Administratorul IT poate bloca DMZ dintr-o perspectivă externă, dar nu reușește să pună acel nivel de securitate pentru accesul la DMZ din perspectivă internă, deoarece va trebui să accesați, să gestionați și să monitorizați și aceste sisteme în DMZ, dar într-un mod ușor. într-un mod diferit decât ați face cu sistemele din LAN-ul dvs. intern. În această postare, vom discuta despre recomandările Microsoft Cele mai bune practici pentru controlerul de domeniu DMZ .
Ce este un controler de domeniu DMZ?
În securitatea computerelor, o zonă DMZ sau demilitarizată este o subrețea fizică sau logică care conține și expune serviciile unei organizații către o rețea mai mare și neîncrezătoare, de obicei Internet. Scopul unui DMZ este de a adăuga un nivel suplimentar de securitate rețelei LAN a unei organizații; un nod extern al rețelei are acces direct doar la sistemele din DMZ și este izolat de orice altă parte a rețelei. În mod ideal, nu ar trebui să existe niciodată un controler de domeniu într-un DMZ pentru a ajuta la autentificarea la aceste sisteme. Orice informații care sunt considerate sensibile, în special datele interne, nu ar trebui să fie stocate în DMZ sau să se bazeze pe sistemele DMZ.
Cele mai bune practici pentru controlerul de domeniu DMZ
Echipa Active Directory de la Microsoft a pus la dispoziție a documentație cu cele mai bune practici pentru rularea AD într-un DMZ. Ghidul acoperă următoarele modele AD pentru rețeaua perimetrală:
- Fără Active Directory (conturi locale)
- Model de pădure izolat
- Model extins de pădure corporativă
- Modelul de încredere în pădure
Ghidul conține instrucțiuni pentru a determina dacă Servicii de domeniu Active Directory (AD DS) este adecvat pentru rețeaua dvs. perimetrală (cunoscută și ca DMZ-uri sau extranet-uri), diferitele modele pentru implementarea AD DS în rețelele perimetrale și informațiile de planificare și implementare pentru controlere de domeniu numai pentru citire (RODC) în rețeaua perimetrală. Deoarece RODC-urile oferă noi capabilități pentru rețelele perimetrale, cea mai mare parte a conținutului din acest ghid descrie cum să planificați și să implementați această caracteristică Windows Server 2008. Cu toate acestea, celelalte modele Active Directory introduse în acest ghid sunt, de asemenea, soluții viabile pentru rețeaua dvs. de perimetru.
software gratuit pentru scanarea codurilor de bare
Asta este!
În rezumat, accesul la DMZ din perspectivă internă ar trebui blocat cât mai strâns posibil. Acestea sunt sisteme care pot deține date sensibile sau au acces la alte sisteme care au date sensibile. Dacă un server DMZ este compromis și LAN-ul intern este larg deschis, atacatorii au deodată o cale de a intra în rețea.
Citiți în continuare : Verificarea condițiilor preliminare pentru promovarea Controlerului de domeniu nu a reușit
Controlerul de domeniu ar trebui să fie în DMZ?
Nu este recomandat deoarece vă expuneți controlerele de domeniu la un anumit risc. Pădurea de resurse este un model de pădure AD DS izolat care este implementat în rețeaua dvs. de perimetru. Toți controlorii de domeniu, membrii și clienții alăturați domeniului locuiesc în DMZ.
Citit : Controlerul de domeniu Active Directory pentru domeniu nu a putut fi contactat
Puteți implementa în DMZ?
Puteți implementa aplicații Web într-o zonă demilitarizată (DMZ) pentru a permite utilizatorilor externi autorizați din afara firewall-ului companiei dvs. să acceseze aplicațiile dvs. Web. Pentru a securiza o zonă DMZ, puteți:
- Limitați expunerea portului orientat către internet pentru resursele critice din rețelele DMZ.
- Limitați porturile expuse doar la adresele IP necesare și evitați plasarea metacaractere în portul de destinație sau intrările gazdă.
- Actualizați în mod regulat toate intervalele de IP publice aflate în uz activ.
Citit : Cum se schimbă adresa IP a controlerului de domeniu .
