Az adminisztrátor külső szemszögből zárolhatja a DMZ-t, de belső szemszögből nem tudja biztosítani ezt a biztonsági szintet a DMZ-hez való hozzáférésben, mivel Önnek a DMZ-n belül is hozzá kell férnie, kezelnie és felügyelnie kell ezeket a rendszereket, de kissé eltérő módon, mint a belső LAN rendszereivel. Ebben a bejegyzésben megvitatjuk a Microsoft által javasolt DMZ tartományvezérlő bevált gyakorlatait.
Mi az a DMZ tartományvezérlő?
A számítógépes biztonságban a DMZ vagy demilitarizált zóna egy fizikai vagy logikai alhálózat, amely egy szervezet külső szolgáltatásait tartalmazza és egy nagyobb és nem megbízható hálózatnak, általában az internetnek teszi ki. A DMZ célja, hogy egy további biztonsági réteget adjon a szervezet LAN-jához; egy külső hálózati csomópont csak a DMZ rendszereihez fér közvetlenül hozzá, és el van szigetelve a hálózat bármely más részétől. Ideális esetben soha nem szabadna olyan tartományvezérlőt ültetni a DMZ-ben, amely segíti ezeknek a rendszereknek a hitelesítését. Az érzékenynek minősülő információkat, különösen a belső adatokat, nem szabad a DMZ-ben tárolni, és nem szabad a DMZ-rendszereket rájuk támasztani.
DMZ Domain Controller bevált gyakorlatok
A Microsoft Active Directory csapata elérhetővé tett egy dokumentáció az AD DMZ-ben való futtatásának bevált módszereivel. Az útmutató a következő AD-modelleket fedi le a peremhálózathoz:
Nincs Active Directory (helyi fiókok) Elszigetelt erdőmodell Kibővített vállalati erdőmodellForest megbízhatósági modell
Az útmutató útmutatást tartalmaz annak meghatározásához, hogy az Active Directory tartományi szolgáltatások (AD DS) megfelel a peremhálózatnak (más néven DMZ-nek vagy extranetnek), az AD DS peremhálózatokban történő telepítésének különböző modelljeihez, valamint a peremhálózatban csak olvasható tartományvezérlők (RODC) tervezési és telepítési információihoz. Mivel az írásvédett tartományvezérlők új lehetőségeket biztosítanak a peremhálózatokhoz, az útmutató tartalmának nagy része leírja, hogyan kell megtervezni és telepíteni ezt a Windows Server 2008 szolgáltatást. Azonban az ebben az útmutatóban bemutatott többi Active Directory-modell is életképes megoldás a peremhálózathoz.
Ennyi!
Összefoglalva, a DMZ-hez belső nézőpontból való hozzáférést a lehető legszorosabban bezárva. Ezek olyan rendszerek, amelyek érzékeny adatokat tárolhatnak, vagy hozzáférhetnek más, érzékeny adatokat tartalmazó rendszerekhez. Ha egy DMZ-szerver veszélybe kerül, és a belső LAN teljesen nyitva van, a támadók hirtelen bejutnak az Ön hálózatába.
Tovább olvassa el: A Domain Controller promóciójának előfeltételeinek ellenőrzése sikertelen. p>
A tartományvezérlőnek DMZ-ben kell lennie?
Nem ajánlott, mert bizonyos kockázatnak teszi ki tartományvezérlőit. Az erőforrás-erdő egy elszigetelt AD DS-erdőmodell, amely a peremhálózatban van üzembe helyezve. Az összes tartományvezérlő, tag és tartományhoz csatlakozó kliens a DMZ-ben található.
Olvassa el: A tartomány Active Directory tartományvezérlőjével nem sikerült kapcsolatba lépni.
Lehet telepíteni a DMZ-ben?
Telepíthet webalkalmazásokat demilitarizált zónában (DMZ), hogy lehetővé tegye a vállalati tűzfalon kívüli, feljogosított külső felhasználók számára a webalkalmazások elérését. A DMZ zóna biztonsága érdekében:
A DMZ-hálózatok kritikus erőforrásaira korlátozhatja az internetre néző portok kitettségét. A kitett portokat csak a szükséges IP-címekre korlátozhatja, és elkerülheti a helyettesítő karakterek elhelyezését a célportokban vagy a gazdagép bejegyzésekben. Rendszeresen frissítheti a nyilvános információkat. IP-tartományok aktív használatban.
Olvassa el: A tartományvezérlő IP-címének megváltoztatása.