active-directory – 将只读模式的LDAP暴露给Internet通常是否可
发布时间:2020-12-15 18:33:13 所属栏目:安全 来源:网络整理
导读:我需要支持需要访问LDAP服务器以查找SMIME密钥的Mac客户端. 由于密钥已经在AD中,并且我很容易创建一个RODC或只读我推送证书的林,是否可以将未经身份验证的LDAP和LDAP暴露给互联网? 我能想到的一个问题是目录收集攻击的LDAP形式,垃圾邮件制造者可以确定哪些
|
我需要支持需要访问LDAP服务器以查找SMIME密钥的Mac客户端.
由于密钥已经在AD中,并且我很容易创建一个RODC或只读我推送证书的林,是否可以将未经身份验证的LDAP和LDAP暴露给互联网? 我能想到的一个问题是目录收集攻击的LDAP形式,垃圾邮件制造者可以确定哪些地址有效,哪些地址无效.
它完全取决于LDAP目录中的内容.
对于Active Directory,绝对不是,即使对于RODC – 这些设备的安全配置文件设计用于在您的网络内部(RODC专门针对物理损害进行了强化,因此您可以将其保留在一个壁橱中 – 对正常情况的物理妥协DC会让攻击者控制域名和所有用户的密码哈希值. 攻击者可以从AD获取大量信息 – 用户名尝试使用系统名称,一些网络拓扑进行身份验证.如果不足以直接攻击(针对不同公共端点的密码攻击,如VPN?),当然足以组织一个坚实的社会工程或鱼叉式网络钓鱼攻击. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |