Chr*_*ski 3 security active-directory bitlocker domain-controller vmware-esx
我们的客户的 DC 将位于不安全的位置。管理层不允许使用 RODC 和单独的域/林。
所有服务器都将位于 VMWare ESX 服务器上。
我对保护 Windows 2008R2 或更新的 DC 免受损害的 VMWare、Windows、AD 配置和设置感兴趣。
一个可能有帮助的示例配置是使用
这几乎正是 RODC 的设计目的 - 服务器可能受到物理损害的情况。
获得对 RODC 的物理访问权限将使攻击者深入了解您的域及其结构,以及已明确设置为将其密码复制到 RODC 的用户的密码哈希。
但是,这比常规 DC 好得多,在常规 DC 中,物理访问意味着攻击者无需额外凭据即可轻松控制域;RODC 上的单向复制可确保攻击者无法将恶意更改发送到您的 AD。
RODC 是您正在寻找的解决方案,您应该将这种情况提交给管理层。
| 归档时间: |
|
| 查看次数: |
788 次 |
| 最近记录: |