Les serveurs Web Windows doivent-ils être membres d'un domaine Active Directory

14

En termes de sécurité et de gérabilité - Quelle est la meilleure pratique?

Les serveurs Web devraient-ils

  • Être ajouté et géré à partir d'un domaine Active Directory

ou

  • Faire partie d'un groupe de travail «serveur Web» distinct de l'annuaire actif «serveur de ressources»?

Il n'y a pas d'exigence pour qu'il y ait des comptes d'utilisateurs sur les serveurs Web, seulement des comptes de gestion (gestion des serveurs, rapports système, déploiement de contenu, etc.)

iis active-directory web-server windows David Christiansen
la source
Ces serveurs Web sont-ils dans un Colo ou dans une DMZ à votre bureau?
Rob Bergin
Bon point à soulever. Les serveurs sont sous notre contrôle dans notre propre salle de serveurs.
David Christiansen

Réponses:

8

Si vous souhaitez utiliser la délégation Kerberos pour créer une infrastructure sécurisée (et VOUS LE FAITES), vous devrez joindre ces serveurs Web au domaine. Le serveur Web (ou le compte de service) devra avoir la capacité de déléguer qui lui est attribué afin de permettre l'emprunt d'identité de l'utilisateur sur votre serveur SQL.

Vous souhaitez de manière proactive éviter d'utiliser l'authentification SQL sur le serveur SQL si vous avez des exigences d'audit ou réglementaires pour le suivi de l'accès aux données (HIPAA, SOX, etc.) Vous devez suivre l'accès via votre processus d'approvisionnement (c'est-à-dire qui quels groupes, comment cela a été approuvé et par qui) et tous les accès aux données doivent se faire via le compte attribué à l'utilisateur.

Pour les problèmes DMZ liés à l'accès à l'AD , vous pouvez résoudre certains de ces problèmes avec Server 2008 à l'aide d'un contrôleur de domaine en lecture seule (RODC), mais il y a toujours un risque de déploiement dans la DMZ. Il existe également des moyens de forcer un contrôleur de domaine à utiliser des ports spécifiques pour traverser un pare-feu, mais ce type de personnalisation peut rendre difficile le dépannage des problèmes d'authentification.

Si vous avez des besoins spécifiques pour permettre aux utilisateurs d'Internet et d'Intranet d'accéder à la même application, vous devrez peut-être envisager d'utiliser l'un des produits Federeated Services, soit l'offre Microsoft, soit quelque chose comme Ping Federated.

Ryan Fisher
la source
8

Usage interne, absolument. De cette façon, ils sont gérés par GPO, les correctifs ne sont pas aussi difficiles et la surveillance peut être effectuée sans un tas de solutions de contournement.

Dans la zone démilitarisée, je conseillerais généralement non, ils ne devraient pas être sur la zone démilitarisée. S'ils se trouvent sur le domaine et dans la DMZ, le problème que vous rencontrez est que le serveur Web doit avoir une certaine connectivité vers au moins un contrôleur de domaine. Par conséquent, si un attaquant externe compromet le serveur Web, il peut désormais lancer directement des attaques contre l'un des contrôleurs de domaine. Posséder le DC, posséder le domaine. Propriétaire du domaine, propriétaire de la forêt.

K. Brian Kelley
la source
Merci KB et Rob. La création d'une autre AD dans le réseau de périmètre est une réponse, mais je ne peux pas me justifier de devoir acheter un autre serveur juste pour être l'hôte d'une AD pour les serveurs Web. Urg. Une autre complication est que les serveurs Web doivent avoir un certain trafic autorisé sur le réseau interne «de confiance» (par exemple SQL) et que le trafic SQL est sécurisé à l'aide d'une connexion réseau de confiance. Je suppose que nous devons parler de deux AD et d'une confiance entre les deux?
David Christiansen
C'est l'itinéraire le plus sûr, oui. Vous avez une forêt pour les serveurs basés sur DMZ et elle a une confiance à sens unique vers la forêt interne. Cependant, je voudrais d'abord autoriser l'authentification basée sur SQL Server.
K. Brian Kelley
Je suis d'accord, c'est la voie à suivre.
squillman
6

Pourquoi ne pas avoir un domaine de serveur Web dans la DMZ?

Il peut s'agir d'une forêt distincte avec une relation d'approbation à sens unique pour administrer le domaine à partir de votre domaine principal sans accorder aucune autorisation au domaine WS pour votre domaine principal.

Toutes les joies de AD / WSUS / GPO - particulièrement utiles si vous en avez toute une batterie - et si elles sont compromises, ce n'est pas votre réseau principal.

Jon Rhoades
la source
1
C'est l'itinéraire le plus sûr à parcourir si vous devez utiliser un domaine. Cependant, vous parlez toujours d'obtenir une attaque directe sur un DC. Et dans le scénario que vous donnez, si j'obtiens ce contrôleur de domaine, à moins que vous n'ayez supprimé les informations d'identification mises en cache, je peux toujours les extraire et avoir des informations d'identification à utiliser par rapport au domaine / forêt principal.
K. Brian Kelley
KB, Par intérêt, pouvez-vous décrire les «informations d'identification mises en cache»
David Christiansen
1
À moins que vous ne le désactiviez, un système Windows mettra en cache les informations d'identification du mot de passe (en fait un hachage d'un hachage) lorsque vous vous connectez. C'est ce qui vous permet d'avoir un ordinateur portable et de vous connecter avec votre connexion de domaine lorsque vous êtes loin du réseau d'entreprise. Extrayez cela, utilisez des tables arc-en-ciel, vous avez l'idée.
K. Brian Kelley
3
Si l'approbation est unique, les informations d'identification mises en cache ne sont pas pertinentes car le serveur DMZ ne s'authentifiera jamais auprès du domaine principal.
Jon Rhoades
2

Si le serveur Web est sur le même réseau que le ou les contrôleurs de domaine, je les ajouterais certainement au domaine - car cela ajoute évidemment beaucoup de facilité de gestion. Cependant, je m'efforcerais généralement de placer les serveurs Web dans une zone démilitarisée pour augmenter la sécurité - ce qui rend l'accès au domaine impossible sans trous d'épingle (et c'est une très mauvaise idée!)

Rob Golding
la source
1

Comme d'autres l'ont mentionné, s'ils sont accessibles au public et ne nécessitent pas d'authentification des utilisateurs par rapport à l'annuaire, ne les placez pas dans le domaine.

Cependant, si vous avez besoin d'une sorte d'authentification ou d'une recherche d'informations à partir d'AD, envisagez éventuellement d'exécuter le mode d'application Active Directory ( ADAM ) dans la DMZ. Vous devrez peut-être répliquer les informations pertinentes d'AD dans la partition Applicaton car ADAM ne synchronise pas les partitions AD standard.

Si vous recherchez simplement des fonctionnalités de gestion, ADAM ne s'applique pas.

Doug Luxem
la source