IT व्यवस्थापक DMZ को बाहरी दृष्टिकोण से लॉक कर सकता है, लेकिन आंतरिक दृष्टिकोण से DMZ तक सुरक्षा के उस स्तर को रखने में विफल रहता है क्योंकि आपको DMZ के भीतर भी इन प्रणालियों तक पहुँच, प्रबंधन और निगरानी करनी होगी, लेकिन थोड़े समय में आपके आंतरिक लैन पर सिस्टम के साथ अलग तरीके से। इस पोस्ट में, हम Microsoft द्वारा अनुशंसित पर चर्चा करेंगे DMZ डोमेन नियंत्रक सर्वोत्तम अभ्यास .
DMZ डोमेन नियंत्रक क्या है?
कंप्यूटर सुरक्षा में, एक डीएमजेड, या डिमिलिट्राइज़्ड ज़ोन, एक भौतिक या तार्किक उप-नेटवर्क है जिसमें एक संगठन की बाहरी-सामना करने वाली सेवाओं को एक बड़े और अविश्वसनीय नेटवर्क, आमतौर पर इंटरनेट में शामिल किया जाता है और उजागर करता है। DMZ का उद्देश्य किसी संगठन के LAN में सुरक्षा की एक अतिरिक्त परत जोड़ना है; एक बाहरी नेटवर्क नोड की केवल DMZ में सिस्टम तक सीधी पहुंच होती है और यह नेटवर्क के किसी अन्य भाग से अलग होता है। आदर्श रूप से, इन प्रणालियों के प्रमाणीकरण में सहायता के लिए DMZ में कभी भी एक डोमेन नियंत्रक नहीं होना चाहिए। ऐसी कोई भी जानकारी जिसे संवेदनशील माना जाता है, विशेष रूप से आंतरिक डेटा को DMZ में संग्रहीत नहीं किया जाना चाहिए या उस पर DMZ सिस्टम निर्भर नहीं होना चाहिए।
सतह समर्थक 3 प्रशंसक शोर
DMZ डोमेन नियंत्रक सर्वोत्तम अभ्यास
माइक्रोसॉफ्ट में सक्रिय निर्देशिका टीम ने उपलब्ध कराया है प्रलेखन DMZ में AD चलाने के सर्वोत्तम अभ्यासों के साथ। गाइड परिधि नेटवर्क के लिए निम्नलिखित एडी मॉडल को शामिल करता है:
- कोई सक्रिय निर्देशिका नहीं (स्थानीय खाते)
- पृथक वन मॉडल
- विस्तारित कॉर्पोरेट वन मॉडल
- वन ट्रस्ट मॉडल
गाइड में यह निर्धारित करने के लिए दिशा होती है कि क्या सक्रिय निर्देशिका डोमेन सेवाएँ (AD DS) आपके पेरीमीटर नेटवर्क (DMZ या एक्स्ट्रानेट के रूप में भी जाना जाता है), पेरीमीटर नेटवर्क में AD DS को परिनियोजित करने के लिए विभिन्न मॉडल, और पेरीमीटर नेटवर्क में रीड ओनली डोमेन कंट्रोलर्स (RODCs) के लिए योजना और परिनियोजन जानकारी के लिए उपयुक्त है। चूंकि आरओडीसी परिधि नेटवर्क के लिए नई क्षमताएं प्रदान करते हैं, इसलिए इस गाइड की अधिकांश सामग्री यह बताती है कि इस विंडोज सर्वर 2008 सुविधा की योजना कैसे बनाई जाए और इसे कैसे तैनात किया जाए। हालाँकि, इस गाइड में पेश किए गए अन्य सक्रिय निर्देशिका मॉडल भी आपके परिधि नेटवर्क के लिए व्यवहार्य समाधान हैं।
इतना ही!
संक्षेप में, आंतरिक दृष्टिकोण से DMZ तक पहुंच को यथासंभव कसकर बंद कर दिया जाना चाहिए। ये ऐसे सिस्टम हैं जो संभावित रूप से संवेदनशील डेटा धारण कर सकते हैं या संवेदनशील डेटा वाले अन्य सिस्टम तक पहुंच सकते हैं। यदि एक डीएमजेड सर्वर से समझौता किया गया है और आंतरिक लैन व्यापक रूप से खुला है, हमलावरों के पास अचानक आपके नेटवर्क में एक रास्ता है।
प्रक्रिया प्रविष्टि बिंदु स्थित नहीं हो सकता है
आगे पढ़िए : डोमेन नियंत्रक प्रचार के लिए किसी और चीज की पुष्टि विफल रही
डोमेन नियंत्रक DMZ में होना चाहिए?
इसकी अनुशंसा नहीं की जाती है क्योंकि आप अपने डोमेन नियंत्रकों को एक निश्चित जोखिम में डाल रहे हैं। संसाधन फ़ॉरेस्ट एक पृथक AD DS फ़ॉरेस्ट मॉडल है जो आपके परिधि नेटवर्क में परिनियोजित किया गया है। सभी डोमेन नियंत्रक, सदस्य और डोमेन से जुड़े ग्राहक आपके DMZ में रहते हैं।
पढ़ना : डोमेन के लिए सक्रिय निर्देशिका डोमेन नियंत्रक से संपर्क नहीं किया जा सका
खाता चित्र सेट करना विफल रहा
क्या आप DMZ में तैनात कर सकते हैं?
आप अपने वेब अनुप्रयोगों तक पहुँचने के लिए अपनी कंपनी फ़ायरवॉल के बाहर बाहरी अधिकृत उपयोगकर्ताओं को सक्षम करने के लिए एक डिमिलिट्राइज़्ड ज़ोन (DMZ) में वेब एप्लिकेशन को तैनात कर सकते हैं। DMZ ज़ोन को सुरक्षित करने के लिए, आप यह कर सकते हैं:
- DMZ नेटवर्क में महत्वपूर्ण संसाधनों पर इंटरनेट फेसिंग पोर्ट एक्सपोज़र को सीमित करें।
- एक्सपोज़्ड पोर्ट को केवल आवश्यक IP पतों तक सीमित करें और डेस्टिनेशन पोर्ट या होस्ट एंट्री में वाइल्डकार्ड रखने से बचें।
- सक्रिय उपयोग में किसी भी सार्वजनिक आईपी श्रेणी को नियमित रूप से अपडेट करें।
पढ़ना : डोमेन कंट्रोलर का आईपी एड्रेस कैसे बदलें .
