Eu quero ser específico sobre os termos. Quando digo DMZ, estou falando de um lugar onde você colocaria servidores que expõem um serviço a redes não confiáveis como a Internet ou, em alguns casos, meramente redes que são menos confiáveis.
Eu estou tentando reforçar nosso perímetro de rede, auditando o que expomos através do nosso firewall. O firewall que eu estou falando não é um servidor Microsoft ISA e nunca será. Se algum de vocês estiver nessa situação, você sabe que as portas necessárias para permitir que um servidor membro se conecte a controladores de domínio são bastante extensas. A Microsoft na tentativa de resolver isso fornece vários designs usando RODCs para reduzir a contagem de portas abertas, mas mesmo que fosse apenas uma porta, o próprio Active Directory é uma fonte de informações para uma pessoa não autorizada que comprometeu um servidor membro da DMZ. p>
Qual é o consenso sobre servidores membros do AD em um DMZ? Muito inseguro ou risco aceitável? Supondo que o primeiro (onde estou inclinado), além da autenticação de conta local, há opções mais seguras do que o AD para autenticar usuários que se conectam a servidores Windows da DMZ? Se não, existe algum mecanismo que possa associar uma conta local a uma pessoa real no login para fins de auditoria? Parece que a única opção para rastrear o comportamento dos usuários em um servidor autônomo DMZ seria criar contas de máquina local para cada usuário que faz logon nos servidores.
É claro que, idealmente, você não tem pessoas fazendo logon em servidores para operações normais; a coisa toda deve ser gerenciada por proxy usando contas de serviços (isso é uma discussão completa). Mas agora a nossa operação ainda não está "lá". Estamos esperançosos de que a DSC torne isso viável.
O foco das recomendações da Microsoft para mim é impraticável ou está faltando o ponto. Um Active Directory para apenas uma DMZ reduz a capacidade de um intruso de reunir informações, mas ainda deixa o vetor praticamente no local. O melhor que as suas soluções podem fazer é dividir o bebê de risco, limitando essa informação à DMZ (mais qualquer outra coisa que seu DMZ AD possa atender). O trade-off é um AD para cada DMZ. Então agora seus administradores estão gerenciando uma conta + N DMZ.
Não que a Microsoft esteja ouvindo, mas é preciso ter uma forma intermediária em que o auth seja um usuário do Windows, mas não exija o uso de credenciais que possam fazer coisas como usuários LDAP de enum.