thư mục hoạt động hoặc nhóm làm việc cho máy sản xuất

Trường phái tư tưởng cũ là các máy chủ ứng dụng và cơ sở dữ liệu không nên là một phần của miền. Tôi có thiết lập mạng của mình để chỉ các máy chủ ứng dụng có thể giao tiếp với các máy chủ db. Các máy chủ ứng dụng nằm trong nhóm làm việc của riêng họ và các máy chủ db nằm trong nhóm làm việc của riêng họ. Các máy chủ được cách ly hoàn toàn với phần còn lại của mạng và các nhà phát triển có quyền truy cập thông qua vpn / rdp. Đây vẫn là một cách tốt để thiết lập cơ sở hạ tầng?

Lý do tôi hỏi là cuối cùng tôi cũng cập nhật môi trường với Active Directory và có một cửa sổ để thiết kế lại kiến ​​trúc mạng nếu nó phù hợp.

Tôi không thực sự là một quản trị viên hệ thống, nhưng cần phải hoàn thành vai trò ...

BIÊN TẬP

Tôi thực sự đánh giá cao sự kiên nhẫn và giúp đỡ của mọi người. Tôi biết rất ít về Active Directory. Mối quan tâm chính của tôi là một máy người dùng sẽ bị xâm nhập (zombie) và máy bị xâm nhập này có thể được sử dụng để truy cập các máy chủ sản xuất thông qua AD. Sử dụng AD sẽ giúp cuộc sống của tôi dễ dàng hơn rất nhiều, nhưng một sự thỏa hiệp duy nhất sẽ tàn phá công ty. Ngay bây giờ, có rất ít khả năng người dùng trái phép có quyền truy cập vào các máy chủ sản xuất nội bộ.

Trong mọi trường hợp, có vẻ như sự đồng thuận là AD không gây rủi ro cho các máy chủ sản xuất và đó là một thực tế thường được chấp nhận để làm như vậy. Vì vậy, tôi cho rằng tôi nên bắt đầu tăng cường kiến ​​thức về AD và thiết lập chính xác hoặc xem liệu có một chuyên gia địa phương nào có thể làm điều này.

Cảm ơn tất cả các thông tin.

Tôi sẽ đặt chúng lên; ít nhất là lợi ích từ xác thực tích hợp vượt xa mọi nhược điểm nhận thức. Việc quản lý toàn bộ HĐH sẽ được thực hiện suôn sẻ hơn rất nhiều và nếu ứng dụng và dbs của bạn có mô hình bảo mật cho phép chúng có quản trị viên riêng và điều đó không cấp cho quản trị viên tên miền quyền truy cập đầy đủ vào chúng, thì bạn không thực sự mất bất cứ thứ gì ở đó

Tôi không chắc chắn nếu lo lắng về việc AD của bạn bị xâm phạm có hợp lệ ở đây không. Nếu AD của bạn bị xâm phạm, chắc chắn điều đó có nghĩa là bạn vẫn gặp vấn đề lớn hơn?

Có một lý do tại sao các doanh nghiệp lớn sử dụng Active Directory. Nó có ý nghĩa hơn. Những điều cần cân nhắc:

• Nếu tôi thỏa hiệp máy tính của bạn, bạn sẽ có mật khẩu khác nhau ở mọi nơi, điều đó có nghĩa là bạn có thể có mật khẩu được lưu trữ ở đâu đó hoặc bạn sẽ sử dụng lại cùng một mật khẩu. Không phải tất cả mọi người sẽ có một hầm mật khẩu phong nha. Trong cả hai trường hợp, cuối cùng tôi sẽ lấy chìa khóa ở một nơi khác.
• Với các máy chủ trên AD, bạn có được lợi thế của chính sách khóa toàn cầu. Điều đó có nghĩa là nếu bạn có lỗi đăng nhập X trong tổng số phút Y, tài khoản sẽ bị khóa. Vì vậy, tôi không có cơ hội X ở đây và cơ hội X ở đó và cơ hội X khác vượt qua bạn với tổng số cơ hội gấp 3 lần (nếu bạn đang sử dụng lại mật khẩu). Tôi nhận được X. Khi X> 0, X <3X.
• GPO. Các cấu hình được quản lý như Hạn chế ẩn danh, Cài đặt kiểm toán, kích thước nhật ký sự kiện, có được đổi tên Quản trị viên hay không, cho phép LM Hashing hoặc thực hiện NTLM, v.v. Tất cả điều này có thể được kiểm soát và đẩy từ AD và tự động thực thi. Từ góc độ bảo mật, điều này thổi máy chủ thủ công bằng cách xử lý máy chủ ra khỏi nước, vì một kiểm toán viên CNTT giỏi sẽ nói với bạn.
• Nguồn duy nhất cho bảo mật. Bạn có một người dùng đi lừa đảo. Bạn tìm ra nó. Bạn vô hiệu hóa tài khoản của người dùng đó trên miền. Đoán xem cái gì? Người dùng đó không đăng nhập ở bất cứ nơi nào khác. Bạn thử điều đó với nhiều hệ thống khác nhau và bạn sẽ phải đánh từng hệ thống.

Hãy nhìn xem, bạn vẫn có thể tắt tường lửa phần cứng các máy chủ chính và đó là một ý tưởng hay, khắc các lỗ thích hợp để các máy chủ này có thể nói chuyện với các DC và vì vậy khách hàng chỉ có thể nói chuyện với các máy chủ này trên đúng cổng. Chẳng hạn, không có lý do tại sao người dùng cuối nên có quyền truy cập NetBIOS vào máy chủ cơ sở dữ liệu. Và không có lý do gì mà máy chủ tệp cần nói chuyện với SQL Server, vì vậy đừng để họ. Và sau đó bạn hạn chế diện tích bề mặt tổng thể.

Tôi không thể nghĩ ra một lý do chính đáng nào để tách biệt các máy chủ DB và Ứng dụng khỏi miền. Chúng tôi đang chạy số lượng lớn máy chủ SQL và Oracle và máy chủ ứng dụng (vượt quá 100) trong khu rừng của chúng tôi.

Tôi sợ hãi khi nghĩ rằng một cơn đau hậu cần ở cổ sẽ là gì đối với chúng tôi khi hoạt động nếu chúng bị tách ra thành các nhóm làm việc.

Sự phức tạp là kẻ thù của an ninh . Đặt máy chủ của bạn trong Active Directory.

Tôi sẽ đặt các máy chủ bên trong AD, như mọi người khác đang đề xuất. Nếu bạn thực sự lo lắng về bảo mật, hãy đặt các máy chủ cụ thể đó lên một Vlan riêng biệt và chỉ cho phép chúng giao tiếp với các máy chủ cụ thể trên các cổng cụ thể. Điều này sẽ ngăn RDP, UNC truy cập, v.v. và chỉ cho phép những gì cần thiết.

AD & tên miền cho phép quản lý trung tâm của máy chủ hạn chế những thứ như tài khoản người dùng, GPO, duyệt internet, cài đặt phần mềm, danh sách là vô tận. Chưa kể đến việc đặt lại mật khẩu nếu tài khoản được sử dụng trên 10 máy bị xâm phạm, vì trong nhóm làm việc, 10 máy của nó sẽ đăng nhập và đặt lại, bây giờ nếu đó là 100 máy điên, không đề cập đến nếu bạn bỏ lỡ một máy bạn có một lỗ. Trừ khi bạn bắt đầu viết kịch bản ra tất cả.

Nếu tách biệt các máy sản xuất từ ​​mạng máy trạm thực sự là những gì bạn muốn làm thì bạn có thể tường lửa giữa hai mạng và vẫn có cùng một AD.

Hoặc có 2 miền hoàn toàn độc lập với sự tin tưởng (hoặc không) giữa chúng khi cần thiết.

hoặc có một miền với 2 khu rừng

hoặc danh sách này là vô tận, nó thực sự là những gì bạn cần.

Một trong những mối quan tâm của bạn là máy của người dùng bị nhiễm vi-rút và sau đó lây nhiễm vào máy chủ sản xuất nếu cả hai đều trên AD. AD không hoạt động như thế. AD là một cơ sở dữ liệu của miền của bạn.

Nếu máy A có vi-rút và có quyền truy cập mạng vào máy B, thì máy A có thể tấn công máy B. Không có AD liên quan. Máy A chỉ đang làm những gì virus làm để tấn công máy khác. Nó có thể thử và vũ phu cho máy B, nó có thể thử một cuộc tấn công RPC và cứ thế. AD không có gì để làm với việc đính kèm. Điều cần thiết trong trường hợp này là tường lửa giữa 2 mạng. Vì vậy, bạn sẽ có Mạng A cho máy trạm và Mạng B để sản xuất. Đó là một thiết lập phổ biến trong các công ty là cách bạn ngăn chặn những gì bạn lo lắng.

Kiểm tra câu trả lời của Evan về AD là gì.

Tôi đồng ý với Izzy. Tên miền giúp quản lý các máy chủ đó NHIỀU dễ dàng hơn, từ đó có thể làm cho chúng an toàn hơn.

Có vẻ như bạn biết một chút về AD, nhưng không phải là toàn bộ, vì vậy tôi sẽ đề nghị bạn nên tham gia khóa học giới thiệu về AD hoặc toàn bộ khóa học chuyên sâu về Quản lý máy chủ AD và Windows . Nó sẽ trả lời hàng tấn câu hỏi của bạn và những người quản lý khóa học sẽ có thể trả lời một số câu hỏi của bạn với các tình huống giả định. Bạn có thể sắp xếp bố cục mạng hiện tại của mình cho họ và họ sẽ cung cấp cho bạn các đề xuất về nơi cần cải thiện, tại sao tích hợp máy chủ vào AD là một ý tưởng hay, làm thế nào để bảo vệ mọi người khỏi chúng, v.v.

Rất có thể, nếu công ty của bạn đánh giá bạn là một sysadmin, họ cũng có thể trả tiền cho các khóa học của bạn, đó là một phần thưởng.

Nhưng tôi sẽ đồng ý với mọi người về điều này: Chắc chắn thêm máy chủ của bạn vào AD, nhưng hãy làm đúng. Tôi không được tự do nói chính xác những gì phù hợp với tổ chức của bạn, bởi vì tôi không biết gì về nó, nhưng khóa nó càng nhiều càng tốt mà không làm cho những người cần sử dụng nó không thể sử dụng được.

Và đây là một tình huống giả định có thể khiến bạn phải suy nghĩ lại về việc thêm máy chủ của mình vào AD: Bạn có một nhà phát triển hoặc quản trị viên hệ thống đồng nghiệp, người đã bị chấm dứt. Sếp của bạn gọi cho bạn và nói "Người này PHẢI bị khóa khỏi hệ thống NGAY LẬP TỨC. Chúng tôi nghi ngờ họ có thể đang cố lấy cắp thông tin được bảo vệ của HIPAA từ chúng tôi và anh ta không còn làm việc ở đây nữa." (Tôi cho rằng các bạn có dữ liệu được bảo vệ theo HIPAA, như bạn đã đề cập về chăm sóc sức khỏe)

Với thiết lập hiện tại của bạn, bạn không chỉ phải khóa tài khoản AD của anh ấy mà còn phải đến từng máy chủ và vô hiệu hóa tài khoản của anh ấy ở đó. Nếu các máy chủ ở trạng thái AD, bạn có thể vô hiệu hóa ngay lập tức quyền truy cập của anh ta vào các máy chủ đó trong vòng chưa đầy 30 giây. Đây là một vấn đề đơn giản: RDP sang DC, Mở Máy tính và Người dùng Active Directory, Nhấp chuột phải vào tên của anh ấy, Nhấp vào Vô hiệu hóa. Bam, xong rồi. Anh ấy bị nhốt.

Nhưng chắc chắn, hãy đưa những người đó vào AD ngay khi bạn hiểu cách tốt nhất để giữ an toàn cho họ.

Máy chủ trong nhóm làm việc là một cơn ác mộng quản lý đối với hầu hết các mạng. Bảo mật đạt được là tưởng tượng nhiều hơn thực tế. Nếu một máy bị xâm nhập có quyền truy cập vào máy chủ thì nó không phải là một iota cho dù đó là nhóm làm việc hay máy chủ miền. Vì các quyền dễ quản lý hơn ở cấp tên miền, tôi tin rằng có các máy chủ trong miền thực sự tăng cường bảo mật, tất nhiên tất cả đều được thực hiện đúng.