Best Practices für den DMZ-Domänencontroller

Der IT-Administrator kann die DMZ aus externer Sicht sperren, kann aber aus interner Sicht nicht dieses Sicherheitsniveau für den Zugriff auf die DMZ festlegen, da Sie auf diese Systeme auch innerhalb der DMZ zugreifen, diese verwalten und überwachen müssen, jedoch nur geringfügig anders als bei Systemen in Ihrem internen LAN. In diesem Beitrag werden wir die von Microsoft empfohlenen Best Practices für DMZ-Domänencontroller diskutieren .

Was ist ein DMZ-Domänencontroller?

In der Computersicherheit ist eine DMZ oder entmilitarisierte Zone ein physisches oder logisches Subnetzwerk, das die nach außen gerichteten Dienste einer Organisation enthält und einem größeren und nicht vertrauenswürdigen Netzwerk, normalerweise dem Internet, zugänglich macht. Der Zweck einer DMZ besteht darin, dem LAN einer Organisation eine zusätzliche Sicherheitsebene hinzuzufügen; Ein externer Netzwerkknoten hat nur direkten Zugriff auf Systeme in der DMZ und ist von allen anderen Teilen des Netzwerks isoliert. Idealerweise sollte niemals ein Domänencontroller in einer DMZ sitzen, um bei der Authentifizierung bei diesen Systemen zu helfen. Alle Informationen, die als sensibel gelten, insbesondere interne Daten, sollten nicht in der DMZ gespeichert werden oder DMZ-Systeme sollten sich darauf verlassen.

Best Practices für den DMZ-Domänencontroller

Das Active Directory-Team von Microsoft hat eine Dokumentation mit Best Practices für die Ausführung von AD in einer DMZ zur Verfügung gestellt . Der Leitfaden behandelt die folgenden AD-Modelle für das Perimeternetzwerk:

• Kein Active Directory (lokale Konten)
• Isoliertes Waldmodell
• Erweitertes Corporate-Forest-Modell
• Forest-Vertrauensmodell

Der Leitfaden enthält Anweisungen zur Bestimmung, ob Active Directory-Domänendienste (AD DS) für Ihr Umkreisnetzwerk (auch bekannt als DMZs oder Extranets) geeignet sind, die verschiedenen Modelle für die Bereitstellung von AD DS in Umkreisnetzwerken sowie Planungs- und Bereitstellungsinformationen für schreibgeschützte Dienste Domänencontroller (RODCs) im Umkreisnetzwerk. Da RODCs neue Funktionen für Umkreisnetzwerke bieten, beschreibt der Großteil des Inhalts in diesem Handbuch, wie dieses Windows Server 2008-Feature geplant und bereitgestellt wird. Die anderen in diesem Handbuch vorgestellten Active Directory-Modelle sind jedoch auch praktikable Lösungen für Ihr Umkreisnetzwerk.

Das ist es!

Zusammenfassend sollte der Zugriff auf die DMZ aus interner Sicht so streng wie möglich gesperrt werden. Dies sind Systeme, die möglicherweise sensible Daten enthalten oder Zugriff auf andere Systeme mit sensiblen Daten haben. Wenn ein DMZ-Server kompromittiert und das interne LAN weit offen ist, haben Angreifer plötzlich einen Weg in Ihr Netzwerk.

Sollte sich der Domänencontroller in der DMZ befinden?

Es wird nicht empfohlen, da Sie Ihre Domänencontroller einem gewissen Risiko aussetzen. Die Ressourcengesamtstruktur ist ein isoliertes AD DS-Gesamtstrukturmodell, das in Ihrem Umkreisnetzwerk bereitgestellt wird. Alle Domänencontroller, Mitglieder und in die Domäne eingebundenen Clients befinden sich in Ihrer DMZ.

Können Sie in DMZ bereitstellen?

Sie können Webanwendungen in einer demilitarisierten Zone (DMZ) bereitstellen, um externen autorisierten Benutzern außerhalb Ihrer Unternehmensfirewall den Zugriff auf Ihre Webanwendungen zu ermöglichen. Um eine DMZ-Zone zu sichern, können Sie:

• Beschränken Sie die Exposition von internetzugewandten Ports auf kritische Ressourcen in den DMZ-Netzwerken.
• Beschränken Sie exponierte Ports auf nur erforderliche IP-Adressen und vermeiden Sie das Platzieren von Platzhaltern in Zielport- oder Hosteinträgen.
• Aktualisieren Sie regelmäßig alle öffentlichen IP-Bereiche, die aktiv verwendet werden.