服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 生产机器的活动目录或工作组
Intereting Posts
Coldfusion服务器扣球并采取行动 如何为Munin设置HTTP身份validation? 更新Letsencrypt证书 域控制器networkingconfiguration文件作为公共开始 在DELL PowerEdge R410中切换SATA磁盘 iptables的规则顺序 木偶3.2.4:堆叠层次太深 客户端地址在事件日志中显示不正确 用户如何支持如何确定问题的优先级? 按string的位置分割大型的sql文件,或者从上次的失败中启动sql 使用date范围linux shell或C创build文件夹 兄弟姐妹在/ proc / cpuinfo中表示什么? 清洁Debian安装后丢失的软件包 使用hiera在example42 / apache中包含模块 一个更好的廉价2节点群集

生产机器的活动目录或工作组

老派的思想是应用程序和数据库服务器不应该是域的一部分。 我有我的networking设置,只有应用程序服务器可以与数据库服务器通信。 应用程序服务器在他们自己的工作组中,而数据库服务器在他们自己的工作组中。 服务器与networking的其他部分完全隔离,开发人员通过vpn / rdp访问。 这是build立基础设施的好方法吗?

我问的原因是我终于用Active Directory更新了环境,如果合适,有一个重新devisenetworking体系结构的窗口。

我不是一个真正的系统pipe理员,但需要履行的angular色…

编辑

我非常感谢大家的耐心和帮助。 我对Active Directory知之甚less。 我主要担心的是一台用户机器将会受到攻击(僵尸),并且这台受感染的机器可能被用来通过AD访问生产服务器。 使用AD会使我的生活变得轻松许多,但是单一的妥协会给公司带来毁灭性的打击。 目前,未经授权的用户访问内部生产服务器的可能性非常小。

无论如何,似乎共识是AD不会增加生产服务器的风险,这是一个普遍可以接受的做法。 所以,我想我应该从我对AD的了解和正确的设置开始,或者看看是否有本地专家可以做到这一点。

感谢所有的信息。

我会把它们放在; 综合authentication的收益至less远大于任何可预见的缺点。 操作系统的整体pipe理将变得更加顺畅,如果你的应用程序和数据库有一个安全模型,使他们有自己的专用pipe理员,并且不允许标准的域pipe理员完全访问他们,你不是真的在那里失去了什么

我不确定是否担心你的AD受到损害在这里是有效的。 如果你的广告受到了损害,那么这意味着你有更大的问题呢?

大型企业使用Active Directory是有原因的。 这更有意义。 需要考虑的事项:

  • 如果我妥协了你的电脑,你在任何地方都有不同的密码,这意味着你可能有密码存储在某个地方,或者你将重新使用相同的密码。 不是每个人都会有一个体面的密码保险库。 无论哪种情况,我最终都会把密钥拿到别的地方。
  • 使用AD上的服务器,您将获得全局locking策略的优势。 这意味着如果您总共有超过Y分钟的X次login失败,则帐户将被locking。 所以我没有在这里获得X的机会,X有机会在那里,另一个X的机会总共有3倍的机会(如果你重新使用密码)。 我得到X.当X> 0时,X <3X。
  • GPO的。 托pipeconfiguration,如限制匿名,审计设置,事件日志的大小,是否重命名pipe理员,是否允许LM哈希或执行NTLM等。所有这些都可以从AD控制并推送并自动执行。 从安全的angular度来看,这是一个很好的IT审计人员会告诉你的手动服务器通过服务器stream程的冲击。
  • 单一来源的安全性。 你有一个用户去stream氓。 你弄明白了 您在该域上禁用该用户的帐户。 你猜怎么了? 该用户没有在其他地方login。 你用多个不同的系统来尝试,你将不得不击中每一个。

看,你仍然可以硬件防火墙的关键服务器,这是一个好主意,雕刻适当的漏洞,使这些服务器可以与DC交谈,因此客户端只能与正确的端口上的这些服务器交谈。 例如,没有理由为什么最终用户应该拥有对数据库服务器的NetBIOS访问权限。 文件服务器没有必要与SQL Server交谈,所以不要让他们。 然后你限制整个表面积。

我想不出有什么理由将DB和App服务器从域中分离出来。 我们正在森林中运行大量的SQL和Oracle服务器以及应用程序服务器(超过100个)。

我不敢想象,如果把他们分离到工作组中,我们的后勤工作将会是多么的痛苦。

复杂性是安全的敌人 。 把你的服务器放在Active Directory中。

我会把服务器放在AD内,正如其他人所build议的那样。 如果您真的关心安全性,请将这些特定的服务器放在一个单独的VLAN中,只允许它们与特定端口上的特定主机进行通信。 这将防止RDP,UNC访问等,只允许什么是必要的。

AD&域允许服务器的集中pipe理限制用户帐户,GPO,Internet浏览,安装软件等事情,名单是无止境的。 更不用说密码重置,如果在10台机器上使用的帐户被泄漏,因为在一个工作组中的10台机器login和重置,现在如果这是100台机器疯了,更不用说如果你错过了一台机器一个洞。 除非你开始写脚本。

如果从工作站networking上分离生产机器真的是你想要做的,那么你可以在两个networking之间进行防火墙,并且仍然在相同的AD上。

或者根据需要有两个完全独立的信任域(或不信任域)。

或拥有2个森林的域名

还是那个名单是无止境的,它真的是你的需求。

您的担心之一是用户的机器感染了病毒,然后感染生产服务器(如果它们都在AD上)。 AD不能这样工作。 AD本身就是你的域的数据库。

如果机器A有病毒并且可以通过networking访问机器B,则机器A可以攻击机器B.不涉及广告。 机器A正在做一个病毒来攻击另一台机器。 它可以尝试和机器B蛮力,它可以尝试一个RPC攻击等。 AD与启用附加function无关。 这种情况下需要的是两个networking之间的防火墙。 所以你将有工作networkingA和生产networkingB. 这是公司常见的设置,就是如何防止你担心的事情。

查看埃文关于AD的答案 。

我同意Izzy。 域名使pipe理这些服务器变得更加容易,从而使他们更安全。

看起来你知道一些AD,但不是很多,所以我build议你去参加AD的入门课程,或者做一个AD和Windows Server Management更深入的课程。 它会回答你的问题,而pipe理课程的人应该能够用假设的scheme回答你的一些问题。 你应该能够把你当前的networking布局给他们,他们应该给你提供改进的地方,为什么把服务器集成到AD中是一个好主意,如何保护他人等等。

如果你的公司重视你作为系统pipe理员,他们可能会为你的课程付费,这是一个奖金。

但是我要和大家一起讨论这个问题:一定要把你的服务器添加到AD中,但是要做到这一点。 我无权准确地说出你的组织是正确的,因为我什么都不知道,但是尽可能多地locking它,而不必让需要使用它的人无法使用它。

这里有一个假设的情况,可能会让您再次想到将您的服务器添加到AD:您有一个开发人员或同系统pipe理员,谁被终止。 你的老板打电话给你,说:“这个人必须立即被锁在系统外面,我们怀疑他们可能试图从我们这里窃取受HIPAA保护的信息,他不再在这里工作,现在把他锁了。 (我假设你们有HIPAA涵盖的数据,正如你提到的医疗保健)

使用您当前的设置,您不仅需要locking自己的AD帐户,还必须访问每台服务器,并禁用其帐户。 如果服务器位于AD,您可以立即在不到30秒的时间内禁止他访问这些服务器。 这是一个简单的问题:RDP到DC,打开Active Directory用户和计算机,右键单击他的名字,单击禁用。 Bam,完成了。 他被锁在外面

但是,一旦你明白了保证他们安全的最好方法,那么一定要把他们变成公元。

工作组中的服务器是大多数networking的pipe理噩梦。 获得的安全性比真实的想象更多。 如果受感染的机器具有访问服务器的权限,则不pipe是工作组还是域服务器都不是问题。 由于权限在域级别上更容易pipe理,我相信域中的服务器实际上增强了安全性,当然这一切都是正确的。