Meilleures pratiques du contrôleur de domaine DMZ

L’administrateur informatique peut verrouiller la DMZ d’un point de vue externe mais ne pas mettre ce niveau de sécurité sur l’accès à la DMZ d’un point de vue interne car vous devrez également accéder, gérer et surveiller ces systèmes dans la DMZ, mais dans un peu manière différente que vous le feriez avec des systèmes sur votre LAN interne. Dans cet article, nous discuterons des meilleures pratiques recommandées par Microsoft pour le contrôleur de domaine DMZ .

Qu’est-ce qu’un contrôleur de domaine DMZ ?

Dans le domaine de la sécurité informatique, une DMZ, ou zone démilitarisée, est un sous-réseau physique ou logique qui contient et expose les services externes d’une organisation à un réseau plus vaste et non fiable, généralement Internet. Le but d’une DMZ est d’ajouter une couche de sécurité supplémentaire au LAN d’une organisation ; un nœud de réseau externe a un accès direct uniquement aux systèmes de la DMZ et est isolé de toute autre partie du réseau. Idéalement, il ne devrait jamais y avoir de contrôleur de domaine assis dans une DMZ pour aider à l’authentification auprès de ces systèmes. Toute information considérée comme sensible, en particulier les données internes, ne doit pas être stockée dans la DMZ ou avoir des systèmes DMZ qui en dépendent.

Meilleures pratiques du contrôleur de domaine DMZ

L’équipe Active Directory de Microsoft a mis à disposition une documentation avec les meilleures pratiques pour exécuter AD dans une DMZ. Le guide couvre les modèles AD suivants pour le réseau de périmètre :

• Pas d’Active Directory (comptes locaux)
• Modèle de forêt isolée
• Modèle de forêt d’entreprise étendu
• Modèle d’approbation forestière

Le guide contient des instructions pour déterminer si les services de domaine Active Directory (AD DS) sont appropriés pour votre réseau de périmètre (également appelé DMZ ou extranets), les différents modèles de déploiement d’AD DS dans les réseaux de périmètre et des informations de planification et de déploiement pour la lecture seule. Contrôleurs de domaine (RODC) dans le réseau de périmètre. Étant donné que les RODC offrent de nouvelles fonctionnalités pour les réseaux de périmètre, la majeure partie du contenu de ce guide décrit comment planifier et déployer cette fonctionnalité de Windows Server 2008. Cependant, les autres modèles Active Directory présentés dans ce guide sont également des solutions viables pour votre réseau de périmètre.

C’est ça!

En résumé, l’accès à la DMZ d’un point de vue interne doit être verrouillé aussi étroitement que possible. Il s’agit de systèmes susceptibles de contenir des données sensibles ou d’avoir accès à d’autres systèmes contenant des données sensibles. Si un serveur DMZ est compromis et que le réseau local interne est grand ouvert, les attaquants ont soudainement accès à votre réseau.

Le contrôleur de domaine doit-il être en DMZ ?

Ce n’est pas recommandé car vous exposez vos contrôleurs de domaine à un certain risque. La forêt de ressources est un modèle de forêt AD DS isolé qui est déployé dans votre réseau de périmètre. Tous les contrôleurs de domaine, les membres et les clients joints au domaine résident dans votre DMZ.

Pouvez-vous déployer en DMZ ?

Vous pouvez déployer des applications Web dans une zone démilitarisée (DMZ) pour permettre aux utilisateurs externes autorisés à l’extérieur du pare-feu de votre entreprise d’accéder à vos applications Web. Pour sécuriser une zone DMZ, vous pouvez :

• Limitez l’exposition des ports connectés à Internet sur les ressources critiques des réseaux DMZ.
• Limitez les ports exposés aux seules adresses IP requises et évitez de placer des caractères génériques dans les entrées de port de destination ou d’hôte.
• Mettez régulièrement à jour toutes les plages d’adresses IP publiques en cours d’utilisation.