আমি কি আমার সক্রিয় ডিরেক্টরিটি দূরবর্তী ব্যবহারকারীদের জন্য সর্বজনীন ইন্টারনেটে প্রকাশ করব?


46

আমার কাছে একটি ক্লায়েন্ট রয়েছে যার কর্মী পুরোপুরি রিমোট কর্মীদের দ্বারা আপেল এবং উইন্ডোজ 7 পিসি / ল্যাপটপের মিশ্রণ ব্যবহার করে।

ব্যবহারকারীরা এই মুহুর্তে কোনও ডোমেনের বিরুদ্ধে প্রমাণীকরণ করেন না, তবে সংগঠনটি বেশ কয়েকটি কারণে সেই দিকটিতে যেতে চাইবে। এগুলি কোম্পানির মালিকানাধীন মেশিনগুলি এবং ফার্মটি অ্যাকাউন্ট নিষ্ক্রিয়করণ, গোষ্ঠী নীতি এবং হালকা ডেটা-ক্ষতি প্রতিরোধের (রিমোট মিডিয়া, ইউএসবি ইত্যাদি অক্ষম) উপর কিছুটা নিয়ন্ত্রণ রাখতে চায় তারা এডিটি অ্যাক্সেস করার জন্য ভিপিএন প্রমাণীকরণের প্রয়োজন বলে তারা উদ্বিগ্ন are জটিল হয়ে উঠবে, বিশেষত একটি অবসন্ন কর্মচারীর ছেদ এবং দূরবর্তী মেশিনে ক্যাশে শংসাপত্রগুলি।

সংস্থার বেশিরভাগ পরিষেবাগুলি হ'ল গুগল ভিত্তিক (মেল, ফাইল, চ্যাট ইত্যাদি) তাই কেবলমাত্র ডোমেন পরিষেবাগুলি ডিএনএস এবং তাদের সিসকো এএসএ ভিপিএন-র লেখক a

গ্রাহক বুঝতে চান যে কেন তাদের ডোমেন নিয়ন্ত্রকদের জনগণের কাছে প্রকাশ করা গ্রহণযোগ্য নয় । উপরন্তু, কি হল একটি বিতরণ দূরবর্তী কর্মীসংখ্যার জন্য আরও গ্রহণযোগ্য ডোমেইন কাঠামো?

সম্পাদনা:

মুষ্টিমেয় ম্যাক ক্লায়েন্টদের জন্য সেন্ট্রিফাই ব্যবহৃত হচ্ছে।


4
একটি সম্পর্কিত প্রশ্ন এখানে আছে । আপনার AD এর সাথে সিঙ্ক বা প্রমাণীকরণের জন্য বাহ্যিক পরিষেবাদিগুলির অনুমতি দেওয়া কোনও ভয়ঙ্কর অনুশীলন নয় তবে আপনার ডোমেন নিয়ন্ত্রকদের একটি খোলা ডিএমজেডে রাখা, মূলত যেমনটি আপনি জিজ্ঞাসা করেছেন তা অত্যন্ত নিরাপত্তাহীন। স্থানে সুরক্ষা ব্যতীত আপনি বিভিন্ন সম্ভাব্য আক্রমণ এবং সমস্যা জিজ্ঞাসা করছেন। আমি এর বিরুদ্ধে উচ্চ প্রস্তাব দিয়েছি এবং স্থানীয় ডিভাইস ব্যবহারকারীদের সাথে ফায়ারওয়াল যেমন সোনিকওয়াল থেকে কোনও ভিপিএন বা ভিপিএন ক্লায়েন্টের পরামর্শ দেব।
মাইক নায়লার

10
সর্বদা চালু, মেশিন-প্রশস্ত, স্বয়ংক্রিয় পুনঃসংযোগ, শংসাপত্র ভিত্তিক ভিপিএন সেটআপ করুন। (ওপেনভিপিএন, ডাইরেক্টএ্যাক্সেস ইত্যাদি) সুতরাং ভিপিএন প্রমাণীকরণটি ব্যবহারকারীর অ্যাকাউন্টগুলিতে আবদ্ধ নয় এবং ব্যবহারকারীর ভিপিএন সফ্টওয়্যারটির সাথে সরাসরি কোনও মিথস্ক্রিয়া নেই।
জোরডাচি

ডিএ নিখুঁত, তবে গ্রাহক পূরণ না করে এমন গুরুতর অবস্নোপটি প্রয়োজনীয়তা রয়েছে (ম্যাক, নিশ্চিতভাবেই))
এমফিনি

1
+10 - জোরডাচের পরামর্শের জন্য।
ইভান অ্যান্ডারসন

7
যদি আপনি শেষ ব্যবহারকারী ডিভাইসগুলির ব্যাক আপ করেন তবে আপনি এটি ভুল করছেন wrong আপনি যদি ইউএসবি এর মাধ্যমে শেষ ব্যবহারকারী ডিভাইসগুলির ব্যাক আপ রাখেন তবে আপনি এটি সত্যিই ভুল করছেন।
MDMarra

উত্তর:


31

আমি এটি উত্তর হিসাবে মূলত পোস্ট করছি কারণ অভিজ্ঞতার ভিত্তিতে প্রত্যেকের নিজস্ব "শিক্ষিত মতামত" রয়েছে, তৃতীয় পক্ষের তথ্য, শ্রবণশক্তি এবং আইটি-র মধ্যে উপজাতীয় জ্ঞান, তবে এটি মাইক্রোসফ্টের "সরাসরি" উদ্ধৃতি এবং পাঠকের একটি তালিকা। আমি উদ্ধৃতি ব্যবহার করেছি কারণ আমি নিশ্চিত যে তারা তাদের কর্মীদের দ্বারা তৈরি সমস্ত মতামতগুলি যথাযথভাবে ফিল্টার করে না, তবে আপনি যদি authoritativeমাইক্রোসফ্ট থেকে সরাসরি রেফারেন্স পরে থাকেন তবে এটি কার্যকর হবে ।


বিটিডাব্লু, আমি আরও মনে করি যে DOMAIN কন্ট্রোলার == ক্রিয়াকলাপ ডাইরেক্টরি বলা খুব সহজ। এডিএস এফএস প্রক্সি এবং অন্যান্য উপায় (ওডাব্লুএ, ইএএস, ইত্যাদির জন্য ফর্ম ভিত্তিক লেখক) ওয়েবে নিজেকে "এক্সপোজ" করার একটি উপায় সরবরাহ করে যাতে ক্লায়েন্টরা ডিসিগুলিকে প্রকাশ না করেই কমপক্ষে AD এর মাধ্যমে প্রমাণীকরণের চেষ্টা করতে পারে। কেউ এর owa সাইটে যান এবং লগইন এবং খ্রি করার প্রচেষ্টা করবে , যাতে খ্রি টেকনিক্যালি "উদ্ভাসিত" হয় ... কিন্তু SSL এর মাধ্যমে সুরক্ষিত এবং একটি Exchange সার্ভারের মাধ্যমে প্রক্সি, একটি ব্যাকএন্ড ডিসি উপর প্রমাণীকরণের জন্য অনুরোধ পেতে।


উদ্ধৃতি # 1

উইন্ডোজ আজার ভার্চুয়াল মেশিনে উইন্ডোজ সার্ভার অ্যাক্টিভ ডিরেক্টরি স্থাপনের জন্য গাইডলাইনস

"আজুর এডি নয়" যাওয়ার আগে ... আপনি একটি অ্যাজুর ভিএম এডিডিএস স্থাপন করতে পারেন।

তবে সম্পর্কিত বিট উদ্ধৃত করতে:

এসটিএস সরাসরি ইন্টারনেটে প্রকাশ করবেন না।

সুরক্ষার সেরা অনুশীলন হিসাবে, এসটিএস দৃষ্টান্ত ফায়ারওয়ালের পিছনে রাখুন এবং ইন্টারনেটে এক্সপোজার রোধ করতে এগুলি আপনার কর্পোরেট নেটওয়ার্কের সাথে সংযুক্ত করুন। এটি গুরুত্বপূর্ণ কারণ এসটিএস ভূমিকা সুরক্ষা টোকেন জারি করে। ফলস্বরূপ, তাদের ডোমেন নিয়ামক হিসাবে একই স্তরের সুরক্ষা দিয়ে চিকিত্সা করা উচিত। যদি কোনও এসটিএস আপোস করা হয়, তবে ক্ষতিকারক ব্যবহারকারীদের পক্ষ থেকে আস্থাশীল সংস্থাগুলিতে দলীয় অ্যাপ্লিকেশন এবং অন্যান্য এসটিএস নির্ভর করার জন্য তাদের নির্বাচনের দাবি সম্বলিত টোকেনগুলি অ্যাক্সেস করার সম্ভাবনা রয়েছে।

ঠিক আছে ... সরাসরি ইন্টারনেটে ডোমেন নিয়ন্ত্রকদের উদ্ঘাটন করবেন না।

উদ্ধৃতি # 2

অ্যাক্টিভ ডিরেক্টরি - এডি এলডিএসের ইউনিকোডপডব্লিউডি রহস্য

ইন্টারনেটে কোনও ডোমেন কন্ট্রোলারকে প্রকাশ করা সাধারণত একটি খারাপ অভ্যাস, যদিও তা এক্সপোজারটি সরাসরি উত্পাদন পরিবেশ থেকে আসে বা ঘের নেটওয়ার্কের মাধ্যমে। প্রাকৃতিক বিকল্পটি হল পেরিমেটার নেটওয়ার্কে অ্যাক্টিভ ডিরেক্টরি লাইটওয়েট ডিরেক্টরি পরিষেবাদি (এডি এলডিএস) ভূমিকা সহ একটি উইন্ডোজ সার্ভার 2008 সার্ভার স্থাপন করা।

উদ্ধৃতি # 3 - এমএস থেকে নয় ... তবে সামনের দিকে তাকানোর জন্য এখনও দরকারী

সক্রিয় ডিরেক্টরি হিসাবে একটি পরিষেবা? আজুর, মেঘ-দ্বারা চালিত এডি ভবিষ্যতে ইন্টিুন ইঙ্গিত দিচ্ছে

শেষ অবধি, কোনও দুর্দান্ত "সংক্ষিপ্ত" উত্তর নেই যা একটি অ্যাজুর বিকল্পের বিনিময়ে এডি সার্ভারের অফিস থেকে রেডিংয়ের লক্ষ্যগুলি পূরণ করে। মাইক্রোসফ্ট যখন গ্রাহককে অ্যাজুরে সার্ভার 2012 এবং 2008 আর 2 বাক্সে অ্যাক্টিভ ডিরেক্টরি ডোমেন পরিষেবাগুলি হোস্ট করার অনুমতি দেওয়ার বিষয়ে আত্মতৃপ্ত করছে, তখন তাদের কার্যকারিতা কেবলমাত্র আপনার কর্মীদের জন্য ভিপিএন সংযোগের মতোই উপযুক্ত। ডাইরেক্টএ্যাক্সেস যদিও একটি খুব আশাব্যঞ্জক প্রযুক্তি, তার নিজের দুর্ভাগ্য সীমাবদ্ধতার কারণে তার হাত বেঁধেছে।

উদ্ধৃতি # 4

সিডি সাইন-অন এবং উইন্ডোজ অ্যাজুরি ভার্চুয়াল মেশিনগুলির সাথে এডি ডিএস বা এডি এফএস এবং অফিস 365 স্থাপন করুন

ডোমেন নিয়ন্ত্রক এবং এডি এফএস সার্ভারগুলি কখনই সরাসরি ইন্টারনেটে প্রকাশ করা উচিত নয় এবং কেবল ভিপিএন এর মাধ্যমে পৌঁছানো উচিত


এটি একটি যুক্তিসঙ্গত উত্তর, যদিও আপনি পরামর্শ অবহেলা করলে কেবল খারাপ জিনিসগুলি কী হতে পারে সে সম্পর্কে কেবল প্রথম প্রথম উদ্ধৃতিই কিছু বলে।
কেসি

19

অ্যাক্টিভ ডিরেক্টরি (AD) এ জাতীয় স্থাপনার জন্য ডিজাইন করা হয়নি।

পণ্যের নকশায় ব্যবহৃত হুমকি মডেলগুলি নেটওয়ার্ক সীমান্তে কিছু পরিমাণ প্রতিকূল অভিনেতাদের ফিল্টার করে "ফায়ারওয়াল পিছনে" মোতায়েন করে। আপনি যদি অবশ্যই উইন্ডোজ সার্ভারকে পাবলিক নেটওয়ার্কের সংস্পর্শে আনার জন্য শক্ত করতে পারেন তবে অ্যাক্টিভ ডিরেক্টরিটির সঠিক ক্রিয়াকলাপের জন্য সুরক্ষা ভঙ্গি দরকার যা জনসাধারণের মুখোমুখি নেটওয়ার্কগুলির জন্য কঠোর হোস্টের চেয়ে স্থিরভাবেই বেশি শালীন হয়। একজন অনেক পরিষেবার সঠিকভাবে কাজ করার জন্য খ্রি জন্য একটি ডোমেন কন্ট্রোলার (ডিসি) থেকে উন্মুক্ত করা হবে।

মন্তব্যে জোরেডাচের পরামর্শ, বিশেষত মেশিন-প্রশস্ত পরিষেবা ডাব্লু / শংসাপত্রের প্রমাণীকরণ হিসাবে ওপেনভিপিএনের মতো চলমান কিছু উল্লেখ করা কেবল একটি উপযুক্ত ফিট হতে পারে। ডাইরেক্টএ্যাক্সেস, যেমন অন্যেরা উল্লেখ করেছেন, হ'ল আপনার যা প্রয়োজন ঠিক তা বাদে এটির আপনার পছন্দ মত ক্রস-প্ল্যাটফর্ম সমর্থন নেই।

একদিকে যেমন: আমি সরাসরি ইন্টারনেটে এডি প্রকাশ করার জন্য শংসাপত্র ভিত্তিক ট্রান্সপোর্ট-মোড আইপিএসইসি ব্যবহার করার ধারণাটি দিয়েছিলাম কিন্তু আসলে এটি করার সময় হয়নি। মাইক্রোসফ্ট উইন্ডোজ সার্ভার ২০০৮ / ভিস্তার সময়সীমার মধ্যে এমন পরিবর্তন করেছে যা অনুমিতভাবে এটি সম্ভব হয়েছে তবে আমি বাস্তবে কখনও এটি ব্যবহার করি নি।


2
পরিষেবা হিসাবে চলমান ওপেনভিপিএন জন্য +1, আমি অতীতে সফলভাবে রোড যোদ্ধাদের সাথে এই পদ্ধতির ব্যবহার করেছি। Sr sys অ্যাডমিনদের কাছ থেকে মিশ্র অনুভূতি ছিল যদিও, বিশেষত কারণ যদি কোনও মেশিন আপস করা হয় তবে তা নেটওয়ার্কের মধ্যে একটি স্বয়ংক্রিয় পিছনের কাজ। অবশ্যই বৈধ উদ্বেগ, যদিও প্রতিটি পরিবেশের জন্য তাদের নিজেদের জিজ্ঞাসা করতে হবে সুবিধাগুলি ঝুঁকির চেয়েও বেশি ....?
MDMoore313

2
মাইক্রোসফ্ট আইপিসেকের সাহায্যে পাবলিক ইন্টারনেটে তাদের নিজস্ব কর্পোরেট নেটওয়ার্ক চালায়। সুতরাং এটি করণীয়।
মাইকেল হ্যাম্পটন

1
@ মাইকেল হ্যাম্পটন কিন্তু তারা উইন্ডোজ ফায়ারওয়াল এবং আইপিসেকের সাথে ডোমেন বিচ্ছিন্নতা ব্যবহার করে তাই এটি ইন্টারনেটে "এডি" "এডি" না এবং কোনও ফায়ারওয়াল হোস্ট-ভিত্তিক ফায়ারওয়াল নিয়মের পরিবর্তে হোস্ট-ভিত্তিক ফায়ারওয়াল বিধি ব্যবহার করে "" এর মতো একটি সুরক্ষিত অঞ্চলে "নয়"
MDMarra

2
@ MDMoore313 - শংসাপত্র প্রত্যাহার এফটিডব্লিউ, যদিও ব্যবহারকারীকে সেই চুরি হওয়া মেশিনটি দ্রুত রিপোর্ট করতে হবে।
ইভান অ্যান্ডারসন

কিছু ভিপিএন ক্লায়েন্টের সাথে উপায় রয়েছে (উদাহরণস্বরূপ জুনিপার) সংযোগের পরে লগঅফ চাপিয়ে দেওয়ার জন্য। এটি পুরানো জিআইএনএ আক্রান্তদের মতো দুর্দান্ত নয়, তবে এটি ভিপিএন-এ থাকাকালীন আসলে এডি-র বিরুদ্ধে প্রমাণীকরণ এবং জিপিও ইত্যাদির জন্য আবার লগ ইন করতে বাধ্য করে আপনি প্রথমে ক্যাশেড শংসাপত্রাদি দিয়ে লগ ইন করুন, প্রয়োজনে ভিপিএন চালু করুন এবং এটি আপনাকে অবিলম্বে লগ অফ করে এবং আপনি আবার লগ ইন করার সময় সংযুক্ত থাকে
TheCleaner

15

বাকি সবাই কী বলল। ক্রিস্টোফার কারেলের উল্লেখযোগ্য বর্বর প্রচেষ্টার বিষয়ে আমি বিশেষত নার্ভাস। সর্বশেষ ডিএফ কনে একটি উপস্থাপনা ছিল বিষয়টিতে :

সুতরাং আপনি কি মনে করেন আপনার ডোমেন নিয়ন্ত্রকটি নিরাপদ?

জাস্টিন হেন্ডারিকস সিকিউরিটি ইঞ্জিনিয়ার, মাইক্রোসফ্ট

ডোমেন নিয়ন্ত্রকরা কোনও সংস্থার মুকুট রত্ন। একবার তারা পড়ে গেলে ডোমেনের সমস্ত কিছুই পড়ে যায়। সংস্থাগুলি তাদের ডোমেন নিয়ন্ত্রকদের সুরক্ষিত করার জন্য প্রচুর পরিমাণে যায়, তবে তারা এই সার্ভারগুলি পরিচালনা করতে ব্যবহৃত সফ্টওয়্যারটি প্রায়শই সঠিকভাবে সুরক্ষিত করতে ব্যর্থ হয়।

এই উপস্থাপনাটি সংগঠনগুলি মোতায়েন ও ব্যবহার করে এমন সাধারণভাবে ব্যবহৃত ম্যানেজমেন্ট সফটওয়্যারটিকে অপব্যবহার করে ডোমেন প্রশাসক অর্জনের জন্য অপ্রচলিত পদ্ধতিগুলি কভার করবে।

জাস্টিন হেন্ড্রিক্স অফিস 365 সুরক্ষা দলে কাজ করে যেখানে তিনি রেড টিমিং, অনুপ্রবেশ পরীক্ষা, সুরক্ষা গবেষণা, কোড পর্যালোচনা এবং সরঞ্জাম বিকাশে জড়িত।

আমি নিশ্চিত যে আপনি প্রচুর অন্যান্য উদাহরণ খুঁজে পেতে পারেন। আমি ডোমেন নিয়ন্ত্রকদের সম্পর্কে নিবন্ধগুলি সন্ধান করছিলাম এবং ডিসি কীভাবে দ্রুত পাওয়া যায় ইত্যাদি ইত্যাদি সম্পর্কে বিবরণ পাওয়ার আশায় হ্যাকিং করেছি, তবে আমি মনে করি এটি আপাতত করব।


1
মিঃ হেন্ড্রিক্সের উপস্থাপনাটির ভিডিও এখানে রয়েছে: youtube.com/watch?v=2d_6jAF6OKQ আমি DefCon 21 টি ভিডিও দেখতে চাইছিলাম এবং আমি মনে করি আমি এটি দিয়ে শুরু করব।
ইভান অ্যান্ডারসন

14

আপনি যদি ম্যানেজমেন্টকে বোঝানোর চেষ্টা করেন তবে একটি ভাল শুরুটি হ'ল:

It goes against Microsoft's Best Practices for Active Directory Deployment.

আপডেট : আক্রমণের বিরুদ্ধে ডোমেন নিয়ন্ত্রকদের সুরক্ষার বিষয়ে এই টেকনেট নিবন্ধটি দেখুন এবং শিরোনামে এই বিভাগটি দেখুন Perimeter Firewall Restrictions:

Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet. 

এবং বিভাগে শিরোনামে বিভাগটি Blocking Internet Access for Domain Controllers:

Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet

আমি নিশ্চিত যে আপনি এই বিষয়ে কিছু মাইক্রোসফ্ট ডকুমেন্টেশন ড্রাম করতে পারেন, তাই এটি। এগুলি ছাড়াও, আপনি এই ধরনের পদক্ষেপের বিপদগুলি বর্ণনা করতে পারেন, এর লাইন বরাবর এমন কিছু:

A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.

ক্যাশেড শংসাপত্রগুলি কেবল - ক্যাশেড। তারা স্থানীয় মেশিনের জন্য কাজ করে যখন এটি ডোমেনে সংযুক্ত হতে পারে না , তবে যদি সেই অ্যাকাউন্টটি অক্ষম করা থাকে তবে তারা কোনও নেটওয়ার্ক সংস্থান (এসএনএন, ভিপিএন, এসএমবি, এফবিআই, সিআই, ইত্যাদি) এর জন্য কাজ করবে না, সুতরাং তাদের এটি নিয়ে উদ্বিগ্ন হওয়ার দরকার নেই । এছাড়াও মনে রাখবেন যে ব্যবহারকারীরা যে কোনও উপায়ে স্থানীয় মেশিনে তাদের প্রোফাইল ফোল্ডারে কোনও ফাইল (এবং সম্ভবত অপসারণযোগ্য মিডিয়া) এর উপর সম্পূর্ণ অধিকার রয়েছে তাই অক্ষম শংসাপত্রগুলি না তারা সেই ডেটা দিয়ে যা খুশি তা করতে পারে না। স্থানীয় মেশিনটি নেটওয়ার্কে পুনরায় সংযোগ স্থাপনের পরে তারাও কাজ করবে না।

আপনি কি সেই পরিষেবাগুলি উল্লেখ করছেন যা অ্যাক্টিভ ডিরেক্টরি বা কোনও ডোমেন কন্ট্রোলার সরবরাহ করে, যেমন এলডিএপি? যদি তাই হয়, প্রমাণীকরণ এবং ডিরেক্টরি অনুসন্ধানের উদ্দেশ্যে LDAP প্রায়শই সুরক্ষিতভাবে বিচ্ছিন্ন হয়ে যায় তবে উইন্ডোজ ফায়ারওয়াল বন্ধ করে দেওয়া (বা সমস্ত প্রয়োজনীয় পোর্ট সর্বসাধারণের কাছে উন্মুক্ত করা যায় - উদাহরণস্বরূপ একই জিনিস) গুরুতর সমস্যা সৃষ্টি করতে পারে।

এডি প্রকৃতপক্ষে ম্যাকগুলি পরিচালনা করে না , সুতরাং একটি পৃথক সমাধান প্রয়োজন হবে (ওএস এক্স সার্ভার মনে করুন)। আপনি কোনও ম্যাককে কোনও ডোমেনে যোগ দিতে পারেন তবে এটি নেটওয়ার্ক শংসাপত্রাদি দিয়ে তাদের লেখার অনুমতি দেওয়া, ম্যাকের উপর ডোমেন প্রশাসকদের স্থানীয় প্রশাসক হিসাবে সেট করা ইত্যাদির চেয়ে বেশি কিছু করে না No কোনও গোষ্ঠী নীতি নেই। এমএস এসসিসিএমের নতুন সংস্করণগুলি যে ম্যাকস এবং * নিক্স বাক্সগুলিতে অ্যাপ্লিকেশন স্থাপন করতে সক্ষম বলে দাবি করেছে তার সাথে এই ভিত্তিকে লঙ্ঘন করার চেষ্টা করছে, তবে আমি এখনও এটি উত্পাদন পরিবেশে দেখতে পাইনি। আমি এটিও বিশ্বাস করি যে আপনি ওএস এক্স সার্ভারের সাথে সংযোগের জন্য ম্যাকগুলি কনফিগার করতে পারেন যা আপনার AD ভিত্তিক ডিরেক্টরিতে প্রমাণীকরণ করবে তবে আমি ভুল হতে পারি।

বলা হচ্ছে, কিছু সৃজনশীল সমাধান তৈরি করা যেতে পারে যেমন ওপেনভিপিএনকে পরিষেবা হিসাবে ব্যবহার করার জন্য ইভানের পরামর্শ এবং / যখন সময় আসে সেই কর্মচারীকে ছেড়ে দেওয়ার জন্য মেশিনের শংসাপত্রটি অক্ষম করে।

মনে হচ্ছে সবকিছু গুগল ভিত্তিক, তাই গুগল আপনার এলডিপ সার্ভার হিসাবে কাজ করছে? আমি যদি সম্ভব হয় তবে আমার ক্লায়েন্টকে সেভাবে রাখার পরামর্শ দেব। আমি আপনার ব্যবসায়ের প্রকৃতিটি জানি না, তবে গিট বা রেডমাইন সার্ভারের মতো ওয়েব ভিত্তিক অ্যাপ্লিকেশনগুলির জন্য, এমনকি ঘরে সেটআপ যখন কোনও গুগল অ্যাকাউন্টের সুবিধা নিয়ে OAuth এর সাথে প্রমাণীকরণ করতে পারে।

শেষ অবধি, এর মতো রোডওয়্যারিয়র সেটআপ সফল হওয়ার জন্য প্রায় একটি ভিপিএন প্রয়োজন । একবার মেশিনগুলিকে অফিসে এনে কনফিগার করা (বা স্ক্রিপ্টের মাধ্যমে দূরবর্তীভাবে কনফিগার করা) হয়ে গেলে তাদের কনফিগারেশনের কোনও পরিবর্তন পাওয়ার উপায় প্রয়োজন way

ম্যাকদের ভিপিএন ছাড়াও একটি পৃথক পরিচালন পদ্ধতির প্রয়োজন হবে, এটি খুব খারাপ যে তারা আর প্রকৃত ম্যাক সার্ভার তৈরি করে না, তবে ওএস এক্স সার্ভারে শেষবার যখন আমি যাচাই করেছি তখন তাদের কিছু শালীন নীতি বাস্তবায়ন হয়েছে (কয়েক বছর আগে) )।


আসলে, এই মুহুর্তে মুষ্টিমেয় ম্যাক সিস্টেমগুলিতে নীতি পরিচালনার জন্য এই পরিবেশে সেন্ট্রিফাই ব্যবহার করা হচ্ছে use
ইয়েওয়াইট

@ হোয়াইট ম্যানেজ করে আপনি কী বোঝাতে চাইছেন? এটি কেন্দ্রীয় প্রমাণীকরণ ইউটিলিটি ছাড়া আর কিছুই বলে মনে হচ্ছে না।
MDMoore313

@ MDMoore313 আপনি কয়েক ঘন্টা দেরী করেছেন, আমি জিতেছি: chat.stackexchange.com/transcript/127?m=13626424#13626424 - :)
TheCleaner

@ দ্য ক্লিয়ারার হাহাহা তাই, আপনি এবার জিতলেন, আপনি গুগল ফুর শিল্পকে ভালভাবে জানেন তবে আপনার কৌশলটি আপনাকে ভয়ঙ্কর ঠোঁটযুক্ত ভয়েসের সাথে আমার সেরা কুংফুতে অন্তর্ভুক্ত করে। আপনি আপনার উত্তর পোস্ট করার পরে আমাকে একটি দ্বিগুণ অনুসন্ধান করতে হয়েছিল যা আপনার নকল ছিল না !
MDMoore313

2
LOL, কোনও উদ্বেগ নেই ... পরের বার আমরা যখন বিজয় দেখা করব তখন আপনার হতে পারে। (ভয়ানক ঠোঁটে স্বরে)
TheCleaner

7

দুর্ভাগ্যজনক যে ডাইরেক্টঅ্যাক্সেসটি কেবল উইন 7 + এন্টারপ্রাইজ সংস্করণে উপলভ্য, কারণ এটি আপনার অনুরোধের জন্য উপযুক্ত or তবে আপনার সংস্করণটি না জেনে এবং আপনার ম্যাকওএস রয়েছে তা দেখে কার্যকর হবে না।

/ সম্পাদনা - দেখে মনে হচ্ছে কিছু তৃতীয় পক্ষের দাবি করেছে যে তারা ইউনিসিসের জন্য ডিএ ক্লায়েন্ট রয়েছে: http://www.centrify.com/blogs/tomkemp/ কি_আইস_মাইক্রোসফট_ডাইরেক্টএকসেস_স_ ইউনিক্স_লিনিক_ইন্টারোপরেবিলিটি.এএসপি

এমডিএম সমাধানগুলি উপলব্ধ রয়েছে যা আপনার চাহিদা মেটাতে কাজ করতে পারে; আমরা তাদের মধ্যে একটি (MAAS360) একই ক্লায়েন্টে থাকা একটি ক্লায়েন্টের কাছে আছি।


5

এটি অবশ্যই একটি গুরুত্বপূর্ণ সুরক্ষা ঝুঁকি হতে পারে। তদ্ব্যতীত, এটি সম্ভবত আপনার পছন্দ মতো কাজ করবে না। যদি ইন্টারনেটে এলোমেলো লোকেরা আপনার এডি পরিবেশে লগইন চেষ্টা করতে সক্ষম হয় তবে আপনার পক্ষে আপনার ব্যবহারকারীরা লক আউট হয়ে যাওয়ার পক্ষে সমস্যাগুলি খুব ভাল। চিরতরে. এবং লকআউট প্রয়োজনীয়তা অপসারণ করার অর্থ এটি সহজ পাসওয়ার্ডগুলির জন্য জোর করে চেক করা বেশ সহজ হয়ে যায়।

আরও গুরুত্বপূর্ণ বিষয় হল, AD সার্ভারগুলি সরাসরি অ্যাক্সেসযোগ্য না করে আপনার লক্ষ্য (ডোমেন শংসাপত্রের সাথে ল্যাপটপে প্রবেশকারী ব্যবহারকারীদের) বাস্তবায়নে আপনার কোনও সমস্যা হবে না। যথা, উইন্ডোজ মেশিনগুলি সর্বশেষ এক্স সফল লগইনগুলি ক্যাশে করতে পারে, যাতে সংযোগ বিচ্ছিন্ন হওয়ার পরে সেই একই শংসাপত্রগুলি কাজ করে। এর অর্থ শেষ ব্যবহারকারীরা আপনার AD সার্ভারগুলিকে স্পর্শ না করে লগইন করতে এবং দরকারী কাজ করতে পারে। অন্যান্য বড় কর্পোরেট সংস্থাগুলির সাথে সংযোগ স্থাপনের জন্য তাদের অবশ্যই একটি ভিপিএন ব্যবহার করতে হবে এবং একই সাথে এডি / জিপিও সেটিংস রিফ্রেশ করতে পারে।


2
এডি আমার জ্ঞানের জন্য যতক্ষণ না এটি AD হয়েছে ততক্ষণ কোনও কিছুর জন্য সম্প্রচার (বা কমপক্ষে নির্ভর করে) ব্যবহার করে না। নির্দিষ্ট প্রযুক্তিগুলির জন্য WINS প্রয়োজন হতে পারে, যা WINS সার্ভার উপলব্ধ না থাকলে সম্প্রচারের অনুরোধগুলিতে ফিরে যেতে পারে, তবে এটি সাধারণভাবে AD এর সাথে প্রাসঙ্গিক নয়। এটি যদি সম্প্রচারে নির্ভর করে, স্থানীয় ডিসি ছাড়া আপনার কাছে প্রত্যন্ত ব্যবহারকারী থাকতে পারে না।
এমফিনি

2
সেই লাইনটি সম্পাদনা করেছেন। ইনপুট জন্য ধন্যবাদ। স্পষ্টতই আমার মতো লিনাক্স ছেলেটির উইন্ডোজে অনুমান করা উচিত নয়।
ক্রিস্টোফার কারেল 18

যদি এটি এতটা "সুস্পষ্ট" হত তবে এটি কোনও প্রশ্নই হবে না, তাই না?
কেসি

2

Ewwhite,

আপনার প্রশ্নটি অত্যন্ত বৈধ এবং সতর্কতার সাথে পর্যালোচনা প্রাপ্য।

সমস্ত সুরক্ষা পেশাদাররা এসপিআই ফায়ারওয়ালস, আইডিএস, হোস্ট বেসড ফায়ারওয়ালস ইত্যাদি সহ যে কোনও নেটওয়ার্ক সংস্থার সামনে সুরক্ষার স্তরগুলির প্রস্তাব দেয় আপনার যখন সম্ভব হয় তখন সর্বদা আইএসএ (এখন টিএমজি) এর মতো একটি প্রক্সি পেরিমিটার গেটওয়ে ফায়ারওয়াল ব্যবহার করা উচিত।

এটি বলেছিল, মাইক্রোসফ্ট অ্যাক্টিভ ডিরেক্টরি 2003+ এর কোনও বড় দুর্বলতা প্রকাশ্যে প্রকাশ করা হয়নি। এলডিএপি প্রযুক্তি এবং এটির হ্যাশ অ্যালগরিদমগুলি সাধারণত খুব সুরক্ষিত। এটি এসএসএল ভিপিএনের চেয়ে তর্কযোগ্যভাবে আরও সুরক্ষিত যদি সেই এসএসএল ভিপিএন ওপেনএসএসএল চালায় এবং হৃদয়গ্রাহী হওয়ার পক্ষে ঝুঁকিপূর্ণ হয়।

আমি 5 টি জিনিস সাবধান করব:

  1. টার্মিনাল সার্ভার, ডিএনএস পরিষেবাদি, সিআইএফএস এবং বিশেষত আইআইএস এর মতো ভয়ঙ্কর সুরক্ষা রেকর্ডযুক্ত নেটওয়ার্কের মুখোমুখি হওয়া অন্যান্য পরিষেবাদি সম্পর্কে উদ্বিগ্ন হন।

  2. তারের মাধ্যমে পরিষ্কার টেক্সট ডোমেন শংসাপত্রগুলি এড়াতে সুরক্ষা শংসাপত্র সহ এলডিএপিএস ব্যবহার করুন। শংসাপত্র পরিষেবাদি ইনস্টল করার পরে এটি স্বয়ংক্রিয়ভাবে ঘটে (পিকেআই এর জন্য পৃথক মেশিন ব্যবহার করুন)

  3. ইন্টারফেসে একটি প্যাকেট স্নিফার রাখুন এবং আপনার ট্র্যাফিকটি দেখুন, কোনও স্পষ্ট পাঠ্য পাসওয়ার্ড সংশোধন করুন কারণ ফায়ারওয়াল বা না, যদি আপনি কোনও ভিপিএন বা এলডিএপিএস ব্যবহার না করেন তবে কিছু লিগ্যাসি সিস্টেম স্পষ্ট পাঠ্য পাসওয়ার্ড প্রেরণ করবে।

  4. জেনে রাখুন যে এমআইটিএম আক্রমণগুলি দেশীয় প্রমাণীকরণ প্রক্রিয়াগুলিকে দুর্বল এনটিএলএম প্রমাণীকরণের পাসওয়ার্ডকে ডাউনগ্রেড এবং এক্সপোজ করতে বাধ্য করতে পারে।

  5. কিছু ব্যবহারকারীর সংখ্যা দুর্বলতা যা এখনও বিদ্যমান থাকতে পারে সে সম্পর্কে সচেতন হন।

এটি বলেছে, সক্রিয়তার জন্য অ্যাক্টিভ ডিরেক্টরিতে একটি দুর্দান্ত ট্র্যাক রেকর্ড রয়েছে। আরও, এমএস অ্যাক্টিভ ডিরেক্টরি পাসওয়ার্ড সংরক্ষণ করে না, কেবল হ্যাশগুলিও আপস করার তীব্রতা হ্রাস করতে পারে।

আপনি আরও বিরামবিহীন সুরক্ষা পরিকাঠামো থেকে উপকৃত হতে পারেন, আপনাকে বিশেষ ডিএনএস সার্ভার সেট করতে বা ডোমেইন.লোকাল ব্যবহার করতে হবে না এবং আপনি আপনার প্রকৃত ডোমেনটি পাবলিক ইন্টারনেট যেমন ডোমেন ডট কম এ ব্যবহার করতে পারেন।

আমার পেশাগত মতামতে সক্রিয় ডিরেক্টরি হিসাবে প্রকাশ্যে সুরক্ষা প্রযুক্তিগুলি সর্বজনীনভাবে মোতায়েন করার যথেষ্ট সুবিধা রয়েছে, যেখানে এক্সচেঞ্জ এবং ডিএনএস এবং ওয়েব সার্ভারের মতো অন্যান্য প্রযুক্তিগুলি কেবল কোনও সুবিধা এবং সমস্ত ঝুঁকি সরবরাহ করে না।

দ্রষ্টব্য: আপনি যদি সক্রিয় ডিরেক্টরি স্থাপন করেন তবে এতে একটি ডিএনএস সার্ভার অন্তর্ভুক্ত থাকবে। আপনার ডিএনএস সার্ভারগুলিতে পুনরাবৃত্তি অক্ষম করার জন্য নিখুঁত হন (ডিফল্টরূপে সক্ষম) অথবা আপনি একেবারে পরিষেবা আক্রমণ অস্বীকারে অংশ নিবেন।

চিয়ার্স,

-Brian


-3

ডেল (কোয়েস্ট কেনার মাধ্যমে (ভিন্টেলা কেনার মাধ্যমে)) একটি ক্রস-প্ল্যাটফর্ম সমাধান রয়েছে যা এই এক্সপ্রেস উদ্দেশ্যটির জন্য প্রায়শই F500 এন্টারপ্রাইজগুলিতে স্থাপন করা হয় ।

বিবেচনা করার বিষয়গুলি ...

  1. আপনার ব্যবহারকারীরা কি সর্বদা সংযুক্ত থাকেন? যদি এমন হয় যে আপনাকে প্রচুর সক্রিয় ব্যবহারকারী এলডিএপি হ্যামারিং করতে পারেন তখন একটি নমনীয় ভিএম-ভিত্তিক হোস্টিং পরিবেশের সাথে আপনাকে সর্বোত্তম পরিবেশিত হবে will
  2. আপনি কি একাধিক দৈহিক ডেটা সেন্টারে চালাচ্ছেন? ব্যবহারকারী এবং আপনার সিস্টেমের মধ্যে হপ সংখ্যা হ্রাস করতে AD পরিষেবাগুলির সামনে ভৌগলিক লোড-ব্যালেন্সিং বিবেচনা করুন
  3. এছাড়াও, যদি # 2 এর উত্তর হ্যাঁ হয়, তবে নিশ্চিত হয়ে নিন যে আপনি এখানে বর্ণিত হিসাবে আপনার বন প্রতিরূপ করতে কিছু উত্সর্গীকৃত নেটওয়ার্ক সংস্থান স্থাপন করেছেন

এবং নিশ্চিত করুন যে আপনার ফায়ারওয়াল সমাধান অত্যন্ত উচ্চ পুনঃপ্রেরণ হারগুলি পরিচালনা করতে সক্ষম হয়েছে যদি আপনার যদি থ্রটলড আপলিংকগুলিতে, শোরগোলের ওয়াইফাই কেন্দ্রগুলি থেকে সংযুক্ত হওয়া ইত্যাদি থাকে etc.


এটি কীভাবে উইন্ডোজ মেশিনগুলি পরিচালনা করে বা কোনও ডিসির মতো কোনও কিছুর সুরক্ষিত করে যা ইন্টারনেটে প্রকাশিত হয়? এটি পড়ার মতো হয় না, মোটেও না।
mfinni
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.