Servidores de Windows en DMZ: ¿se administran a través de AD o de forma independiente?

Tu razonamiento es exactamente correcto.

Los servidores DMZ que se unen a su dominio interno son un riesgo que debe evitarse. Por lo general, la mejor opción es un dominio de Active Directory separado para su DMZ o ejecutar cada servidor de forma independiente.

Un entorno pequeño puede estar bien con una versión independiente, pero más allá de una docena de servidores, o con un equipo más numeroso, un dominio separado puede ser más fácil de administrar. Es posible que exista una confianza entre su dominio DMZ y el dominio interno, pero debe administrarse con cuidado.

Siempre tendrá la necesidad de conectar partes de su DMZ a su red interna (servidores proxy, por ejemplo), pero siempre debe ser estrictamente como sea necesario. Además, si su DMZ se ve comprometida y alguien puede robar las credenciales de un Administrador de DMZ, no tendrá acceso automáticamente a su dominio interno.

De acuerdo con lo que se ha dicho, intentaré dar un poco de una opinión diferente. AD es un riesgo de seguridad independientemente de donde se usa. La cantidad de tiempo que generalmente toma un adversario para obtener el control de una red completa generalmente se reduce drásticamente cuando hay un AD en su lugar. Hay tantas herramientas de ataque de boletos PTH \ PTT \ Golden por ahí que perdí la cuenta. Por supuesto, esta es la tensión sin fin entre la seguridad y la capacidad de administrar y operar una red a escala. Si no es absolutamente necesario, no agregaría los servidores DMZ a ningún dominio y los trataría como entidades externas, fortaleciéndolos y proporcionando un conjunto de contraseñas diferente para cada uno. Limitar la conectividad a la red solo para el caso de negocio necesario.