Вопрос: Должен ли я открывать свой Active Directory для общедоступного Интернета для удаленных пользователей?


У меня есть клиент, чья рабочая сила состоит исключительно из удаленных сотрудников, использующих сочетание ПК и ноутбуков Apple и Windows 7.

На данный момент пользователи не аутентифицируются в отношении домена, но организация хотела бы двигаться в этом направлении по нескольким причинам. Это принадлежащие компании машины, и фирма стремится контролировать контроль за деактивацией учетной записи, групповую политику и предотвращать некоторые потери данных (отключить удаленный носитель, USB и т. Д.). Они обеспокоены необходимостью проверки подлинности VPN для доступа к AD было бы громоздким, особенно на пересечении прекращенного сотрудника и кэшированных учетных данных на удаленной машине.

Большинство служб в организации основаны на Google (почта, файл, чат и т. Д.), Поэтому единственными услугами домена являются DNS и auth для их Cisco ASA VPN.

Клиент хотел бы понять, почему недопустимо чтобы разоблачить их контроллеры домена. Кроме того, что является более приемлемая структура домена для распределенной удаленной рабочей силы?

Редактировать:

Centrify используется для нескольких клиентов Mac.


45
2018-02-06 15:30


Источник


Существует связанный с этим вопрос ВОТ, Предоставление внешним службам возможности подключения к вашему AD для синхронизации или проверки подлинности не является ужасной практикой, но размещение контроллеров домена на открытой DMZ, по сути, как вы просили, очень небезопасно. Без обеспечения безопасности вы просите о различных возможных атаках и проблемах. Я бы настоятельно рекомендовал против него и предложить VPN или VPN-клиент из брандмауэра, такого как Sonicwall, с пользователями локальных устройств. - Mike Naylor
Настройте постоянно действующую, полностью автоматическую переподключение, основанную на сертификатах VPN. (OpenVPN, DirectAccess и т. Д.), Поэтому аутентификация VPN не привязана к учетным записям пользователей, и пользователь не имеет прямого взаимодействия с программным обеспечением VPN. - Zoredache
DA совершенен, но имеет серьезные конечные требования, которые клиент не встречает (Mac, конечно). - mfinni
+10 - Для предложения Зредохе. - Evan Anderson
Если вы создаете резервные копии устройств конечного пользователя, вы делаете это неправильно. Если вы создаете резервные копии устройств конечного пользователя через USB, вы делаете это действительно неправильно. - MDMarra


Ответы:


Я публикую это как ответ в основном потому, что у каждого есть свое «образованное мнение», основанное на опыте, информации сторонних разработчиков, слухах и знаниях в сфере информационных технологий, но это скорее список цитат и чтений «напрямую» от Microsoft. Я использовал цитаты, потому что я уверен, что они не фильтруют все мнения, сделанные их сотрудниками, но это должно оказаться полезным, несмотря на то, authoritative ссылки прямо из Microsoft.


КСТАТИ, Я также думаю, что ОЧЕНЬ ЛЕГКО сказать DOMAIN CONTROLLER == ACTIVE DIRECTORY, что не совсем так. Прокси-серверы AD FS и другие средства (основанные на формах auth для OWA, EAS и т. Д.) Предлагают способ «разоблачить» сам AD в Интернете, чтобы клиенты могли хотя бы пытаться аутентифицироваться через AD, не подвергая самих DC. Перейдите на сайт OWA и попробуйте войти в систему и AD будем получить запрос на аутентификацию на backend DC, поэтому AD технически «разоблачен» ... но защищен через SSL и проксирован через сервер Exchange.


Цитата №1

Рекомендации по развертыванию Windows Server Active Directory на виртуальных машинах Windows Azure

Прежде чем вы начнете «Azure не AD» ... вы можете развернуть ADDS на Azure VM.

Но процитировать соответствующие биты:

Никогда не подвергайте STS непосредственно в Интернете.

В качестве лучшей практики обеспечения безопасности размещайте экземпляры STS за брандмауэром и   подключите их к своей корпоративной сети, чтобы предотвратить   Интернет. Это важно, поскольку роль STS повышает безопасность   жетоны. В результате, к ним следует относиться с одинаковым уровнем   как контроллер домена. Если STS взломан, вредоносный   пользователи имеют возможность выпускать токены доступа, потенциально содержащие   претензии по их выбору на использование сторонних приложений и других STS   в доверенных организациях.

ergo ... не выставляйте контроллеры домена непосредственно в Интернет.

Цитата №2

Active Directory - Тайна UnicodePwd AD LDS

Выявление контроллера домена в Интернете обычно плохое   практика, независимо от того, происходит ли это воздействие непосредственно из производства   окружающей среды или через периметральную сеть. Естественная альтернатива   для размещения сервера Windows Server 2008 с Active Directory   Роль облегченной службы каталогов (AD LDS), выполняемая по периметру   сеть.

Цитата №3 - не от MS ... но полезная еще в ожидании

Active Directory-as-a-Service? Azure, Intune намекает на будущее AD

В конце концов, нет большого «короткого» ответа, который отвечает целям   освобождая офис сервера AD в обмен на Azure   альтернатива. В то время как Microsoft успокаивается в предоставлении клиентам   для размещения доменных служб Active Directory на сервере 2012 и 2008 R2   ящики в Azure, их полезность так же хороша, как VPN   подключение, которое вы можете собрать для своих сотрудников. DirectAccess, в то время как очень   многообещающая технология, связана своими руками из-за собственного несчастного   ограничения.

Цитата №4

Разверните AD DS или AD FS и Office 365 с помощью единого входа и виртуальных машин Windows Azure

Контроллеры домена и серверы AD FS никогда не должны подвергаться напрямую   к Интернету и должны быть доступны только через VPN


30
2018-02-06 19:39



Это разумный ответ, хотя только первая цитата говорит о том, что может произойти, если вы проигнорируете совет. - Casey


Active Directory (AD) не был предназначен для такого развертывания.

Модели угроз, используемые при разработке продукта, предполагают развертывание «позади-брандмауэра» с некоторым количеством враждебных участников, отфильтрованных на границе сети. Несмотря на то, что вы, конечно же, можете затормозить Windows Server для доступа к общедоступной сети, правильное функционирование Active Directory требует положения безопасности, которое явно более слабое, чем хост, упрочненный для сетей общего пользования. много услуг должны быть выставлены из контроллера домена (DC) для AD для правильной работы.

Предложение Zoredache в комментариях, в частности, ссылка на что-то вроде OpenVPN, работающего как общесистемная служба с аутентификацией сертификата, может быть просто хорошей. DirectAccess, как уже упоминалось, это именно то, что вам нужно, за исключением того, что вам не нужна кросс-платформенная поддержка.

В стороне: я поиграл с идеей использования IPSEC с транспортным режимом на основе сертификата, чтобы разоблачить AD непосредственно в Интернете, но на самом деле не успел это сделать. Microsoft внесла изменения в таймфреймы Windows Server 2008 / Vista, которые предположительно сделали это возможным, но я никогда не использовал его.


19
2018-02-06 18:31



+1 для OpenVPN, работающего как служба, я использовал этот подход с дорожными воинами в прошлом. Были смешанные чувства от администраторов Sr sys, особенно, потому что, если машина была скомпрометирована, это автоматический бэкдор в сеть. Конечно, опасные проблемы, для каждой среды, хотя и должны спросить себя, превышают ли выгоды риск ....? - MDMoore313
Microsoft запускает собственную корпоративную сеть в общедоступном Интернете с помощью IPSec. Так что это выполнимо. - Michael Hampton♦
@MichaelHampton, но они используют изоляцию домена с брандмауэром Windows и IPSec, так что это не совсем «AD в Интернете», это «AD в Интернете и в зоне безопасности, аналогичной той, которую брандмауэр будет предоставлять с использованием правил брандмауэра на основе хоста», - MDMarra
@ MDMoore313 - Отзыв сертификата FTW, хотя пользователь должен быстро сообщить об этом украденном компьютере. - Evan Anderson
Существуют также способы использования определенных VPN-клиентов (например, Juniper) для принудительного выхода из системы после подключения. Это не так хорошо, как старые GINA, но они заставляют пользователя снова входить в систему, находясь в виртуальной частной сети, чтобы фактически аутентифицироваться против AD и получать объекты групповой политики и т. Д. Сначала вы регистрируетесь с кэшированными учетными данными, запускаете VPN, если это необходимо, и он немедленно отключает вас и остается включенным при входе в систему. - TheCleaner


Что говорили все остальные. Я особенно нервничаю из-за попыток грубой силы, о которых говорил Кристофер Карел. Презентация на последнем Def Con был посвящен теме:

Итак, вы думаете, что ваш контроллер домена защищен? 

JUSTIN HENDRICKS SECURITY ENGINEER, MICROSOFT

Контроллеры домена - это жемчужины организации. Когда они   падение, все в области падает. Организации идут навстречу   чтобы защитить свои контроллеры домена, однако они часто не могут   надлежащим образом защищайте программное обеспечение, используемое для управления этими серверами.

В этой презентации будут рассмотрены нетрадиционные методы получения домена   admin, злоупотребляя обычно используемым программным обеспечением для управления, которое организации   развертывания и использования.

Джастин Хендрикс работает над командой безопасности Office 365, где он   участие в красной команде, тестирование на проникновение, исследования безопасности, код   обзора и разработки инструментов.

Я уверен, вы можете найти множество других примеров. Я искал статьи о контроллерах домена и взломах в надежде получить описание того, насколько быстро DC будет найден и т. Д., Но я думаю, что это будет сделано сейчас.


15
2018-02-06 18:02



Вот видео из презентации г-на Хендрикса: youtube.com/watch?v=2d_6jAF6OKQ  Я хотел посмотреть видео DefCon 21, и я думаю, что я начну с этого. - Evan Anderson


Если вы пытаетесь убедить руководство, хорошим началом было бы то, что:

It goes against Microsoft's Best Practices for Active Directory Deployment.

Обновить : Видеть эта техническая статья на защите контроллеров домена от атак, а раздел под заголовком Perimeter Firewall Restrictions который гласит:

Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet. 

И раздел под названием Blocking Internet Access for Domain Controllers в котором говорится:

Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet

Я уверен, что вы можете заручиться некоторыми документами Microsoft по этому вопросу, вот и все. В дополнение к этому вы можете указать опасности такого движения, что-то вроде:

A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.

Кэшированные учетные данные - это только что - кэшированные. Они работают на локальной машине, когда она невозможно подключиться к домену, но если эта учетная запись была отключена, они не будут работать ни для какого сетевого ресурса (svn, vpn, smb, fbi, cia и т. д.), поэтому им не нужно об этом беспокоиться. Также помните, что пользователи уже имеют полные права на любые файлы в своей папке профиля на локальном компьютере в любом случае (и, вероятно, на съемном носителе), поэтому отключили учетные данные, или нет, они могут делать то, что им нравится с этими данными. Они также не будут работать на локальном компьютере, как только он снова подключится к сети.

Вы имеете в виду службы, которые предоставляет Active Directory или Контроллер домена, например LDAP? Если это так, LDAP часто разрывается безопасно для целей аутентификации и запросов к каталогам, но просто отключая брандмауэр Windows (или открывая все необходимые порты для публики - то же самое в этом примере) может вызвать серьезные проблемы.

AD не по-настоящему управлять Mac, поэтому потребуется отдельное решение (подумайте о OS X Server). Вы можете присоединиться к Mac к домену, но это немного больше, чем позволить им аутентифицировать сетевые учетные данные, устанавливать администраторов доменов в качестве локальных администраторов на Mac и т. Д. Нет групповой политики. MS пытается взломать эту почву новыми версиями SCCM, которые утверждают, что могут развертывать приложения в маки и * nix-боксы, но я еще не видел их в производственной среде. Я также считаю, что вы можете настроить macs для подключения к OS X Server, который будет аутентифицироваться в вашем каталоге на основе AD, но я мог ошибаться.

При этом могут быть разработаны некоторые творческие решения, такие как предложение Эвана использовать OpenVPN в качестве службы и отключение машинного сертификата, если / когда придет время, чтобы этот сотрудник ушел.

Похоже, что все основано на Google, поэтому Google действует как ваш сервер ldap? Я бы порекомендовал, чтобы мой клиент держал его таким образом, если это вообще возможно. Я не знаю характера вашего бизнеса, но для веб-приложений, таких как сервер git или redmine, даже если настройка в доме может проходить проверку подлинности с помощью OAuth, используя учетную запись Google.

Наконец, такая дорожная карта, как это было бы почти требовать VPN будет успешным. Как только машины будут доставлены в офис и настроены (или настроены удаленно с помощью сценария), им нужен способ получения каких-либо изменений в конфигурации.

Маки нуждаются в отдельном подходе к управлению в дополнение к VPN, слишком плохо, что они больше не делают настоящие серверы для Mac, но в прошлый раз, когда я проверил (пару лет назад), у них были некоторые достойные реализации политики в OS X Server ).


14
2018-02-06 19:10



На самом деле, Centrify используется в этой среде для управления политикой на нескольких Mac-системах прямо сейчас. - ewwhite
@ewwhite, что вы подразумеваете под управлением? Это выглядит не что иное, как центральная утилита проверки подлинности. - MDMoore313
@ MDMoore313 вы опаздываете на несколько часов, я выигрываю: chat.stackexchange.com/transcript/127?m=13626424#13626424 - :) - TheCleaner
@TheCleaner ха-ха, кажется, так, Вы выиграете на этот раз, вы хорошо знаете искусство Google Fu, но ваша техника ускользает от вас В моем лучшем кунг-фу с ужасным губным голосом. После того, как вы отправили свой ответ, мне пришлось искать вдвойне трудно найти тот, который не было ваш дубликат! - MDMoore313
LOL, не беспокойтесь ... в следующий раз, когда мы встретимся, победа может быть твоей. (в ужасном губном голосе) - TheCleaner


К сожалению, DirectAccess доступен только на Win7 + Enterprise Edition, потому что он специально разработан для вашего запроса. Но не зная вашего издания, и, увидев, что у вас MacOS, это не сработает.

/ Edit - похоже, что некоторые третьи стороны утверждают, что у них есть клиенты DA для Unices: http://www.centrify.com/blogs/tomkemp/what_is_microsoft_directaccess_and_unix_linux_interoperability.asp

Существуют решения MDM, которые могут работать в соответствии с вашими потребностями; мы перетаскиваем один из них (MAAS360) клиенту, который находится в аналогичной позиции.


7
2018-02-06 16:25





Это, очевидно, будет серьезным риском для безопасности. Кроме того, он, вероятно, не будет работать так хорошо, как вам бы хотелось. Если случайные люди в Интернете могут пытаться подключиться к вашей среде AD, вероятность того, что все ваши пользователи будут заблокированы. Навсегда. И удаление требований блокировки означает, что для простых паролей довольно легко проверить грубую силу.

Что еще более важно, у вас не должно возникнуть проблем с реализацией вашей цели (конечные пользователи регистрируются на ноутбуке с учетными данными домена), не делая серверы AD напрямую доступными. А именно, компьютеры Windows могут кэшировать последние успешные логины X, так что эти же учетные данные работают при отключении. Это означает, что конечные пользователи могут входить в систему и выполнять полезную работу, не прикасаясь к вашим серверам AD. Очевидно, что им нужно будет использовать VPN для подключения к другим основным корпоративным ресурсам и одновременно обновлять настройки AD / GPO.


5
2018-02-06 15:42



Насколько я знаю, AD не использует (или, по крайней мере, зависит от) трансляции для чего-либо, до тех пор, пока это было AD. Для некоторых технологий может потребоваться WINS, которая может вернуться к широковещательным запросам, если нет WINS-сервера, но это не относится к AD вообще. Если это зависело в широковещательных передачах, у вас не было бы удаленных пользователей без локальных контроллеров домена. - mfinni
Отредактировал эту строку. Спасибо за ввод. Cllearly такой парень Linux, как я, должен не посещать Windows. - Christopher Karel
Если бы это было так «очевидно», это не вопрос, не так ли? - Casey


Ewwhite,

Ваш вопрос чрезвычайно важен и заслуживает тщательного рассмотрения.

Все специалисты по безопасности рекомендуют уровни безопасности перед любым сетевым ресурсом, включая межсетевые экраны SPI, IDS, брандмауэры на основе хоста и т. Д. Когда это возможно, вы всегда должны использовать брандмауэр шлюза прокси-сервера, например ISA (теперь TMG).

Тем не менее, Microsoft Active Directory 2003+ не раскрывает основных уязвимостей, открытых публично. Технология LDAP и хэш-алгоритмы, как правило, очень безопасны. Это, возможно, более безопасно, чем SSL VPN, если SSL VPN запускает OpenSSL и уязвим для бровь.

Я бы предупредил 5 вещей:

  1. Будьте обеспокоены другими службами, которые сталкиваются с сетью, такими как Terminal Server, DNS Services, CIFS и особенно IIS с ее ужасной записью безопасности.

  2. Используйте LDAPS с сертификатом безопасности, чтобы избежать передачи четких текстовых учетных данных домена через провод. Это происходит автоматически после установки служб сертификации (используйте отдельную машину для PKI)

  3. Поместите пакетный сниффер на интерфейс и следите за своим трафиком, исправьте любые четкие текстовые пароли, потому что брандмауэр или нет, если вы не используете VPN или LDAPS, некоторые устаревшие системы отправят четкие текстовые пароли.

  4. Знайте, что атаки MITM могут заставить механизмы собственной аутентификации понизить и подвергнуть пароли более слабой аутентификации NTLM.

  5. Помните о некоторых уязвимостях перечисления пользователей, которые могут все еще существовать.

Тем не менее, Active Directory имеет отличную репутацию для безопасности. Кроме того, MS Active Directory не хранит пароли, а только хеши, которые также могут снизить степень компромисса.

Вы можете использовать более совершенную инфраструктуру безопасности, вам не нужно устанавливать специальные DNS-серверы или использовать domain.local, и вы можете использовать свой фактический домен в общедоступном Интернете, таком как domain.com.

По моему профессиональному мнению, существует значительная польза для развертывания технологий безопасности, таких как Active Directory, публично, где другие технологии, такие как Exchange, DNS и веб-серверы, просто не приносят никакой пользы и всего риска.

Примечание. При развертывании Active Directory он будет включать DNS-сервер. Обязательно отключите рекурсию на своих DNS-серверах (включен по умолчанию) или вы абсолютно будете участвовать в атаках на отказ в обслуживании.

Ура,

-Брайан


2
2017-09-05 09:38





Dell (через покупку Quest (через покупку Vintela)) имеет кросс-платформенное решение, которое часто развертывается на предприятиях F500 для это прямое назначение,

Что нужно учитывать ...

  1. Всегда ли подключены ваши пользователи? Если это так, вам лучше всего будет предлагаться гибкая среда хостинга на основе VM, которая может сгибаться, когда множество активных пользователей забивают LDAP
  2. Вы работаете в нескольких физических центрах обработки данных? Рассмотрим географическую балансировку нагрузки перед службами AD, чтобы уменьшить количество переходов между пользователями и вашими системами
  3. Кроме того, если ответ на # 2 да, то убедитесь, что вы настроили некоторые выделенные сетевые ресурсы для репликации вашего леса, как показано Вот

И убедитесь, что ваше решение для брандмауэра способно обрабатывать чрезвычайно высокие частоты повторной передачи, если у вас есть пользователи на дросселированных восходящих линиях, подключаясь от шумных беспроводных центров и т. Д.


-3
2018-02-07 00:47



Как это управляет машинами Windows или защищает что-либо вроде DC, который подвергается воздействию Интернета? Он не читает, как будто это вообще. - mfinni
Неправильная ссылка, спасибо за фиксацию. - subulaz