Wofür ist ein schreibgeschützter Domänencontroller eigentlich nützlich?

18

Mit Windows Server 2008 wurden schreibgeschützte Domänencontroller eingeführt, die eine vollständige Replik der Domänendatenbank erhalten, diese jedoch nicht ändern können, genau wie ein guter alter Windows NT-BDC.

Ich kenne mich mit allen technischen Problemen aus (ich habe gerade 70-646 und 70-647 bestanden), aber ich habe immer noch keine klare Antwort auf die wichtigste Frage von allen: Warum sollten Sie ? benutze sie ?

Dieser Kommentar von TheCleaner bringt es für mich auf den Punkt:

@ Massimo - ja, du bist richtig. Sie suchen nach einem zwingenden Grund für einen RODC und es gibt keinen. Es verfügt über einige zusätzliche Sicherheitsfunktionen, um die Sicherheit in Zweigstellen zu verbessern, und muss nur dann dort bereitgestellt werden, wenn Sie dort noch keinen Domänencontroller haben und sich intensiv mit seiner Sicherheit befassen.

Das war das gleiche, was ich dachte ... ein bisschen mehr Sicherheit, ja, sicher, aber definitiv nicht so viel, um den Aufwand wert zu sein.

windows-server-2008 active-directory domain-controller Massimo
quelle

Antworten:

10

Ich gebe Ihnen ein reales Szenario:

  • Wir haben eine in unserer Niederlassung in China

Wir verwenden es, weil es dort keine IT-Abteilung gibt. Wir bearbeiten alle Anfragen für AD-Konten usw. hier in den USA. Mit einem RODC wissen wir:

  1. Niemand dort kann sich anmelden und versuchen, sich bei AD zu "hacken".
  2. Niemand kann es stehlen und etwas Wertvolles bekommen, um dann zurück zu kommen und sich später im Netzwerk "abzuhacken".

Da AD / DNS schreibgeschützt ist, müssen wir uns keine Gedanken über Manipulationsversuche auf dem DC machen.

Dies liegt an den Funktionen, die hier zu finden sind: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Für uns bedeutet dies mehr "Seelenfrieden" als alles andere. Außerdem war eine minimale Serverinstallation möglich, da es sich lediglich um einen Server-Core mit installierter RODC-Rolle handelte. Wir haben es auf einen älteren 1U-Server mit 2 RAID-1-Laufwerken mit 18 GB installiert. Wir haben tatsächlich 2 davon in dieselbe exakte Konfiguration mit älterer, nicht garantierter Hardware gesteckt, die wir in den Racks hatten.

Einfach, tut, was es tun muss, und wir müssen uns keine Sorgen machen. Wenn eine der Boxen ausfällt, ersetzen wir sie einfach erneut.

Der Reiniger
quelle
1
Sie sagten, niemand kann sich anmelden; Aber niemand wäre in der Lage, sich auch bei einem Standard-Domänencontroller anzumelden, wenn er nicht die richtigen Domänenanmeldeinformationen hätte. Wo ist nun die verbesserte Sicherheit? Was den Diebstahl angeht: Wie genau wäre ein gestohlener beschreibbarer DC gefährlicher als ein gestohlener Nur-Lese-DC?
Massimo
2
@Massimo - Bezogen auf die Anmeldung ist dies nur dann ein Problem, wenn die Person über lokale Anmelderechte verfügt. Sie haben Recht. Wir gewähren diese jedoch einigen Konten, damit sie die Backups / Backup-Tape-Swaps überprüfen können. Für die physische Sicherheit gibt Ihnen ein gestohlener beschreibbarer Domänencontroller die Möglichkeit, ihre Anmeldeinformationen und Kennwörter herauszufinden und später für zusätzliche Daten zum Netzwerk zurückzukehren. Dies ist beim RODC nicht der Fall.
TheCleaner
@ Massimo - Ich habe in Ihrem OP bemerkt, dass Sie "full replica" sagten ... dies ist wahr, AUSSER für die Passwörter. Es werden keine Passwörter repliziert, sodass dies die größte Sicherheitsfunktion für Diebstahl ist.
TheCleaner
Einverstanden für die Passwörter. Aber werden sie nicht trotzdem mit Einwegverschlüsselung gespeichert? Es ist sicher besser, wenn jemand überhaupt nicht an sie herankommt, aber ich denke nicht, dass das Knacken von AD-Passwörtern so einfach ist.
Massimo
3
Der RODC speichert die Passwort-Hashes nicht, wenn Sie das Cachen deaktivieren ... Ich glaube, er speichert das "Login-Token". Ja, der Client authentifiziert sich zunächst beim realen DC an einem anderen Ort. Siehe hier: devendrathatte.blogspot.com/2009/04/… und hier: milesconsultingcorp.com/…
TheCleaner
10

Ich habe ein ganzes Kapitel über dieses Feature in meinem Buch (www.briandesmond.com/ad4/). Das Entscheidende ist, dass dies ein Sicherheitsmerkmal ist und für verteilte Organisationen eine enorme Herausforderung darstellt.

Hier gibt es zwei wirklich große Szenarien:

-> RODCs speichern standardmäßig keine Passwörter. Dies bedeutet, dass jemand, der die Datenträger physisch vom Server bezieht, nicht alle Benutzer- (und Computer-) Kennwörter erhält.

Die richtige Antwort, wenn jemand einen RWDC stiehlt, besteht darin, ALLE Kennwörter in der Domäne zurückzusetzen, da Sie davon ausgehen können, dass sie alle gefährdet sind. Dies ist ein großes Unterfangen.

Mit einem RODC können Sie sagen, dass nur die Kennwörter für Teilmenge X von Benutzern und Computern zwischengespeichert werden. Wenn der RODC das Kennwort tatsächlich zwischenspeichert, werden diese Informationen in AD gespeichert. Wenn der RODC gestohlen wird, haben Sie jetzt eine kleine Liste von Passwörtern, die zurückgesetzt werden müssen.

-> RODCs replizieren in eine Richtung. Wenn jemand Ihren RWDC gestohlen, einige Änderungen daran vorgenommen und ihn wieder angeschlossen hat, werden diese Änderungen wieder in die Umgebung repliziert. Beispielsweise können sie sich selbst zur Gruppe der Domain-Administratoren hinzufügen oder alle Administratorkennwörter oder ähnliches zurücksetzen. Mit einem RODC ist das einfach nicht möglich.

Es gibt keine Geschwindigkeitsverbesserung, es sei denn, Sie platzieren einen RODC an einem Ort, an dem zuvor kein DC vorhanden war, und in einigen Szenarien ist mit einer Geschwindigkeitsverbesserung zu rechnen.

Die Antwort von TheCleaner ist wirklich falsch. Es gibt VIELE überzeugende Szenarien für RODCs, und ich kann mir mehrere Bereitstellungen von RODCs vorstellen. Dies ist einfaches Sicherheitsmaterial, nicht das "Anal über Sicherheitsmaterial".

Vielen Dank,

Brian Desmond

Active Directory MVP

Brian Desmond
quelle
Brian, danke für die ausführliche Antwort, aber ich bin immer noch genauso neugierig wie zuvor in Bezug auf einige Dinge: 1) Wenn jemand einen Domänencontroller erhalten kann, wie kann er dann Änderungen an der Domäne vornehmen, wenn er keinen Administrator hat Konto? Er würde sich nicht einmal einloggen können. 2) Wenn jemand einen DC stiehlt, wie kann er dann Passwörter aus der AD-Datenbank erhalten? Sie werden in einer proprietären Datenbank mit Einweg-Verschlüsselung (und einer ziemlich starken, IIRC) gespeichert. 3) Wenn Ihr DC gestohlen wird und wer ihn gestohlen hat, kann er auf Ihr Netzwerk zugreifen und es wieder herstellen. In Ihrer Sicherheit ist definitiv etwas kaputt ... und kein RODC wird es reparieren.
Massimo
1
In Bezug auf 1 und 2 gibt es im Internet Tools, die gerne eine AD-Datenbank nehmen und direkt darauf lesen / schreiben. Alles, was Sie tun müssen, ist, die Festplatte (n) an einer Stelle einzufügen, die sie enthält, und sie von einem anderen Computer aus zu öffnen. Teilweise einverstanden 3. Viele Organisationen haben Hunderte von DCs in Zweigstellen auf der ganzen Welt. Ich kann Ihnen aus erster Hand sagen, dass die Durchsetzung der physischen Sicherheit in einem Schrank, der 10.000 Meilen von Ihrem Schreibtisch entfernt ist, so gut wie unmöglich ist.
Brian Desmond
Wenn ein Bösewicht Zugriff auf Ihre Hardware hat, ist dies nicht mehr Ihre Hardware. Verwenden Sie Bitlocker für Ihre aktuellen DCs? Wenn nicht, überlegen Sie, ob Sie dies mit oder einer anderen vollständigen Festplattenverschlüsselung beginnen möchten ... wenn die Bösen Ihre Daten haben - Sie sind SOL ^^
Oskar Duveborn
1

Sie benötigen RODCs, wenn Sie viele Zweigstellen mit unzureichender physischer Sicherheit und / oder langsamer oder unzuverlässiger Netzwerkverbindung haben. Beispiele:

  • Medizinischer Dienstleister mit einem zentralen Büro und Ladeneinrichtungen, die häufig wechseln und DSL / Kabel für die Konnektivität verwenden
  • Ein Unternehmen mit Einrichtungen in abgelegenen Gebieten, in denen die Telekommunikationsinfrastruktur unzuverlässig ist oder in denen Sie gezwungen sind, Mobilfunk- oder Satellitennetze zu verwenden.

Die meisten Organisationen haben physische Sicherheitsstandards für Remote-Geräte. Wenn Sie diese Anforderungen nicht erfüllen können, können Sie mit RODCs eine Hochgeschwindigkeitsauthentifizierung für den Zugriff auf lokale Anwendungen und Dateifreigaben bereitstellen. Sie können damit auch die Anzahl der auf dem Server gespeicherten Anmeldeinformationen begrenzen. Ein gefährdeter Server gefährdet nur Benutzer am Remotestandort. Ein vollständiger Domänencontroller mit 75.000 Benutzern macht alle diese Benutzer im Falle eines lokalen Kompromisses verfügbar.

Wenn Sie in einem kleineren Unternehmen arbeiten, ist das überhaupt keine große Sache. Ich bin hocherfreut, sie mit BitLocker einzuführen, da RODCs das Sicherheitsrisiko erheblich reduzieren.

duffbeer703
quelle
1

Wir werden RODC in einer DMZ verwenden, die auf diesem TechNet- Artikel basiert . Einrichten einer neuen Gesamtstruktur für Webdienste mit einem RODC in der DMZ.

IT-Team
quelle
0

In erster Linie aus Sicherheitsgründen, aber auch aus Gründen der Geschwindigkeit.

Siehe die kurze Beschreibung hier

Geeklin
quelle
2
Ich bin nicht einverstanden mit der "Geschwindigkeit" Sache. Wenn Benutzer sich bei einem "echten" DC authentifizieren müssen, beschleunigt der RODC nichts: Ein auf der Site verfügbarer beschreibbarer DC anstelle des RODC wäre tatsächlich schneller .
Massimo
0

Ein RODC enthält eine schreibgeschützte Kopie Ihres AD, die Sie in einer Zweigstelle verwenden, in der kein IT-Personal anwesend ist und daher die Sicherheit oder Integrität Ihres Serverraums nicht gewährleistet werden kann. Im Falle einer Kompromittierung des RODC können Sie sicher sein, dass jeder, der eine Kompromittierung vornimmt, nur in dem Zustand auf Ihr AD zugreifen kann, in dem es sich zum Zeitpunkt der Entdeckung befand. Es werden keine daran vorgenommenen Änderungen auf Ihre Haupt-DCs repliziert. Das bedeutet, dass jeder, der Kompromisse eingeht, keine üblen Dinge wie sich selbst zum Domain-Administrator erheben, Ihre eigenen Administratoren aussperren und mit Ihrem gesamten Netzwerk auf eine böse Art und Weise vorgehen kann.

Maximus Minimus
quelle
Was meinen Sie mit "keine Änderungen werden repliziert"? Wenn ich Administratorzugriff auf AD bekomme, der benötigt wird, um etwas zu ändern, kann ich ADUC mit einem "echten" DC (oder RDP darin) verbinden und meine Änderungen direkt dort vornehmen . Und wenn ich keinen Administratorzugriff bekomme, kann ich nichts tun, auch wenn ein DC auf meinem Tisch sitzt.
Massimo
2
@ Massimo - ja, du bist richtig. Sie suchen nach einem zwingenden Grund für einen RODC und es gibt keinen. Es verfügt über einige zusätzliche Sicherheitsfunktionen, um die Sicherheit in Zweigstellen zu verbessern, und muss nur dann dort bereitgestellt werden, wenn Sie dort noch keinen Domänencontroller haben und sich intensiv mit seiner Sicherheit befassen.
TheCleaner
@Massimo Sie benötigen keinen Administratorzugriff auf AD, um Änderungen vorzunehmen - starten Sie von einer DVD, und Sie können direkt in die AD-Datenbanken schreiben.
Richard Gadsden
0

RODCs sind nützlich für große Unternehmensorganisationen. Konkurrierende Unternehmensverzeichnisdienste wie Novell eDirectory verfügen seit Jahren über schreibgeschützte Replikate.


quelle
0

Ein weiterer Vorteil von RODCs besteht darin, dass Sie während einer Notfallwiederherstellung über funktionierende Domänencontroller verfügen können, bei der alle normalen Domänencontroller heruntergefahren werden, um Active Directory neu zu erstellen. In solchen Situationen müssen Sie RODCs nicht deaktivieren.

JPS
quelle