IT-beheerder kan de DMZ vergrendelen vanuit een extern perspectief, maar slaagt er niet in om dat beveiligingsniveau toe te passen op de toegang tot de DMZ vanuit een intern perspectief, aangezien u deze systemen ook binnen de DMZ moet openen, beheren en bewaken, maar in een enigszins op een andere manier dan u zou doen met systemen op uw interne LAN. In dit bericht bespreken we de door Microsoft aanbevolen Best practices voor DMZ-domeincontrollers .
verwijder groove muziek
Wat is een DMZ-domeincontroller?
In computerbeveiliging is een DMZ, of gedemilitariseerde zone, een fysiek of logisch subnetwerk dat de externe services van een organisatie bevat en blootstelt aan een groter en niet-vertrouwd netwerk, meestal internet. Het doel van een DMZ is om een extra beveiligingslaag toe te voegen aan het LAN van een organisatie; een extern netwerkknooppunt heeft alleen directe toegang tot systemen in de DMZ en is geïsoleerd van elk ander deel van het netwerk. Idealiter zou er nooit een domeincontroller in een DMZ moeten zitten om te helpen bij de authenticatie van deze systemen. Alle informatie die als gevoelig wordt beschouwd, met name interne gegevens, mag niet worden opgeslagen in de DMZ of er moeten DMZ-systemen op vertrouwen.
Best practices voor DMZ-domeincontrollers
Het Active Directory-team van Microsoft heeft een documentatie met best practices voor het uitvoeren van AD in een DMZ. De gids behandelt de volgende AD-modellen voor het perimeternetwerk:
- Geen Active Directory (lokale accounts)
- Geïsoleerd bosmodel
- Uitgebreid bedrijfsbosmodel
- Forest-vertrouwensmodel
De gids bevat aanwijzingen om te bepalen of Active Directory-domeinservices (AD DS) geschikt is voor uw perimeternetwerk (ook wel DMZ's of extranetten genoemd), de verschillende modellen voor de implementatie van AD DS in perimeternetwerken en plannings- en implementatiegegevens voor alleen-lezen domeincontrollers (RODC's) in het perimeternetwerk. Omdat RODC's nieuwe mogelijkheden bieden voor perimeternetwerken, wordt in de meeste inhoud van deze handleiding beschreven hoe u deze Windows Server 2008-functie plant en implementeert. De andere Active Directory-modellen die in deze handleiding worden geïntroduceerd, zijn echter ook haalbare oplossingen voor uw perimeternetwerk.
Dat is het!
Samengevat, de toegang tot de DMZ vanuit een intern perspectief moet zo goed mogelijk worden afgesloten. Dit zijn systemen die mogelijk gevoelige gegevens bevatten of toegang hebben tot andere systemen die gevoelige gegevens bevatten. Als een DMZ-server is gecompromitteerd en het interne LAN wijd open staat, hebben aanvallers plotseling toegang tot uw netwerk.
Lees verder : Verificatie van vereisten voor promotie van domeincontroller is mislukt
Moet de domeincontroller zich in DMZ bevinden?
Het wordt niet aanbevolen omdat u uw domeincontrollers blootstelt aan een bepaald risico. Resourceforest is een geïsoleerd AD DS-forestmodel dat wordt geïmplementeerd in uw perimeternetwerk. Alle domeincontrollers, leden en domeingebonden clients bevinden zich in uw DMZ.
Lezen : Active Directory-domeincontroller voor het domein kan niet worden gecontacteerd
Kun je inzetten in DMZ?
U kunt webapplicaties implementeren in een gedemilitariseerde zone (DMZ) om externe geautoriseerde gebruikers buiten uw bedrijfsfirewall toegang te geven tot uw webapplicaties. Om een DMZ-zone te beveiligen, kunt u:
- Beperk blootstelling aan internetgerichte poorten op kritieke bronnen in de DMZ-netwerken.
- Beperk blootgestelde poorten tot alleen vereiste IP-adressen en vermijd het plaatsen van jokertekens in bestemmingspoort- of hostvermeldingen.
- Werk regelmatig openbare IP-bereiken bij die actief worden gebruikt.
Lezen : Hoe het IP-adres van de domeincontroller te wijzigen .
