utilisateurs externes autorisés en dehors du pare-feu de votre entreprise d’accéder à vos applications Web. Pour sécuriser une zone DMZ, vous pouvez :
Limiter l’exposition des ports connectés à Internet sur les ressources critiques des réseaux DMZ.Limiter les ports exposés aux seules adresses IP requises et éviter de placer des caractères génériques dans les entrées du port de destination ou de l’hôte.Mettre régulièrement à jour tous les ports publics Plages IP en cours d’utilisation.
Lire : Comment modifier l’adresse IP du contrôleur de domaine.