Soy un administrador de AD que intenta ver las cosas desde la perspectiva del propietario de un servidor de aplicaciones.
Imagine un escenario en el que un dominio de AD cubre la autenticación tanto en la LAN corporativa como en la DMZ. La LAN tiene RWDC, la DMZ tiene RODC, sándwich de firewall estándar.
Los RODC se han endurecido; no se han almacenado en la memoria caché las cuentas, se ha aplicado un conjunto de atributos filtrados (FAS), hay una cuenta de administrador RODC delegada, hay un servidor de seguridad instalado, AV, los servidores están parchados.
Para los servidores de aplicaciones en DMZ, solo puedo administrarlos tanto como AD me permita; Restrinjo el número de usuarios con privilegios de administrador a los servidores, me aseguro de que el firewall esté instalado, los servidores estén parcheados, tengan AV, tal vez haya alguna restricción de Kerberos en la cuenta.
Hay otras defensas en la DMZ; p.ej. el equipo de red tiene su firewall de red, pero no puedo controlar eso y no puedo controlar lo que hacen los propietarios de la aplicación fuera de lo que he indicado anteriormente.
¿Cómo se ve la seguridad de los servidores en la DMZ, estarían en buena forma? Si un servidor se vio comprometido en la DMZ, ¿cuál es el radio de explosión de eso? ¿El dominio es una amenaza, hay otros servidores en la DMZ y la LAN en la amenaza?
¿Cuál sería la vía de escalada más probable de compromiso?
Glosario:
AD: active directory
DMZ: demilitarized zone; location for internet facing servers
LAN: (internal network; separated from DMZ by firewall
RWDC: read/write domain controller
RODC: read only domain controller