thư mục hoạt động hoặc nhóm làm việc cho máy sản xuất


3

Trường phái tư tưởng cũ là các máy chủ ứng dụng và cơ sở dữ liệu không nên là một phần của miền. Tôi có thiết lập mạng của mình để chỉ các máy chủ ứng dụng có thể giao tiếp với các máy chủ db. Các máy chủ ứng dụng nằm trong nhóm làm việc của riêng họ và các máy chủ db nằm trong nhóm làm việc của riêng họ. Các máy chủ được cách ly hoàn toàn với phần còn lại của mạng và các nhà phát triển có quyền truy cập thông qua vpn / rdp. Đây vẫn là một cách tốt để thiết lập cơ sở hạ tầng?

Lý do tôi hỏi là cuối cùng tôi cũng cập nhật môi trường với Active Directory và có một cửa sổ để thiết kế lại kiến ​​trúc mạng nếu nó phù hợp.

Tôi không thực sự là một quản trị viên hệ thống, nhưng cần phải hoàn thành vai trò ...

BIÊN TẬP

Tôi thực sự đánh giá cao sự kiên nhẫn và giúp đỡ của mọi người. Tôi biết rất ít về Active Directory. Mối quan tâm chính của tôi là một máy người dùng sẽ bị xâm nhập (zombie) và máy bị xâm nhập này có thể được sử dụng để truy cập các máy chủ sản xuất thông qua AD. Sử dụng AD sẽ giúp cuộc sống của tôi dễ dàng hơn rất nhiều, nhưng một sự thỏa hiệp duy nhất sẽ tàn phá công ty. Ngay bây giờ, có rất ít khả năng người dùng trái phép có quyền truy cập vào các máy chủ sản xuất nội bộ.

Trong mọi trường hợp, có vẻ như sự đồng thuận là AD không gây rủi ro cho các máy chủ sản xuất và đó là một thực tế thường được chấp nhận để làm như vậy. Vì vậy, tôi cho rằng tôi nên bắt đầu tăng cường kiến ​​thức về AD và thiết lập chính xác hoặc xem liệu có một chuyên gia địa phương nào có thể làm điều này.

Cảm ơn tất cả các thông tin.

Câu trả lời:


4

Tôi sẽ đặt chúng lên; ít nhất là lợi ích từ xác thực tích hợp vượt xa mọi nhược điểm nhận thức. Việc quản lý toàn bộ HĐH sẽ được thực hiện suôn sẻ hơn rất nhiều và nếu ứng dụng và dbs của bạn có mô hình bảo mật cho phép chúng có quản trị viên riêng và điều đó không cấp cho quản trị viên tên miền quyền truy cập đầy đủ vào chúng, thì bạn không thực sự mất bất cứ thứ gì ở đó

Tôi không chắc chắn nếu lo lắng về việc AD của bạn bị xâm phạm có hợp lệ ở đây không. Nếu AD của bạn bị xâm phạm, chắc chắn điều đó có nghĩa là bạn vẫn gặp vấn đề lớn hơn?


Phần còn lại của mạng có người dùng thường xuyên ... người dùng tải xuống vi-rút, người dùng cài đặt những thứ họ không hiểu, v.v. vâng, bạn có thể cố gắng giảm thiểu điều đó, nhưng khi vp / pres / ceo muốn thử một số mới tải về fangled, cuối cùng bạn phải để cho họ. nếu bất kỳ thỏa hiệp nào là nghiêm trọng, tác nhân xâm lược có thể chiếm toàn bộ mạng của bạn. trong trường hợp hiện tại của tôi, tôi sẽ hơi khó chịu, nhưng chúng tôi có thể phục hồi. nếu tôi chuyển máy chủ ứng dụng sang quảng cáo, thì dữ liệu sản xuất (chăm sóc sức khỏe) của tôi sẽ bị xâm phạm và chúng tôi sẽ không hoạt động.
mson

1
mson - Xin đừng coi đây là một cú gõ vào bạn, bởi vì nó không phải là. Có rất nhiều điều bạn không hiểu về cách thức hoạt động của AD và cách máy móc bị xâm nhập. Chỉ vì máy là thành viên của miền không có nghĩa là mọi người dùng đều có quyền sử dụng và AD không lưu trữ mật khẩu, nó lưu trữ băm, vì vậy ngay cả khi DC bị xâm phạm, nó cũng không lộ thông tin đăng nhập cho toàn bộ tổ chức của bạn. Tôi không thấy làm thế nào vi-rút trên máy tính của người dùng không có đặc quyền có thể xâm nhập máy chủ.
MDMarra

cảm ơn - tôi không hiểu làm thế nào AD hoạt động ... bạn có thể xác nhận rằng một máy bị xâm nhập trong cùng một AD như các máy chủ sản xuất không thể truy cập vào các máy chủ sản xuất đó nếu tôi thiết lập đúng AD (với Vlan) không? Tôi không nhất thiết phải lo lắng về vi-rút - Tôi lo ngại về các máy người dùng bị xâm nhập. Tôi hiểu rằng mật khẩu được băm, nhưng có các kịch bản để gỡ bỏ rất nhiều triển khai. người dùng trung bình sử dụng mật khẩu khá dễ dàng để hack. có hàng ngàn cỗ máy thây ma ngủ trong các công ty ...
mson

Nếu bạn có "Hàng ngàn zombie ngủ yên" trong mạng công ty của mình, bạn cần đánh giá lại phần mềm chống vi-rút, bảo vệ vành đai và chính sách bảo mật của mình.
phuzion

Vlan là một giải pháp mạng vật lý, là một giải pháp tốt. Tuy nhiên, trong Chính sách nhóm, bạn có thể đặt tham số cho OU rằng các máy chủ nằm trong đó chỉ cho phép đăng nhập từ một số người dùng nhất định. Ngoài ra, đó là một chút nhiều hơn là không làm phiền để có được thông tin đăng nhập từ một máy bị xâm nhập vì đây là thuật toán "muối và băm" được sử dụng để tạo ra chúng. Cuối cùng, người dùng trung bình có thể dễ dàng hack mật khẩu nếu mật khẩu không phải là mật khẩu mạnh. Nếu bạn giới hạn đăng nhập vào máy chủ cho người dùng đáng tin cậy và thực thi GPO độ phức tạp của mật khẩu, bạn đang đi đúng hướng đến một mạng an toàn.
MDMarra

6

Có một lý do tại sao các doanh nghiệp lớn sử dụng Active Directory. Nó có ý nghĩa hơn. Những điều cần cân nhắc:

  • Nếu tôi thỏa hiệp máy tính của bạn, bạn sẽ có mật khẩu khác nhau ở mọi nơi, điều đó có nghĩa là bạn có thể có mật khẩu được lưu trữ ở đâu đó hoặc bạn sẽ sử dụng lại cùng một mật khẩu. Không phải tất cả mọi người sẽ có một hầm mật khẩu phong nha. Trong cả hai trường hợp, cuối cùng tôi sẽ lấy chìa khóa ở một nơi khác.
  • Với các máy chủ trên AD, bạn có được lợi thế của chính sách khóa toàn cầu. Điều đó có nghĩa là nếu bạn có lỗi đăng nhập X trong tổng số phút Y, tài khoản sẽ bị khóa. Vì vậy, tôi không có cơ hội X ở đây và cơ hội X ở đó và cơ hội X khác vượt qua bạn với tổng số cơ hội gấp 3 lần (nếu bạn đang sử dụng lại mật khẩu). Tôi nhận được X. Khi X> 0, X <3X.
  • GPO. Các cấu hình được quản lý như Hạn chế ẩn danh, Cài đặt kiểm toán, kích thước nhật ký sự kiện, có được đổi tên Quản trị viên hay không, cho phép LM Hashing hoặc thực hiện NTLM, v.v. Tất cả điều này có thể được kiểm soát và đẩy từ AD và tự động thực thi. Từ góc độ bảo mật, điều này thổi máy chủ thủ công bằng cách xử lý máy chủ ra khỏi nước, vì một kiểm toán viên CNTT giỏi sẽ nói với bạn.
  • Nguồn duy nhất cho bảo mật. Bạn có một người dùng đi lừa đảo. Bạn tìm ra nó. Bạn vô hiệu hóa tài khoản của người dùng đó trên miền. Đoán xem cái gì? Người dùng đó không đăng nhập ở bất cứ nơi nào khác. Bạn thử điều đó với nhiều hệ thống khác nhau và bạn sẽ phải đánh từng hệ thống.

Hãy nhìn xem, bạn vẫn có thể tắt tường lửa phần cứng các máy chủ chính và đó là một ý tưởng hay, khắc các lỗ thích hợp để các máy chủ này có thể nói chuyện với các DC và vì vậy khách hàng chỉ có thể nói chuyện với các máy chủ này trên đúng cổng. Chẳng hạn, không có lý do tại sao người dùng cuối nên có quyền truy cập NetBIOS vào máy chủ cơ sở dữ liệu. Và không có lý do gì mà máy chủ tệp cần nói chuyện với SQL Server, vì vậy đừng để họ. Và sau đó bạn hạn chế diện tích bề mặt tổng thể.


3

Tôi không thể nghĩ ra một lý do chính đáng nào để tách biệt các máy chủ DB và Ứng dụng khỏi miền. Chúng tôi đang chạy số lượng lớn máy chủ SQL và Oracle và máy chủ ứng dụng (vượt quá 100) trong khu rừng của chúng tôi.

Tôi sợ hãi khi nghĩ rằng một cơn đau hậu cần ở cổ sẽ là gì đối với chúng tôi khi hoạt động nếu chúng bị tách ra thành các nhóm làm việc.


nếu quảng cáo của bạn bị xâm phạm, chắc chắn dữ liệu sản xuất của bạn sẽ bị xâm phạm - thuận tiện hơn, nhưng có vẻ như bạn hy sinh bảo mật
mson

Ngoài ra - bạn có rất nhiều người dùng trong quảng cáo. nếu máy chủ ứng dụng / db của bạn là một phần của quảng cáo, thì có khả năng là do lỗi bảo mật hoặc lỗi quản trị mà ai đó có thể truy cập vào dữ liệu sản xuất
mson

Bạn có gợi ý rằng quảng cáo gần như không thể hack? bảo mật dữ liệu là vô cùng quan trọng đối với tổ chức của tôi. một thỏa hiệp duy nhất sẽ khiến chúng tôi phải chịu trách nhiệm về hàng triệu đô la và sẽ đặt công ty vào.
mson

1
Từ những âm thanh của nó, bạn đã lựa chọn. Nếu đó là một lỗ hổng bảo mật lớn như vậy thì tôi khá chắc chắn rằng AD sẽ không được sử dụng như ngày nay. Lỗi trong AD cho phép ai đó truy cập vào dữ liệu sản xuất có thể xảy ra dễ dàng mà không cần AD, nếu không muốn nói là vì tất cả các tài khoản đều là tài khoản máy cục bộ. Có phải mọi nhà phát triển đều có thông tin đăng nhập riêng hoặc bạn có sử dụng chung với mật khẩu chung không? Có phải mọi máy đều có chính sách bảo mật cứng không? Bạn có chắc chắn mà không kiểm toán từng người? Lỗi của con người là lỗi của con người.
SpaceManSpiff

Có vẻ như mọi người khác đồng tình với đánh giá của tôi?
Izzy


2

Tôi sẽ đặt các máy chủ bên trong AD, như mọi người khác đang đề xuất. Nếu bạn thực sự lo lắng về bảo mật, hãy đặt các máy chủ cụ thể đó lên một Vlan riêng biệt và chỉ cho phép chúng giao tiếp với các máy chủ cụ thể trên các cổng cụ thể. Điều này sẽ ngăn RDP, UNC truy cập, v.v. và chỉ cho phép những gì cần thiết.


Tôi sẽ đề nghị chính xác điều này. Câu trả lời tốt.
phuzion

2

AD & tên miền cho phép quản lý trung tâm của máy chủ hạn chế những thứ như tài khoản người dùng, GPO, duyệt internet, cài đặt phần mềm, danh sách là vô tận. Chưa kể đến việc đặt lại mật khẩu nếu tài khoản được sử dụng trên 10 máy bị xâm phạm, vì trong nhóm làm việc, 10 máy của nó sẽ đăng nhập và đặt lại, bây giờ nếu đó là 100 máy điên, không đề cập đến nếu bạn bỏ lỡ một máy bạn có một lỗ. Trừ khi bạn bắt đầu viết kịch bản ra tất cả.

Nếu tách biệt các máy sản xuất từ ​​mạng máy trạm thực sự là những gì bạn muốn làm thì bạn có thể tường lửa giữa hai mạng và vẫn có cùng một AD.

Hoặc có 2 miền hoàn toàn độc lập với sự tin tưởng (hoặc không) giữa chúng khi cần thiết.

hoặc có một miền với 2 khu rừng

hoặc danh sách này là vô tận, nó thực sự là những gì bạn cần.

Một trong những mối quan tâm của bạn là máy của người dùng bị nhiễm vi-rút và sau đó lây nhiễm vào máy chủ sản xuất nếu cả hai đều trên AD. AD không hoạt động như thế. AD là một cơ sở dữ liệu của miền của bạn.

Nếu máy A có vi-rút và có quyền truy cập mạng vào máy B, thì máy A có thể tấn công máy B. Không có AD liên quan. Máy A chỉ đang làm những gì virus làm để tấn công máy khác. Nó có thể thử và vũ phu cho máy B, nó có thể thử một cuộc tấn công RPC và cứ thế. AD không có gì để làm với việc đính kèm. Điều cần thiết trong trường hợp này là tường lửa giữa 2 mạng. Vì vậy, bạn sẽ có Mạng A cho máy trạm và Mạng B để sản xuất. Đó là một thiết lập phổ biến trong các công ty là cách bạn ngăn chặn những gì bạn lo lắng.

Kiểm tra câu trả lời của Evan về AD là gì.


giả sử tôi là một người viết virus / trojan. tôi nhờ ai đó truy cập trang web của mình và máy của người dùng đó bị xâm nhập. nếu các máy sản xuất của tôi nằm trên cùng một mạng, tôi không thể thiết lập quy trình nền để bắt đầu vũ phu ép buộc các tài khoản khác? không phải thiết lập hiện tại của tôi an toàn hơn nhiều? Có 8 máy chủ và thật khó chịu khi thay đổi mật khẩu, nhưng chỉ có 2-3 người có quyền truy cập và mật khẩu không thể bị ép buộc.
mson

có lẽ tôi không hiểu AD đủ tốt. nếu tôi có 2 tên miền hoàn toàn độc lập mà không có sự tin tưởng giữa chúng, liệu có làm ảnh hưởng đến tài khoản trong 1 đã cho tôi quyền truy cập vào AD và sau đó tôi có thể bắt đầu thử vào miền khác không?
mson

Một nơi nào khác bạn nói rằng tài khoản người dùng của máy chủ của bạn rất phức tạp và sẽ khó có thể vũ phu, tại sao bây giờ bạn lại lo lắng về sức mạnh vũ phu? Trong AD, bạn có thể giới hạn những gì người dùng có thể đăng nhập vào một máy cụ thể. Tại sao bạn không giới hạn nó trong một nhóm nhỏ người dùng và thực thi quy tắc độ dài và độ phức tạp của mật khẩu đối với họ thông qua GPO?
MDMarra

nếu tôi có thể thỏa hiệp với máy quảng cáo, tôi chỉ có thể thay đổi mật khẩu
mson

"tôi không thể thiết lập một quy trình nền để bắt đầu vũ phu ép buộc các tài khoản khác?" Chắc chắn, nhưng cách để chiến đấu là đặt AD để khóa tài khoản sau x lần thử mật khẩu thất bại liên tiếp.
phuzion

1

Tôi đồng ý với Izzy. Tên miền giúp quản lý các máy chủ đó NHIỀU dễ dàng hơn, từ đó có thể làm cho chúng an toàn hơn.


1

Có vẻ như bạn biết một chút về AD, nhưng không phải là toàn bộ, vì vậy tôi sẽ đề nghị bạn nên tham gia khóa học giới thiệu về AD hoặc toàn bộ khóa học chuyên sâu về Quản lý máy chủ AD và Windows . Nó sẽ trả lời hàng tấn câu hỏi của bạn và những người quản lý khóa học sẽ có thể trả lời một số câu hỏi của bạn với các tình huống giả định. Bạn có thể sắp xếp bố cục mạng hiện tại của mình cho họ và họ sẽ cung cấp cho bạn các đề xuất về nơi cần cải thiện, tại sao tích hợp máy chủ vào AD là một ý tưởng hay, làm thế nào để bảo vệ mọi người khỏi chúng, v.v.

Rất có thể, nếu công ty của bạn đánh giá bạn là một sysadmin, họ cũng có thể trả tiền cho các khóa học của bạn, đó là một phần thưởng.

Nhưng tôi sẽ đồng ý với mọi người về điều này: Chắc chắn thêm máy chủ của bạn vào AD, nhưng hãy làm đúng. Tôi không được tự do nói chính xác những gì phù hợp với tổ chức của bạn, bởi vì tôi không biết gì về nó, nhưng khóa nó càng nhiều càng tốt mà không làm cho những người cần sử dụng nó không thể sử dụng được.

Và đây là một tình huống giả định có thể khiến bạn phải suy nghĩ lại về việc thêm máy chủ của mình vào AD: Bạn có một nhà phát triển hoặc quản trị viên hệ thống đồng nghiệp, người đã bị chấm dứt. Sếp của bạn gọi cho bạn và nói "Người này PHẢI bị khóa khỏi hệ thống NGAY LẬP TỨC. Chúng tôi nghi ngờ họ có thể đang cố lấy cắp thông tin được bảo vệ của HIPAA từ chúng tôi và anh ta không còn làm việc ở đây nữa." (Tôi cho rằng các bạn có dữ liệu được bảo vệ theo HIPAA, như bạn đã đề cập về chăm sóc sức khỏe)

Với thiết lập hiện tại của bạn, bạn không chỉ phải khóa tài khoản AD của anh ấy mà còn phải đến từng máy chủ và vô hiệu hóa tài khoản của anh ấy ở đó. Nếu các máy chủ ở trạng thái AD, bạn có thể vô hiệu hóa ngay lập tức quyền truy cập của anh ta vào các máy chủ đó trong vòng chưa đầy 30 giây. Đây là một vấn đề đơn giản: RDP sang DC, Mở Máy tính và Người dùng Active Directory, Nhấp chuột phải vào tên của anh ấy, Nhấp vào Vô hiệu hóa. Bam, xong rồi. Anh ấy bị nhốt.

Nhưng chắc chắn, hãy đưa những người đó vào AD ngay khi bạn hiểu cách tốt nhất để giữ an toàn cho họ.


tôi ước tôi có thời gian để tham gia một khóa học nhưng theo kịch bản bảo mật của bạn, việc khóa ai đó khá đơn giản. Tôi vô hiệu hóa tài khoản vpn của anh ấy và anh ấy không còn có thể vào được nữa. Sau đó tôi có thể chạy tập lệnh để vô hiệu hóa tài khoản của anh ấy trên tất cả các máy chủ.
mson

1

Máy chủ trong nhóm làm việc là một cơn ác mộng quản lý đối với hầu hết các mạng. Bảo mật đạt được là tưởng tượng nhiều hơn thực tế. Nếu một máy bị xâm nhập có quyền truy cập vào máy chủ thì nó không phải là một iota cho dù đó là nhóm làm việc hay máy chủ miền. Vì các quyền dễ quản lý hơn ở cấp tên miền, tôi tin rằng có các máy chủ trong miền thực sự tăng cường bảo mật, tất nhiên tất cả đều được thực hiện đúng.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.