Active Directoryをリモートユーザーのパブリックインターネットに公開する必要がありますか？

Active Directory（AD）は、そのような展開向けに設計されていません。

製品の設計で使用される脅威モデルは、ネットワーク境界でフィルタリングされたある量の敵意のあるアクターによる「ファイアウォールの背後」の展開を想定しています。 Windows Serverをパブリックネットワークに公開するように強化することは確かに可能ですが、Active Directoryが正しく機能するためには、パブリックネットワーク向けに強化されたホストよりも明らかに緩やかなセキュリティ体制が必要です。 ADが適切に機能するためには、lotのサービスをドメインコントローラー（DC）から公開する必要があります。

コメントでのZoredacheの提案、特に証明書認証付きのマシン全体のサービスとして実行されているOpenVPNのようなものを参照することは、ちょうど良いかもしれません。他のユーザーが述べたように、DirectAccessは、必要なクロスプラットフォームサポートがないことを除いて、まさに必要なものです。

余談ですが、私は証明書ベースのトランスポートモードIPSECを使用してADを直接インターネットに公開するというアイデアに興味をそそられましたが、実際にそれを行う時間はありませんでした。マイクロソフトはWindows Server 2008/Vistaのタイムフレームに変更を加えたため、これは実現可能と思われていましたが、実際に実行したことはありません。

他の誰もが言ったこと。私は、クリストファーカレルが言及した力ずくの試みについて特に緊張しています。 最後のDef Conでのプレゼンテーション がトピックでした：

ドメインコントローラは安全だと思いますか？

ジャスティンヘンドリックスセキュリティエンジニア、マイクロソフト

ドメインコントローラーは、組織の王冠です。それらが落ちると、ドメイン内のすべてが落ちます。組織はドメインコントローラーをセキュリティで保護するために多大な努力を払っていますが、多くの場合、これらのサーバーの管理に使用されるソフトウェアを適切に保護できません。

このプレゼンテーションでは、組織が展開して使用する一般的に使用される管理ソフトウェアを悪用することにより、ドメイン管理を取得するための従来とは異なる方法について説明します。

ジャスティンヘンドリックスはOffice 365のセキュリティチームで働いており、レッドチーミング、侵入テスト、セキュリティ調査、コードレビュー、ツール開発に携わっています。

他にもたくさんの例が見つかると思います。 DCが見つかるまでの速さなどについての説明を得ることを期待して、ドメインコントローラとハッキングに関する記事を探していましたが、今のところそれで十分だと思います。

あなたが経営者を説得しようとしているなら、良いスタートはそれです：

It goes against Microsoft's Best Practices for Active Directory Deployment.

Update：ドメインコントローラを攻撃から保護することについて このtechnetの記事 を参照し、Perimeter Firewall Restrictionsというタイトルのセクションを参照してください：

Perimeter firewalls should be configured to block outbound connections
from domain controllers to the Internet. 

そしてBlocking Internet Access for Domain Controllersというタイトルのセクションは次のように述べています：

Launching web browsers on domain controllers should be prohibited not only
by policy, but by technical controls, and domain controllers should not be
permitted to access the Internet

私はあなたが問題についていくつかのマイクロソフトのドキュメントを太鼓にすることができると確信しています、それはそれです。それに加えて、あなたはそのような動きの危険を次のように述べることができます：

A gaping hole would be created, possibly resulting in severe data loss and/or loss of company secrets.

キャッシュされた資格情報はそれだけです-キャッシュされます。ローカルマシンはドメインに接続できないときに機能しますが、そのアカウントが無効になっていると、ネットワークリソース（svn、vpn、smb、fbi）に対して機能しません。 、ciaなど）なので、心配する必要はありません。また、ユーザーはローカルマシンのプロファイルフォルダー内のすべてのファイル（およびリムーバブルメディア）に対する完全な権限を既に持っているため、資格情報を無効にするか、ユーザーがそのデータで希望どおりの操作を実行できないことを忘れないでください。また、ネットワークに再接続すると、ローカルマシンで機能しなくなります。

LDAPなど、Active Directoryまたはドメインコントローラーが提供するサービスを参照していますか？その場合、認証とディレクトリクエリの目的でLDAPが安全に分割されることがよくありますが、Windowsファイアウォールをオフにする（または必要なすべてのポートをパブリックまで開く-この例でも同じ）と、深刻な問題が発生する可能性があります。

ADはMacを本当に管理しないため、別のソリューションが必要になります（OS Xサーバーを考えてください）。 Macをドメインに参加させることはできますが、ネットワーク認証情報で認証させたり、ドメイン管理者をMacのローカル管理者として設定したりするだけです。グループポリシーはありません。 MSは、新しいバージョンのSCCMでアプリケーションをMacおよび* nixボックスに展開できると主張している）でその地位を突破しようとしていますが、まだ実稼働環境では見ていません。また、MacベースのOSベースのサーバーに接続するように設定して、ADベースのディレクトリを認証することもできますが、私は間違っている可能性があります。

そうは言っても、OpenVPNをサービスとして使用し、その従業員を解雇するときにマシン証明書を無効にするというEvanの提案など、いくつかの創造的なソリューションを考案することができます。

すべてがGoogleに基づいているようですが、GoogleがLDAPサーバーとして機能していますか？私は、クライアントが可能な限りそれを維持することをお勧めします。私はあなたのビジネスの性質を知りませんが、gitまたはredmineサーバーなどのWebベースのアプリの場合、社内でセットアップしても、Googleアカウントを利用してOAuthで認証できる場合があります。

最後に、このようなロードウォリアーの設定では、VPNを成功させるためにVPNがほぼ必要です。マシンがオフィスに持ち込まれて構成されたら（またはスクリプトを使用してリモートで構成されたら）、構成の変更を受け取る方法が必要になります。

Macには、VPNに加えて別の管理アプローチが必要です。本当のMacサーバーをもう作成しないのは残念ですが、前回チェックしたとき（数年前）、OS Xサーバーに適切なポリシー実装がいくつかありました。 ）。

DirectAccessは、ご要望に合わせてカスタマイズされているため、Win7 + Enterprise Editionでのみ使用できるのは残念です。しかし、エディションがわからず、MacOSがインストールされていることがわかると、機能しません。

/編集-一部のサードパーティはUnicesのDAクライアントを持っていると主張しているようです： http://www.centrify.com/blogs/tomkemp/what_is_Microsoft_directaccess_and_unix_linux_interoperability.asp

ニーズを満たすために機能するMDMソリューションが利用可能です。そのうちの1つ（MAAS360）を同様の立場にあるクライアントにロールアウトします。

これは明らかに重大なセキュリティリスクになります。さらに、おそらく期待どおりに機能しません。インターネット上のランダムなユーザーがAD環境へのログインを試行できる場合、すべてのユーザーがロックアウトされる可能性が高いです。永遠に。また、ロックアウト要件を削除すると、単純なパスワードのブルートフォースチェックが非常に簡単になります。

さらに重要なことは、ADサーバーに直接アクセスできなくても、目的（ドメインの資格情報を使用してラップトップにログインするエンドユーザー）の実装に問題がないことです。つまり、Windowsマシンは最後のX回の成功したログインをキャッシュできるため、切断時にこれらの同じ資格情報が機能します。つまり、エンドユーザーは、ADサーバーに触れる必要なく、ログインして便利な作業を行うことができます。もちろん、VPNを利用して他の主要な企業リソースに接続する必要があり、同時にAD/GPO設定を更新できます。

ユーホワイト、

あなたの質問は非常に有効であり、慎重なレビューに値します。

すべてのセキュリティ専門家は、SPIファイアウォール、IDS、ホストベースのファイアウォールなど）を含む、あらゆるネットワークリソースの前にセキュリティ層を推奨します。ISA（現在はTMG）。

とはいえ、Microsoft Active Directory 2003以降には、公表されている主要な脆弱性はありません。 LDAPテクノロジーとそのハッシュアルゴリズムは、一般に非常に安全です。 SSL VPNがOpenSSLを実行し、ハートブリードに対して脆弱である場合、SSL VPNよりも間違いなく安全です。

私は5つのことを警告します：

1. ターミナルサーバー、DNSサービス、CIFSなどのネットワークに直面している他のサービス、特にIISとそのひどいセキュリティレコード）に注意してください。

2. LDAPSをセキュリティ証明書と共に使用して、クリアテキストドメインの資格情報をネットワーク経由で渡さないようにします。これは、証明書サービスのインストール後に自動的に行われます（PKIには別のマシンを使用してください）

3. パケットスニファをインターフェイスに置き、トラフィックを監視し、クリアテキストのパスワードを修正します。ファイアウォールかどうかにかかわらず、VPNまたはLDAPSを使用していない場合、一部のレガシーシステムはクリアテキストのパスワードを送信します。

4. MITM攻撃により、ネイティブ認証メカニズムが強制的にダウングレードされ、より弱いNTLM認証にパスワードが公開される可能性があることを理解してください。

5. まだ存在する可能性のあるユーザー列挙の脆弱性に注意してください。

とはいえ、Active Directoryにはセキュリティに関して優れた実績があります。さらに、MS Active Directoryはパスワードを格納せず、侵害の重大度を軽減するハッシュのみを格納します。

よりシームレスなセキュリティインフラストラクチャの恩恵を受けることができ、特別なDNSサーバーを設定したり、domain.localを使用したりする必要がなく、domain.comなどのパブリックインターネット上の実際のドメインを使用できます。

私の専門家の意見では、Active Directoryなどのセキュリティテクノロジを公に展開することには大きなメリットがあります。ExchangeやDNSやWebサーバーなどの他のテクノロジは、単にメリットがなく、すべてのリスクを提供します。

注：Active Directoryを展開すると、DNSサーバーが含まれます。 DNSサーバーの再帰を無効にするには、CERTAINにしてください（デフォルトで有効）。サービス拒否攻撃に絶対に参加することになります。

乾杯、

-ブライアン