IT administrátor může uzamknout DMZ z externího hlediska, ale nepodaří se mu dát tuto úroveň zabezpečení přístupu do DMZ z interního hlediska, protože budete muset přistupovat, spravovat a monitorovat tyto systémy také v rámci DMZ, ale za jiným způsobem než u systémů ve vaší interní síti LAN. V tomto příspěvku budeme diskutovat o doporučených Microsoft Doporučené postupy pro řadič domény DMZ .
Co je řadič domény DMZ?
V počítačové bezpečnosti je DMZ nebo demilitarizovaná zóna fyzická nebo logická podsíť, která obsahuje a vystavuje externí služby organizace větší a nedůvěryhodné síti, obvykle internetu. Účelem DMZ je přidat další vrstvu zabezpečení do LAN organizace; externí síťový uzel má přímý přístup pouze k systémům v DMZ a je izolován od jakékoli jiné části sítě. V ideálním případě by nikdy neměl být v DMZ řadič domény, který by pomáhal s ověřováním těchto systémů. Jakékoli informace, které jsou považovány za citlivé, zejména interní data, by neměly být uloženy v DMZ nebo na ně spoléhat systémy DMZ.
Doporučené postupy pro řadič domény DMZ
Tým Active Directory ve společnosti Microsoft zpřístupnil a dokumentace s osvědčenými postupy pro provozování AD v DMZ. Průvodce pokrývá následující modely AD pro obvodovou síť:
odkazy na internetový prohlížeč 11 nefungují
- Žádná služba Active Directory (místní účty)
- Model izolovaného lesa
- Rozšířený firemní model lesa
- Model lesního důvěry
Průvodce obsahuje směr pro určení, zda Active Directory Domain Services (AD DS) je vhodný pro vaši obvodovou síť (známou také jako DMZ nebo extranety), různé modely nasazení služby AD DS v obvodových sítích a informace o plánování a nasazení pro řadiče domény pouze pro čtení (RODC) v obvodové síti. Protože řadiče domény jen pro čtení poskytují nové možnosti pro obvodové sítě, většina obsahu této příručky popisuje, jak naplánovat a nasadit tuto funkci systému Windows Server 2008. Jiné modely služby Active Directory uvedené v této příručce jsou však také životaschopnými řešeními pro vaši obvodovou síť.
A je to!
Stručně řečeno, přístup do DMZ z vnitřní perspektivy by měl být co nejtěsněji uzamčen. Jedná se o systémy, které mohou potenciálně uchovávat citlivá data nebo mít přístup k jiným systémům, které mají citlivá data. Pokud je DMZ server kompromitován a interní LAN je široce otevřená, útočníci mají náhle cestu do vaší sítě.
Čtěte dále : Ověření předpokladů pro propagaci řadiče domény se nezdařilo
novinky pro Windows 10
Měl by být řadič domény v DMZ?
Nedoporučuje se to, protože vystavujete řadiče domény určitému riziku. Doménová struktura prostředků je izolovaný model doménové struktury služby AD DS, který je nasazen ve vaší obvodové síti. Všechny řadiče domény, členové a klienti připojení k doméně jsou umístěni ve vaší DMZ.
Číst : Řadič domény Active Directory pro doménu nelze kontaktovat
Můžete nasadit v DMZ?
Webové aplikace můžete nasadit v demilitarizované zóně (DMZ), abyste umožnili externím autorizovaným uživatelům mimo vaši firemní bránu firewall přistupovat k vašim webovým aplikacím. Chcete-li zabezpečit zónu DMZ, můžete:
- Omezte vystavení portů na kritických zdrojích v sítích DMZ.
- Omezte vystavené porty pouze na požadované adresy IP a vyhněte se umístění zástupných znaků do položek cílového portu nebo hostitele.
- Pravidelně aktualizujte všechny aktivní rozsahy veřejných IP adres.
Číst : Jak změnit IP adresu řadiče domény .
![Motiv Firefoxu se neustále mění [Opraveno]](https://prankmike.com/img/firefox/10/firefox-theme-keeps-changing-fixed-1.jpg)
