دامین کنترلر چیست؟

دامین کنترلر

کنترلر دامنه یا Domain Controller، سروری است که به ریکوئست‌های احراز هویت پاسخ می‌دهد و کاربرها را در یک شبکه‌ی کامپیوتری اعتبارسنجی می‌کند. ایجاد دامنه، یک روش سلسله‌مراتبی برای مرتب‌کردن و دسته‌بندی کاربران و کامپیوترهایی است که روی یک شبکه‌ی مشترک با هم تعامل می‌کنند. کنترلر دامنه، تمام داده‌های این کاربران و کامپیوترها را مرتب و ایمن نگه می‌دارد.

کنترل کننده دامنه

می‌توانید دامین کنترلر (DC) را صندوقچه‌ای تصور کنید که تمام کلیدهای قلمرو پادشاهی شما، یعنی اکتیو دایرکتوری (AC)، در آن قرار دارد. با وجود این که مهاجمان تکنیک‌ها و روش‌های زیادی برای کسب دسترسی سطح بالا به شبکه، از جمله حمله به خود کنترلر دامین را امتحان می‌کنند، شما نه‌تنها می‌توانید Domain Controller را از دست مهاجمان ایمن نگه دارید، بلکه می‌توانید از آن برای شناسایی حملات سایبری در حال رخ‌دادن روی شبکه‌ی خود استفاده کنید.

کارکرد اصلی دامین کنترلر چیست؟

کاربرد دامین کنترلر

مسئولیت اصلی کنترل‌کننده دامنه، احراز هویت و اعتبارسنجی دسترسی کاربران به شبکه است. وقتی کاربران به دامنه خود لاگین می‌کنند، کنترل‌کننده دامنه یوزرنیم، پسورد و دیگر اطلاعات هویتی آن‌ها را بررسی می‌کند و بر اساس آن‌ها، برای دادن یا ندادن دسترسی به آن کاربر، تصمیم می‌گیرد.

مایکروسافت اکتیو دایرکتوری یا Microsoft AzureAD دو مثال شناخته‌شده از کنترل کننده‌های دامنه هستند، و معادل لینوکسی پرطرفدار آن نیز Samba است.

چرا کنترل کننده دامنه مهم است؟

کنترل کننده‌های دامنه حاوی داده‌هایی هستند که براساس آن‌ها برای دسترسی یا عدم دسترسی کاربران به شبکه‌ی شما تصمیم‌گیری می‌شود و در واقع مرجع اعتبارسنجی دسترسی کاربران است. برای مثال داده‌‌هایی مانند Group Policies (سیاست‌های گروهی) و نام تمام کامپیوترهای شبکه، در این سرور نگهداری می‌شود. تمام اطلاعاتی که یک مهاجم برای واردکردن آسیب جدی به داده‌ها و شبکه‌ی شما نیاز دارد روی کنترل‌کننده دامنه قرار دارند؛ همین مساله باعث می‌شود که حین یک حمله سایبری، کنترل‌کننده دامنه هدف اصلی باشد.

تفاوت کنترل کننده دامنه با اکتیو دایرکتوری

در یک جمله، رابطه‌ی اکتیو دایرکتوری با کنترل‌کننده دامنه، مثل رابطه ماشین و موتور ماشین است.
اکتیو دایرکتوری یک نوع دامنه یا Domain است، و کنترل ‌کننده دامنه یک سرور مهم روی آن دامنه است. درست مثل این که انواع مختلفی از ماشین‌ها وجود دارند، و هر ماشین به یک نوع موتور خاص برای کارکردن نیاز دارد. هر دامنه‌ای یک کنترل‌کننده دامنه نیاز دارد، ولی هر دامنه‌ای اکتیو دایرکتوری نیست.

آیا من به کنترل کننده دامنه نیاز دارم؟

اگر بخواهیم یک جواب کلی و کوتاه به این سوال بدهیم، باید بگوییم بله! هر کسب‌وکاری – چه بزرگ چه کوچک – که داده‌های مشتریان را روی شبکه‌ی خود ذخیره می‌کند، به یک کنترل‌کننده دامنه برای بهبود امنیت شبکه‌ی خود نیاز دارد. البته ممکن است استثناهایی هم وجود داشته باشد؛ برای مثال بعضی کسب‌وکارها فقط از راهکارهای CRM و پرداخت ابری استفاده می‌کنند. در این موارد، وظیفه‌ی ایمن‌کردن و حفاظت از داده‌های مشتریان، بر عهده‌ی سرویس ابری است.
سوال مهمی که باید از خود بپرسید این است که « داده‌های مشتریان من کجا قرار دارند و چه کسانی می‌توانند به آن‌ها دسترسی داشته باشند؟»
پاسخ این سوال مشخص می‌کند که برای ایمن‌سازی داده‌های خود به یک دامنه – و در نتیجه کنترل‌کننده دامنه – نیاز دارید یا نه!

مزایا و معایب دامین کنترلر

مزایای کنترل‌کننده دامنه

• مدیریت مرکزی کاربران
• امکان اشتراک‌گذاری منابع مانند فایل‌ها و پرینترها
• پیکربندی یکپارچه‌ی ریداندنسی
• امکان توزیع و تکثیر در شبکه‌های بزرگ
• رمزگذاری داده‌های کاربران
• امکان هاردنینگ و قرنطینه شبکه برای بهبود امنیت

معایب کنترل‌کننده دامنه

• هدف اصلی حملات سایبری
• امکان هک‌شدن
• لزوم رسیدگی به کاربران و سیستم‌عامل‌ها برای پایدارماندن، حفظ امنیت و به‌روزبودن
• از کار افتادن شبکه در صورت از کار افتادن کنترلر دامین
ا نیازمندی‌های سخت‌افزاری و/یا نرم‌افزاری

چگونه یک کنترل کننده دامنه ایجاد کنیم؟

پیاده‌ سازی دامین کنترلر
  • یک سرور مستقل را به عنوان کنترل‌کننده دامنه پیکربندی کنید.
    • اگر از Azure AD به عنوان کنترل‌کننده دامنه استفاده می‌کنید، این قدم را نادیده بگیرید!
    • در غیر این صورت، سرور کنترل‌کننده دامنه باید فقط و فقط به عنوان کنترل‌کننده دامنه عمل کند.
  • هم دسترسی فیزیکی و هم دسترسی از راه دور به DC را تا جای ممکن محدود کنید.
    • در صورت امکان، دیسک را رمزگذاری کنید (برای مثال با بیت لاکر).
    • برای دادن دسترسی به ادمین‌های سیستم که مسئول مدیریت اکتیو دایرکتوری هستند، از GPO (آبجکت‌های سیاست گروهی) استفاده کنید و به هیچ کاربر دیگری، چه از طریق کنسول و چه از طریق سرویس‌های ترمینال، اجازه لاگین ندهید.
  • پیکربندی کنترل‌کننده دامنه را به صورت استاندارد درآورید تا بتوانید در پیکربندی‌های آینده نیز، دوباره از آن استفاده کنید.

ایجاد یک کنترل‌کننده دامنه‌ی ایمن و پایدار به این معنی نیست که تا ابد ایمن هستید! مهاجمان باز هم تلاش می‌کنند Domain Controller را هک کنند و با این کار سطح دسترسی خود را بالا ببرند یا به سیستم‌های بیشتری در شبکه‌ی شما دسترسی پیدا کنند. بنابراین باید راهکار مناسبی برای مانیتورکردن اکتیودایرکتوری در نظر بگیرید تا بتوانید تغییرات انجام شده در GPO که سیاست‌ها را نقض می‌کنند، حملاتی که به Kerberos انجام می‌شوند، تلاش‌هایی که برای افزایش دسترسی صورت می‌گیرند و مواردی از این دست را شناسایی کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.