none
Ввод шлюзовой машины в домен. Безопасность. RRS feed

  • Вопрос

  • Доброго дня.

    Подскажите, насколько небезопасно вводить в домен машину, выполняющую роль шлюза доступа в интернет?

    Зашел спор, якобы это не рекомендовано какими-то статьями даже в MS

    Я же, при грамотной настройке фаервола, не вижу никаких проблем в этом.

    12 марта 2012 г. 6:50

Ответы

  • Whitelisting - Software Restriction Policies, к примеру. http://blog.windowsnt.lv/2011/05/30/preventing-malware-with-srp-russian/

     

    LM Authentication Level - http://msdn.microsoft.com/en-us/library/ms814176.aspx 

    SMB Signing - http://msdn.microsoft.com/en-us/library/ms814158.aspx

    Посмотрите, в этих параметрах ничего космического нет.

    Примеров IDS не имею.

     

     

    По-большому, домен - это лишь способ аутентификации, с одной стороны. С другой - способ централизованного управления машинами. Если пытаться размышлять на тему "если взломают изолированный шлюз, то автоматически не попадут в домен" - попадут, попадут. И домен взломают через то же, через что шлюз взломали. Если, конечно, администратор не соблюдал нормы безопасности.. взламывают в основном через некомпетентность администратора.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    • Помечено в качестве ответа clippart 13 марта 2012 г. 0:01
    12 марта 2012 г. 16:55
    Отвечающий

Все ответы

  • Безопасность машины от членства в домене напрямую не зависит. Скорее, это вопрос общего обращения с компьютером:

    - сколько учётных записей обладают административными привилегиями и используют их?

    - вовремя ли устанавливаются обновления на систему и приложения?

    - включён ли Application Whitelisting?

    - настроены ли параметры Group Policy: Account Lockout, LM Authentication Level, digital signatures on SMB sessions, User Rights, Security Options etc.

    - может, применена некая Intrusion Detection System?

    - ну а Firewall уже дело очередное, но никак не первичное.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    12 марта 2012 г. 9:27
    Отвечающий
  • учеток админа не больше 3-х

    все обновление централизовано через WSUS

    Application Whitelisting на чем организовать его можно ?

    Account Lockout - настроено

    LM Authentication Level, digital signatures on SMB sessions - можно поподробнее, пожалуйста.

     Intrusion Detection System не применяется. Есть примеры нормальных IDS ?

    12 марта 2012 г. 14:03
  • Whitelisting - Software Restriction Policies, к примеру. http://blog.windowsnt.lv/2011/05/30/preventing-malware-with-srp-russian/

     

    LM Authentication Level - http://msdn.microsoft.com/en-us/library/ms814176.aspx 

    SMB Signing - http://msdn.microsoft.com/en-us/library/ms814158.aspx

    Посмотрите, в этих параметрах ничего космического нет.

    Примеров IDS не имею.

     

     

    По-большому, домен - это лишь способ аутентификации, с одной стороны. С другой - способ централизованного управления машинами. Если пытаться размышлять на тему "если взломают изолированный шлюз, то автоматически не попадут в домен" - попадут, попадут. И домен взломают через то же, через что шлюз взломали. Если, конечно, администратор не соблюдал нормы безопасности.. взламывают в основном через некомпетентность администратора.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    • Помечено в качестве ответа clippart 13 марта 2012 г. 0:01
    12 марта 2012 г. 16:55
    Отвечающий
  • благодарю!
    13 марта 2012 г. 0:02