Admin TI mungkin mengunci DMZ dari perspektif eksternal tetapi gagal menerapkan tingkat keamanan tersebut pada akses ke DMZ dari perspektif internal karena Anda juga harus mengakses, mengelola, dan memantau sistem ini di dalam DMZ, tetapi dalam waktu yang sedikit cara yang berbeda dari yang Anda lakukan dengan sistem di LAN internal Anda. Dalam posting ini, kita akan membahas rekomendasi Microsoft Praktik terbaik Pengontrol Domain DMZ .
Apa itu Pengontrol Domain DMZ?
Dalam keamanan komputer, DMZ, atau zona demiliterisasi, adalah subjaringan fisik atau logis yang memuat dan memaparkan layanan organisasi yang menghadap ke luar ke jaringan yang lebih besar dan tidak tepercaya, biasanya Internet. Tujuan DMZ adalah menambahkan lapisan keamanan tambahan ke LAN organisasi; node jaringan eksternal hanya memiliki akses langsung ke sistem di DMZ dan diisolasi dari bagian lain jaringan. Idealnya, tidak boleh ada pengontrol domain yang duduk di DMZ untuk membantu otentikasi sistem ini. Setiap informasi yang dianggap sensitif, terutama data internal tidak boleh disimpan di DMZ atau sistem DMZ mengandalkannya.
windows 7 mulai tombol changer
Praktik terbaik Pengontrol Domain DMZ
Tim Direktori Aktif di Microsoft telah menyediakan a dokumentasi dengan praktik terbaik untuk menjalankan AD di DMZ. Panduan ini mencakup model AD berikut untuk jaringan perimeter:
- Tidak Ada Direktori Aktif (akun lokal)
- Model hutan terisolasi
- Model hutan perusahaan yang diperluas
- Model kepercayaan hutan
Panduan berisi arahan untuk menentukan apakah Layanan Domain Direktori Aktif (AD DS) sesuai untuk jaringan perimeter Anda (juga dikenal sebagai DMZ atau ekstranet), berbagai model untuk menerapkan AD DS di jaringan perimeter, dan informasi perencanaan dan penerapan untuk Pengontrol Domain Hanya Baca (RODC) di jaringan perimeter. Karena RODC menyediakan kemampuan baru untuk jaringan perimeter, sebagian besar konten dalam panduan ini menjelaskan cara merencanakan dan menyebarkan fitur Windows Server 2008 ini. Namun, model Direktori Aktif lainnya yang diperkenalkan dalam panduan ini juga merupakan solusi yang layak untuk jaringan perimeter Anda.
Itu dia!
Singkatnya, akses ke DMZ dari perspektif internal harus dikunci seketat mungkin. Ini adalah sistem yang berpotensi menyimpan data sensitif atau memiliki akses ke sistem lain yang memiliki data sensitif. Jika server DMZ dikompromikan dan LAN internal terbuka lebar, penyerang tiba-tiba memiliki jalan masuk ke jaringan Anda.
Baca selanjutnya : Verifikasi prasyarat untuk promosi Pengontrol Domain gagal
tab bisu chrome
Haruskah pengontrol domain berada di DMZ?
Tidak disarankan karena Anda mengekspos pengontrol domain Anda ke risiko tertentu. Hutan sumber daya adalah model hutan AD DS terisolasi yang diterapkan di jaringan perimeter Anda. Semua pengontrol domain, anggota, dan klien yang bergabung dengan domain berada di DMZ Anda.
Membaca : Pengontrol Domain Direktori Aktif untuk domain tidak dapat dihubungi
Bisakah Anda menerapkan di DMZ?
Anda dapat menggunakan aplikasi Web di zona demiliterisasi (DMZ) untuk mengaktifkan pengguna resmi eksternal di luar firewall perusahaan Anda untuk mengakses aplikasi Web Anda. Untuk mengamankan zona DMZ, Anda dapat:
- Batasi internet menghadapi paparan port pada sumber daya penting di jaringan DMZ.
- Batasi port terbuka hanya untuk alamat IP yang diperlukan dan hindari penempatan wildcard di port tujuan atau entri host.
- Perbarui rentang IP publik apa pun yang aktif digunakan secara teratur.
Membaca : Bagaimana mengubah Alamat IP Pengontrol Domain .
apa yang harus dilakukan jika akun microsoft Anda diretas
