A cosa serve un controller di dominio di sola lettura?

18

Windows Server 2008 ha introdotto controller di dominio di sola lettura, che ricevono una replica completa del database di dominio ma non possono modificarlo, proprio come un buon vecchio BDC di Windows NT.

Conosco tutti i dettagli tecnici su come eseguire quei semi-DC (ho appena superato 70-646 e 70-647), ma non ho ancora una risposta chiara alla domanda più importante di tutte: perché dovresti li usi ?

Questo commento di TheCleaner lo riassume davvero per me:

@Massimo - sì, hai ragione. Stai cercando un motivo convincente per un RODC e non ce n'è uno. Ha alcune funzionalità di sicurezza aggiuntive per aiutare ad alleviare la sicurezza delle filiali e in realtà deve essere implementato solo se non si dispone già di un controller di dominio e si è ansiosi della sua sicurezza.

Era lo stesso che stavo pensando ... un piccolo aumento della sicurezza, sì, certo, ma sicuramente non tanto per valere la seccatura.

windows-server-2008  active-directory  domain-controller 
Massimo
fonte

Risposte:

10

Ti darò uno scenario del mondo reale:

  • ne abbiamo uno nella nostra filiale in Cina

Lo usiamo perché non c'è un reparto IT lì, gestiamo tutte le richieste di account AD, ecc. Qui negli Stati Uniti. Avendo un RODC sappiamo che:

  1. Nessuno può accedervi e provare a "hackerare" in AD.
  2. Nessuno può rubarlo e ottenere qualcosa di utile per poi tornare con "hackerare" sulla rete in seguito.

Avendo AD / DNS di sola lettura non dobbiamo preoccuparci dei tentativi di manipolare i dati sul DC lì.

Ciò è dovuto alle funzionalità disponibili qui: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

È più "tranquillità" di ogni altra cosa per noi ... inoltre ha permesso l'installazione di un server molto minimale dato che era solo il core del server con il ruolo RODC installato. Lo abbiamo inserito su un vecchio server 1U con 2 unità Raid-1 da 18 GB. Ne abbiamo effettivamente messi 2 in ... stessa identica configurazione usando hardware non garantito precedente che avevamo nei rack.

Semplice, fa quello che deve fare e non dobbiamo preoccuparci. Se una delle scatole fallisce, la sostituiremmo semplicemente.

TheCleaner
fonte
1
Hai detto che nessuno può accedervi; ma nessuno sarebbe in grado di accedere anche a un controller di dominio standard, se non avesse le credenziali di dominio appropriate. Dov'è la sicurezza migliorata? A proposito di rubarlo: come esattamente una DC scrivibile rubata sarebbe più pericolosa di una DC di sola lettura?
Massimo
2
@Massimo - facendo riferimento al login, questo è solo un problema se la persona ha i diritti di accesso localmente, hai ragione. Tuttavia, li concediamo a pochi account lì in modo che possano controllare i backup / gli swap su nastro di backup. Per la sicurezza fisica, una DC scrivibile rubata ti dà la possibilità di capire le loro credenziali e password e tornare in rete in seguito per ulteriori dati ... il RODC no.
TheCleaner,
@Massimo - Ho notato nel tuo OP che hai detto "replica completa" ... questo è vero TRANNE per le password. Non replica le password, quindi finisce per essere la più grande funzionalità di sicurezza per il furto.
TheCleaner,
Concordato per le password. Ma non vengono comunque archiviati utilizzando la crittografia unidirezionale? È sicuramente meglio se qualcuno non li prende affatto, ma non credo che decifrare le password di AD sia così facile.
Massimo
3
Il controller di dominio di sola lettura non memorizza gli hash delle password se si disabilita la memorizzazione nella cache ... Credo che memorizzi il "token di accesso". Sì, inizialmente il client esegue l'autenticazione con il controller di dominio reale in una posizione diversa. Vedi qui: devendrathatte.blogspot.com/2009/04/… e qui: milesconsultingcorp.com/…
TheCleaner,
10

Ho un intero capitolo su questa funzione nel mio libro (www.briandesmond.com/ad4/). Il fatto è che questa è una funzionalità di sicurezza e per le organizzazioni distribuite è un grosso problema.

Ci sono due scenari davvero grandi qui:

-> I controller di dominio di sola lettura non memorizzano password per impostazione predefinita. Ciò significa che se qualcuno ottiene fisicamente i dischi dal server, non ottiene tutte le password dell'utente (e del computer).

La risposta corretta se qualcuno ruba un RWDC è reimpostare TUTTE le password nel dominio in quanto è possibile considerarle tutte compromesse. Questa è un'impresa importante.

Con un controller di dominio di sola lettura puoi solo memorizzare nella cache le password per il sottoinsieme X di utenti e computer. Quando il controller di dominio di sola lettura memorizza effettivamente la password nella cache, memorizza tali informazioni in Active Directory. Se il controller di dominio di sola lettura viene rubato, ora hai un piccolo elenco di password che devono essere ripristinate.

-> I controller di dominio di sola lettura si replicano in un modo. Se qualcuno ti rubasse RWDC, apportasse alcune modifiche e lo ricollegasse, tali modifiche si replicerebbero nell'ambiente. Ad esempio, potrebbero aggiungersi al gruppo degli amministratori di dominio o ripristinare tutte le password dell'amministratore o qualcosa del genere. Con un RODC questo non è semplicemente possibile.

Non c'è miglioramento della velocità a meno che tu non stia posizionando un controller di dominio di sola lettura in una posizione che prima non aveva un DC e quindi è probabile che ci sia un miglioramento della velocità in alcuni scenari.

La risposta di TheCleaner è davvero errata. Ci sono MOLTI scenari avvincenti per i controller di dominio di sola lettura e posso pensare a diverse distribuzioni di essi su vasta scala. Questa è roba di sicurezza semplice, non roba "analista sulla sicurezza".

Grazie,

Brian Desmond

MVP di Active Directory

Brian Desmond
fonte
Brian, grazie per la risposta dettagliata, ma sono ancora curioso come prima di alcune cose: 1) Se qualcuno può ottenere un controller di dominio, come può apportare modifiche al dominio, se non ha un amministratore account? Non sarebbe nemmeno in grado di accedere. 2) Se qualcuno ruba un controller di dominio, come può ottenere le password dal database AD? Sono memorizzati in un database proprietario, utilizzando la crittografia unidirezionale (e piuttosto potente, IIRC). 3) Se il tuo DC viene rubato e chi lo ha rubato può accedere alla tua rete e riconnetterlo, qualcosa è sicuramente rotto nella tua sicurezza ... e nessun RODC lo risolverà.
Massimo,
1
Per quanto riguarda 1 e 2, ci sono strumenti disponibili su Internet che saranno lieti di prendere un database AD e leggere / scrivere direttamente su di esso. Tutto quello che devi fare è inserire i dischi rigidi in qualche posto che lo contengono e aprirli da un'altra macchina. Concordato il 3 in una certa misura. Molte organizzazioni hanno centinaia di DC nelle filiali di tutto il mondo. Posso dirti in prima persona che far rispettare la sicurezza fisica in un armadio a 10.000 miglia dalla tua scrivania è quasi impossibile.
Brian Desmond,
Se un cattivo ha accesso al tuo hardware, non è più il tuo hardware. Per cominciare, usi Bitlocker per i tuoi DC attuali? Altrimenti, considera di farlo per iniziare o con qualche altra crittografia del disco completo ... se i cattivi hanno i tuoi dati - sei SOL ^^
Oskar Duveborn,
1

Sono necessari i controller di dominio di sola lettura in presenza di numerose filiali con scarsa sicurezza fisica e / o connettività di rete lenta o inaffidabile. Esempi:

  • Fornitore medico con un ufficio centrale e cliniche storefront che si spostano frequentemente e utilizzano DSL / Cable per la connettività
  • Una società con strutture in aree remote in cui l'infrastruttura telco è inaffidabile o in cui sei costretto a utilizzare reti cellulari o satellitari.

La maggior parte delle organizzazioni ha standard di sicurezza fisica per le apparecchiature remote. Se non è possibile soddisfare tali requisiti, i controller di dominio di sola lettura consentono di fornire l'autenticazione ad alta velocità per l'accesso alle applicazioni locali e alle condivisioni di file. Consentono inoltre di limitare il numero di credenziali archiviate sul server. Un server compromesso compromette solo gli utenti nella posizione remota. Un controller di dominio completo con 75.000 utenti espone tutti quegli utenti in caso di compromesso locale.

Se lavori in un'azienda più piccola, non è affatto un grosso problema. Sono pronto a implementarli con BitLocker perché i controller di dominio di sola lettura riducono notevolmente il rischio per la sicurezza.

duffbeer703
fonte
1

Utilizzeremo RODC in una DMZ basata su questo articolo TechNet . Impostazione di una nuova foresta per i servizi Web con un controller di dominio di sola lettura in DMZ.

Team IT
fonte
0

Principalmente per la sicurezza, ma anche per la velocità.

Vedi la breve scrittura qui

geeklin
fonte
2
Non sono d'accordo con la cosa della "velocità". Se gli utenti devono autenticarsi con un controller di dominio "reale", il controller di dominio di sola lettura non accelera effettivamente nulla: avere un controller di dominio scrivibile disponibile nel sito anziché il controller di dominio di sola lettura sarebbe effettivamente più veloce .
Massimo
0

Un controller di dominio di sola lettura contiene una copia di sola lettura dell'AD e ne usi una in una filiale in cui non è presente personale IT e pertanto non è possibile garantire la sicurezza o l'integrità della sala server. Nel caso in cui il RODC venisse compromesso, sei al sicuro nella consapevolezza che chiunque lo compromette avrà accesso al tuo AD solo nello stato in cui si trovava al momento della scoperta. Nessuna modifica apportata verrà replicata nei controller di dominio principali. Ciò significa che chiunque lo comprometta non può fare cose brutte come elevarsi a Domain Admin, bloccare i propri amministratori e avere la propria strada malvagia con l'intera rete.

Maximus Minimus
fonte
Cosa intendi con "nessuna modifica apportata verrà replicata"? Se riesco ad avere accesso amministrativo ad AD, che è necessario per cambiare qualcosa, allora posso connettere ADUC a un DC "reale" (o RDP in esso) e apportare le mie modifiche direttamente . E se non riesco a ottenere l'accesso amministrativo, non posso fare nulla anche se ho un controller di dominio seduto sul mio tavolo.
Massimo
2
@Massimo - sì, hai ragione. Stai cercando un motivo convincente per un RODC e non ce n'è uno. Ha alcune funzionalità di sicurezza aggiuntive per aiutare ad alleviare la sicurezza delle filiali e in realtà deve essere implementato lì solo se non si dispone già di un controller di dominio e si è ansiosi della sua sicurezza.
TheCleaner,
@Massimo Non è necessario l'accesso amministrativo ad AD per modificare nulla: avviare da un DVD e scrivere direttamente nei database AD.
Richard Gadsden,
0

I controller di dominio di sola lettura sono utili per le grandi organizzazioni aziendali, i servizi di directory aziendali concorrenti come Novell eDirectory hanno repliche di sola lettura per anni.

0

Un altro vantaggio dei controller di dominio di sola lettura è che ti permetteranno di avere controller di dominio funzionanti mentre esegui un ripristino di emergenza, che comporta l'eliminazione di tutti i controller di dominio normali per ricostruire Active Directory. Non è necessario disattivare i controller di dominio di sola lettura in tali situazioni.

JPS
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.