क्या विंडोज वेब सर्वर को एक सक्रिय निर्देशिका डोमेन का सदस्य होना चाहिए

14

सुरक्षा और प्रबंधन क्षमता के संदर्भ में - सबसे अच्छा अभ्यास क्या है?

वेब सर्वर चाहिए

  • सक्रिय निर्देशिका डोमेन से जोड़ा और प्रबंधित किया जा सकता है

या

  • एक 'वेब सर्वर' कार्यसमूह का हिस्सा हो जो 'संसाधन सर्वर' सक्रिय निर्देशिका से अलग हो?

वेब सर्वर पर उपयोगकर्ता खाते, केवल प्रबंधन खाते (सर्वर प्रबंधन, सिस्टम रिपोर्टिंग, सामग्री परिनियोजन डिग्री) आदि के लिए कोई आवश्यकता नहीं है।

iis  active-directory  web-server  windows 
डेविड ईसाई
स्रोत
क्या आप अपने कार्यालय में एक Colo या DMZ में ये वेबसर्वर हैं?
रॉब बर्गिन
अच्छा मुद्दा उठा। सर्वर हमारे ही सर्वर रूम में हमारे अपने नियंत्रण में हैं।
डेविड क्रिस्टियन

जवाबों:

8

यदि आप सुरक्षित इन्फ्रास्ट्रक्चर (और डू डू) बनाने के लिए केर्बरोस प्रतिनिधिमंडल का उपयोग करना चाहते हैं, तो आपको उन वेब सर्वर को डोमेन में शामिल करना होगा। वेब सर्वर (या सेवा खाता) को आपके SQL सर्वर के खिलाफ उपयोगकर्ता के प्रतिरूपण की अनुमति देने के लिए इसे सौंपने की क्षमता की आवश्यकता होगी।

यदि आप डेटा एक्सेस (HIPAA, SOX, आदि) को ट्रैक करने के लिए किसी ऑडिटिंग या वैधानिक आवश्यकताओं की आवश्यकता है, तो आप SQL सर्वर पर SQL- आधारित प्रमाणीकरण का उपयोग करने से दूर रहना चाहते हैं। आपको अपनी प्रावधान प्रक्रिया के माध्यम से पहुँच ट्रैक करना चाहिए (अर्थात जो में है क्या समूह, कैसे स्वीकृत किया गया था, और किसके द्वारा) और डेटा तक सभी पहुंच उपयोगकर्ता के निर्धारित खाते के माध्यम से होनी चाहिए।

के लिए विज्ञापन तक पहुँचना से संबंधित DMZ मुद्दों , आप एक केवल पढ़ने के लिए डीसी (RODC) का उपयोग कर सर्वर 2008 के साथ इस बात का कुछ हल कर सकते हैं, लेकिन अभी भी DMZ में तैनाती के साथ जोखिम है। डीसी को एक फ़ायरवॉल के माध्यम से पंच करने के लिए विशिष्ट बंदरगाहों का उपयोग करने के लिए मजबूर करने के कुछ तरीके भी हैं, लेकिन इस प्रकार के कटोमाइज़ेशन से प्रमाणीकरण समस्याओं को मुश्किल करना मुश्किल हो सकता है।

यदि आपके पास इंटरनेट और इंट्रानेट उपयोगकर्ताओं दोनों को एक ही एप्लिकेशन तक पहुंचने की विशिष्ट आवश्यकता है, तो आपको फेडरेटेड सर्विसेज उत्पादों में से एक का उपयोग करने की आवश्यकता हो सकती है, या तो माइक्रोसॉफ्ट की पेशकश या पिंग फेडरेटेड जैसी कोई चीज।

रेयान फिशर
स्रोत
8

आंतरिक उपयोग, बिल्कुल। इस तरह वे GPO द्वारा प्रबंधित हो जाते हैं, पैचिंग करना उतना मुश्किल नहीं है, और मॉनिटरिंग को वर्कअराउंड के एक समूह के बिना पूरा किया जा सकता है।

DMZ में, आम तौर पर मैं कोई सलाह नहीं देता, वे DMZ पर नहीं होनी चाहिए। यदि वे डोमेन पर और DMZ में हैं, तो आपके द्वारा चलाए जाने वाला मुद्दा यह है कि वेब सर्वर में निश्चित कनेक्टिविटी कम से कम DC पर वापस होनी चाहिए। इसलिए, यदि कोई बाहरी हमलावर वेब सर्वर से समझौता करता है, तो वह अब सीधे डीसी में से एक के खिलाफ हमले शुरू कर सकता है। स्वयं डीसी, डोमेन का मालिक है। डोमेन का मालिक है, जंगल का मालिक है।

के। ब्रायन केली
स्रोत
धन्यवाद KB और रोब। परिधि नेटवर्क में एक और AD का निर्माण एक उत्तर है, लेकिन मैं वेब सर्वर के लिए AD के मेजबान होने के लिए मुझे एक और सर्वर खरीदने का औचित्य नहीं दे सकता। Urg। एक और जटिलता यह है कि वेबसर्वर्स को आंतरिक 'विश्वसनीय' नेटवर्क (उदाहरण के लिए SQL) में अनुमत कुछ ट्रैफ़िक होना चाहिए और SQL ट्रैफ़िक को विश्वसनीय नेटवर्क कनेक्शन का उपयोग करके सुरक्षित किया जाता है। मुझे लगता है कि हमें दो विज्ञापन और दोनों के बीच एक विश्वास के बारे में बात करनी होगी?
डेविड क्रिश्चियन
यह सबसे सुरक्षित मार्ग है, हाँ। आपके पास DMZ आधारित सर्वरों के लिए एक जंगल है और यह एक तरह से आंतरिक वन पर भरोसा करता है। हालाँकि, मैं पहले SQL सर्वर आधारित प्रमाणीकरण की अनुमति देने पर गौर करूंगा।
। ब्रायन केली
मैं सहमत हूं, यह जाने का रास्ता है।
स्क्विलमैन
6

DMZ में एक वेबसर्वर का डोमेन क्यों नहीं है?

यह मुख्य डोमेन के लिए WS के डोमेन को कोई अनुमति दिए बिना आपके मुख्य डोमेन से डोमेन को प्रबंधित करने के लिए एक तरह से विश्वास संबंध के साथ एक अलग जंगल हो सकता है।

AD / WSUS / GPO की सभी खुशियाँ - विशेष रूप से उपयोगी यदि आपके पास इनका पूरा खेत है - और यदि यह समझौता किया जाता है तो यह आपका मुख्य नेटवर्क नहीं है।

जॉन रोड्स
स्रोत
1
यदि आपको किसी डोमेन का उपयोग करना है तो यह सबसे सुरक्षित मार्ग है। हालाँकि, आप अभी भी डीसी पर सीधा हमला करने की बात कर रहे हैं। और आपके द्वारा दिए गए परिदृश्य में, अगर मुझे वह डीसी मिलता है, जब तक कि आपने कैश की गई क्रेडेंशियल्स को नहीं निकाला है, तब भी मैं उन लोगों को खींच सकता हूं और प्राथमिक डोमेन / वन के खिलाफ उपयोग करने के लिए क्रेडेंशियल्स हैं।
। ब्रायन केली
केबी आउट ऑफ इंटरेस्ट, क्या आप 'कैश्ड क्रेडेंशियल्स' का वर्णन कर सकते हैं
डेविड क्रिस्टियनस
1
जब तक आप इसे बंद नहीं करते हैं, जब आप लॉग ऑन करते हैं, तो एक विंडोज सिस्टम पासवर्ड क्रेडेंशियल्स (वास्तव में एक हैश का एक कैश) को कैश करेगा। यह वही है जो आपको कॉर्पोरेट नेटवर्क से दूर होने पर लैपटॉप रखने और अपने डोमेन लॉगऑन पर लॉग इन करने की अनुमति देता है। निकालें, इंद्रधनुष तालिकाओं का उपयोग करें, आपको यह विचार मिलता है।
। ब्रायन केली
3
यदि ट्रस्ट केवल एक है, तो कैश की गई क्रेडेंशियल्स अप्रासंगिक हैं क्योंकि DMZ सर्वर कभी भी प्राथमिक डोमेन के खिलाफ प्रमाणित नहीं होगा।
जॉन रोहड्स
2

यदि वेबसर्वर डोमेन नियंत्रक (ओं) के रूप में एक ही नेटवर्क पर है, तो मैं निश्चित रूप से इसे डोमेन में जोड़ दूंगा - क्योंकि यह स्पष्ट रूप से प्रबंधनीयता का एक बड़ा सौदा जोड़ता है। हालाँकि, मैं आमतौर पर सुरक्षा बढ़ाने के लिए एक DMZ में webservers डालने का प्रयास करूँगा - जो कि पिनहोल के बिना डोमेन तक पहुँच को असंभव बनाता है (और यह एक बहुत बुरा विचार है!)

रोब गोल्डिंग
स्रोत
1

जैसा कि दूसरों ने उल्लेख किया है, अगर ये सार्वजनिक सामना कर रहे हैं और निर्देशिका के खिलाफ उपयोगकर्ताओं को प्रमाणित करने की आवश्यकता नहीं है, तो उन्हें डोमेन में डालें।

हालाँकि, क्या आपको AD से किसी प्रकार के प्रमाणीकरण या जानकारी की तलाश करनी चाहिए, संभवतः DMZ में सक्रिय निर्देशिका अनुप्रयोग मोड ( ADAM ) को चलाने के लिए देखें। आपको AD से एप्लोटॉन विभाजन में संबंधित जानकारी को दोहराने की आवश्यकता हो सकती है क्योंकि ADAM मानक AD विभाजन को सिंक्रनाइज़ नहीं करता है।

यदि आप अभी प्रबंधन सुविधाओं की तलाश कर रहे हैं, तो ADAM लागू नहीं होता है।

डग लक्सम
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.