¿Para qué es realmente útil un controlador de dominio de solo lectura?

18

Windows Server 2008 introdujo controladores de dominio de solo lectura, que reciben una réplica completa de la base de datos del dominio pero no pueden modificarla, como un buen BDC de Windows NT.

Conozco todos los entresijos técnicos sobre cómo ejecutar esos semi-DC (acabo de aprobar 70-646 y 70-647), pero aún no tengo una respuesta clara a la pregunta más importante de todas: ¿por qué debería usarlos ?

Este comentario de TheCleaner realmente lo resume para mí:

@ Massimo: sí, tienes razón. Estás buscando una razón convincente para un RODC y no hay una. Tiene algunas características de seguridad adicionales para ayudar a aliviar la seguridad de la sucursal y realmente solo necesita implementarse allí si aún no tiene un DC allí y es anal sobre su seguridad.

Eso era lo mismo que estaba pensando ... un pequeño aumento en la seguridad, sí, claro, pero definitivamente no tanto para valer la molestia.

windows-server-2008 active-directory domain-controller Massimo
fuente

Respuestas:

10

Te daré un escenario del mundo real:

  • tenemos uno en nuestra sucursal en China

Lo usamos porque no hay un departamento de TI allí, manejamos todas las solicitudes de cuentas AD, etc., aquí en los EE. UU. Al tener un RODC allí sabemos:

  1. Nadie allí puede iniciar sesión e intentar "hackear" en AD.
  2. Nadie puede robarlo y obtener algo que valga la pena para luego volver y "piratear" la red más tarde.

Al tener AD / DNS de solo lectura, no tenemos que preocuparnos por los intentos de manipular los datos en el DC allí.

Esto se debe a las características que se encuentran aquí: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Es más de "tranquilidad" que cualquier otra cosa para nosotros ... además, permitió una instalación mínima del servidor, ya que era solo el núcleo del servidor con la función RODC instalada. Lo pusimos en un servidor antiguo de 1U con 2 unidades Raid-1 de 18GB. De hecho, colocamos 2 de ellos en ... la misma configuración exacta usando hardware antiguo no garantizado que teníamos en los bastidores.

Simple, hace lo que debe hacer, y no tenemos que preocuparnos por eso. Si una de las cajas falla, simplemente la reemplazaríamos nuevamente.

El limpiador
fuente
1
Dijiste que nadie puede iniciar sesión; pero nadie también podría iniciar sesión en un DC estándar si no tuviera las credenciales de dominio adecuadas. Entonces, ¿dónde está la seguridad mejorada? Sobre robarlo: ¿cómo sería exactamente más peligroso un DC grabable robado que uno robado de solo lectura?
Massimo
2
@Massimo: en referencia al inicio de sesión, solo es un problema si la persona tiene derechos de inicio de sesión local, está en lo correcto. Sin embargo, sí las otorgamos a algunas cuentas para que puedan verificar las copias de seguridad / intercambios de cintas de copia de seguridad. Para la seguridad física, un DC grabable robado le da la capacidad de descubrir sus credenciales y contraseñas y volver a la red más tarde para obtener datos adicionales ... el RODC no lo hace.
TheCleaner
@ Massimo - Noté que en tu OP dijiste "réplica completa" ... esto es cierto EXCEPTO por las contraseñas. No replica las contraseñas, por lo que termina siendo la mayor característica de seguridad profesional para el robo.
TheCleaner
De acuerdo con las contraseñas. Pero, de todos modos, ¿no se almacenan usando encriptación unidireccional? Seguramente es mejor si alguien no los tiene, pero no creo que descifrar contraseñas de AD sea tan fácil.
Massimo
3
El RODC no almacena los hashes de contraseña si deshabilita el almacenamiento en caché ... Creo que almacena el "token de inicio de sesión". Sí, inicialmente el cliente se autentica con el DC real en una ubicación diferente. Ver aquí: devendrathatte.blogspot.com/2009/04/… y aquí: milesconsultingcorp.com/…
TheCleaner
10

Tengo un capítulo completo sobre esta característica en mi libro (www.briandesmond.com/ad4/). En resumen, esta es una característica de seguridad y para las organizaciones distribuidas es un gran problema.

Aquí hay dos escenarios realmente grandes:

-> Los RODC no almacenan contraseñas por defecto. Esto significa que si alguien obtiene físicamente los discos del servidor, no obtendrá todas las contraseñas de usuario (y computadora).

La respuesta correcta si alguien roba un RWDC es restablecer TODAS las contraseñas en el dominio, ya que puede considerarlas todas comprometidas. Esta es una tarea importante.

Con un RODC puede decir que solo almacena en caché las contraseñas para el subconjunto X de usuarios y computadoras. Cuando el RODC realmente almacena en caché la contraseña, almacena esa información en AD. Si le roban el RODC, ahora tiene una pequeña lista de contraseñas que deben restablecerse.

-> Los RODC se replican en un sentido. Si alguien le robó RWDC, le hizo algunos cambios y lo conectó nuevamente, esos cambios se replicarían nuevamente en el entorno. Por ejemplo, podrían agregarse al grupo de administradores de dominio o restablecer todas las contraseñas de administrador o algo así. Con un RODC esto simplemente no es posible.

No hay mejora de velocidad a menos que esté colocando un RODC en una ubicación que no tenía un DC allí antes y luego es probable que haya una mejora de la velocidad en algunos escenarios.

La respuesta de TheCleaner es realmente incorrecta. Hay MUCHOS escenarios convincentes para los RODC y puedo pensar en varios despliegues de ellos a gran escala. Estas son cosas simples de seguridad, no las cosas "anal sobre seguridad".

Gracias,

Brian Desmond

MVP de Active Directory

Brian Desmond
fuente
Brian, gracias por la respuesta detallada, pero todavía tengo tanta curiosidad como antes sobre algunas cosas: 1) Si alguien puede obtener un DC, ¿cómo puede hacer cambios en el dominio, si no tiene un administrador ¿cuenta? Ni siquiera podría iniciar sesión. 2) Si alguien roba un DC, ¿cómo puede obtener contraseñas de la base de datos AD? Se almacenan dentro de una base de datos patentada, utilizando encriptación unidireccional (y bastante fuerte, IIRC). 3) Si su DC es robado y quien lo robó puede acceder a su red y volver a conectarlo, definitivamente hay algo roto en su seguridad ... y ningún RODC lo solucionará.
Massimo
1
Con respecto a 1 y 2, hay herramientas disponibles en Internet que con gusto tomarán una base de datos de AD y leerán / escribirán directamente en ella. Todo lo que necesita hacer es introducir los discos duros en algún lugar que lo contenga y abrirlo desde otra máquina. Acordado en 3 en cierta medida. Muchas organizaciones tienen cientos de DC en sucursales en todo el mundo. Puedo decirle de primera mano que hacer cumplir la seguridad física en un armario a 10,000 millas de su escritorio es casi imposible.
Brian Desmond, el
Si un chico malo tiene acceso a su hardware, ya no es su hardware. ¿Utiliza Bitlocker para sus DC actuales para empezar? Si no, considere hacer eso para empezar o algún otro cifrado de disco completo ... si los chicos malos tienen sus datos - que está SOL ^^
Oskar Duveborn
1

Necesita RODC cuando tiene muchas sucursales con poca seguridad física y / o conectividad de red lenta o poco confiable. Ejemplos:

  • Proveedor médico con una oficina central y clínicas en tiendas que se mueven con frecuencia y usan DSL / Cable para conectividad
  • Una empresa con instalaciones en áreas remotas donde la infraestructura de telecomunicaciones no es confiable o donde se ve obligado a usar redes celulares o satelitales.

La mayoría de las organizaciones tienen estándares de seguridad física para equipos remotos. Si no puede cumplir con esos requisitos, los RODC le permiten proporcionar autenticación de alta velocidad para acceder a aplicaciones locales y archivos compartidos. También le permiten limitar la cantidad de credenciales almacenadas en el servidor. Un servidor comprometido solo compromete a los usuarios en la ubicación remota. Un DC completo con 75,000 usuarios expone a todos esos usuarios en caso de un compromiso local.

Si trabaja en una empresa más pequeña, no es gran cosa en absoluto. Estoy entusiasmado de implementarlos con BitLocker porque los RODC reducen sustancialmente el riesgo de seguridad.

duffbeer703
fuente
1

Vamos a usar RODC en una DMZ basada en este artículo de TechNet . Configuración de un nuevo bosque para servicios web con un RODC en DMZ.

Equipo de TI
fuente
0

Principalmente por seguridad, pero también por velocidad.

Vea el breve escrito aquí

geeklin
fuente
2
No estoy de acuerdo con lo de la "velocidad". Si los usuarios necesitan autenticarse contra un DC "real", entonces el RODC en realidad no acelera nada: tener un DC grabable disponible en el sitio en lugar del RODC en realidad sería más rápido .
Massimo
0

Un RODC contiene una copia de solo lectura de su AD y usted usa una en una sucursal donde no tiene personal de TI presente y, por lo tanto, no puede garantizar la seguridad o integridad de su sala de servidores. En caso de que el RODC se vea comprometido, usted está seguro sabiendo que quien lo comprometa solo tendrá acceso a su AD en el estado en que se encontraba al momento del descubrimiento. Ningún cambio realizado será replicado nuevamente a sus DC principales. Eso significa que quien lo comprometa no puede hacer cosas desagradables como elevarse a Administrador de dominio, bloquear a sus propios administradores y tener su manera perversa con toda su red.

Maximus Minimus
fuente
¿Qué quiere decir con "no se replicarán los cambios realizados"? Si puedo obtener acceso administrativo a AD, que es necesario para cambiar cualquier cosa, entonces puedo conectar ADUC a un DC "real" (o RDP) y hacer mis cambios directamente allí . Y si no puedo obtener acceso administrativo, no puedo hacer nada, incluso si tengo un DC sentado en mi mesa.
Massimo
2
@ Massimo: sí, tienes razón. Estás buscando una razón convincente para un RODC y no hay una. Tiene algunas características de seguridad adicionales para ayudar a aliviar la seguridad de la sucursal y realmente solo necesita implementarse allí si aún no tiene un DC allí y es anal sobre su seguridad.
TheCleaner
@Massimo No necesita acceso administrativo a AD para cambiar nada: inicie desde un DVD y puede escribir directamente en las bases de datos de AD.
Richard Gadsden
0

Los RODC son útiles para las grandes organizaciones empresariales, ya que los servicios de directorio de la competencia, como Novell eDirectory, han tenido réplicas de solo lectura durante años.


fuente
0

Otra ventaja de los RODC es que le permitirán tener controladores de dominio en funcionamiento mientras realiza alguna recuperación ante desastres, lo que implica eliminar todos los controladores de dominio normales para reconstruir el directorio activo. No tiene que desactivar los RODC en esas situaciones.

JPS
fuente