Os servidores Web do Windows devem ser membros de um domínio do Active Directory

14

Em termos de segurança e capacidade de gerenciamento - Qual é a melhor prática?

Servidores web

  • Ser adicionado e gerenciado a partir de um domínio do Active Directory

ou

  • Faça parte de um grupo de trabalho 'servidor da web' separado do diretório ativo do 'servidor de recursos'?

Não há um requisito para que haja contas de usuário nos servidores Web, apenas contas de gerenciamento (gerenciamento de servidor, relatórios do sistema, implantação de conteúdo etc.)

iis active-directory web-server windows David Christiansen
fonte
Esses servidores da web estão em um Colo ou em uma DMZ no seu escritório?
Rob Bergin
Bom ponto para aumentar. Os servidores estão sob nosso próprio controle em nossa própria sala de servidores.
1944 David Christiansen

Respostas:

8

Se você deseja usar a delegação Kerberos para criar uma infra-estrutura segura (e VOCÊ), precisará associar esses servidores da Web ao domínio. O servidor da Web (ou conta de serviço) precisará delegar a ele atribuído para permitir a representação do usuário no servidor SQL.

Você deseja evitar o uso da autenticação baseada em SQL no servidor SQL, se tiver algum requisito legal ou de auditoria para rastrear o acesso a dados (HIPAA, SOX etc.). Você deve rastrear o acesso através do processo de provisionamento (por exemplo, quem está em quais grupos, como isso foi aprovado e por quem) e todo o acesso aos dados deve ser por meio da conta atribuída pelo usuário.

Para problemas de DMZ relacionados ao acesso ao AD , você pode resolver alguns desses problemas com o Server 2008 usando um DC somente leitura (RODC), mas ainda existe o risco de implantar na DMZ. Existem também algumas maneiras de forçar um controlador de domínio a usar portas específicas para perfurar um firewall, mas esse tipo de cutomização pode dificultar a solução de problemas de autenticação.

Se você tiver necessidades específicas para permitir que os usuários da Internet e da Intranet acessem o mesmo aplicativo, poderá ser necessário usar um dos produtos Federeated Services, a oferta da Microsoft ou algo como Ping Federated.

Ryan Fisher
fonte
8

Uso interno, absolutamente. Dessa forma, eles são gerenciados pelo GPO, a correção não é tão difícil e o monitoramento pode ser realizado sem várias soluções alternativas.

No DMZ, geralmente eu aconselho não, eles não devem estar no DMZ. Se eles estiverem no domínio e na DMZ, o problema que você encontra é que o servidor da Web deve ter certa conectividade de volta a pelo menos um controlador de domínio. Portanto, se um invasor externo comprometer o servidor da Web, ele poderá iniciar ataques diretamente contra um dos controladores de domínio. Possuir o controlador de domínio, possuir o domínio. Possui o domínio, possui a floresta.

K. Brian Kelley
fonte
Obrigado KB e Rob. A criação de outro AD na rede de perímetro é uma resposta, mas não posso justificar que eu precise comprar outro servidor apenas para ser o host de um AD para servidores da Web. Urg. Outra complicação é que os servidores da Web devem ter ALGUM tráfego permitido na rede interna 'confiável' (por exemplo, SQL) e que o tráfego SQL é protegido usando uma conexão de rede confiável. Eu acho que temos que estar falando sobre dois anúncios e uma confiança entre os dois?
1944 David Christiansen
Essa é a rota mais segura, sim. Você tem uma floresta para os servidores baseados em DMZ e ela tem uma confiança unidirecional de volta à floresta interna. No entanto, gostaria de permitir a autenticação baseada no SQL Server primeiro.
277 Brian Kelley
Eu concordo, este é o caminho a percorrer.
squillman
6

Por que não ter o domínio de um servidor da Web na DMZ?

Pode ser uma floresta separada com um relacionamento de confiança unidirecional para administrar o domínio do seu domínio principal sem conceder nenhuma permissão ao domínio do WS para o seu domínio principal.

Todas as alegrias do AD / WSUS / GPO - especialmente úteis se você tiver um farm inteiro delas - e se estiver comprometido, não é a sua rede principal.

Jon Rhoades
fonte
1
Essa é a rota mais segura a seguir se você precisar usar um domínio. No entanto, você ainda está falando sobre receber um ataque direto a um CD. E, no cenário que você fornecer, se eu receber esse controlador de domínio, a menos que você tenha retirado credenciais em cache, ainda posso obtê-las e ter credenciais para usar no domínio / floresta primário.
K. Brian Kelley
KB, Fora de interesse, você pode descrever 'credenciais em cache'
David Christiansen
1
A menos que você o desative, um sistema Windows armazenará em cache as credenciais de senha (na verdade, um hash de um hash) quando você fizer logon. É isso que permite que você tenha um laptop e faça logon com o logon do domínio quando estiver fora da rede corporativa. Extraia isso, use tabelas arco-íris, você entendeu.
409 Brian Kelley
3
Se a confiança for apenas uma, as credenciais armazenadas em cache da maneira são irrelevantes, pois o servidor DMZ nunca será autenticado no domínio principal.
Jon Rhoades
2

Se o servidor da web estiver na mesma rede que o (s) controlador (es) de domínio, eu definitivamente o adicionaria ao domínio - pois isso obviamente adiciona uma grande capacidade de gerenciamento. No entanto, eu normalmente me esforçaria para colocar servidores da Web em uma DMZ para aumentar a segurança - o que torna o acesso ao domínio impossível sem furos (e isso é uma péssima ideia!)

Rob Golding
fonte
1

Como outros já mencionaram, se forem voltados para o público e não exigirem autenticação de usuários no diretório, não os coloque no domínio.

No entanto, se você precisar de algum tipo de autenticação ou pesquisa de informações do AD, possivelmente procure executar o ADAM (Active Directory Application Mode ) na DMZ. Pode ser necessário replicar as informações relevantes do AD para a partição Applicaton, pois o ADAM não sincroniza as partições padrão do AD.

Se você estiver procurando apenas por recursos de gerenciamento, o ADAM não se aplicará.

Doug Luxem
fonte