由于密钥已经在AD中,并且我很容易创建一个RODC或只读我推送证书的林,是否可以将未经身份验证的LDAP和LDAP暴露给互联网?
我能想到的一个问题是目录收集攻击的LDAP形式,垃圾邮件制造者可以确定哪些地址有效,哪些地址无效.
对于Active Directory,绝对不是,即使对于RODC – 这些设备的安全配置文件设计用于在您的网络内部(RODC专门针对物理损害进行了强化,因此您可以将其保留在一个壁橱中 – 对正常情况的物理妥协DC会让攻击者控制域名和所有用户的密码哈希值.
攻击者可以从AD获取大量信息 – 用户名尝试使用系统名称,一些网络拓扑进行身份验证.如果不足以直接攻击(针对不同公共端点的密码攻击,如VPN?),当然足以组织一个坚实的社会工程或鱼叉式网络钓鱼攻击.
