elC*_*ash 7 domain-name-system active-directory subdomain domain-name
我知道目前的最佳做法规定我的 Windows AD 域名应该是购买的全球唯一命名空间(即 ad.namespace.com)的子域。那很好,很花哨。
我的问题是,如果我们的公共域注册失效并且有人从我们下面抢占了域名(坏人现在拥有 namespace.com),会引入哪些潜在的安全漏洞?他们能否利用一些 DNS 巫术攻击我们在 ad.namespace.com 上的内部网络?不知情的最终用户是否会被诱骗做一些他们不应该做的事情,或者通过访问占据我们被占用的网址的恶意网站来泄露敏感的私人域信息?是否存在由拥有我们根级域名的坏人导致的远程 AD 身份验证漏洞?
我可能会因为这样说而受到愤怒,但让私有 AD 域占据一个无法从 Internet 访问的单独命名空间似乎更安全,例如whatever.local。我知道这是讨厌的。有人请让我放心。我花了几天时间试图研究这个问题,但我找不到其他人分享我对根级域名的潜在危害的担忧。也许我只是在做nuubi。提前致谢。
Zyp*_*her 10
有人占用您托管 AD 的域的潜在安全漏洞...与占用没有 AD 的域的人的漏洞没有什么不同。
将能够使用完全有效的 SSL 证书和正确的域对您的用户进行网络钓鱼。通过使用“无法访问”的命名空间——我故意把它放在引号中——只会让你遇到名称空间冲突,以及所有其他问题,这些问题是最佳实践是在您拥有的域名。
DNS 只是 AD 解决方案的一部分,仅在用于查找网络服务位置的范围内才涉及域的安全性。除此之外,您还拥有决定身份验证能力的所有 Kerberos/LDAP 优点。
要回答您的具体问题:
如果我们的公共域注册失效并且有人从我们下面抢占了域名(坏人现在拥有 namespace.com),会引入哪些潜在的安全漏洞?
网络钓鱼、恶意软件注入等。这些都与 AD 安全性没有太大关系,尽管这只是正常的“有人占用您的域时发生的坏事”
他们能否利用一些 DNS 巫术攻击我们在 ad.namespace.com 上的内部网络?
不
不知情的最终用户是否会被诱骗做一些他们不应该做的事情,或者通过访问占据我们被占用的网址的恶意网站来泄露敏感的私人域信息?
当然,请参阅上面的网络钓鱼风险。但这并不是 AD 所特有的,只是您丢失了域。
是否存在由拥有我们根级域名的坏人导致的远程 AD 身份验证漏洞
Kerberos 不处理 AD 身份验证,而不是 DNS
现在补充几点:
1) 如果您有足够的钱,ICANN 允许创建任意 TLD,任何事情都是公平的游戏,您去年认为不会发生冲突的命名空间现在很可能成为今年的新 TLD。
2) 要真正丢失您的域,您必须让它过期,然后才注意到 30 (60/90/?我忘记了这些天的确切数字。它可能取决于注册商,但至少需要 2 周) 宽限期.
那么为什么人们不谈论它呢?因为这不是您需要担心的问题。您的内部 AD 基础架构没有漏洞,您的风险与您在不同域上运行 AD 并让域过期的风险相同。将您的域设置为自动续订,您就完成了。
| 归档时间: |
|
| 查看次数: |
496 次 |
| 最近记录: |