ИТ администратор може да закључа ДМЗ из спољне перспективе, али не успе да стави тај ниво безбедности на приступ ДМЗ-у из интерне перспективе јер ћете морати да приступате, управљате и надгледате и ове системе унутар ДМЗ-а, али у малој другачији начин него што бисте то урадили са системима на вашем интерном ЛАН-у. У овом посту ћемо разговарати о Мицрософт препорученим Најбоље праксе за ДМЗ контролер домена .
Шта је ДМЗ контролер домена?
У рачунарској безбедности, ДМЗ, или демилитаризована зона, је физичка или логичка подмрежа која садржи и излаже екстерне услуге организације већој и непоузданој мрежи, обично Интернету. Сврха ДМЗ-а је да дода додатни слој безбедности ЛАН-у организације; екстерни мрежни чвор има директан приступ само системима у ДМЗ-у и изолован је од било ког другог дела мреже. У идеалном случају, никада не би требало да постоји контролер домена који се налази у ДМЗ-у који би помогао у аутентификацији ових система. Све информације које се сматрају осетљивим, посебно интерни подаци, не би требало да се чувају у ДМЗ-у или да се ДМЗ системи ослањају на њих.
отварање рпт датотеке
Најбоље праксе за ДМЗ контролер домена
Мицрософт Ацтиве Дирецтори тим је ставио на располагање а документацију са најбољим праксама за покретање АД у ДМЗ-у. Водич покрива следеће АД моделе за периметарску мрежу:
- Нема Ацтиве Дирецтори (локални налози)
- Модел изоловане шуме
- Модел проширеног корпоративног шума
- Форест труст модел
Водич садржи упутство за одређивање да ли Услуге домена активног директоријума (АД ДС) је прикладан за вашу периметарску мрежу (познату и као ДМЗ-ови или екстранети), различите моделе за примену АД ДС-а у периметарским мрежама и информације о планирању и примени за контролере домена само за читање (РОДЦ) у периметарској мрежи. Пошто РОДЦ-ови пружају нове могућности за периметарске мреже, већина садржаја у овом водичу описује како да планирате и примените ову функцију Виндовс Сервер 2008. Међутим, други модели Ацтиве Дирецтори представљени у овом водичу су такође одржива решења за вашу периметарску мрежу.
То је то!
Укратко, приступ ДМЗ-у из интерне перспективе треба да буде закључан што је чвршће могуће. То су системи који потенцијално могу да држе осетљиве податке или имају приступ другим системима који имају осетљиве податке. Ако је ДМЗ сервер компромитован и интерни ЛАН је широм отворен, нападачи одједном имају пут до ваше мреже.
промените локализацију прозора 10
Прочитајте следеће : Верификација предуслова за промоцију контролора домена није успела
Да ли контролер домена треба да буде у ДМЗ?
Не препоручује се јер излажете контролере домена одређеном ризику. Шума ресурса је изоловани АД ДС модел шуме који је распоређен у вашој периметарској мрежи. Сви контролори домена, чланови и клијенти придружени домену налазе се у вашем ДМЗ-у.
читати : Није могуће контактирати контролор домена Ацтиве Дирецтори за домен
Можете ли да се распоредите у ДМЗ?
Можете да примените веб апликације у демилитаризованој зони (ДМЗ) да бисте омогућили спољним овлашћеним корисницима ван заштитног зида ваше компаније да приступе вашим веб апликацијама. Да бисте обезбедили ДМЗ зону, можете:
- Ограничите изложеност порта окренутом Интернету на критичним ресурсима у ДМЗ мрежама.
- Ограничите изложене портове на само потребне ИП адресе и избегавајте постављање џокер знакова у одредишни порт или уносе хоста.
- Редовно ажурирајте све јавне ИП опсеге у активној употреби.
читати : Како променити ИП адресу контролора домена .
слушалице не раде Виндовс 10
