Gateway RD: abordagem mais segura para autenticar usuários em relação ao domínio remoto

1

Eu preciso executar a autenticação em um Gateway de Área de Trabalho Remota em um domínio remoto .

Temos uma rede corporativa interna com o domínio corpdomain . Além disso, há uma rede em um site de datacenter remoto com o domínio dcdomain . As máquinas em dcdomain são acessadas via desktop remoto usando um gateway de desktop remoto rdgateway (usando contas locais em cada máquina).

O que desejo é que os usuários em corpdomain possam se autenticar em relação ao gateway rd usando sua conta corpdomain .

Portanto, o rdgateway deve poder autenticar usuários no domínio remoto corpdomain . Isso tem que ser conseguido com um impacto mínimo de segurança para corpdomain .

Como o gateway RD não suporta autenticação RADIUS, as duas possibilidades que me vieram à mente são:

  • Estabelecendo uma confiança unidirecional de dcdomain a corpdomain . Permitir que a autenticação seja executada pela WAN (protegida via VPN ou SSL, se possível)
  • Colocando um RODC de corpdomain na rede dcdomain . Usando uma confiança unidirecional entre os domínios. Então rdgateway poderia autenticar contra este RODC localmente.

Não haverá um alto número de autenticação, portanto, a funcionalidade de armazenamento em cache para autenticações no RODC não seria importante. De uma perspectiva de segurança, qual seria a abordagem preferida?

Existem alternativas?

    
por leepfrog 09.07.2013 / 09:01

1 resposta

2

Eu acho que você está no caminho certo com tudo que você disse. Não existe uma maneira mais fácil de obter o tipo de cenário de autenticação que você está procurando.

Supondo que a segurança física no datacenter é razoável, acho que ambas as opções que você descreveu têm aproximadamente a mesma exposição. O controlador de domínio somente leitura (RoDC) que está no datacenter significa menos latência durante o logon. Você pode consultar o valor de msDS-RevealedList se o RoDC estiver comprometido para determinar sua exposição de senha.

Idealmente, se você for capaz de desabilitar os protocolos NTLM e viver totalmente o Kerberos, sua exposição no caso de um invasor farejando o tráfego no datacenter também será minimizada.

Se a segurança física do datacenter estivesse em questão, eu desativaria as credenciais em cache em todas as máquinas do datacenter e autenticaria os usuários em uma conexão VPN. Há sentido em colocar um RoDC lá se alguém puder sair com ele. Eu estaria procurando um datacenter diferente, se fosse esse o caso.

    
por 09.07.2013 / 09:26