Чи варто виставляти свій Active Directory публічним Інтернетом для віддалених користувачів?


46

У мене є клієнт, чия робоча сила повністю складається з віддалених співробітників, що використовують суміш комп'ютерів Apple і Windows 7 ПК / ноутбуків.

Наразі користувачі не мають автентифікації на домен, але організація хотіла б рухатися в цьому напрямку з кількох причин. Це машини, що належать компанії, і фірма прагне мати деякий контроль над деактивацією облікового запису, груповою політикою та деяким запобіганням втрат даних (відключення віддалених носіїв інформації, USB тощо). Вони стурбовані тим, що для доступу до AD потрібна автентифікація VPN було б громіздко, особливо на перехресті звільненого працівника та кешованих облікових даних на віддаленій машині.

Більшість сервісів в організації базуються на Google (пошта, файл, чат тощо), тому єдиними службами домену є DNS та авторитет для VPN Cisco ASA.

Замовник хотів би зрозуміти, чому неприпустимо викривати контролери домену громадськості. Крім того, то , що є більш прийнятною доменною структурою для розподіленої віддаленої робочої сили?

Редагувати:

Centrify використовується для кількох клієнтів Mac.


4
Є пов’язане питання ТУТ . Дозвіл зовнішніх служб підключитися до вашої AD для синхронізації чи автентифікації не є жахливою практикою, але розміщення контролерів домену на відкритому DMZ, по суті, як ви просили, дуже небезпечно. Без забезпечення безпеки ви запитуєте про різні можливі атаки та проблеми. Я б дуже рекомендував проти цього і запропонував би VPN або VPN-клієнт із брандмауера, наприклад Sonicwall, з місцевими користувачами пристроїв.
Майк Нейлор

10
Налаштуйте VPN, що постійно ввімкнено, на машині, автоматично підключившись, на основі сертифікатів. (OpenVPN, DirectAccess тощо), тому автентифікація VPN не прив’язана до облікових записів користувачів, і користувач не має прямої взаємодії з програмним забезпеченням VPN.
Зоредаче

DA є ідеальним, але має серйозні вимоги до кінцевих точок, які клієнт не відповідає (Mac, напевно.)
mfinni

1
+10 - Для пропозиції Зоредаче.
Еван Андерсон

7
Якщо ви створюєте резервну копію пристроїв кінцевих користувачів, ви робите це неправильно. Якщо ви створюєте резервну копію пристроїв кінцевих користувачів через USB, ви робите це дійсно неправильно.
MDMarra

Відповіді:


31

Я публікую це як відповідь головним чином тому, що кожен має власну "освічену думку", засновану на досвіді, інформації сторонніх осіб, знаннях про чутки та племінних знаннях в ІТ, але це більше список цитат та читань, "безпосередньо" від Microsoft. Я використовував цитати, тому що я впевнений, що вони не фільтрують належним чином всі думки їх співробітників, але це повинно бути корисним, якщо ви звертаєтесь до authoritativeпосилань безпосередньо від Microsoft.


До речі, я також думаю, що ДУЖЕ ЛЕГКО сказати ДОМОВНИЙ КОНТРОЛЕР = = АКТИВНА ДИРЕКЦІЯ, що не зовсім так. Проксі-сервери AD FS та інші засоби (форми на основі автентичності для OWA, EAS тощо) пропонують спосіб "викрити" AD в Інтернеті, щоб клієнти могли хоча б спробувати аутентифікуватись через AD, не піддаючи самі DC. Перейти на чиїй - то OWA - сайту і спроба входу в систему і AD будуть отримувати запит на аутентифікацію на внутрішньому інтерфейсі DC, тому AD технічно «викрив» ... але забезпечується з допомогою SSL і проксі через сервер Exchange.


Цитування №1

Вказівки щодо розгортання Active Directory Windows Server у віртуальних машинах Windows Azure

Перш ніж перейти до "Azure is AD" ... Ви МОЖЕТЕ розгорнути ADDS на Azure VM.

Але навести відповідні біти:

Ніколи не піддавайте STS безпосередньо в Інтернет.

Як найкраща практика безпеки, розмістіть екземпляри STS за брандмауером та підключіть їх до вашої корпоративної мережі, щоб запобігти впливу Інтернет. Це важливо, оскільки роль НТС видає маркери безпеки. Як результат, до них слід поводитися з тим же рівнем захисту, що і контролер домену. Якщо STS порушений, зловмисні користувачі можуть видати маркери доступу, що потенційно містять претензії на вибір їх довірених додатків партії та інших STS в довіряючі організації.

Ерго ... не піддавайте контролери домену безпосередньо в Інтернет.

Цитування №2

Active Directory - Таємниця UnicodePwd AD LDS

Розміщення контролера домену в Інтернеті зазвичай є поганою практикою, незалежно від того, чи впливає це безпосередньо з виробничого середовища або через мережу периметра. Природною альтернативою є розміщення сервера Windows Server 2008 з роллю Active Directory Lightweight Directory Services (AD LDS), що працює в мережі периметра.

Цитування №3 - не від MS ... але корисне все-таки в майбутньому

Служба Active Directory як послуга? Azure, Intune натякає на майбутнє AD, розміщене у хмарі

Зрештою, немає великої "короткої" відповіді, яка б відповідала цілям позбавлення офісу сервера AD в обмін на альтернативу Azure. У той час як корпорація Майкрософт поступається із задоволенням, дозволяючи клієнтам розміщувати доменні сервіси Active Directory на серверах Server 2012 та 2008 R2 в Azure, їх корисність є такою ж доброю, як і VPN-з'єднання, яке ви можете зібрати для своїх співробітників. У той час, як DirectAccess, дуже перспективна технологія, руки пов'язані через власні нещасні обмеження.

Цитування №4

Розгорніть AD DS або AD FS та Office 365 за допомогою єдиного входу та віртуальних машин Windows Azure

Контролери домену та сервери AD FS ніколи не повинні знаходитись безпосередньо в Інтернеті і бути доступними лише через VPN


Це розумна відповідь, хоча лише перше цитування говорить про те, що поганого може статися, якщо ви нехтуєте порадою.
Кейсі

19

Active Directory (AD) не був розроблений для такого типу розгортання.

Моделі загроз, що використовуються при розробці продукту, передбачають розгортання "позаду брандмауера", де деяка кількість ворожих суб'єктів відфільтрована на кордоні мережі. Незважаючи на те, що ви можете, безумовно, загартовувати Windows Server під дією загальнодоступної мережі, для правильного функціонування Active Directory потрібна позиція безпеки, яка є значно меншою, ніж хост, загартований для громадських мереж. Для належного функціонування AD багато контрольних служб повинні піддаватися контролеру домену (DC) для AD.

Пропозиція Zoredache у коментарях, зокрема посилання на щось на кшталт OpenVPN, що працює як аутентифікація на сервісному сервісі для всіх машин, може бути просто вдалою. DirectAccess, як уже згадували інші, саме те, що вам потрібно, за винятком того, що він не підтримує крос-платформу, яку б вам хотілося.

Як осторонь: я грав з ідеєю використання IPSEC на транспортному режимі на основі сертифікатів, щоб виставити AD безпосередньо в Інтернет, але ніколи насправді не встиг це зробити. Microsoft внесла зміни у часовий інтервал Windows Server 2008 / Vista, який, начебто, зробив це здійсненним, але я ніколи фактично цього не використовував.


2
+1 для OpenVPN, що працює як служба, я раніше успішно використовував цей підхід із дорогими воїнами. Адже адміністратори Sr sys були неоднозначними, особливо тому, що якщо машина була порушена, то це автоматичний зворотний простір в мережу. Безперечно, що стосується кожного середовища, хоча вони повинні запитати себе, чи корисність переважає ризик ....?
MDMoore313

2
Microsoft управляє власною корпоративною мережею в загальнодоступному Інтернеті разом з IPSec. Тож це можливо.
Майкл Хемптон

1
@MichaelHampton, але вони використовують ізоляцію домену за допомогою брандмауера Windows та IPSec, тому це не зовсім "AD в Інтернеті", це "AD в Інтернеті та в зоні безпеки, подібній до тієї, яку б брандмауер надав, використовуючи замість правил брандмауера на основі хоста"
MDMarra

2
@ MDMoore313 - Скасування сертифікату FTW, хоча користувачеві потрібно швидко повідомити про вкрадену машину.
Еван Андерсон

Існують також способи з певними клієнтами VPN (наприклад, Juniper) змусити виходити з системи після з'єднання. Це не так приємно, як старі влиті GINA, але воно змушує користувача знову входити під час VPN, щоб насправді автентифікувати проти AD та отримати GPO, і т. Д. Ви входите спочатку за допомогою кешованих облікових даних, запускайте VPN, якщо потрібно, та він негайно вийде з системи та залишається на зв’язку під час входу.
TheCleaner

15

Що всі інші сказали. Мене особливо нервує жорстока спроба, яку згадав Крістофер Карел. Презентація на останньому Def Con була на тему:

Отже, ви вважаєте, що ваш контролер домену безпечний?

ДЖУСТІН ХЕНДРИКС БЕЗПЕЧНИЙ ІНЖЕНЕР, МІКРОСОФТ

Контролери домену - це коштовності корони організації. Як тільки вони падають, все в домені падає. Організації намагаються захистити контролери домену, однак вони часто не вдається належним чином захистити програмне забезпечення, яке використовується для управління цими серверами.

Ця презентація стосуватиметься нетрадиційних методів отримання адміністратора домену шляхом зловживання часто використовуваним програмним забезпеченням для управління, яке організації розгортають та використовують.

Джастін Хендрікс працює в команді безпеки Office 365, де він бере участь у червоній групуванні, тестуванні на проникнення, дослідженні безпеки, огляді коду та розробці інструментів.

Я впевнений, що ви можете знайти безліч інших прикладів. Я шукав статті про контролери домену та злому, сподіваючись отримати опис того, як швидко буде знайдено постійний струм тощо, але я думаю, що це зараз робитиму.


1
Ось відео з презентації містера Хендріка: youtube.com/watch?v=2d_6jAF6OKQ Я хотів переглянути відео з DefCon 21, і я думаю, що розпочну з цього.
Еван Андерсон

14

Якщо ви намагаєтесь переконати менеджмент, хорошим початком буде таке:

It goes against Microsoft's Best Practices for Active Directory Deployment.

Оновлення : Дивіться цю статтю Technet про захист контролерів домену від нападу та розділ під заголовком Perimeter Firewall Restrictions:

Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet. 

І розділ із заголовком Blocking Internet Access for Domain Controllers:

Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet

Я впевнений, що ви можете зібрати якусь документацію Microsoft з цього питання, тож це все. На додаток до цього, ви можете стверджувати про небезпеку такого кроку, щось таке:

A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.

Кешовані облікові дані - це саме те, що - кешоване. Вони працюють на локальній машині, коли вона не може підключитися до домену , але якби цей обліковий запис було вимкнено, вони не працюватимуть на жодних мережевих ресурсах (svn, vpn, smb, fbi, cia тощо), тому їм не потрібно турбуватися про це . Також пам’ятайте, що користувачі вже мають повні права на будь-які файли в папці свого профілю на локальній машині (імовірно, на знімному носії), тому вимкнено облікові дані або вони не можуть робити те, що їм заманеться. Вони також не працюватимуть для локальної машини, як тільки вона знову підключиться до мережі.

Ви посилаєтесь на послуги, які надає Active Directory або контролер домену, наприклад LDAP? Якщо так, LDAP часто захищено для цілей аутентифікації та запитів каталогів, але просто відключення брандмауера Windows (або відкриття всіх необхідних портів для загального користування - те саме в цьому прикладі) може спричинити серйозні проблеми.

AD по-справжньому не управляє Macs, тому потрібно окреме рішення (думаю, OS X Server). Ви можете приєднати Mac до домену, але це не більше, ніж дозволити їм отримати автентифікацію за допомогою мережевих облікових даних, встановити адміністраторів домену як локальних адміністраторів на mac тощо. Немає групової політики. MS намагається порушити цю проблему за допомогою новіших версій SCCM, які стверджують, що можуть розгортати програми для Mac та * nix коробки, але я ще не бачив її у виробничих умовах. Я також вважаю, що ви могли налаштувати Mac для підключення до OS X Server, який би підтвердив автентифікацію до вашого каталогу, що базується на AD, але я можу помилитися.

Незважаючи на це, можуть бути розроблені творчі рішення, наприклад, пропозиція Евана щодо використання OpenVPN в якості сервісу та відключення серверної машини, якщо / коли настане час відпустити цього співробітника.

Здається, все на базі Google, тому Google виступає як ваш сервер ldap? Я б порекомендував своєму клієнту зберегти це таким чином, якщо це можливо. Я не знаю природу вашого бізнесу, але для таких веб-додатків, як сервер git або redmine, навіть коли установка в будинку може аутентифікуватись з OAuth, скориставшись обліковим записом Google.

Нарешті, така установка дорожнього воїна, як майже ця, потребує успішного VPN. Після того, як машини будуть введені в офіс і налаштовані (або налаштовані дистанційно за допомогою скрипту), їм потрібен спосіб отримання будь-яких змін у конфігурації.

Маки потребували б окремого підходу до управління на додаток до VPN, це дуже погано, що вони більше не роблять справжніх серверів mac, але у них відбулися пристойні реалізації політики в OS X Server останній раз, коли я перевірив (пару років тому ).


Насправді, Centrify використовується в цьому середовищі для управління політикою на кількох системах Mac зараз.
ewwhite

@ewwhite, що ти маєш на увазі під керуванням? Схоже, це не що інше, як центральна утиліта аутентифікації.
MDMoore313

@ MDMoore313 ви запізнюєтесь на кілька годин, я виграю: chat.stackexchange.com/transcript/127?m=13626424#13626424 - :)
TheCleaner

@TheCleaner ха-ха, це здається, ви цього разу виграєте, ви добре знаєте мистецтво Google Fu, але ваша техніка ухиляється від вас у моєму кращому кунг-фу зі страшним голосом губи. Після того як ви опублікували свою відповідь, мені довелося шукати подвійний пошук, щоб знайти той, який не був вашим дублікатом!
MDMoore313

2
LOL, не хвилюйтесь ... наступного разу, коли ми зустрінемося, перемога може бути вашою. (грізним голосом)
TheCleaner

7

Прикро, що DirectAccess доступний лише у програмі Win7 + Enterprise Edition, оскільки він підходить під ваш запит. Але не знати вашого видання та побачити, що у вас є MacOS, це не спрацює.

/ Правка - схоже, що деякі треті сторони заявляють, що вони мають клієнтів DA для Unices: http://www.centrify.com/blogs/tomkemp/what_is_microsoft_directaccess_and_unix_linux_interoperability.asp

Є рішення MDM, які можуть працювати для задоволення ваших потреб; ми передаємо одну з них (MAAS360) клієнту, який перебуває в подібному положенні.


5

Очевидно, це буде суттєвим ризиком для безпеки. Крім того, це, ймовірно, не спрацює так добре, як хотілося б. Якщо випадкові люди в Інтернеті можуть спробувати ввійти у ваше середовище AD, шанси на те, що всі ваші користувачі будуть заблоковані. Назавжди. А вилучення вимог блокування означає, що просто перевірити прості паролі стає досить просто.

Що ще важливіше, у вас не повинно виникнути проблем з реалізацією своєї мети (кінцеві користувачі входять у ноутбук з використанням облікових даних домену), не роблячи прямо доступними сервери AD. А саме машини Windows можуть кешувати останні X успішні входи, щоб ті самі облікові дані працювали при відключенні. Це означає, що кінцеві користувачі можуть увійти та виконувати корисну роботу, не торкаючись ваших AD-серверів. Їм, очевидно, потрібно буде використовувати VPN для підключення до інших основних корпоративних ресурсів і можуть одночасно оновити налаштування AD / GPO.


2
Наскільки мені відомо, AD не використовує (або принаймні залежить від) трансляцій ні для чого, поки це було AD. Деякі технології можуть вимагати WINS, які можуть повернутися до запитів широкомовної інформації, якщо немає сервера WINS, але це взагалі не стосується AD. Якби це залежало від трансляцій, ви не могли взагалі мати віддалених користувачів без локальних постійних струмів.
mfinni

2
Відредагував цей рядок. Дякуємо за вклад. Чітко хлопець Linux, як я, не повинен оцінювати в Windows.
Крістофер Карел

Якби це було так "очевидно", це не було б питанням, чи не так?
Кейсі

2

Ewwhite,

Ваше запитання є надзвичайно правильним і заслуговує на ретельний розгляд.

Всі фахівці з питань безпеки рекомендують шари безпеки перед будь-яким мережевим ресурсом, включаючи брандмауери SPI, IDS, брандмауери, засновані на хості, і т.д.

При цьому, Microsoft Active Directory 2003+ не мала публічно розголошувати вразливості. Технологія LDAP та її хеш-алгоритми, як правило, дуже безпечні. Це, напевно, більш безпечно, ніж SSL VPN, якщо цей SSL VPN працює з OpenSSL і є вразливим для роботи з серцем.

Я б застеріг 5 речей:

  1. Будьте стурбовані іншими службами, які стикаються з мережею, такими як Terminal Server, DNS Services, CIFS, і особливо IIS, з його жахливими записами безпеки.

  2. Використовуйте LDAPS з сертифікатом безпеки, щоб уникнути передачі даних про чіткий текстовий домен по протоколу. Це відбувається автоматично після встановлення сервісів сертифікатів (використовуйте окрему машину для PKI)

  3. Покладіть sniffer пакетів на інтерфейс і стежте за своїм трафіком, виправляйте будь-які чіткі текстові паролі, оскільки брандмауер чи ні, якщо у вас не використовується VPN або LDAPS, деякі застарілі системи надсилають чіткі текстові паролі.

  4. Знайте, що MITM-атаки можуть змусити нативні механізми аутентифікації знижувати версію та піддавати паролі слабшій автентифікації NTLM.

  5. Будьте в курсі деяких уразливостей перерахування користувачів, які все ще можуть існувати.

Однак, Active Directory має чудовий досвід безпеки. Крім того, MS Active Directory не зберігає паролі, а лише хеші, які також можуть зменшити серйозність компромісу.

Вам може скористатися більш безпроблемна інфраструктура безпеки, вам не потрібно встановлювати спеціальні сервери DNS або використовувати domain.local, і ви можете використовувати власний домен у загальнодоступному Інтернеті, наприклад, domain.com.

На мою професійну думку, існує велика користь від публічного використання таких технологій безпеки, як Active Directory, де інші технології, такі як Exchange, DNS та веб-сервери, просто не приносять користі та ризику.

Примітка: якщо розгорнути Active Directory, він буде включати DNS-сервер. Будьте ДОПОМОЖЕНО, щоб вимкнути рекурсію на ваших серверах DNS (включено за замовчуванням), або ви будете абсолютно брати участь у відмові від атак на обслуговування.

Ура,

-Бріан


-3

Dell (через купівлю Quest (через купівлю Vintela)) має кросплатформенне рішення, яке часто розгортається на підприємствах F500 для цієї експрес-мети .

Що слід врахувати ...

  1. Чи завжди ваші користувачі підключені? Якщо так, то вам найкраще забезпечити гнучку середовище хостингу на основі VM, яке може розгинатися, коли багато активних користувачів забивають LDAP
  2. Ви працюєте в більш ніж одному фізичному центрі обробки даних? Розгляньте географічне врівноваження навантаження перед послугами AD, щоб зменшити кількість переходів між користувачами та вашими системами
  3. Крім того, якщо відповідь на номер 2 - так, переконайтеся, що ви встановили деякі виділені мережеві ресурси для копіювання вашого лісу, як зображено тут

І переконайтеся, що ваше брандмауер здатний обробляти надзвичайно високі швидкості повторної передачі, якщо у вас є користувачі на заглушених посиланнях, підключення від галасливих Wi-Fi центрів тощо.


Як це керує машинами Windows або захищає що-небудь на зразок постійного струму, який знаходиться в Інтернеті? Він зовсім не читається так, як це робиться.
mfinni
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.