Sollten Windows-Webserver Mitglieder einer Active Directory-Domäne sein?

14

In Bezug auf Sicherheit und Verwaltbarkeit - Was ist die beste Vorgehensweise?

Sollte Webserver

  • Wird zu einer Active Directory-Domäne hinzugefügt und von dort aus verwaltet

oder

  • Teil einer 'Webserver'-Arbeitsgruppe sein, die vom' Ressourcenserver'-Active Directory getrennt ist?

Auf den Webservern müssen keine Benutzerkonten vorhanden sein, sondern nur Verwaltungskonten (Serververwaltung, Systemberichte, Inhaltsbereitstellung usw.).

iis active-directory web-server windows David Christiansen
quelle
Befinden sich diese Webserver in einem Colo oder in einer DMZ in Ihrem Büro?
Rob Bergin
Guter Punkt zu erheben. Die Server sind in unserem eigenen Serverraum unter unserer Kontrolle.
David Christiansen

Antworten:

8

Wenn Sie mithilfe der Kerberos-Delegierung eine sichere Infrastruktur erstellen möchten (und SIE tun dies auch), müssen Sie diese Webserver der Domäne hinzufügen. Der Webserver (oder das Dienstkonto) muss delegiert werden können, um den Benutzeridentitätswechsel für Ihren SQL-Server zuzulassen.

Sie möchten sich wahrscheinlich von der Verwendung der SQL-basierten Authentifizierung auf dem SQL-Server fernhalten, wenn Sie Prüfungs- oder gesetzliche Anforderungen für die Verfolgung des Datenzugriffs (HIPAA, SOX usw.) haben Welche Gruppen, wie wurde das genehmigt und von wem?) und alle Zugriffe auf Daten sollten über das vom Benutzer zugewiesene Konto erfolgen.

Bei DMZ-Problemen im Zusammenhang mit dem Zugriff auf das AD können Sie einen Teil davon mit Server 2008 mithilfe eines schreibgeschützten DC (Read-Only DC, RODC) lösen. Es besteht jedoch weiterhin ein Risiko bei der Bereitstellung in der DMZ. Es gibt auch einige Möglichkeiten, einen DC zu zwingen, bestimmte Ports zum Durchschlagen einer Firewall zu verwenden, aber diese Art der Anpassung kann es schwierig machen, Authentifizierungsprobleme zu beheben.

Wenn Sie sowohl Internet- als auch Intranetbenutzern den Zugriff auf dieselbe Anwendung ermöglichen möchten, müssen Sie möglicherweise die Verwendung eines der Federeated Services-Produkte prüfen, entweder das Microsoft-Angebot oder so etwas wie Ping Federated.

Ryan Fisher
quelle
8

Absolut für den internen Gebrauch. Auf diese Weise werden sie vom Gruppenrichtlinienobjekt verwaltet, das Patchen ist nicht so schwierig, und die Überwachung kann ohne eine Reihe von Problemumgehungen durchgeführt werden.

In der DMZ würde ich generell nein raten, sie sollten nicht in der DMZ sein. Wenn sie sich in der Domäne und in der DMZ befinden, besteht das Problem darin, dass der Webserver über eine bestimmte Verbindung zu mindestens einem Domänencontroller verfügen muss. Wenn ein externer Angreifer den Webserver kompromittiert, kann er jetzt direkt Angriffe auf einen der Domänencontroller starten. Besitze den DC, besitze die Domain. Besitze die Domain, besitze den Wald.

K. Brian Kelley
quelle
Danke KB und Rob. Die Erstellung eines weiteren AD im Umkreisnetzwerk ist eine Antwort, aber ich kann nicht rechtfertigen, dass ich einen anderen Server kaufen muss, um der Host eines AD für Webserver zu sein. Urg. Eine weitere Komplikation besteht darin, dass auf den Webservern SOME-Datenverkehr in das interne "vertrauenswürdige" Netzwerk (z. B. SQL) zugelassen sein muss und der SQL-Datenverkehr über eine vertrauenswürdige Netzwerkverbindung gesichert ist. Ich denke, wir müssen über zwei ADs und ein Vertrauen zwischen den beiden sprechen?
David Christiansen
Das ist die sicherste Route, ja. Sie haben eine Gesamtstruktur für die DMZ-basierten Server und eine Einwegvertrauensstellung für die interne Gesamtstruktur. Ich würde mich jedoch zuerst mit dem Zulassen der SQL Server-basierten Authentifizierung befassen.
K. Brian Kelley
Ich stimme zu, das ist der richtige Weg.
Squillman
6

Warum nicht die Domain eines Webservers in der DMZ?

Es kann sich um eine separate Gesamtstruktur mit einer Einweg-Vertrauensstellung handeln, in der die Domäne von Ihrer Hauptdomäne aus verwaltet wird, ohne der WS-Domäne für Ihre Hauptdomäne eine Berechtigung zu erteilen.

Alle Freuden von AD / WSUS / GPO - besonders nützlich, wenn Sie eine ganze Farm von ihnen haben - und wenn es kompromittiert ist, ist es nicht Ihr Hauptnetzwerk.

Jon Rhoades
quelle
1
Dies ist der sicherste Weg, wenn Sie eine Domain verwenden müssen. Sie sprechen jedoch immer noch von einem direkten Angriff auf einen DC. Und in dem Szenario, das Sie angeben, kann ich, wenn ich diesen Domänencontroller erhalte, die zwischengespeicherten Anmeldeinformationen trotzdem abrufen und die Anmeldeinformationen für die primäre Domäne / Gesamtstruktur verwenden.
K. Brian Kelley
KB, Aus Interesse, können Sie "zwischengespeicherte Anmeldeinformationen" beschreiben
David Christiansen
1
Sofern Sie es nicht deaktivieren, speichert ein Windows-System die Kennwortanmeldeinformationen (tatsächlich ein Hash eines Hashs), wenn Sie sich anmelden. Dies ermöglicht es Ihnen, einen Laptop zu haben und sich mit Ihrer Domänenanmeldung anzumelden, wenn Sie nicht im Unternehmensnetzwerk sind. Extrahieren Sie das, verwenden Sie Regenbogentabellen, Sie bekommen die Idee.
K. Brian Kelley
3
Wenn es sich nur um eine einzige Vertrauensstellung handelt, sind zwischengespeicherte Anmeldeinformationen unerheblich, da sich der DMZ-Server niemals bei der Primärdomäne authentifiziert.
Jon Rhoades
2

Befindet sich der Webserver im selben Netzwerk wie der / die Domain-Controller, würde ich ihn definitiv zur Domain hinzufügen - da dies offensichtlich einen hohen Grad an Verwaltbarkeit mit sich bringt. Allerdings würde ich mich normalerweise bemühen, Webserver in eine DMZ zu integrieren, um die Sicherheit zu erhöhen - was den Zugriff auf die Domain ohne Pinholes unmöglich macht (und das ist eine sehr schlechte Idee!)

Rob Golding
quelle
1

Wie bereits erwähnt, sollten Benutzer, die öffentlich zugänglich sind und keine Authentifizierung für das Verzeichnis benötigen, nicht in die Domäne aufgenommen werden.

Sollten Sie jedoch eine Art Authentifizierung oder Nachschlagen von Informationen von AD benötigen, prüfen Sie möglicherweise, ob Active Directory Application Mode ( ADAM ) in der DMZ ausgeführt wird. Möglicherweise müssen Sie die relaventen Informationen aus AD in die Applicaton-Partition replizieren, da ADAM die Standard-AD-Partitionen nicht synchronisiert.

Wenn Sie jedoch nur nach Verwaltungsfunktionen suchen, wird ADAM nicht angewendet.

Doug Luxem
quelle