主页 / server / 问题 / 53779
Accepted
mson
Asked: 2009-08-14 06:37:47 +0800 CST

生产机器的活动目录或工作组

  • 772

老派的思想是应用程序和数据库服务器不应该是域的一部分。我有我的网络设置,只有应用程序服务器可以与数据库服务器通信。应用程序服务器在他们自己的工作组中,数据库服务器在他们自己的工作组中。服务器与网络的其余部分完全隔离,开发人员可以通过 vpn/rdp 访问。这仍然是建立基础设施的好方法吗?

我问的原因是我终于用 Active Directory 更新了环境,如果合适的话,有一个重新设计网络架构的窗口。

我不是真正的系统管理员,但需要履行职责......

编辑

我非常感谢大家的耐心和帮助。我对 Active Directory 知之甚少。我主要担心的是用户机器将被入侵(僵尸),并且这台被入侵的机器可用于通过 AD 访问生产服务器。使用 AD 会让我的生活变得更轻松,但一个妥协就会毁掉公司。目前,未经授权的用户访问内部生产服务器的可能性很小。

无论如何,似乎共识是 AD 不会给生产服务器增加风险,这样做是普遍接受的做法。所以,我想我应该开始增加我对 AD 的了解和正确的设置,或者看看是否有本地专家可以做到这一点。

感谢您提供所有信息。

active-directory infrastructure

9 个回答

  1. 大型企业使用 Active Directory 是有原因的。这更有意义。需要考虑的事项:

    • 如果我破坏了您的计算机,您要么到处都有不同的密码,这意味着您可能将密码存储在某个地方,或者您将重新使用相同的密码。不是每个人都会有一个像样的密码库。无论哪种情况,我最终都会在其他地方拿到钥匙。
    • 使用 AD 上的服务器,您可以获得全局锁定策略的优势。这意味着如果您在 Y 分钟内总共有 X 次登录失败,则帐户将被锁定。因此,我没有在这里获得 X 次机会,那里获得 X 次机会,以及另外 X 次机会,总共 3X 次机会(如果您正在重复使用密码)。我得到 X。当 X > 0 时,X < 3X。
    • GPO。托管配置,例如限制匿名、审核设置、事件日志的大小、是否重命名管理员、是否允许 LM 哈希或执行 NTLM 等。所有这些都可以从 AD 控制和推送并自动执行。从安全的角度来看,这将逐个服务器进程的手动服务器从水中吹走,正如一位优秀的 IT 审计员会告诉您的那样。
    • 单一来源的安全性。你有一个用户流氓。你想办法。您在域中禁用该用户的帐户。你猜怎么着?该用户没有在其他任何地方登录。你尝试使用多个不同的系统,你将不得不打击每一个。

    看,你仍然可以硬件防火墙关闭关键服务器,这是一个好主意,挖出适当的漏洞,使这些服务器可以与 DC 通信,因此客户端只能在正确的端口上与这些服务器通信。例如,最终用户没有理由拥有对数据库服务器的 NetBIOS 访问权限。而且文件服务器没有理由需要与 SQL Server 通信,所以不要让它们。然后你限制了整个表面积。

    • 6
  2. Best Answer

    我会穿上它们;至少,集成身份验证的好处远远超过任何可察觉的缺点。操作系统的整体管理将变得更加顺畅,并且如果您的应用程序和数据库具有使它们能够拥有自己的专用管理员并且不授予标准域管理员对它们的完全访问权限的安全模型,那么您并不是真的在那里失去任何东西。

    我不确定是否担心您的 AD 被盗用。如果你的 AD 被入侵,那肯定意味着你有更大的问题吗?

    • 4

  3. 我想不出一个很好的理由将数据库和应用服务器与域隔离。我们在森林中运行着无数的 SQL 和 Oracle 服务器以及应用程序服务器(超过 100 个)。

    我不敢想,如果他们被隔离到工作组中,我们的工作将是多么令人头疼。

    • 3

  4. 复杂性是安全的敌人。将您的服务器放在 Active Directory 中。

    • 3

  5. AD 和域允许集中管理服务器,限制诸如用户帐户、GPO、互联网浏览、安装软件之类的东西,列表是无穷无尽的。如果在 10 台机器上使用的帐户被盗用,更不用说密码重置,因为在一个工作组中,它的 10 台机器要登录并重置,现在如果那是 100 台机器,那就太疯狂了,更不用说如果你错过了你拥有的一台机器一个洞。除非你开始编写所有这些脚本。

    如果您确实想要将生产机器与工作站网络分开,那么您可以在两个网络之间设置防火墙,并且仍然在同一个 AD 上。

    或者根据需要有 2 个完全独立的域,它们之间存在信任(或不信任)。

    或拥有一个包含 2 个森林的域

    或者清单是无穷无尽的,它确实是您的需求。

    您担心的一个问题是用户的计算机感染了病毒,然后如果它们都在 AD 上,则感染生产服务器。AD 不是那样工作的。AD 本身就是您的域的数据库。

    如果机器 A 有病毒并且可以访问机器 B 的网络,那么机器 A 可以攻击机器 B。不涉及 AD。机器 A 只是在做病毒攻击另一台机器的事情。它可以尝试对机器 B 进行暴力破解,它可以尝试 RPC 攻击等等。AD 与启用该附加无关。在这种情况下需要的是两个网络之间的防火墙。因此,您将拥有用于工作的网络 A 和用于生产的网络 B。这是公司的常见设置是您如何防止您担心的事情。

    查看 Evan关于什么是 AD的回答。

    • 2

  6. 正如其他人所建议的那样,我会将服务器放在 AD 中。如果您真的关心安全性,请将这些特定服务器放在单独的 VLAN 上,并且只允许它们与特定端口上的特定主机通信。这将阻止 RDP、UNC 访问等,并且只允许必要的内容。

    • 2

  7. 我同意伊兹的观点。域使管理这些服务器变得更加容易,这反过来又可以使它们更加安全。

    • 1

  8. 看来您对 AD 有所了解,但不是很多,所以我建议您去参加有关 AD 的入门课程,或更深入的有关 AD 和 Windows Server Management 的课程. 它将回答您的大量问题,并且管理该课程的人员应该能够通过假设场景回答您的一些问题。您应该能够向他们推销您当前的网络布局,他们应该就需要改进的地方向您提出建议,为什么将服务器集成到 AD 中是一个好主意,如何让人们远离他们等等。

    很有可能,如果您的公司将您视为系统管理员,他们可能也会为您的课程付费,这是一种奖励。

    但我会和大家一起讨论这个问题:绝对将您的服务器添加到 AD,但要正确执行。我无权确切地说什么适合您的组织,因为我对此一无所知,但请尽可能多地锁定它,而不会让需要使用它的人无法使用它。

    这里有一个假设情况,可能会让您重新考虑将服务器添加到 AD:您有一个开发人员或同事系统管理员,他们被终止了。你的老板打电话给你说:“这个人必须立即被锁定在系统之外。我们怀疑他们可能试图从我们那里窃取受 HIPAA 保护的信息,他不再在这里工作。现在把他锁定在外面。” (我假设你们拥有 HIPAA 涵盖的数据,正如您提到的医疗保健)

    使用您当前的设置,您不仅必须锁定他的 AD 帐户,而且您还必须访问每个服务器,并在那里禁用他的帐户。如果服务器在 AD 中,您可以在不到 30 秒的时间内立即禁用他对这些服务器的访问。这是一个简单的问题:RDP 到 DC,打开 Active Directory 用户和计算机,右键单击他的名字,单击禁用。巴姆,完成。他被锁在外面了。

    但肯定的是,一旦您了解了确保它们安全的最佳方法,就立即将它们纳入 AD。

    • 1

  9. 工作组中的服务器是大多数网络的管理噩梦。获得的安全感是想象的多于真实的。如果一台受感染的机器有权访问服务器,那么无论它是工作组服务器还是域服务器,一点都不重要。由于在域级别管理权限非常容易,我相信在域中拥有服务器实际上可以增强安全性,当然前提是一切都做得正确。

    • 1

相关问题