2 votes

Urist McDev avatar

La meilleure configuration de domaine pour les ordinateurs peu sécurisés sur le terrain

Demandé el 23 de Juin, 2017
Quand la question a-t-elle été
138 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un certain nombre de postes de travail qui seront installés dans des lieux distants où nous n'aurons pas nécessairement une bonne sécurité physique. Nous devons nous assurer d'avoir un accès complet à ces machines (via le bureau à distance, la stratégie de groupe, IPMI/KVM à distance, etc.) donc nous utiliserons des VPN matériels à chacun des emplacements. Comme nous utilisons un VPN matériel, cela signifie qu'en théorie, quelqu'un pourrait brancher un appareil sur le port du VPN, mais cette personne aurait besoin de connaître notre infrastructure réseau, nos noms d'utilisateur/mots de passe, etc., et nous bloquerons également tout le trafic entrant vers notre bureau au niveau du pare-feu, sauf pour le trafic Active Directory.

Ainsi, cela a soulevé la question, quel type de contrôleur de domaine utiliser? Au début, j'ai configuré un contrôleur de domaine en lecture seule qui est membre de notre domaine principal, mais cela nous mettait mal à l'aise. De plus, cela comporte sa propre série de soucis, donc maintenant je considère d'autres options avant de vraiment commencer à utiliser le système (il est encore en développement).

Je pense que je vais soit configurer un sous-domaine, soit opter pour un domaine entièrement séparé. Je devrais quand même établir des relations de confiance entre les domaines, car je veux que les utilisateurs de mon bureau puissent gérer facilement les ordinateurs distants sur le terrain, mais c'est uniquement à des fins de gestion et la connexion peut être interrompue à tout moment tout en laissant les ordinateurs sur le terrain entièrement opérationnels. Oui, je pourrais ne pas avoir de relations de confiance du tout, mais j'aimerais gérer la plupart des ressources utilisateur à partir d'un seul domaine si possible. La clé ici est que nous avons la capacité de gérer et d'accéder à distance à ces ordinateurs sans permettre qu'ils compromettent la sécurité de notre réseau de bureau.

Y a-t-il une meilleure façon de faire cela? Qu'ont fait les autres dans des situations comme celle-ci? Merci!

Demandé el 23 de Juin, 2017 par Urist McDev

Réponse

Trop de publicités?

1voto

Brownbay avatar
Brownbay Points 1041

Tout va finir par se résumer à un compromis entre la sécurité et la commodité de pouvoir utiliser un seul ensemble d'identifiants administratifs de votre domaine principal. Ma recommandation est de ne pas mettre en place un nouveau domaine et de ne pas avoir confiance, car cela ne fera que vous donner un faux sentiment de sécurité. Ne déploiez même pas de contrôleur de domaine à cet endroit. Ne compliquez pas les choses. Vous vous retrouverez avec plus de travail que nécessaire en termes de sécurité. Utilisez le VPN pour permettre aux clients de s'authentifier contre les contrôleurs de domaine du bureau. Restreignez leur accès réseau à votre pare-feu pour les limiter aux adresses IP, ports et protocoles nécessaires à leur fonctionnement. Activez la mise en cache des informations d'identification sur les clients afin que l'utilisateur puisse toujours se connecter en cas de coupure du réseau. Activez le chiffrement BitLocker sur les clients pour limiter l'accès au disque hors ligne. Utilisez la solution Microsoft LAPS pour garantir que les mots de passe administratifs locaux sont uniques et sauvegardés dans Active Directory. Surtout, ne vous connectez jamais aux clients avec un compte de domaine ayant des droits administratifs sur l'un des autres ordinateurs de votre réseau. Appliquez une stratégie de groupe pour refuser l'accès réseau et interactif à vos comptes administratifs de domaine sur ces systèmes pour éviter que cela ne se produise. Mieux encore, utilisez le compte LAPS pour toute administration à distance de ceux-ci. Ainsi, si l'un est compromis, ils sont limités à ce système et aux comptes encore en mémoire. Faites-moi savoir si vous avez des questions ou des préoccupations concernant ces suggestions. La commodité/l'utilisabilité et la sécurité seront toujours en conflit l'une avec l'autre. La clé est de trouver le juste milieu où c'est sécurisé et également utilisable, mais pas toujours pratique, malheureusement.

Répondu el 23 de Juin, 2017 par Brownbay (1041 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X