請問有AD proxy 這種東西嗎

gundanz 2019-12-25 17:03:35 ‧ 3051 瀏覽

分享至

大家好

今天跟公司的副總開資安會議，副總說AD是公司的核心，不能被外面駭客攻破，

他希望有一個AD proxy，這樣client端只會去找這台proxy做帳號驗證或者執行Logon script，

client端完全不能直接接觸到domain controller, 也就是DC要與client端完全隔離.

請問大家真的有AD proxy這這個東西嗎?

謝謝

zyman2008 iT邦大師 6 級 ‧ 2019-12-25 18:25:10 檢舉

應該是用RODC(Read Only Domain Controller)
不過沒玩過, 請找專家Ray大

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

dscwferp

iT邦高手 1 級 ‧ 2019-12-25 17:17:03

https://docs.microsoft.com/zh-tw/azure/active-directory/manage-apps/application-proxy
透過 Azure Active Directory 應用程式 Proxy 遠端存取內部部署應用程式
這個嗎?

or
https://wiki.samba.org/index.php/OpenLDAP_as_proxy_to_AD
OpenLDAP as proxy to AD?

google大神!!!

回應 1
分享
檢舉

dscwferp iT邦高手 1 級 ‧ 2019-12-25 17:22:51 檢舉

https://www.google.com/search?q=Active+Directory+Proxy&safe=off&client=firefox-b-d&sxsrf=ACYBGNQIZW4xP3MX7tljD5Ai6_5W3G1JBQ:1577265541132&source=lnt&tbs=li:1&sa=X&ved=2ahUKEwjmuK6CvNDmAhX-xosBHVrEAdYQpwV6BAgNECY&biw=1467&bih=655

登入發表回應

echochio

iT邦高手 1 級 ‧ 2019-12-26 09:21:21

建立 RODC 就好了 ...

你必須搞懂 RODC 的用途 , RDOC 只是當 client 只能讀不可寫的前端 DC
RODC 建立相當容易就如同 DC 一樣 ... 下一步... 下一步 .... 就建立起來了

管理上如同 DC .. 只是你的網路要規劃一下 , DC 不讓 client 連但是要能連 RODC

RODC 要讓 client & DC 能夠連

之前用過 nginx 當 proxy 目的是AD 的 DNS 做 HA
啥時候停一台DC 都沒事

https://echochio.pixnet.net/blog/post/44368927-nginx-proxy-%2B-keepalived-ha

https://echochio.pixnet.net/blog/post/44366566-%E7%94%A8-ngnix-%E7%95%B6-dc-porxy

回應
分享
檢舉

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2019-12-26 11:57:42

副總說AD是公司的核心，不能被外面駭客攻破

這個想法是正確的
但是作法在下卻認為有待討論

在下不成熟的簡單想法描述如下：
試問所謂AD被攻破，是否指系統被取得控制權限
若是，則即便前方有一 AD Proxy作為面向client
而其資料是否仍需與真實AD同步
故當前方被攻破情況下，豈有後方不淪陷的道理

因此根本正確的方法
是不是應該在任何網路連線至AD主機前應做session安全檢核
而主機與主機之間(甚至連外)也需要做網路session安全檢核
這樣的運作模式，原本就有專名叫DMZ區
用所謂的 Security Getway (NGFW)就可以做到
樓主可以參考看看
並研究一下所謂的內網防護，或右列影片