Máy chủ web Windows có phải là thành viên của miền Active Directory không

Về mặt bảo mật và khả năng quản lý - Thực tiễn tốt nhất là gì?

Nên máy chủ web

• Được thêm vào và quản lý từ miền Active Directory

hoặc là

• Là một phần của nhóm làm việc server máy chủ web tách biệt với thư mục hoạt động của 'máy chủ tài nguyên'?

Không có yêu cầu phải có tài khoản người dùng trên máy chủ web, chỉ có tài khoản quản lý (quản lý máy chủ, báo cáo hệ thống, triển khai nội dung, v.v.)

Nếu bạn muốn sử dụng ủy quyền Kerberos để xây dựng cơ sở hạ tầng an toàn (và BẠN LÀM), bạn sẽ cần phải tham gia các máy chủ Web đó vào miền. Máy chủ web (hoặc tài khoản dịch vụ) sẽ cần khả năng ủy quyền được gán cho nó để cho phép người dùng mạo danh người dùng chống lại máy chủ SQL của bạn.

Bạn có thể muốn tránh sử dụng xác thực dựa trên SQL trên máy chủ SQL nếu bạn có bất kỳ yêu cầu kiểm toán hoặc theo luật định nào để theo dõi truy cập dữ liệu (HIPAA, SOX, v.v.) Bạn nên theo dõi truy cập thông qua quy trình cung cấp của mình (tức là ai đang ở trong nhóm nào, cách thức được phê duyệt và bởi ai) và tất cả quyền truy cập vào dữ liệu phải thông qua tài khoản được chỉ định của người dùng.

Đối với các sự cố DMZ liên quan đến việc truy cập AD , bạn có thể giải quyết một số vấn đề đó với Server 2008 bằng cách sử dụng DC chỉ đọc (RODC) nhưng vẫn có rủi ro khi triển khai vào DMZ. Ngoài ra còn có một số cách để buộc một DC sử dụng các cổng cụ thể để vượt qua tường lửa, nhưng kiểu cắt này có thể gây khó khăn cho các vấn đề xác thực.

Nếu bạn có nhu cầu cụ thể để cho phép cả người dùng Internet và Intranet truy cập vào cùng một ứng dụng, bạn có thể cần xem xét việc sử dụng một trong các sản phẩm Dịch vụ liên kết, cung cấp của Microsoft hoặc một cái gì đó như Ping Federated.

Sử dụng nội bộ, hoàn toàn. Bằng cách đó, họ được quản lý bởi GPO, việc vá lỗi không quá khó khăn và việc giám sát có thể được thực hiện mà không cần một loạt cách giải quyết.

Trong DMZ, nói chung tôi khuyên không nên, họ không nên ở DMZ. Nếu chúng nằm trên miền và trong DMZ, vấn đề mà bạn gặp phải là máy chủ web phải có kết nối nhất định trở lại ít nhất một DC. Do đó, nếu kẻ tấn công bên ngoài xâm phạm máy chủ web, giờ đây anh ta hoặc cô ta có thể trực tiếp thực hiện các cuộc tấn công chống lại một trong các DC. Sở hữu DC, sở hữu tên miền. Sở hữu miền, sở hữu rừng.

Tại sao không có Miền của Máy chủ Web trong DMZ?

Đó có thể là một khu rừng riêng biệt với mối quan hệ tin cậy một chiều để quản trị miền từ miền chính của bạn mà không cho phép bất kỳ quyền nào đối với miền của WS cho miền chính của bạn.

Tất cả niềm vui của AD / WSUS / GPO - đặc biệt hữu ích nếu bạn có cả một trang trại của chúng - và nếu nó bị xâm phạm thì đó không phải là mạng chính của bạn.

Nếu máy chủ web nằm trên cùng một mạng với (các) Bộ điều khiển miền, thì tôi chắc chắn sẽ thêm nó vào miền - vì điều này rõ ràng sẽ bổ sung rất nhiều khả năng quản lý. Tuy nhiên, tôi thường cố gắng đưa máy chủ web vào DMZ để tăng tính bảo mật - điều này khiến cho việc truy cập vào miền không thể thực hiện được nếu không có lỗ kim (và đó là một ý tưởng rất tồi!)

Như những người khác đã đề cập, nếu đây là phải đối mặt với công chúng và không yêu cầu người dùng xác thực đối với các thư mục, sau đó làm không đặt chúng trong tên miền.

Tuy nhiên, nếu bạn yêu cầu một số loại xác thực hoặc tra cứu thông tin từ AD, có thể xem xét việc chạy Chế độ ứng dụng Active Directory ( ADAM ) trong DMZ. Bạn có thể cần sao chép thông tin liên quan từ AD vào Phân vùng Applicaton vì ADAM không đồng bộ hóa các phân vùng AD tiêu chuẩn.

Nếu bạn chỉ tìm kiếm các tính năng quản lý, ADAM không áp dụng.