Chr*_*ski 4 openldap active-directory ldap smime rodc
我需要支持需要访问 LDAP 服务器以定位 SMIME 密钥的 Mac 客户端。
由于密钥已经在 AD 中,而且我很容易在其中创建 RODC 或只读森林,将证书推送到其中,将未经身份验证的 LDAP 和 LDAP 公开到互联网是否可以接受?
我能想到的一个问题是目录收集攻击的 LDAP 形式,垃圾邮件发送者可以确定哪些地址有效,哪些无效。
Sha*_*den 12
这完全取决于 LDAP 目录中的内容。
对于 Active Directory,绝对不是,即使对于 RODC - 这些设备的安全配置文件是专为在您的网络内部而设计的(RODC 专门针对物理危害进行了强化,因此您可以将其保存在壁橱中 - 正常的物理危害DC 会让攻击者控制域和所有用户的密码哈希)。
攻击者可以从 AD 中获取大量信息 - 尝试进行身份验证的用户名、系统名称、一定数量的网络拓扑......如果还不足以直接攻击(针对不同公共端点的密码攻击,如 VPN?),当然足以进行可靠的社会工程或鱼叉式网络钓鱼攻击。
| 归档时间: |
|
| 查看次数: |
2443 次 |
| 最近记录: |