ทุกคนพูดถึงตัวควบคุมโดเมนและพวกเขาควรมีใบรับรองติดตั้ง แต่ในตอนท้ายของวันจะเป็นตัวเลือก เมื่อติดตั้งแล้วใช้ใบรับรองนั้นจริง ๆ ความเข้าใจของฉันคืออย่างน้อยก็จำเป็นสำหรับ:
อย่างไรก็ตามฉันกำลังค้นหาเพื่อทราบว่ามีการกระทำดั้งเดิมเฉพาะโดย DC หรือ Active Directory ที่ตัวควบคุมโดเมนใช้ประโยชน์จากใบรับรองหรือไม่
ฉันตระหนักถึงผลกระทบด้านความปลอดภัย / แนวปฏิบัติที่ดีที่นี่ :) ฉันแค่สนใจกลไกในการเล่น
คำตอบ:
การจำลองแบบระหว่างตัวควบคุมโดเมนจะยังคงเกิดขึ้นบน RPC แม้หลังจากติดตั้งใบรับรอง SSL เพย์โหลดถูกเข้ารหัส แต่ไม่ใช่กับ SSL
ถ้าคุณใช้การจำลองแบบ SMTP การจำลองแบบนั้นสามารถเข้ารหัสด้วยใบรับรอง SSL ของตัวควบคุมโดเมน ... แต่ฉันหวังว่าจะไม่มีใครใช้การจำลองแบบ SMTP ในปี 2560
LDAPS เหมือนกับ LDAP แต่เหนือ SSL / TLS ใช้ประโยชน์จากใบรับรองของตัวควบคุมโดเมน แต่สมาชิกโดเมน Windows ปกติจะไม่เริ่มใช้ LDAPS โดยอัตโนมัติสำหรับสิ่งต่าง ๆ เช่น DC Locator หรือการเข้าร่วมโดเมน พวกเขาจะยังคงใช้ cLDAP และ LDAP ธรรมดา
หนึ่งในวิธีหลัก ๆ ที่เราใช้ LDAPS คือสำหรับบริการของบุคคลที่สามหรือระบบที่ไม่ได้เข้าร่วมกับโดเมนซึ่งต้องการวิธีที่ปลอดภัยในการสอบถามตัวควบคุมโดเมน ด้วย LDAPS ระบบเหล่านั้นยังคงได้รับประโยชน์จากการสื่อสารที่เข้ารหัสแม้ว่าพวกเขาจะไม่ได้เข้าร่วมกับโดเมนก็ตาม (คิดว่าตัวรวม VPN, เราเตอร์ไร้สาย, ระบบ Linux ฯลฯ )
แต่ไคลเอนต์ Windows ที่เข้าร่วมกับโดเมนมีการเซ็นชื่อและการปิดผนึก SASL และ Kerberos แล้วซึ่งถูกเข้ารหัสอยู่แล้วและค่อนข้างปลอดภัย ดังนั้นพวกเขาจะใช้มันต่อไปเรื่อย ๆ
ไคลเอนต์สมาร์ทการ์ดใช้ประโยชน์จากใบรับรอง SSL ของตัวควบคุมโดเมนเมื่อเปิดใช้งานการตรวจสอบ KDC ที่เข้มงวด เป็นเพียงมาตรการเพิ่มเติมในการป้องกันสำหรับลูกค้าที่ใช้สมาร์ทการ์ดเพื่อให้สามารถตรวจสอบว่า KDC ที่พวกเขากำลังพูดคุยนั้นถูกกฎหมาย
ตัวควบคุมโดเมนยังสามารถใช้ใบรับรองของพวกเขาสำหรับการสื่อสาร IPsec ระหว่างกันหรือกับเซิร์ฟเวอร์สมาชิก
นั่นคือทั้งหมดที่ฉันสามารถคิดได้ในขณะนี้