قد يقوم مسؤول تكنولوجيا المعلومات بإغلاق DMZ من منظور خارجي ولكنه يفشل في وضع هذا المستوى من الأمان عند الوصول إلى DMZ من منظور داخلي حيث سيتعين عليك الوصول إلى هذه الأنظمة وإدارتها ومراقبتها داخل المنطقة DMZ أيضًا ، ولكن بشكل طفيف بطريقة مختلفة عن الأنظمة الموجودة على شبكة LAN الداخلية الخاصة بك. في هذا المنشور ، سنناقش ما أوصت به Microsoft أفضل ممارسات وحدة تحكم المجال DMZ .
ما هي وحدة تحكم المجال DMZ؟
في أمان الكمبيوتر ، تعد المنطقة المنزوعة السلاح ، أو المنطقة المنزوعة السلاح ، شبكة فرعية مادية أو منطقية تحتوي على الخدمات الخارجية التي تواجه المؤسسة وتعرضها لشبكة أكبر وغير موثوق بها ، وعادة ما تكون الإنترنت. الغرض من المنطقة المجردة من السلاح (DMZ) هو إضافة طبقة أمان إضافية إلى شبكة LAN الخاصة بالمؤسسة ؛ تتمتع عقدة الشبكة الخارجية بوصول مباشر فقط إلى الأنظمة الموجودة في المنطقة المجردة من السلاح وهي معزولة عن أي جزء آخر من الشبكة. من الناحية المثالية ، لا ينبغي أبدًا وجود وحدة تحكم مجال موجودة في DMZ للمساعدة في المصادقة على هذه الأنظمة. أي معلومات تعتبر حساسة ، وخاصة البيانات الداخلية يجب عدم تخزينها في المنطقة المجردة من السلاح أو تعتمد عليها أنظمة DMZ.
أفضل ممارسات وحدة تحكم المجال DMZ
أتاح فريق Active Directory في Microsoft ملف توثيق مع أفضل الممارسات لتشغيل الإعلان في المنطقة المجردة من السلاح. يغطي الدليل نماذج AD التالية للشبكة المحيطة:
المقبض غير صالح
- لا يوجد دليل نشط (حسابات محلية)
- نموذج الغابة المعزول
- نموذج الغابات الموسعة للشركة
- نموذج ثقة الغابة
يحتوي الدليل على اتجاه لتحديد ما إذا كان خدمات مجال الدليل النشط (AD DS) مناسب لشبكة محيطك (تُعرف أيضًا باسم DMZs أو الشبكات الخارجية) ، والنماذج المختلفة لنشر AD DS في الشبكات المحيطة ، ومعلومات التخطيط والنشر لوحدات تحكم المجال للقراءة فقط (RODCs) في الشبكة المحيطة. نظرًا لأن RODCs توفر إمكانات جديدة للشبكات المحيطة ، فإن معظم المحتوى في هذا الدليل يصف كيفية التخطيط لميزة Windows Server 2008 هذه ونشرها. ومع ذلك ، فإن نماذج Active Directory الأخرى المقدمة في هذا الدليل هي أيضًا حلول قابلة للتطبيق لشبكة محيطك.
هذا كل شيء!
باختصار ، يجب إغلاق الوصول إلى المنطقة المجردة من السلاح من منظور داخلي بأكبر قدر ممكن من الإحكام. هذه هي الأنظمة التي من المحتمل أن تحتفظ ببيانات حساسة أو يمكنها الوصول إلى أنظمة أخرى بها بيانات حساسة. إذا تم اختراق خادم DMZ وكانت الشبكة المحلية الداخلية مفتوحة على مصراعيها ، فسيجد المهاجمون فجأة طريقة للوصول إلى شبكتك.
اقرأ بعد ذلك : فشل التحقق من المتطلبات الأساسية لترقية وحدة تحكم المجال
هل يجب أن تكون وحدة تحكم المجال في DMZ؟
لا يوصى بذلك لأنك تعرض وحدات التحكم بالمجال لمخاطر معينة. غابة الموارد هي نموذج مجموعة AD DS معزول يتم نشره في شبكة محيطك. جميع وحدات تحكم المجال والأعضاء والعملاء المنضمين إلى المجال يقيمون في DMZ الخاص بك.
يقرأ : تعذر الاتصال بوحدة تحكم مجال Active Directory للمجال
شاشة زرقاء بعد النوم windows 10
هل يمكنك الانتشار في المنطقة المجردة من السلاح؟
يمكنك نشر تطبيقات الويب في منطقة منزوعة السلاح (DMZ) لتمكين المستخدمين الخارجيين المصرح لهم خارج جدار الحماية الخاص بشركتك من الوصول إلى تطبيقات الويب الخاصة بك. لتأمين منطقة DMZ ، يمكنك:
- الحد من تعرض المنفذ المواجه للإنترنت على الموارد الهامة في شبكات DMZ.
- حدد المنافذ المكشوفة لعناوين IP المطلوبة فقط وتجنب وضع أحرف البدل في منفذ الوجهة أو إدخالات المضيف.
- قم بتحديث أي نطاقات IP عامة بشكل منتظم في الاستخدام النشط.
يقرأ : كيفية تغيير عنوان IP لوحدة تحكم المجال .
