¿Deben los servidores web de Windows ser miembros de un dominio de Active Directory?

14

En términos de seguridad y capacidad de administración: ¿cuál es la mejor práctica?

Deben los servidores web

  • Ser agregado y administrado desde un dominio de Active Directory

o

  • ¿Ser parte de un grupo de trabajo de 'servidor web' que está separado del directorio activo de 'servidor de recursos'?

No es necesario que haya cuentas de usuario en los servidores web, solo cuentas de administración (administración del servidor, informes del sistema, implementación de contenido, etc.)

iis active-directory web-server windows David Christiansen
fuente
¿Están estos servidores web en un Colo o en una DMZ en su oficina?
Rob Bergin
Buen punto para plantear. Los servidores están bajo nuestro propio control en nuestra propia sala de servidores.
David Christiansen

Respuestas:

8

Si desea utilizar la delegación Kerberos para construir una infraestructura segura (y USTED LO HACE) deberá unir esos servidores web al dominio. El servidor web (o cuenta de servicio) necesitará la capacidad de delegar asignado a él para permitir la suplantación de usuario en su servidor SQL.

Es probable que desee evitar el uso de la autenticación basada en SQL en el servidor SQL si tiene algún requisito legal o de auditoría para el seguimiento del acceso a los datos (HIPAA, SOX, etc.). Debe realizar el seguimiento del acceso a través de su proceso de aprovisionamiento (es decir, quién está qué grupos, cómo fue aprobado y por quién) y todo el acceso a los datos debe ser a través de la cuenta asignada de un usuario.

Para los problemas de DMZ relacionados con el acceso a AD , puede resolver algo de eso con Server 2008 usando un DC de solo lectura (RODC), pero aún existe el riesgo de implementarlo en DMZ. También hay algunas formas de obligar a un DC a utilizar puertos específicos para atravesar un firewall, pero este tipo de cutomización puede dificultar la solución de problemas de autenticación.

Si tiene necesidades específicas para permitir que los usuarios de Internet e Intranet accedan a la misma aplicación, es posible que deba considerar el uso de uno de los productos de Servicios Federados, ya sea la oferta de Microsoft o algo como Ping Federated.

Ryan Fisher
fuente
8

Uso interno, absolutamente. De esa forma, GPO los gestiona, la aplicación de parches no es tan difícil y la supervisión se puede lograr sin un montón de soluciones.

En la DMZ, generalmente aconsejaría que no, no deberían estar en la DMZ. Si están en el dominio y en la DMZ, el problema con el que se encuentra es que el servidor web debe tener cierta conectividad con al menos un DC. Por lo tanto, si un atacante externo compromete el servidor web, ahora puede lanzar ataques directamente contra uno de los DC. Poseer el DC, poseer el dominio. Poseer el dominio, poseer el bosque.

K. Brian Kelley
fuente
Gracias KB y Rob. La creación de otro AD en la red perimetral es una respuesta, pero no puedo justificar que tenga que comprar otro servidor solo para ser el anfitrión de un AD para servidores web. Urg. Otra complicación es que los servidores web deben tener ALGUNO tráfico permitido en la red interna 'confiable' (por ejemplo, SQL) y que el tráfico SQL está asegurado usando una conexión de red confiable. Supongo que tenemos que estar hablando de dos AD y una confianza entre los dos.
David Christiansen
Esa es la ruta más segura, sí. Tiene un bosque para los servidores basados ​​en DMZ y tiene una confianza unidireccional hacia el bosque interno. Sin embargo, me gustaría permitir primero la autenticación basada en SQL Server.
K. Brian Kelley
Estoy de acuerdo, este es el camino a seguir.
Squillman 01 de
6

¿Por qué no tener un dominio de servidor web en la DMZ?

Podría ser un bosque separado con una relación de confianza unidireccional para administrar el dominio desde su dominio principal sin dar permiso al dominio de WS para su dominio principal.

Todas las alegrías de AD / WSUS / GPO, especialmente útiles si tiene una granja completa de ellas, y si se ve comprometida, no es su red principal.

Jon Rhoades
fuente
1
Esa es la ruta más segura si tiene que usar un dominio. Sin embargo, todavía estás hablando de recibir un ataque directo en un DC. Y en el escenario que usted da, si obtengo ese DC, a menos que haya sacado las credenciales almacenadas en caché, aún puedo obtenerlas y tener credenciales para usar contra el dominio / bosque primario.
K. Brian Kelley
KB, por interés, ¿puede describir las "credenciales almacenadas en caché"
David Christiansen
1
A menos que lo desactive, un sistema Windows almacenará en caché las credenciales de la contraseña (en realidad un hash de un hash) cuando inicie sesión. Esto es lo que le permite tener una computadora portátil e iniciar sesión con su inicio de sesión de dominio cuando está fuera de la red corporativa. Extraiga eso, use tablas de arcoíris, se entiende la idea.
K. Brian Kelley
3
Si la confianza es solo una, las credenciales almacenadas en caché son irrelevantes, ya que el servidor DMZ nunca se autenticará en el dominio principal.
Jon Rhoades
2

Si el servidor web está en la misma red que los Controladores de dominio, entonces definitivamente lo agregaría al dominio, ya que esto obviamente agrega una gran cantidad de capacidad de administración. Sin embargo, normalmente me esforzaría por poner servidores web en una DMZ para aumentar la seguridad, lo que hace que el acceso al dominio sea imposible sin agujeros pequeños (¡y esa es una muy mala idea!)

Rob Golding
fuente
1

Como otros han mencionado, si estos son públicos y no requieren autenticación de usuarios en el directorio, no los coloque en el dominio.

Sin embargo, si necesita algún tipo de autenticación o búsqueda de información de AD, posiblemente busque ejecutar el Modo de aplicación de Active Directory ( ADAM ) en la DMZ. Es posible que deba replicar la información relevante de AD en la partición de aplicaciones, ya que ADAM no sincroniza las particiones estándar de AD.

Sin embargo, si solo está buscando funciones de administración, ADAM no se aplica.

Doug Luxem
fuente