Soll ich mein Active Directory für Remotebenutzer dem öffentlichen Internet aussetzen?

Ich habe einen Kunden, dessen Belegschaft sich ausschließlich aus Remote-Mitarbeitern zusammensetzt, die eine Mischung aus Apple- und Windows 7-PCs / -Laptops verwenden.

Die Benutzer authentifizieren sich derzeit nicht bei einer Domain, aber die Organisation möchte aus mehreren Gründen in diese Richtung gehen. Hierbei handelt es sich um firmeneigene Computer, und das Unternehmen möchte die Deaktivierung von Konten, Gruppenrichtlinien und die Vermeidung von Datenverlusten (Deaktivieren von Remotemedien, USB usw.) in gewissem Maße kontrollieren. Sie sind besorgt, dass für den Zugriff auf AD eine VPN-Authentifizierung erforderlich ist wäre umständlich, vor allem an der Schnittstelle eines gekündigten Mitarbeiters und zwischengespeicherter Anmeldeinformationen auf einem entfernten Rechner.

Die meisten Dienste in der Organisation basieren auf Google (E-Mail, Datei, Chat usw.), daher sind die einzigen Domänendienste DNS und die Authentifizierung für ihr Cisco ASA VPN.

Der Kunde möchte verstehen, warum es nicht akzeptabel ist , seine Domänencontroller der Öffentlichkeit zugänglich zu machen. Was ist darüber hinaus eine akzeptablere Domänenstruktur für eine verteilte Remote-Belegschaft?

Bearbeiten:

Centrify wird für eine Handvoll Mac-Clients verwendet.

Ich poste dies als Antwort, hauptsächlich, weil jeder seine eigene "gebildete Meinung" hat, die auf Erfahrung, Informationen von Drittanbietern, Hörensagen und Stammeswissen innerhalb der IT basiert, aber dies ist eher eine Liste von Zitaten und Lesungen "direkt" von Microsoft. Ich habe Zitate verwendet, weil ich sicher bin, dass sie nicht alle Meinungen ihrer Mitarbeiter richtig filtern. Dies sollte sich jedoch als hilfreich erweisen, wenn Sie authoritativeReferenzen direkt von Microsoft benötigen .

BTW, ich denke auch , es ist sehr einfach Domänencontroller == Active Directory zu sagen, was nicht ganz der Fall ist. AD FS-Proxys und andere Mittel (formularbasierte Authentifizierung für OWA, EAS usw.) bieten eine Möglichkeit, AD selbst im Web bereitzustellen, damit Clients zumindest versuchen können, sich über AD zu authentifizieren, ohne die Domänencontroller selbst bereitzustellen. Gehen Sie auf jemandes OWA - Website und versuchen, Login und AD wird die Anforderung für die Authentifizierung auf einem Back - End - DC erhalten, so AD technisch ist „ausgesetzt“ ... sondern wird über SSL und Proxy über einen Exchange - Server gesichert.

Zitat # 1

Richtlinien für die Bereitstellung von Windows Server Active Directory auf virtuellen Windows Azure-Computern

Bevor Sie zu "Azure ist nicht AD" wechseln, KÖNNEN Sie ADDS auf einer Azure-VM bereitstellen.

Aber um die relevanten Bits zu zitieren:

Setzen Sie STS niemals direkt dem Internet aus.

Platzieren Sie STS-Instanzen aus Sicherheitsgründen hinter einer Firewall und verbinden Sie sie mit Ihrem Unternehmensnetzwerk, um eine Gefährdung des Internets zu vermeiden. Dies ist wichtig, da die STS-Rolle Sicherheitstoken ausgibt. Aus diesem Grund sollten sie genauso geschützt werden wie Domänencontroller. Wenn ein STS kompromittiert wird, können böswillige Benutzer Zugriffstoken ausstellen, die möglicherweise Ansprüche ihrer Wahl enthalten und sich auf Anwendungen von Parteien und andere STS in vertrauenswürdigen Organisationen stützen.

Ergo ... setzen Sie Domänencontroller nicht direkt dem Internet aus.

Zitat # 2

Active Directory - Das UnicodePwd-Geheimnis von AD LDS

Das Aussetzen eines Domänencontrollers gegenüber dem Internet ist normalerweise eine schlechte Praxis, unabhängig davon, ob diese Exposition direkt aus der Produktionsumgebung oder über ein Umkreisnetzwerk stammt. Die natürliche Alternative besteht darin, einen Windows Server 2008-Server mit der Active Directory-LDS-Rolle (Lightweight Directory Services) im Umkreisnetzwerk zu platzieren.

Zitat Nr. 3 - nicht von MS ... aber nützlich, um nach vorne zu schauen

Active Directory als Dienst? Azure, Intune deutet auf eine in der Cloud gehostete AD-Zukunft hin

Am Ende gibt es keine gute "kurze" Antwort, die das Ziel erreicht, das Büro des AD-Servers gegen eine Azure-Alternative freizumachen. Microsoft ist zwar selbstgefällig darin, Kunden das Hosten von Active Directory-Domänendiensten auf Server 2012- und 2008 R2-Boxen in Azure zu gestatten, ihre Nützlichkeit ist jedoch nur so gut wie die VPN-Konnektivität, die Sie für Ihre Mitarbeiter bereitstellen können. Obwohl DirectAccess eine vielversprechende Technologie ist, sind ihm aufgrund seiner eigenen unglücklichen Einschränkungen die Hände gebunden.

Zitat Nr. 4

Bereitstellen von AD DS oder AD FS und Office 365 mit einmaligem Anmelden und virtuellen Windows Azure-Maschinen

Domänencontroller und AD FS-Server sollten niemals direkt dem Internet ausgesetzt und nur über VPN erreichbar sein

Active Directory (AD) wurde nicht für diese Art der Bereitstellung entwickelt.

Die im Produktdesign verwendeten Bedrohungsmodelle gehen von einer "Hinter der Firewall" -Verwendung aus, bei der einige feindliche Akteure an der Netzwerkgrenze gefiltert werden. Sie können Windows Server zwar sicher vor dem Zugriff auf ein öffentliches Netzwerk schützen, für das ordnungsgemäße Funktionieren von Active Directory ist jedoch eine Sicherheitsposition erforderlich, die deutlich langsamer ist als die eines Hosts, der für öffentliche Netzwerke geschützt ist. Eine Menge von Dienstleistungen haben von einem Domänen - Controller (DC) für AD Arbeit richtig belichtet werden.

Der Vorschlag von Zoredache in den Kommentaren, der sich insbesondere auf OpenVPN bezieht, das als maschinenweiter Dienst mit Zertifikatauthentifizierung ausgeführt wird, passt möglicherweise gut. DirectAccess ist, wie bereits erwähnt, genau das, was Sie benötigen, mit der Ausnahme, dass es nicht die plattformübergreifende Unterstützung bietet, die Sie möchten.

Übrigens: Ich habe mit der Idee gespielt, mit zertifikatsbasiertem Transportmodus IPSEC AD direkt im Internet verfügbar zu machen, hatte aber nie Zeit dafür. Microsoft hat Änderungen im Zeitrahmen von Windows Server 2008 / Vista vorgenommen, die dies angeblich möglich gemacht haben, aber ich habe es nie wirklich ausgeübt.

Was alle anderen gesagt haben. Ich bin besonders nervös wegen der Brute-Force-Versuche, die Christopher Karel erwähnt hat. Eine Präsentation auf der letzten Def Con war zum Thema:

Sie denken also, Ihr Domänencontroller ist sicher?

JUSTIN HENDRICKS SECURITY ENGINEER, MICROSOFT

Domänencontroller sind die Kronjuwelen einer Organisation. Sobald sie fallen, fällt alles in der Domäne. Unternehmen sind sehr bemüht, ihre Domänencontroller zu sichern. Oftmals können sie jedoch die zur Verwaltung dieser Server verwendete Software nicht ordnungsgemäß sichern.

Diese Präsentation behandelt unkonventionelle Methoden, um Domänenadministratoren durch den Missbrauch häufig verwendeter Verwaltungssoftware zu gewinnen, die von Organisationen bereitgestellt und verwendet werden.

Justin Hendricks arbeitet im Office 365-Sicherheitsteam, wo er in den Bereichen Red Teaming, Penetrationstests, Sicherheitsforschung, Codeüberprüfung und Toolentwicklung tätig ist.

Ich bin sicher, Sie können viele andere Beispiele finden. Ich habe nach Artikeln über Domänencontroller und Hacking gesucht, in der Hoffnung, eine Beschreibung darüber zu erhalten, wie schnell der Domänencontroller gefunden werden würde usw., aber ich denke, das reicht für den Moment.

Wenn Sie versuchen, das Management zu überzeugen, ist Folgendes ein guter Anfang:

It goes against Microsoft's Best Practices for Active Directory Deployment.

Update : Lesen Sie diesen Technet-Artikel zum Schutz von Domänencontrollern vor Angriffen und den Abschnitt mit dem Titel Perimeter Firewall Restrictions:

Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet. 

Und der Abschnitt mit Blocking Internet Access for Domain Controllersdem Titel, der besagt:

Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet

Ich bin mir sicher, dass Sie Microsoft-Dokumentation zu diesem Thema zusammenstellen können. Darüber hinaus können Sie die Gefahren eines solchen Umzugs wie folgt darlegen:

A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.

Zwischengespeicherte Anmeldeinformationen sind genau das - zwischengespeichert. Sie funktionieren auf dem lokalen Computer, wenn keine Verbindung zur Domäne hergestellt werden kann. Wenn dieses Konto deaktiviert ist, funktionieren sie jedoch nicht für Netzwerkressourcen (svn, vpn, smb, fbi, cia usw.), sodass sie sich darüber keine Gedanken machen müssen . Denken Sie auch daran, dass Benutzer bereits auf einem lokalen Computer (und wahrscheinlich auf Wechselmedien) über die vollständigen Rechte für alle Dateien in ihrem Profilordner verfügen, sodass die Anmeldeinformationen deaktiviert werden oder sie mit diesen Daten nicht das tun können, was sie möchten. Sie würden auch nicht für den lokalen Computer funktionieren, sobald er sich wieder mit dem Netzwerk verbindet.

Verweisen Sie auf die Dienste, die Active Directory oder ein Domänencontroller bereitstellt, z. B. LDAP? In diesem Fall wird LDAP häufig für Authentifizierungs- und Verzeichnisabfragezwecke sicher getrennt. Das Ausschalten der Windows-Firewall (oder das Öffnen aller erforderlichen Ports für die Öffentlichkeit - in diesem Beispiel dasselbe) kann jedoch zu schwerwiegenden Problemen führen.

Da AD Macs nicht wirklich verwaltet , ist eine separate Lösung erforderlich (denken Sie an OS X Server). Sie können einem Mac eine Domäne hinzufügen, dies reicht jedoch nicht aus, um ihn mit Netzwerkanmeldeinformationen zu authentifizieren, Domain-Administratoren als lokale Administratoren auf dem Mac festzulegen usw. Keine Gruppenrichtlinie. MS versucht, diesen Weg mit neueren Versionen von SCCM zu beschreiten, die behaupten, Anwendungen auf Macs und * nix-Boxen bereitstellen zu können, aber ich habe es noch nicht in einer Produktionsumgebung gesehen. Ich glaube auch, dass Sie die Macs so konfigurieren könnten, dass sie eine Verbindung zu OS X Server herstellen, der sich bei Ihrem AD-basierten Verzeichnis authentifizieren würde, aber ich könnte mich irren.

Abgesehen davon könnten einige kreative Lösungen entwickelt werden, z. B. der Vorschlag von Evan, OpenVPN als Dienst zu verwenden und das Maschinenzertifikat zu deaktivieren, wenn / wenn die Zeit gekommen ist, diesen Mitarbeiter gehen zu lassen.

Es hört sich so an, als ob alles auf Google basiert, also handelt Google als Ihr LDAP-Server? Ich würde meinem Kunden empfehlen, es so zu lassen, wenn es überhaupt möglich ist. Ich kenne die Art Ihres Unternehmens nicht, aber für webbasierte Apps wie einen Git- oder Redmine-Server kann sich OAuth mithilfe eines Google-Kontos auch dann authentifizieren, wenn das Setup intern erfolgt.

Schließlich würde ein Roadwarrior-Setup wie dieses fast ein VPN erfordern , um erfolgreich zu sein. Sobald die Computer in das Büro gebracht und konfiguriert (oder über ein Skript remote konfiguriert) wurden, müssen sie die Möglichkeit haben, Konfigurationsänderungen zu empfangen.

Die Macs bräuchten zusätzlich zum VPN einen separaten Verwaltungsansatz. Es ist schade, dass sie keine echten Mac-Server mehr herstellen, aber das letzte Mal, als ich sie überprüfte (vor ein paar Jahren), hatten sie einige anständige Richtlinienimplementierungen in OS X Server ).

Es ist bedauerlich, dass DirectAccess nur unter Win7 + Enterprise Edition verfügbar ist, da es auf Ihre Anforderungen zugeschnitten ist. Aber wenn Sie Ihre Edition nicht kennen und wissen, dass Sie MacOS haben, funktioniert das nicht.

/ Edit - Einige Drittanbieter geben an, DA-Clients für Unices zu haben: http://www.centrify.com/blogs/tomkemp/what_is_microsoft_directaccess_and_unix_linux_interoperability.asp

Es gibt MDM-Lösungen, die auf Ihre Anforderungen zugeschnitten sind. Wir rollen einen von ihnen (MAAS360) an einen Kunden aus, der sich in einer ähnlichen Position befindet.

Dies wäre offensichtlich ein erhebliches Sicherheitsrisiko. Außerdem würde es wahrscheinlich nicht so gut funktionieren, wie Sie möchten. Wenn zufällige Personen im Internet versuchen können, sich in Ihrer AD-Umgebung anzumelden, stehen die Chancen gut, dass alle Benutzer gesperrt werden. Für immer. Das Entfernen der Sperranforderungen bedeutet, dass es ziemlich einfach ist, nach einfachen Passwörtern zu suchen.

Noch wichtiger ist, dass Sie keine Probleme haben sollten, Ihr Ziel umzusetzen (Endbenutzer, die sich mit Domänenanmeldeinformationen an einem Laptop anmelden), ohne die AD-Server direkt zugänglich zu machen. Windows-Computer können nämlich die letzten X erfolgreichen Anmeldungen zwischenspeichern, sodass dieselben Anmeldeinformationen auch dann funktionieren, wenn die Verbindung getrennt wird. Dies bedeutet, dass sich Endbenutzer anmelden und nützliche Arbeiten ausführen können, ohne Ihre AD-Server berühren zu müssen. Sie müssen offensichtlich ein VPN verwenden, um eine Verbindung zu anderen wichtigen Unternehmensressourcen herzustellen, und können gleichzeitig die AD / GPO-Einstellungen aktualisieren.

Ewwhite,

Ihre Frage ist äußerst zutreffend und verdient eine sorgfältige Prüfung.

Alle Sicherheitsexperten empfehlen Sicherheitsebenen vor allen Netzwerkressourcen, einschließlich SPI-Firewalls, IDS, Host Based Firewalls usw. Sie sollten nach Möglichkeit immer eine Proxy-Perimeter-Gateway-Firewall wie ISA (jetzt TMG) ​​verwenden.

Allerdings wurden in Microsoft Active Directory 2003+ keine größeren Sicherheitslücken öffentlich bekannt gegeben. Die LDAP-Technologie und ihre Hash-Algorithmen sind im Allgemeinen sehr sicher. Es ist wahrscheinlich sicherer als das SSL-VPN, wenn dieses SSL-VPN OpenSSL ausführt und für Heartbleed anfällig ist.

Ich würde 5 Dinge warnen:

1. Machen Sie sich Sorgen über die anderen Dienste, mit denen das Netzwerk konfrontiert ist, z. B. Terminalserver, DNS-Dienste, CIFS und insbesondere IIS mit seinen schrecklichen Sicherheitsdaten.

2. Verwenden Sie LDAPS mit einem Sicherheitszertifikat, um zu vermeiden, dass Anmeldeinformationen für Klartextdomänen über die Leitung übertragen werden. Dies geschieht automatisch nach der Installation der Zertifikatdienste (verwenden Sie einen separaten Computer für die PKI).

3. Setzen Sie einen Packet Sniffer auf die Schnittstelle und beobachten Sie Ihren Datenverkehr. Korrigieren Sie alle Klartext-Passwörter, da die Firewall oder nicht. Wenn Sie kein VPN oder LDAPS verwenden, senden einige Legacy-Systeme Klartext-Passwörter.

4. Wissen Sie, dass MITM-Angriffe die systemeigenen Authentifizierungsmechanismen zwingen können, ein Downgrade durchzuführen und Kennwörter einer schwächeren NTLM-Authentifizierung auszusetzen.

5. Beachten Sie, dass möglicherweise noch Sicherheitsanfälligkeiten bezüglich der Benutzeraufzählung bestehen.

Trotzdem hat Active Directory eine hervorragende Erfolgsgeschichte in Bezug auf die Sicherheit. Darüber hinaus speichert MS Active Directory keine Passwörter, sondern nur Hashes, die möglicherweise auch die Schwere eines Kompromisses mindern.

Sie können von einer nahtloseren Sicherheitsinfrastruktur profitieren, müssen keine speziellen DNS-Server einrichten oder domain.local verwenden und können Ihre tatsächliche Domain im öffentlichen Internet wie domain.com verwenden.

Meiner Meinung nach bietet die öffentliche Bereitstellung von Sicherheitstechnologien wie Active Directory einen erheblichen Vorteil, während andere Technologien wie Exchange, DNS und Webserver einfach keinen Nutzen und kein Risiko bringen.

Hinweis: Wenn Sie Active Directory bereitstellen, enthält es einen DNS-Server. Deaktivieren Sie mit SICHERHEIT die Rekursion auf Ihren DNS-Servern (standardmäßig aktiviert), da Sie sonst absolut an Denial-of-Service-Angriffen teilnehmen.

Prost,

-Brian

Dell (über den Kauf von Quest (über den Kauf von Vintela)) verfügt über eine plattformübergreifende Lösung, die in F500-Unternehmen häufig für diesen ausdrücklichen Zweck eingesetzt wird .

Dinge, die man beachten muss...

1. Sind Ihre Benutzer immer verbunden? In diesem Fall erhalten Sie am besten eine flexible VM-basierte Hosting-Umgebung, die flexibel ist, wenn viele aktive Benutzer auf LDAP setzen
2. Laufen Sie in mehr als einem physischen Rechenzentrum? Ziehen Sie einen geografischen Lastenausgleich vor den AD-Diensten in Betracht, um die Anzahl der Hops zwischen Benutzern und Ihren Systemen zu verringern
3. Wenn die Antwort auf # 2 "Ja" lautet, stellen Sie sicher, dass Sie einige dedizierte Netzwerkressourcen eingerichtet haben, um Ihre Gesamtstruktur wie hier dargestellt zu replizieren

Und stellen Sie sicher, dass Ihre Firewall-Lösung extrem hohe Übertragungsraten verarbeiten kann, wenn Benutzer gedrosselte Uplinks verwenden und Verbindungen von lauten WLAN-Zentren usw. herstellen.