IT-beheerders kunnen de DMZ vergrendelen vanuit een extern perspectief, maar slagen er niet in om dat beveiligingsniveau toe te passen op de toegang tot de DMZ vanuit een intern perspectief, aangezien u deze systemen ook binnen de DMZ moet openen, beheren en bewaken, maar op een iets andere manier dan u zou doen met systemen op uw interne LAN. In dit bericht bespreken we de door Microsoft aanbevolen best practices voor DMZ-domeincontrollers.
Wat is een DMZ-domeincontroller?
In computerbeveiliging is een DMZ, of gedemilitariseerde zone, een fysiek of logisch subnetwerk dat de externe services van een organisatie bevat en blootstelt aan een groter en niet-vertrouwd netwerk, meestal internet. Het doel van een DMZ is om een extra beveiligingslaag toe te voegen aan het LAN van een organisatie; een extern netwerkknooppunt heeft alleen directe toegang tot systemen in de DMZ en is geïsoleerd van elk ander deel van het netwerk. Idealiter zou er nooit een domeincontroller in een DMZ moeten zitten om te helpen bij de authenticatie van deze systemen. Alle informatie die als gevoelig wordt beschouwd, met name interne gegevens, mag niet worden opgeslagen in de DMZ of er moeten DMZ-systemen op vertrouwen.
DMZ Domain Controller best practices
Het Active Directory-team van Microsoft heeft een documentatie met best practices voor het uitvoeren van AD in een DMZ. De gids behandelt de volgende AD-modellen voor het perimeternetwerk:
Geen Active Directory (lokale accounts)Geïsoleerd forest-modelUitgebreid bedrijfsforestmodelForest-vertrouwensmodel
De gids bevat aanwijzingen om te bepalen of Active Directory Domain Services (AD DS) die geschikt zijn voor uw perimeternetwerk (ook wel DMZ’s of extranetten genoemd), de verschillende modellen voor de implementatie van AD DS in perimeternetwerken en plannings-en implementatiegegevens voor alleen-lezen domeincontrollers (RODC’s) in het perimeternetwerk. Omdat RODC’s nieuwe mogelijkheden bieden voor perimeternetwerken, wordt in de meeste inhoud van deze handleiding beschreven hoe u deze Windows Server 2008-functie plant en implementeert. De andere Active Directory-modellen die in deze handleiding worden geïntroduceerd, zijn echter ook levensvatbare oplossingen voor uw perimeternetwerk.
Dat is alles!
Kortom, toegang tot de DMZ vanuit een intern perspectief moet zo strak mogelijk op slot. Dit zijn systemen die mogelijk gevoelige gegevens bevatten of toegang hebben tot andere systemen die gevoelige gegevens bevatten. Als een DMZ-server is gecompromitteerd en het interne LAN wijd open staat, hebben aanvallers plotseling toegang tot uw netwerk.
Lees verder: Verificatie van vereisten voor promotie van domeincontroller mislukt
p>
Moet de domeincontroller zich in DMZ bevinden?
Het wordt niet aanbevolen omdat u uw domeincontrollers blootstelt aan een bepaald risico. Resourceforest is een geïsoleerd AD DS-forestmodel dat wordt geïmplementeerd in uw perimeternetwerk. Alle domeincontrollers, leden en clients die lid zijn van het domein bevinden zich in uw DMZ.
Lezen: Active Directory-domeincontroller voor het domein kon niet worden gecontacteerd
Kunt u implementeren in DMZ?
U kunt webapplicaties implementeren in een gedemilitariseerde zone (DMZ) om externe geautoriseerde gebruikers buiten uw bedrijfsfirewall toegang te geven tot uw webapplicaties. Om een DMZ-zone te beveiligen, kunt u:
Blootstelling van internetgerichte poorten beperken op kritieke bronnen in de DMZ-netwerken.Beperk blootgestelde poorten tot alleen de vereiste IP-adressen en vermijd het plaatsen van jokertekens in bestemmingspoort-of hostvermeldingen.Update regelmatig openbare IP-bereiken in actief gebruik.
Lees: IP-adres van domeincontroller wijzigen.