IT-administraator võib DMZ-i välisest vaatenurgast lukustada, kuid ei suuda sisemisest vaatenurgast DMZ-le juurdepääsule seda turvalisuse taset seada, kuna peate neile süsteemidele juurde pääsema, neid haldama ja jälgima ka DMZ-s, kuid mõne aja jooksul. erineval viisil kui sisemise kohtvõrgu süsteemide puhul. Selles postituses käsitleme Microsofti soovitatud DMZ domeenikontrolleri parimad tavad .
Mis on DMZ domeenikontroller?
Arvutiturbe valdkonnas on DMZ ehk demilitariseeritud tsoon füüsiline või loogiline alamvõrk, mis sisaldab ja paljastab organisatsiooni välised teenused suuremas ja ebausaldusväärses võrgus, tavaliselt Internetis. DMZ eesmärk on lisada organisatsiooni LAN-ile täiendav turvakiht; välisel võrgusõlmel on otsene juurdepääs ainult DMZ süsteemidele ja see on võrgu mis tahes muust osast isoleeritud. Ideaalis ei tohiks DMZ-s kunagi olla domeenikontrollerit, mis aitaks nende süsteemide autentimisel. Mis tahes teavet, mida peetakse tundlikuks, eriti siseandmeid, ei tohiks DMZ-s salvestada ega DMZ-süsteemides sellele tugineda.
DMZ domeenikontrolleri parimad tavad
Microsofti Active Directory meeskond on teinud kättesaadavaks a dokumentatsioon koos parimate tavadega AD käitamiseks DMZ-s. Juhend hõlmab järgmisi perimeetrivõrgu AD-mudeleid:
- Active Directory puudub (kohalikud kontod)
- Eraldatud metsamudel
- Laiendatud ettevõtte metsamudel
- Metsa usaldusmudel
Juhend sisaldab juhiseid selle kindlaksmääramiseks, kas Active Directory domeeniteenused (AD DS) sobib teie perimeetrivõrgu (tuntud ka kui DMZ-d või ekstranetid), erinevate mudelite jaoks AD DS-i juurutamiseks perimeetrivõrkudes ning kirjutuskaitstud domeenikontrollerite (RODC) planeerimise ja juurutamise teabe jaoks perimeetrivõrgus. Kuna RODC-d pakuvad perimeetrivõrkudele uusi võimalusi, kirjeldab enamik selle juhendi sisust, kuidas seda Windows Server 2008 funktsiooni planeerida ja juurutada. Kuid ka teised selles juhendis tutvustatud Active Directory mudelid on teie perimeetrivõrgu jaoks elujõulised lahendused.
desinstallige smb1 kliendi ülesanne
See on kõik!
Kokkuvõttes tuleks sisemisest vaatenurgast juurdepääs DMZ-le võimalikult tihedalt lukustada. Need on süsteemid, mis võivad hoida tundlikke andmeid või millel on juurdepääs teistele süsteemidele, millel on tundlikud andmed. Kui DMZ-server on ohus ja sisemine LAN on laialt avatud, pääsevad ründajad ootamatult teie võrku.
Loe edasi : Domeenikontrolleri reklaamimise eeltingimuste kinnitamine ebaõnnestus
Kas domeenikontroller peaks olema DMZ-s?
See pole soovitatav, kuna seate oma domeenikontrollerid teatud riskile. Ressursimets on isoleeritud AD DS-i metsamudel, mis on juurutatud teie perimeetrivõrgus. Kõik domeenikontrollerid, liikmed ja domeeniga liitunud kliendid asuvad teie DMZ-s.
Lugege : Domeeni Active Directory domeenikontrolleriga ei saanud ühendust
Kas saate DMZ-s juurutada?
Saate juurutada veebirakendusi demilitariseeritud tsoonis (DMZ), et võimaldada välistel volitatud kasutajatel väljaspool teie ettevõtte tulemüüri juurdepääsu teie veebirakendustele. DMZ-tsooni kaitsmiseks saate teha järgmist.
- Piirake DMZ-võrkude kriitiliste ressursside kokkupuudet Interneti-poolse pordiga.
- Piirake avatud pordid ainult nõutavate IP-aadressidega ja vältige metamärkide paigutamist sihtpordi või hosti kirjetesse.
- Värskendage regulaarselt kõiki aktiivses kasutuses olevaid avalikke IP-vahemikke.
Lugege : Kuidas muuta domeenikontrolleri IP-aadressi .
