none
настройка безопасности PDC RRS feed

  • Вопрос

  • Всем доброго времени суток. Хочу максимально параноидально настроить безопасность на основном контроллере домена (server 2008r2), который еще имеет роли файлового сервера, dns и dhcp. Домен находится в большой серой (выхода в интернет нет) сетке класса B, от куда прилетают smb relay, arp spoofing и прочие прелести. В общем нужно максимально оградиться от таких "соседей" и гостей домена. Задача осложняется тем, что помимо моего домена, есть еще 3 совершенно самостоятельных зоны (типа zona1.name1.ru, zona2.name1.ru и name2.ru) ресурсы на которых компам в моем домене нужно резолвить. Буду благодарен за любые ссылки и гиды по настройке\конфигурации встроенного брандмауэра , групповых политик и оснасток dns\dhcp.
    Много векторов атак идут от всем известных:
        ARP request (opcode=1)
        ARP reply (opcode=2)
        ICMP Redirect (type=5)
        ICMP Router Advertisement (type=9)
        Neighbor Solicitation (ICMPv6 type=135)
        Neighbor Advertisement (ICMPv6 type=136)
        Router Redirect (ICMPv6 type=137)
        Router Advertisement (ICMPv6 type=134)
    но и и закрыть их наглухо нельзя, как в сети после этого имена компов спрашивать, принтеры и папки расшаривать?
    В групповых политиках включил отправлять только NTLM2 ответ - сразу часть клиентских XP перестали видеть шару. Перед тем как отключать рекурсивные dns запросы и копать\ломать дальше, вот решил спросить заранее у знающих людей, кто что посоветует :)
    2 сентября 2013 г. 16:52

Ответы

Все ответы

  • Не совсем правильный порыв- отключать\включать что-то, смотреть, как все сломалось, а потом чинить.

    Проведите время с куда большей пользой, ознакомившись вот с этим документом:

    http://technet.microsoft.com/ru-ru/library/ee914622.aspx

    и с этим.

    После внимательного прочтения составьте план того, что хочется сделать, и можете открыть новую тему, если захочется обсудить  какую-то тонкость.

    А вообще, у нас есть ветка по безопасности.

    3 сентября 2013 г. 6:13
    Отвечающий
  • ну очень "разумно" разворачивать продакшин домен в публичной сети ;) В вашем случае разумнее всего поставить VPN сервер и все клиентские запросы рулить через него. А так у вас в чистом виде бэд дизайн. 
    3 сентября 2013 г. 6:15
  • Понятно, что строить защиту от своего же интранета не правильно. Доступа извне (с инета) в него нет. То что домен располагается в такой не совсем доверенной среде - дело вынужденное, скрывать его за vpn нельзя. Остается защищаться фаерволом\антивирем и политиками. Блог Игоря Шаститко полезен, а вот руководства от течнет по настройке для домохозяек как обычно ничего нового и полезного не принесли.
    4 сентября 2013 г. 7:11