48 votos

¿Debo exponer mi Active Directory para la conexión a Internet para los usuarios remotos?

Tengo un cliente cuya plantilla está compuesta enteramente de los empleados remotos utilizando una mezcla de Apple y Windows 7 Pc/portátiles.

Los usuarios no se autentican contra un dominio en el momento, pero la organización como para moverse en esa dirección por varias razones. Estos son de propiedad de la empresa de máquinas, y la empresa busca tener algún control sobre la desactivación de cuenta, la directiva de grupo, con la luz de los datos de la prevención de la pérdida (deshabilitar medios de comunicación a distancia, USB, etc.) Ellos están preocupados de que los que requieren de autenticación VPN para acceder ANUNCIO sería engorroso, especialmente en la intersección de un empleado despedido y credenciales almacenadas en caché en una máquina remota.

La mayoría de los servicios en la organización son de Google (correo, archivos, chat, etc.) así que el único dominio de servicios de DNS y el auth para sus Cisco ASA VPN.

El cliente gustaría entender por qué no es aceptable para exponer sus controladores de dominio público. Además, lo que es más aceptable dominio de la estructura de una remotas distribuidas de la fuerza laboral?

Editar:

Centrify está en uso por un puñado de clientes de Mac.

32voto

TheCleaner Puntos 22495

Voy a postear esto como respuesta, principalmente porque cada uno tiene su propio "educados opinión", basada en la experiencia, en la 3ª parte de información, rumores y conocimiento tribal dentro de ELLA, pero esto es más una lista de citas y lecturas "directamente" de Microsoft. He utilizado comillas porque estoy seguro de que no filtra correctamente todas las opiniones hechas por sus empleados, pero esto debe ser útil, no obstante, si usted está después de authoritative referencias directas de Microsoft.


Por CIERTO, yo también creo que es MUY FÁCIL decir CONTROLADOR de DOMINIO == ACTIVE DIRECTORY, que no es el caso. AD FS apoderados y otros medios (formularios de autenticación para OWA, EAS, etc.) ofrecen una manera para "exponer" ANUNCIO a la web para permitir a los clientes de por lo menos intentar autenticar a través de ANUNCIOS, sin necesidad de exponer el DCs a sí mismos. Ir en alguien OWA del sitio y el intento de inicio de sesión y el ANUNCIO de la voluntad de recibir la solicitud para la autenticación en un servidor de DC, por lo que el ANUNCIO es técnicamente "expuestos"...pero es segura a través de SSL y proxy a través de un servidor de Exchange.


Cita #1

Directrices para la Implementación de Windows Server Active Directory en Windows Azure Virtual Machines

Antes de que te vayas "Azure no AD"...PUEDE implementar AÑADE en una Azure VM.

Pero para citar a los correspondientes bits:

No exponga nunca Sts directamente a Internet.

Como práctica recomendada de seguridad, lugar PTS instancias detrás de un firewall y conectarse a su red corporativa a fin de evitar la exposición a la Internet. Esto es importante porque el PTS papel cuestiones de seguridad los tokens. Como resultado, deben ser tratados con el mismo nivel de la protección como un controlador de dominio. Si el PTS se ve comprometida, malintencionado los usuarios tienen la capacidad de emitir los tokens de acceso potencialmente contiene las reclamaciones de su elección a la confianza y aplicaciones de terceros otros Sts confiar en las organizaciones.

ergo...no exponer a los controladores de dominio directamente a internet.

Cita #2

Active Directory - El Misterio de UnicodePwd de AD LDS

Exponer a un controlador de dominio de Internet suele ser una mala práctica, si se trata de que la exposición directa de la producción medio ambiente o a través de una red perimetral. La alternativa natural es para colocar un Servidor de Windows server 2008 Active Directory Servicios de Directorio ligero (AD LDS) la función que se ejecuta en el perímetro red.

Cita #3 - no de MS...pero útil todavía mirando al futuro

Active Directory-como-un-Servicio? Azure, Intune haciendo alusión a una hospedado en la nube AD futuro

En el final, no hay un gran "corta" la respuesta que cumple con los objetivos de librar a la oficina del servidor de ANUNCIOS a cambio de una Azure alternativa. Mientras que Microsoft está siendo complaciente en permitir que los clientes para host de Dominio de Active Directory Servicios en el Servidor de 2012 y 2008 R2 cajas en Azure, su utilidad es sólo tan buena como la de la VPN conectividad puede reunir para su personal. DirectAccess, mientras que una muy tecnología prometedora, tiene las manos atadas debido a su propia lamentable limitaciones.

Cita #4

Implementar AD DS o de AD FS y Office 365 con el inicio de sesión único y Windows Azure Virtual Machines

Y controladores de dominio de AD FS servidores nunca deben ser expuestas directamente a Internet y sólo debe ser accesible a través de VPN

19voto

Evan Anderson Puntos 118832

Active Directory (AD) no fue diseñado para ese tipo de implementación.

La amenaza de los modelos utilizados en el diseño del producto asumir un "detrás del firewall de implementación", con cierta cantidad de hostil actores filtradas en la red de la frontera. Sin duda se puede endurecer el Servidor de Windows para ser expuestos a la red pública, el correcto funcionamiento de Active Directory requiere una postura de seguridad de que es mucho más laxa que la de un host endurecido para uso público de las redes. Una gran cantidad de servicios tienen que ser expuestas desde un Controlador de Dominio (DC) para el ANUNCIO para que funcione correctamente.

Zoredache sugerencia en los comentarios, con particular referencia a algo como OpenVPN ejecución como de todo el equipo de servicio w/ certificado de autenticación, podría ser un buen ajuste. DirectAccess, como otros han mencionado, es exactamente lo que necesita, excepto que no tiene la multiplataforma de apoyo le gustaría.

Como un aparte: he jugado con la idea de usar basada en certificados de transporte de modo IPSEC para exponer ANUNCIO directamente a Internet, pero en realidad nunca tuvo tiempo para hacerlo. Microsoft ha hecho los cambios en el Servidor de Windows 2008 / Vista plazo de tiempo que supuestamente hicieron esto posible, pero en realidad nunca he ejercido.

15voto

Katherine Villyard Puntos 10812

Lo que todos decían. Estoy particularmente nervioso acerca de la fuerza bruta de los intentos de Christopher Karel mencionado. Una presentación en la última Def Con se sobre el tema:

Así que Usted Piensa que Su Controlador de Dominio es Seguro?

JUSTIN HENDRICKS, INGENIERO DE SEGURIDAD, MICROSOFT

Los Controladores de dominio son las joyas de la corona de una organización. Una vez que otoño, todo en el dominio de las caídas . Las organizaciones de ir a la gran longitudes para asegurar sus controladores de dominio, sin embargo en muchas ocasiones no asegurar adecuadamente el software utilizado para administrar estos servidores.

Esta presentación cubrirá métodos no convencionales para la obtención de dominio admin por abusar comúnmente se utiliza el software de gestión de las organizaciones implementar y utilizar.

Justin Hendricks funciona en Office 365 equipo de seguridad de donde es involucrados en la red de equipos, pruebas de penetración, de la investigación de seguridad, código de revisión y desarrollo de la herramienta.

Estoy seguro de que usted puede encontrar un montón de otros ejemplos. Yo estaba buscando artículos acerca de los controladores de dominio y la piratería en la esperanza de obtener una descripción de cómo rápidamente la DC que se encuentran, etc., pero creo que voy a hacer por ahora.

14voto

BigHomie Puntos 3983

Si usted está tratando de convencer a la gerencia, Un buen comienzo sería que:

It goes against Microsoft's Best Practices for Active Directory Deployment.

Actualización : Consulte este artículo de technet en asegurar que los controladores de dominio contra ataque, y la sección titulada Perimeter Firewall Restrictions que declara:

Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet. 

Y la sección titulada Blocking Internet Access for Domain Controllers que declara:

Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet

Estoy seguro de que puede despertar la documentación de Microsoft sobre el asunto, así que es eso. Además, puedes indicar los peligros de un movimiento como tal, algo a lo largo de las líneas de:

A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.

Las credenciales almacenadas en caché sólo eso-en caché. Ellos trabajan para el equipo local cuando no se puede conectar con el dominio, pero si la cuenta se deshabilita los que no funcionaría para cualquier recurso de red (svn, vpn, smb, fbi,cia, etc), por lo que no tiene que preocuparse acerca de eso. También recuerde que los usuarios ya tienen todos los derechos sobre los archivos en su carpeta de perfil en un equipo local de todos modos (y probablemente de medios extraíbles) para discapacitados credenciales o no pueden hacer lo que les plazca con los datos. También no trabajo para el equipo local una vez que se vuelve a conectar a la red.

Se refiere a los servicios de Active Directory o un Controlador de Dominio proporciona, tales como LDAP? Si es así, LDAP es a menudo roto de forma segura para fines de autenticación y el directorio de la consulta, pero sólo a desactivar el Firewall de Windows (o la apertura de todos los puertos necesarios hasta que el público - la Misma cosa en este ejemplo) podría causar graves problemas.

ANUNCIO no verdaderamente administrar Macs, así que aparte de la solución sería necesario (creo que OS X Server). Usted puede unirse a un Mac a un dominio, pero que no hace más que dejar que ellos auth con credenciales de red, conjunto de administradores de dominio como administradores locales en el mac, etc. Ninguna directiva de grupo. MS está tratando de romper la tierra con las versiones más recientes de SCCM que dicen ser capaces de implementar aplicaciones para mac y *nix cajas, pero yo todavía no he visto esto en un entorno de producción. También creo que usted podría configurar el mac para conectarse a OS X Server que podría autenticar a su ANUNCIO se basa directorio, pero puedo estar equivocado.

Dicho esto, algunas soluciones creativas podrían ser elaborados, como el de Evan sugerencia para el uso de OpenVPN como un servicio, y la desactivación de la máquina cert si/cuando llega el momento de dejar que el empleado vaya.

Suena como todo lo que es de Google, por lo que Google está actuando como su servidor ldap? Yo recomendaría a mi cliente mantenga de esa manera, si es posible. No conozco la naturaleza de su negocio, pero para la web basado en aplicaciones tales como git o redmine en el servidor, incluso cuando el programa de instalación en casa puede autenticación con OAuth, tomando ventaja de una cuenta de Google.

Por último, un roadwarrior instalación como esta, casi requieren de una VPN para tener éxito. Una vez que las máquinas son entregados en la oficina y configurado (o configurado de forma remota por medio de la secuencia de comandos), necesitan una manera de recibir cualquier cambio en la configuración.

Los equipos tendrían por separado un enfoque de gestión además de la VPN, es una lástima que ellos no hacen real servidores mac ya, pero sí tienen algo decente en las implementaciones de directiva de OS X Server, la última vez que revisé (hace un par de años).

7voto

mfinni Puntos 29745

Es lamentable que DirectAccess sólo está disponible en Win7+ Enterprise Edition, porque es hecho a medida para su solicitud. Pero no sabía de su edición, y viendo que tiene MacOS, que no funcionan.

/Edit - se parece a algunas 3ª partes afirman que tienen DA a los clientes para sistemas tipo unix : http://www.centrify.com/blogs/tomkemp/what_is_microsoft_directaccess_and_unix_linux_interoperability.asp

Hay soluciones de MDM disponibles que pueden trabajar para satisfacer sus necesidades; estamos rodando uno de ellos (MAAS360) a un cliente que está en una posición similar.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: