diretório ativo ou grupo de trabalho para máquinas de produção

Eu os colocaria; no mínimo, os ganhos da autenticação integrada superam de longe as desvantagens percebidas. O gerenciamento geral do sistema operacional será muito mais suave, e se seus aplicativos e bancos de dados tiverem um modelo de segurança que permita que eles tenham seus próprios administradores dedicados e que não conceda aos administradores de domínio padrão acesso total a eles, perdendo qualquer coisa lá.

Não tenho a certeza se as preocupações quanto ao facto de o seu anúncio estar comprometido são válidas aqui. Se o seu AD está comprometido, certamente isso significa que você tem problemas maiores de qualquer maneira?

Existe uma razão pela qual grandes empresas usam o Active Directory. Isso faz mais sentido. Coisas a considerar:

• Se eu comprometer seu computador, você terá senhas diferentes em todos os lugares, o que significa que você provavelmente terá senhas armazenadas em algum lugar ou reutilizará a mesma senha. Nem todo mundo vai ter um cofre de senha decente. Em qualquer um dos casos, vou pegar as chaves em algum outro lugar.
• Com os servidores no AD, você obtém a vantagem de uma política de bloqueio global. O que significa que, se você tiver falhas de login X ao longo de Y minutos no total, a conta será bloqueada. Então eu não tenho X chances aqui e X chances lá e mais X chances sobre você por um total de 3X chances (se você estiver reutilizando senhas). Eu recebo X. Quando X > 0, X < 3X.
• GPOs. Configurações gerenciadas, como Restringir Anônimo, Configurações de Auditoria, tamanho dos logs de eventos, se o Administrador é renomeado ou não, permitir Lash Hashes ou NTLM, etc. Tudo isso pode ser controlado e enviado do AD e aplicado automaticamente. Do ponto de vista da segurança, isso explode o servidor manual pelo processo do servidor fora da água, como um bom auditor de TI lhe dirá.
• Fonte única para segurança. Você tem um usuário desonesto. Você descobre. Você desativa a conta desse usuário no domínio. Adivinha? Esse usuário não está fazendo login em outro lugar. Você tenta isso com múltiplos sistemas diferentes, e você terá que acertar todos.

Veja, você ainda pode desativar o firewall do hardware, e isso é uma boa ideia, esculpindo os buracos apropriados para que o servidor possa conversar com os DCs e, assim, os clientes só possam falar com esses servidores nas portas certas. Por exemplo, não há motivo para que um usuário final tenha acesso NetBIOS a um servidor de banco de dados. E não há motivo para o servidor de arquivos precisar falar com o SQL Server, portanto não os deixe. E então você restringe a área total da superfície.

Não consigo pensar em um bom motivo para separar os servidores de banco de dados e de aplicativos do domínio. Estamos executando quantidades incalculáveis de servidores SQL e Oracle e servidores de aplicativos (acima de 100) em nossa floresta.

Tenho medo de pensar que dor logística no pescoço seria para nós operarmos se eles fossem segregados em grupos de trabalho.

A complexidade é inimiga da segurança . Coloque seus servidores dentro do Active Directory.

Eu colocaria os servidores dentro do AD, como todos os outros estão sugerindo. Se você estiver realmente preocupado com a segurança, coloque esses servidores específicos em uma VLAN separada e permita que eles se comuniquem com hosts específicos em portas específicas. Isso impedirá o RDP, o acesso UNC, etc etc e só permitirá o que for necessário.

AD & o domínio permite o gerenciamento central do servidor restringindo coisas como contas de usuário, GPO, navegação na internet, instalação de software, a lista é interminável. Para não mencionar redefinição de senha se uma conta que é usada em 10 máquinas é comprometida, já que em um grupo de trabalho suas 10 máquinas para acessar e redefinir, agora se isso fosse 100 máquinas é louco, sem mencionar se você perder uma máquina que você tem um buraco. A menos que você comece a escrever tudo isso.

Se separar as máquinas de produção da rede da estação de trabalho é realmente o que você quer fazer, então você pode firewall entre as duas redes e ainda ter o no mesmo AD.

Ou tenha 2 domínios completamente independentes com relações de confiança (ou não) entre eles, conforme necessário.

ou tem um domínio com 2 florestas

ou bem, a lista é interminável, é realmente o que você precisa.

Uma das suas preocupações é a máquina do usuário ser infectada por um vírus e, em seguida, infectar o servidor de produção, se eles estiverem no AD. AD não funciona assim. AD é em si um banco de dados do seu domínio.

Se a máquina A tiver um vírus e tiver acesso de rede à máquina B, a máquina A poderá atacar a máquina B. Não há nenhum AD envolvido. A máquina A está apenas fazendo o que um vírus faz para atacar outra máquina. Pode tentar e brute para a máquina B, pode tentar um ataque RPC e assim por diante. O AD não tem nada a ver com a ativação desse anexo. O que é necessário neste caso é um firewall entre as duas redes. Então você teria Rede A para workstions e Rede B para produção. Isso é uma configuração comum nas empresas é como você evita o que você está preocupado.

Confira a resposta de Evan sobre o que é AD.

Concordo com o Izzy. Os domínios tornam o gerenciamento desses servidores MUITO mais fácil, o que, por sua vez, pode torná-los mais seguros.

Parece que você conhece um pouco de AD, mas não muito, então vou sugerir que você faça um curso introdutório sobre o AD ou um curso mais aprofundado sobre o AD e o Windows Server Management. como um todo. Ele irá responder a toneladas de suas perguntas, e as pessoas que administram o curso devem ser capazes de responder algumas de suas perguntas com cenários hipotéticos. Você deve ser capaz de lançar seu layout de rede atual para eles, e eles devem dar sugestões sobre onde melhorar, porque integrar os servidores no AD é uma boa idéia, como proteger as pessoas deles, etc.

Provavelmente, se a sua empresa valoriza você como administrador de sistema, eles também podem pagar pelos seus cursos, o que é um bônus.

Mas eu vou com todos sobre isso: Definitivamente, adicione seus servidores ao AD, mas faça o certo. Eu não tenho a liberdade de dizer exatamente o que é certo para a sua organização, porque eu não sei nada sobre isso, mas bloqueio o máximo que você pode, sem torná-lo inutilizável para as pessoas que precisam usá-lo.

E aqui está uma situação hipotética que pode fazer você pensar novamente sobre adicionar seus servidores ao AD: Você tem um desenvolvedor ou administrador do sistema, que é encerrado. Seu chefe liga para você e diz: "Esta pessoa DEVE ser bloqueada fora do sistema IMEDIATAMENTE. Suspeitamos que eles estejam tentando roubar informações protegidas da HIPAA, e ele não trabalha mais aqui. Proteja-o agora". (Eu estou supondo que vocês têm dados que são cobertos pelo HIPAA, como você mencionou na área de saúde)

Com a sua configuração atual, não apenas você precisa bloquear sua conta do AD, mas também precisa ir a cada servidor e desabilitar a conta dele também. Se os servidores estivessem no AD, você poderia desativar instantaneamente o acesso dele a esses servidores em menos de 30 segundos. É uma simples questão de: RDP para DC, Abra Usuários e Computadores do Active Directory, clique com o botão direito do mouse em seu nome, clique em Desabilitar. Bam, pronto. Ele está trancado.

Mas, definitivamente, coloque-os no AD assim que você entender a melhor maneira de mantê-los seguros.

Servidores em grupos de trabalho são um pesadelo de gerenciamento para a maioria das redes. A segurança obtida é mais imaginária que real. Se uma máquina comprometida tiver permissões para acessar o servidor, não importa se é um grupo de trabalho ou um servidor de domínio. Como as permissões são muito mais fáceis de gerenciar no nível do domínio, acredito que ter servidores no domínio realmente aumenta a segurança, desde que, é claro, tudo seja feito corretamente.