सवाल क्या मुझे दूरस्थ उपयोगकर्ताओं के लिए सार्वजनिक इंटरनेट पर अपनी सक्रिय निर्देशिका का खुलासा करना चाहिए?


मेरे पास एक ग्राहक है जिसका कार्यबल पूरी तरह से दूरस्थ कर्मचारियों से युक्त है जिसमें ऐप्पल और विंडोज 7 पीसी / लैपटॉप का मिश्रण है।

उपयोगकर्ता फिलहाल किसी डोमेन के खिलाफ प्रमाणीकरण नहीं करते हैं, लेकिन संगठन कई कारणों से उस दिशा में आगे बढ़ना चाहता है। ये कंपनी की स्वामित्व वाली मशीनें हैं, और फर्म खाता निष्क्रियता, समूह नीति और कुछ हल्के डेटा-हानि रोकथाम (दूरस्थ मीडिया, यूएसबी इत्यादि अक्षम) पर कुछ नियंत्रण रखना चाहता है। वे चिंतित हैं कि एडी तक पहुंचने के लिए वीपीएन प्रमाणीकरण की आवश्यकता है बोझिल होगा, खासकर एक समाप्त कर्मचारी के छेड़छाड़ पर और रिमोट मशीन पर कैश किए गए क्रेडेंशियल्स।

संगठन में अधिकांश सेवाएं Google- आधारित (मेल, फ़ाइल, चैट इत्यादि) हैं, इसलिए एकमात्र डोमेन सेवाएं DNS हैं और उनके सिस्को एएसए वीपीएन के लिए लेख हैं।

ग्राहक यह समझना चाहेगा कि यह क्यों है स्वीकार्य नहीं है जनता के लिए अपने डोमेन नियंत्रकों का पर्दाफाश करने के लिए। इसके अलावा, क्या है एक वितरित दूरस्थ कार्यबल के लिए एक और स्वीकार्य डोमेन संरचना?

संपादित करें:

Centrify कुछ हद तक मैक क्लाइंट के लिए उपयोग में है।


45
2018-02-06 15:30


मूल


एक संबंधित सवाल है यहाँ। सिंक या प्रमाणीकरण के लिए आपके एडी से कनेक्ट करने के लिए बाह्य सेवाओं को अनुमति देना एक भयानक अभ्यास नहीं है बल्कि आपके डोमेन नियंत्रकों को खुले डीएमजेड पर रखकर, जैसा कि आपने पूछा है, बहुत असुरक्षित है। सुरक्षा के बिना आप विभिन्न संभावित हमलों और मुद्दों के लिए पूछ रहे हैं। मैं इसके खिलाफ अत्यधिक अनुशंसा करता हूं और फ़ायरवॉल से एक वीपीएन या वीपीएन क्लाइंट का सुझाव देता हूं जैसे कि स्थानीय डिवाइस उपयोगकर्ताओं के साथ सोनिकवॉल। - Mike Naylor
एक हमेशा चालू, मशीन-व्यापी, ऑटो-रीकनेक्टिंग, प्रमाणपत्र-आधारित वीपीएन सेटअप करें। (ओपनवीपीएन, डायरेक्टएप, इत्यादि) इसलिए वीपीएन प्रमाणीकरण उपयोगकर्ता खातों से जुड़ा नहीं है, और उपयोगकर्ता के पास वीपीएन सॉफ्टवेयर के साथ कोई सीधी बातचीत नहीं है। - Zoredache
डीए सही है, लेकिन गंभीर एंडपॉइंट आवश्यकताएं हैं जो ग्राहक नहीं मिलते हैं (मैक, निश्चित रूप से।) - mfinni
+10 - ज़ोरदाचे के सुझाव के लिए। - Evan Anderson
यदि आप अंतिम उपयोगकर्ता डिवाइस का बैक अप ले रहे हैं तो आप इसे गलत कर रहे हैं। यदि आप यूएसबी के माध्यम से अंतिम उपयोगकर्ता डिवाइस का बैक अप ले रहे हैं तो आप वास्तव में वास्तव में गलत कर रहे हैं। - MDMarra


जवाब:


मैं इसे उत्तर के रूप में पोस्ट कर रहा हूं क्योंकि मुख्य रूप से आईटी के भीतर अनुभव, तृतीय पक्ष की जानकारी, सुनवाई और जनजातीय ज्ञान के आधार पर हर किसी की अपनी "शिक्षित राय" होती है, लेकिन यह माइक्रोसॉफ्ट से "सीधे" उद्धरणों और रीडिंग की एक सूची है। मैंने उद्धरणों का उपयोग किया क्योंकि मुझे यकीन है कि वे अपने कर्मचारियों द्वारा की गई सभी राय ठीक से फ़िल्टर नहीं करते हैं, लेकिन यदि आप बाद में हैं तो यह सहायक साबित होना चाहिए authoritative माइक्रोसॉफ्ट से सीधे संदर्भ।


Btw, मुझे यह भी लगता है कि यह डोमेन नियंत्रक == सक्रिय निर्देशिका कहने के लिए बहुत आसान है, जो काफी मामला नहीं है। एडी एफएस प्रॉक्सी और अन्य साधन (ओडब्ल्यूए, ईएएस, इत्यादि के लिए फॉर्म आधारित लेख) एडी को खुद को वेब पर "एक्सपोज़" करने का एक तरीका प्रदान करते हैं ताकि ग्राहकों को कम से कम डीसी को बेनकाब किए बिना एडी के माध्यम से प्रमाणित करने का प्रयास किया जा सके। किसी की ओडब्ल्यूए साइट पर जाएं और लॉगिन करने का प्रयास करें और एडी मर्जी बैकएंड डीसी पर प्रमाणीकरण के लिए अनुरोध प्राप्त करें, इसलिए एडी तकनीकी रूप से "उजागर" है ... लेकिन एसएसएल के माध्यम से सुरक्षित है और एक एक्सचेंज सर्वर के माध्यम से प्रॉक्सी किया गया है।


उद्धरण # 1

विंडोज़ एज़ूर वर्चुअल मशीनों पर विंडोज सर्वर सक्रिय निर्देशिका को तैनात करने के लिए दिशानिर्देश

"Azure एडी नहीं है" जाने से पहले ... आप एक Azure वीएम पर एडीडीएस तैनात कर सकते हैं।

लेकिन प्रासंगिक बिट्स उद्धृत करने के लिए:

इंटरनेट पर सीधे एसटीएस का पर्दाफाश न करें।

एक सुरक्षा सर्वोत्तम अभ्यास के रूप में, फ़ायरवॉल के पीछे एसटीएस उदाहरण रखें   एक्सपोजर को रोकने के लिए उन्हें अपने कॉर्पोरेट नेटवर्क से कनेक्ट करें   इंटरनेट। यह महत्वपूर्ण है क्योंकि एसटीएस भूमिका सुरक्षा जारी करती है   टोकन। नतीजतन, उनका एक ही स्तर के साथ इलाज किया जाना चाहिए   एक डोमेन नियंत्रक के रूप में सुरक्षा। यदि एक एसटीएस समझौता किया गया है, दुर्भावनापूर्ण है   उपयोगकर्ताओं के पास संभावित टोकन तक पहुंचने की क्षमता है   पार्टी अनुप्रयोगों और अन्य एसटीएस पर भरोसा करने के अपने चयन का दावा   भरोसेमंद संगठनों में।

ergo ... सीधे डोमेन पर डोमेन नियंत्रकों का पर्दाफाश न करें।

उद्धरण # 2

सक्रिय निर्देशिका - एडी एलडीएस का यूनिकोड पीडब्ल्यू रहस्य

इंटरनेट पर एक डोमेन नियंत्रक का पर्दाफाश करना आमतौर पर एक बुरा है   अभ्यास, चाहे वह एक्सपोजर सीधे उत्पादन से आता है   पर्यावरण या परिधि नेटवर्क के माध्यम से। प्राकृतिक विकल्प है   सक्रिय निर्देशिका के साथ एक विंडोज सर्वर 2008 सर्वर रखने के लिए   परिधि में लाइटवेट डायरेक्टरी सर्विसेज (एडी एलडीएस) भूमिका चल रही है   नेटवर्क।

उद्धरण # 3 - एमएस से नहीं ... लेकिन अभी भी आगे देखने में उपयोगी है

सक्रिय निर्देशिका-जैसी-सेवा? Azure, एक क्लाउड होस्टेड एडी भविष्य में संकेत इंट्यून

अंत में, कोई महान "छोटा" उत्तर नहीं है जो लक्ष्यों को पूरा करता है   एक Azure के बदले में एडी सर्वर के कार्यालय को मजाक कर रहा है   वैकल्पिक। जबकि माइक्रोसॉफ्ट ग्राहकों को अनुमति देने में प्रसन्न है   सर्वर 2012 और 2008 आर 2 पर सक्रिय निर्देशिका डोमेन सेवाओं को होस्ट करने के लिए   Azure में बक्से, उनकी उपयोगिता केवल वीपीएन के रूप में अच्छी है   कनेक्टिविटी आप अपने कर्मचारियों के लिए जरूरी कर सकते हैं। डायरेक्टएप, जबकि बहुत कुछ   वादा करने वाली तकनीक, अपने हाथों को दुर्भाग्यपूर्ण के कारण बांध लिया गया है   सीमाओं।

उद्धरण # 4

एकल साइन-ऑन और विंडोज़ एज़ूर वर्चुअल मशीनों के साथ एडी डीएस या एडी एफएस और ऑफिस 365 को तैनात करें

डोमेन नियंत्रक और एडी एफएस सर्वर को कभी भी खुलासा नहीं किया जाना चाहिए   इंटरनेट पर और केवल वीपीएन के माध्यम से पहुंचा जा सकता है


31
2018-02-06 19:39



यह एक उचित उत्तर है, हालांकि केवल पहला उद्धरण कुछ भी कहता है कि यदि आप सलाह की उपेक्षा करते हैं तो बुरी चीजें क्या हो सकती हैं। - Casey


सक्रिय निर्देशिका (एडी) उस तरह की तैनाती के लिए डिजाइन नहीं की गई थी।

उत्पाद के डिज़ाइन में उपयोग किए जाने वाले खतरे के मॉडल नेटवर्क सीमा पर फ़िल्टर किए गए कुछ शत्रुतापूर्ण कलाकारों के साथ "पीछे-द-फ़ायरवॉल" परिनियोजन मानते हैं। जबकि आप निश्चित रूप से सार्वजनिक नेटवर्क के संपर्क में आने के लिए विंडोज सर्वर को कड़ी कर सकते हैं, सक्रिय निर्देशिका की सही कार्यप्रणाली के लिए एक सुरक्षा मुद्रा की आवश्यकता होती है जो सार्वजनिक रूप से सामना करने वाले नेटवर्क के लिए कड़ी मेहनत से अधिक लक्स है। ए बहुत एडी के लिए सही तरीके से काम करने के लिए सेवाओं को डोमेन नियंत्रक (डीसी) से उजागर करना होगा।

टिप्पणियों में ज़ोरर्डैच का सुझाव, विशेष रूप से ओपनवीपीएन जैसे मशीन-वाईड सर्विस डब्ल्यू / सर्टिफिकेट प्रमाणीकरण के रूप में चलने वाला कुछ संदर्भ, शायद एक अच्छा फिट हो सकता है। डायरेक्टएप, जैसा कि अन्य ने उल्लेख किया है, वही है जो आपको चाहिए, सिवाय इसके कि इसमें क्रॉस-प्लेटफ़ॉर्म समर्थन नहीं है जिसे आप चाहें।

एक तरफ के रूप में: मैंने एडी को सीधे इंटरनेट पर बेनकाब करने के लिए सर्टिफिकेट-आधारित परिवहन-मोड आईपीएसईसी का उपयोग करने के विचार से खिलवाड़ किया है लेकिन वास्तव में ऐसा करने का समय कभी नहीं था। माइक्रोसॉफ्ट ने विंडोज सर्वर 2008 / Vista टाइमफ्रेम में बदलाव किए हैं जो माना जाता है कि यह संभव है लेकिन मैंने वास्तव में कभी इसका उपयोग नहीं किया है।


19
2018-02-06 18:31



एक सेवा के रूप में चल रहे ओपनवीपीएन के लिए +1, मैंने अतीत में सड़क योद्धाओं के साथ इस दृष्टिकोण का सफलतापूर्वक उपयोग किया है। हालांकि सीनियर एसईएस प्रशासकों से मिश्रित भावनाएं थीं, खासकर क्योंकि अगर मशीन से समझौता किया गया था तो यह एक है स्वचालित नेटवर्क में पिछवाड़े। पाठ्यक्रम की वैध चिंताओं, हालांकि प्रत्येक वातावरण के लिए खुद से पूछना चाहिए कि क्या लाभ जोखिम से अधिक है ....? - MDMoore313
माइक्रोसॉफ्ट आईपीएसईसी के साथ सार्वजनिक इंटरनेट पर अपना खुद का कॉर्पोरेट नेटवर्क चलाता है। तो यह करने योग्य है। - Michael Hampton♦
@ माइकल हैम्पटन लेकिन वे विंडोज फ़ायरवॉल और आईपीएसईसी के साथ डोमेन अलगाव का उपयोग करते हैं, इसलिए यह "इंटरनेट पर एडी" नहीं है, यह इंटरनेट पर है और एक सुरक्षा क्षेत्र में है जो फ़ायरवॉल होस्ट-आधारित फ़ायरवॉल नियमों का उपयोग करके प्रदान करेगा " - MDMarra
@ MDMoore313 - सर्टिफिकेट निरसन एफटीडब्ल्यू, यद्यपि उपयोगकर्ता को चोरी की गई मशीन को तुरंत रिपोर्ट करने की आवश्यकता है। - Evan Anderson
कनेक्शन के बाद लॉगऑफ को मजबूर करने के लिए कुछ वीपीएन क्लाइंट्स (उदाहरण के लिए जूनिपर) के साथ भी तरीके हैं। यह पुराना जीआईएनए अवरुद्ध लोगों के जितना अच्छा नहीं है, लेकिन यह वीपीएन पर वास्तव में एडी के खिलाफ प्रमाणित करने और जीपीओ प्राप्त करने के लिए उपयोगकर्ता को फिर से लॉग इन करने के लिए मजबूर करता है। आप पहले कैश किए गए क्रेडेंशियल के साथ लॉग इन करते हैं, यदि आवश्यक हो तो वीपीएन लॉन्च करें, और यह आपको तुरंत लॉग ऑफ करता है और जब आप लॉग इन करते हैं तो कनेक्ट रहता है। - TheCleaner


हर किसी ने क्या कहा। क्रिस्टोफर करेल ने उल्लेख किया है कि मैं क्रूर बल के प्रयासों के बारे में विशेष रूप से परेशान हूं। अंतिम डेफ कॉन में एक प्रस्तुति विषय पर था:

तो आप सोचते हैं कि आपका डोमेन नियंत्रक सुरक्षित है? 

जस्टिन हैंडरिक सुरक्षा इंजीनियर, माइक्रोसॉफ्ट

डोमेन नियंत्रक एक संगठन के ताज गहने हैं। एक बार वे   गिरावट, डोमेन में सबकुछ गिरता है। संगठन महान हो जाते हैं   अपने डोमेन नियंत्रकों को सुरक्षित करने के लिए लंबाई, हालांकि वे अक्सर विफल रहता है   इन सर्वरों को प्रबंधित करने के लिए उपयोग किए जाने वाले सॉफ़्टवेयर को सही ढंग से सुरक्षित करें।

इस प्रस्तुति में डोमेन प्राप्त करने के लिए अपरंपरागत तरीकों को शामिल किया जाएगा   आमतौर पर प्रयुक्त प्रबंधन सॉफ्टवेयर का दुरुपयोग करके व्यवस्थापक संगठन   तैनाती और उपयोग करें।

जस्टिन हैंड्रिक्स कार्यालय 365 सुरक्षा टीम पर काम करता है जहां वह है   लाल टीमिंग, प्रवेश परीक्षण, सुरक्षा अनुसंधान, कोड में शामिल है   समीक्षा और उपकरण विकास।

मुझे यकीन है कि आप कई अन्य उदाहरण पा सकते हैं। मैं डोमेन नियंत्रकों और हैकिंग के बारे में आलेखों की तलाश में था कि यह वर्णन प्राप्त करने की उम्मीद में कि डीसी कितनी जल्दी मिलेगी, आदि, लेकिन मुझे लगता है कि अब के लिए क्या करेंगे।


15
2018-02-06 18:02



श्री हेन्ड्रिक्स की प्रस्तुति का वीडियो यहां दिया गया है: youtube.com/watch?v=2d_6jAF6OKQ  मैं DefCon 21 वीडियो देखना चाहता हूं और मुझे लगता है कि मैं इसके साथ शुरू करूंगा। - Evan Anderson


यदि आप प्रबंधन को मनाने की कोशिश कर रहे हैं, तो एक अच्छी शुरुआत यह होगी कि:

It goes against Microsoft's Best Practices for Active Directory Deployment.

अद्यतन करें : देख यह तकनीकी लेख हमले के खिलाफ डोमेन नियंत्रकों को सुरक्षित करने और शीर्षक वाले अनुभाग को सुरक्षित करने पर Perimeter Firewall Restrictions जो कहता है:

Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet. 

और शीर्षक शीर्षक Blocking Internet Access for Domain Controllers कौन सा राज्य:

Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet

मुझे यकीन है कि आप इस मामले पर कुछ माइक्रोसॉफ्ट दस्तावेज ड्रम कर सकते हैं, तो यही वह है। इसके अलावा, आप इस तरह के एक कदम के खतरे बता सकते हैं, कुछ के साथ कुछ:

A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.

कैश किए गए प्रमाण-पत्र केवल यही हैं - कैश किए गए। जब वे स्थानीय मशीन के लिए काम करते हैं डोमेन से कनेक्ट नहीं हो सकता है, लेकिन यदि वह खाता अक्षम कर दिया गया था तो वे किसी भी नेटवर्क संसाधन (svn, vpn, smb, fbi, cia, आदि) के लिए काम नहीं करेंगे, इसलिए उन्हें इसके बारे में चिंता करने की आवश्यकता नहीं है। यह भी याद रखें कि उपयोगकर्ताओं के पास पहले से ही स्थानीय फाइल पर किसी भी फाइल पर किसी भी फाइल पर पूर्ण अधिकार हैं (और संभावित रूप से हटाने योग्य मीडिया) इतने अक्षम प्रमाण-पत्र हैं या नहीं, वे उस डेटा के साथ जो कुछ भी कर सकते हैं वह कर सकते हैं। एक बार जब यह नेटवर्क से जुड़ जाता है तो वे स्थानीय मशीन के लिए भी काम नहीं करेंगे।

क्या आप उन सेवाओं का जिक्र कर रहे हैं जो सक्रिय निर्देशिका या डोमेन नियंत्रक प्रदान करता है, जैसे कि एलडीएपी? यदि ऐसा है, तो एलडीएपी अक्सर प्रमाणीकरण और निर्देशिका पूछताछ के प्रयोजनों के लिए सुरक्षित रूप से टूट जाता है, लेकिन केवल विंडोज फ़ायरवॉल को बंद कर देता है (या जनता के लिए सभी आवश्यक बंदरगाहों को खोलना - इस उदाहरण में एक ही चीज़) गंभीर समस्याएं पैदा कर सकता है।

एडी वास्तव में नहीं है प्रबंधन मैक, तो एक अलग समाधान की आवश्यकता होगी (ओएस एक्स सर्वर सोचो)। आप एक मैक में किसी डोमेन में शामिल हो सकते हैं, लेकिन यह नेटवर्क क्रेडेंशियल्स के साथ उन्हें लिखने से थोड़ा अधिक करता है, मैक पर स्थानीय व्यवस्थापक के रूप में डोमेन व्यवस्थापक सेट करता है आदि। कोई समूह नीति नहीं। एमएस उस जमीन को एससीसीएम के नए संस्करणों के साथ उल्लंघन करने की कोशिश कर रहा है जो मैक और * निक्स बॉक्स में अनुप्रयोगों को तैनात करने में सक्षम होने का दावा करता है, लेकिन मुझे अभी तक इसे उत्पादन वातावरण में देखना नहीं है। मुझे यह भी विश्वास है कि आप ओएस एक्स सर्वर से कनेक्ट करने के लिए मैक को कॉन्फ़िगर कर सकते हैं जो आपकी एडी आधारित निर्देशिका को प्रमाणित करेगा, लेकिन मैं गलत हो सकता हूं।

ऐसा कहा जा रहा है कि, कुछ रचनात्मक समाधान तैयार किए जा सकते हैं, जैसे कि ईव के सुझाव के रूप में ओपनवीपीएन का उपयोग करने के लिए सुझाव, और मशीन प्रमाण पत्र को अक्षम करना अगर उस कर्मचारी को जाने का समय आता है।

ऐसा लगता है कि सब कुछ Google आधारित है, इसलिए Google आपके एलडीएपी सर्वर के रूप में कार्य कर रहा है? मैं अपने क्लाइंट को इस तरह से जारी रखने की सलाह दूंगा यदि संभव हो तो। मुझे आपके व्यवसाय की प्रकृति नहीं पता है, लेकिन वेब आधारित ऐप्स जैसे कि गिट या रेडमाइन सर्वर के लिए, यहां तक ​​कि जब घर में सेटअप ओएथ के साथ प्रमाणित हो सकता है, तो Google खाते का लाभ उठा सकता है।

आखिरकार, इस तरह के एक रोडवायर सेटअप लगभग होगा की आवश्यकता होती है सफल होने के लिए एक वीपीएन। एक बार मशीनों को कार्यालय में लाया जाता है और कॉन्फ़िगर किया जाता है (या स्क्रिप्ट के माध्यम से दूरस्थ रूप से कॉन्फ़िगर किया गया है), उन्हें कॉन्फ़िगरेशन में कोई भी परिवर्तन प्राप्त करने का एक तरीका चाहिए।

मैक को वीपीएन के अलावा एक अलग प्रबंधन दृष्टिकोण की आवश्यकता होगी, यह बहुत बुरा है कि वे वास्तविक मैक सर्वर नहीं बनाते हैं, लेकिन आखिरी बार मैंने जांच की थी कि ओएस एक्स सर्वर में उनके पास कुछ सभ्य नीति कार्यान्वयन थे (कुछ साल पहले )।


14
2018-02-06 19:10



वास्तव में, Centrify इस माहौल में अभी कुछ हद तक मैक सिस्टम पर नीति प्रबंधन के लिए उपयोग में है। - ewwhite
@ewwhite प्रबंधन से आपका क्या मतलब है? यह एक केंद्रीय प्रमाणीकरण उपयोगिता से ज्यादा कुछ नहीं दिखता है। - MDMoore313
@ MDMoore313 आप कुछ घंटों तक देर हो चुकी हैं, मैं जीतता हूं: chat.stackexchange.com/transcript/127?m=13626424#13626424 - :) - TheCleaner
@TheCleaner हाहा ऐसा प्रतीत होता है, आप इस बार जीतते हैं, आप Google फू की कला को अच्छी तरह से जानते हैं, लेकिन आपकी तकनीक आपको बढ़ाती है भयानक होंठिनक आवाज के साथ मेरे सबसे अच्छे कुंग फू में। आपके उत्तर पोस्ट करने के बाद मुझे इसे खोजने के लिए दोगुनी मुश्किल खोजनी पड़ी नहीं था तुम्हारा एक डुप्लिकेट! - MDMoore313
एलओएल, कोई चिंता नहीं ... अगली बार जब हम जीत को पूरा करेंगे तो आपका हो सकता है। (भयानक होठिनक आवाज में) - TheCleaner


यह दुर्भाग्यपूर्ण है कि DirectAccess केवल Win7 + Enterprise Edition पर उपलब्ध है, क्योंकि यह आपके अनुरोध के लिए तैयार है। लेकिन आपके संस्करण को नहीं जानते, और यह देखते हुए कि आपके पास MacOS है, जो काम नहीं करेगा।

/ संपादित करें - ऐसा लगता है कि कुछ तृतीय पक्ष दावा करते हैं कि उनके पास यूनिट के लिए डीए क्लाइंट हैं: http://www.centrify.com/blogs/tomkemp/what_is_microsoft_directaccess_and_unix_linux_interoperability.asp

एमडीएम समाधान उपलब्ध हैं जो आपकी आवश्यकताओं को पूरा करने के लिए काम कर सकते हैं; हम उन ग्राहकों में से एक को रोल कर रहे हैं (MAAS360) जो एक समान स्थिति में है।


7
2018-02-06 16:25





यह स्पष्ट रूप से एक महत्वपूर्ण सुरक्षा जोखिम होगा। इसके अलावा, यह संभवतः काम नहीं करेगा जैसा आप चाहें। यदि इंटरनेट पर यादृच्छिक लोग आपके एडी पर्यावरण में लॉग इन करने का प्रयास कर रहे हैं, तो बाधाएं अच्छी हैं कि आपके सभी उपयोगकर्ता लॉक हो जाएंगे। सदैव। और लॉकआउट आवश्यकताओं को हटाने का मतलब है कि सरल पासवर्ड के लिए बल जांचने के लिए यह बहुत आसान हो जाता है।

सबसे महत्वपूर्ण बात यह है कि आपको एडी सर्वर सीधे पहुंचने के बिना अपने लक्ष्य को लागू करने में कोई समस्या नहीं होनी चाहिए (अंतिम उपयोगकर्ता डोमेन प्रमाण-पत्र वाले लैपटॉप में लॉग इन करना)। अर्थात्, विंडोज मशीनें पिछले एक्स सफल लॉग इन को कैश कर सकती हैं, ताकि डिस्कनेक्ट होने पर वे वही प्रमाण-पत्र काम कर सकें। इसका मतलब है कि अंतिम उपयोगकर्ता आपके एडी सर्वर को छूने के बिना लॉगिन कर सकते हैं और उपयोगी काम कर सकते हैं। उन्हें स्पष्ट रूप से अन्य प्रमुख कॉर्पोरेट संसाधनों से जुड़ने के लिए वीपीएन का उपयोग करने की आवश्यकता होगी, और एक ही समय में एडी / जीपीओ सेटिंग्स रीफ्रेश कर सकते हैं।


5
2018-02-06 15:42



एडी किसी भी चीज़ के लिए प्रसारण (या कम से कम निर्भर) प्रसारण का उपयोग नहीं करता है, जब तक यह मेरे ज्ञान के लिए एडी रहा है। कुछ प्रौद्योगिकियों को WINS की आवश्यकता हो सकती है, जो कोई WINS सर्वर उपलब्ध नहीं होने पर प्रसारण अनुरोधों पर वापस आ सकता है, लेकिन यह सामान्य रूप से एडी के लिए प्रासंगिक नहीं है। यदि यह प्रसारण में निर्भर है, तो आपके पास स्थानीय डीसी के बिना दूरस्थ उपयोगकर्ता नहीं हो सकते हैं। - mfinni
उस लाइन को संपादित किया गया। इनपुट के लिए धन्यवाद। स्पष्ट रूप से मेरे जैसे एक लिनक्स लड़के को विंडोज पर अतिथि नहीं होना चाहिए। - Christopher Karel
अगर यह इतना "स्पष्ट" था तो यह कोई प्रश्न नहीं होगा, है ना? - Casey


Ewwhite,

आपका प्रश्न बेहद मान्य है और सावधानीपूर्वक समीक्षा के योग्य है।

सभी सुरक्षा पेशेवर एसपीआई फ़ायरवॉल, आईडीएस, होस्ट आधारित फ़ायरवॉल इत्यादि सहित किसी भी नेटवर्क संसाधन के सामने सुरक्षा की परतों की अनुशंसा करते हैं। आपको हमेशा जब संभव हो तो आईएसए (अब टीएमजी) जैसे प्रॉक्सी परिधि गेटवे फ़ायरवॉल का उपयोग करना चाहिए।

उस ने कहा, माइक्रोसॉफ़्ट एक्टिव डायरेक्टरी 2003+ में सार्वजनिक रूप से खुलासा कोई बड़ी भेद्यता नहीं है। एलडीएपी तकनीक और इसके हैश एल्गोरिदम आम तौर पर बहुत सुरक्षित होते हैं। एसएसएल वीपीएन की तुलना में यह तर्कसंगत रूप से अधिक सुरक्षित है अगर एसएसएल वीपीएन ओपनएसएसएल चलाता है और दिल से जुड़ा हुआ है।

मैं 5 चीजें सावधानी बरतूँगा:

  1. नेटवर्क सेवाओं का सामना करने वाली अन्य सेवाओं के बारे में चिंतित रहें जैसे टर्मिनल सर्वर, डीएनएस सर्विसेज, सीआईएफएस, और विशेष रूप से आईआईएस अपने भयानक सुरक्षा रिकॉर्ड के साथ।

  2. तार पर स्पष्ट टेक्स्ट डोमेन प्रमाण-पत्र पारित करने से बचने के लिए सुरक्षा प्रमाणपत्र के साथ एलडीएपीएस का उपयोग करें। सर्टिफिकेट सर्विसेज इंस्टॉल करने के बाद यह स्वचालित रूप से होता है (पीकेआई के लिए एक अलग मशीन का उपयोग करें)

  3. इंटरफ़ेस पर एक पैकेट स्निफ़र रखें और अपना ट्रैफ़िक देखें, किसी भी स्पष्ट टेक्स्ट पासवर्ड को सही करें क्योंकि फ़ायरवॉल या नहीं, यदि आप वीपीएन या एलडीएपीएस का उपयोग नहीं करते हैं, तो कुछ विरासत सिस्टम स्पष्ट टेक्स्ट पासवर्ड भेज देंगे।

  4. जानें कि एमआईटीएम हमले कमजोर एनटीएलएम प्रमाणीकरण के लिए पासवर्ड को डाउनग्रेड और एक्सपोज़ करने के लिए देशी प्रमाणीकरण तंत्र को मजबूर कर सकते हैं।

  5. कुछ उपयोगकर्ता गणना कमजोरियों के बारे में जागरूक रहें जो अभी भी मौजूद हो सकते हैं।

उस ने कहा, सक्रिय निर्देशिका के लिए सुरक्षा के लिए एक महान ट्रैक रिकॉर्ड है। इसके अलावा, एमएस सक्रिय निर्देशिका पासवर्ड को स्टोर नहीं करती है, केवल हैश जो समझौता की गंभीरता को कम कर सकती है।

आपको अधिक निर्बाध सुरक्षा आधारभूत संरचना से लाभ हो सकता है, आपको विशेष DNS सर्वर सेट करने या डोमेन.लोकल का उपयोग करने की आवश्यकता नहीं है और आप सार्वजनिक डोमेन जैसे डोमेन.com पर अपने वास्तविक डोमेन का उपयोग कर सकते हैं।

मेरी व्यावसायिक राय में सक्रिय निर्देशिका जैसे सार्वजनिक रूप से सुरक्षा तकनीकों को तैनात करने के लिए एक बड़ा लाभ है, जहां एक्सचेंज और डीएनएस और वेब सर्वर जैसी अन्य तकनीकें कोई लाभ और सभी जोखिम प्रदान नहीं करती हैं।

नोट: यदि आप सक्रिय निर्देशिका को तैनात करते हैं तो इसमें एक DNS सर्वर शामिल होगा। अपने DNS सर्वर (डिफ़ॉल्ट रूप से सक्षम) पर रिकर्सन को अक्षम करने के लिए निश्चित रहें या आप पूरी तरह से सेवा हमलों से इनकार करने में भाग लेंगे।

चीयर्स,

-ब्रायन


2
2017-09-05 09:38





डेल (क्वेस्ट खरीदने के माध्यम से (विंटेला खरीदने के माध्यम से)) में एक क्रॉस-प्लेटफ़ॉर्म समाधान है जिसे अक्सर F500 उद्यमों में तैनात किया जाता है यह व्यक्त उद्देश्य

विचार करने के लिए बातें...

  1. क्या आपके उपयोगकर्ता हमेशा जुड़े हुए हैं? यदि ऐसा है तो आपको लचीला वीएम-आधारित होस्टिंग वातावरण के साथ सबसे अच्छी सेवा दी जाएगी जो फ्लेक्स कर सकती है जब बहुत से सक्रिय उपयोगकर्ता एलडीएपी को धक्का दे रहे हैं
  2. क्या आप एक से अधिक भौतिक डेटा सेंटर में चल रहे हैं? उपयोगकर्ताओं और आपके सिस्टम के बीच होप्स की संख्या को कम करने के लिए एडी सेवाओं के सामने भौगोलिक लोड-बैलेंसिंग पर विचार करें
  3. साथ ही, यदि # 2 का उत्तर हाँ है, तो सुनिश्चित करें कि आपने अपने वन को दोहराने के लिए कुछ समर्पित नेटवर्क संसाधन सेट अप किए हैं यहाँ

और सुनिश्चित करें कि आपका फ़ायरवॉल समाधान अत्यधिक उच्च पुनः प्रेषण दर को संभालने में सक्षम है यदि आपके पास थ्रॉटल अपलिंक पर उपयोगकर्ता हैं, शोर वाईफ़ाई केंद्रों से कनेक्ट हैं।


-3
2018-02-07 00:47



यह विंडोज मशीनों का प्रबंधन कैसे करता है, या डीसी की तरह कुछ भी सुरक्षित करता है जो इंटरनेट से अवगत कराया जाता है? ऐसा नहीं लगता है कि यह बिल्कुल करता है। - mfinni
गलत लिंक, पकड़ के लिए धन्यवाद - तय। - subulaz