我们的客户有一个位于不安全位置的DC。 pipe理层不允许使用RODC和单独的域/森林。
所有服务器将位于VMWare ESX服务器上。
我对VMWare,Windows,ADconfiguration和设置感兴趣,这些configuration和设置将保护Windows 2008R2或更新的DC免受危害。
一个可能帮助的示例configuration是使用
这几乎就是RODC所devise的 – 服务器可能在物理上受到损害的情况。
获得对RODC的物理访问将使攻击者能够深入了解您的域及其结构,以及已明确设置密码复制到RODC的用户的密码哈希值。
但是,这比常规的DC好得多,物理访问意味着攻击者可以轻松获得对域名的控制权,而不需要额外的凭据; RODC上的单向复制可确保攻击者无法将恶意更改发送到AD中。
RODC是您正在寻找的解决scheme,您应该将这种情况提交给pipe理层。
说起曾经被迫把一台服务器(不是一个DC)的服务器放在一个没有浴室的壁橱里,门被打开,天花板上的一个洞可以看到天空,而且脚下的交通路过,我很好奇至于地点是多么不安全。 如果他们能把你的服务器提升到一个肩膀上,并在半夜中走出去,那么你可以做的不多。
看起来你想要像斯宾塞那样的build议 – 而且这些都很好 – 但我认为,不是技术性的解决scheme,你需要说服pipe理层使用RODC或说服pipe理层把DC放在更安全的地方。 也许这个来自DefCon 21的演示将有助于:
所以你认为你的域控制器是安全的?
JUSTIN HENDRICKS安全工程师,MICROSOFT
域控制器是一个组织的皇冠上的gem。 一旦他们下降,领域的一切都会下降。 组织竭尽全力保护他们的域控制器,然而他们经常无法正确保护用于pipe理这些服务器的软件。
本演示文稿将介绍通过滥用组织部署和使用的常用pipe理软件来获取域pipe理员的非传统方法。
Justin Hendricks在Office 365安全团队工作,参与红色团队,渗透testing,安全研究,代码审查和工具开发。
我倾向于赞同谢恩,这正是RODC存在的原因。 pipe理层为什么禁止使用RODC? 把你的组织的大脑放在一个不安全的位置是一个坏主意。
至于BitLocker,它是一个好主意,但它看起来不像它的支持。 我build议在虚拟机内部使用TrueCrypt FDE(全盘encryption)。 这将取代boot-loader并强制您input密码以启动。
该服务器将运行什么其他服务? 我肯定会build议使用某种你认为合适的日志收集服务和审计警报。 也许login尝试?
另一个考虑是如何保护实际的ESX主机,因为据我所知,没有办法从ESX主机的控制台实际访问虚拟机。 所以,如果磁盘是encryption的,就像攻击者一样在你的networking上,只有你的PDC有相同的可见性。 这意味着可能不同的VLans和只有某些端口打开。