Mọi người đều nói về bộ điều khiển miền và rằng họ nên cài đặt chứng chỉ, nhưng vào cuối ngày thì không bắt buộc. Sau khi cài đặt, những gì thực sự sử dụng chứng chỉ đó? Hiểu biết của tôi là ít nhất là cần thiết cho:
Tuy nhiên, tôi đang tìm hiểu xem liệu có các hành động gốc cụ thể nào của DC hoặc Active Directory nơi bộ điều khiển miền sử dụng chứng chỉ không?
Tôi nhận thức được ý nghĩa bảo mật / thực hành tốt ở đây :) Tôi chỉ quan tâm đến các cơ chế trong chơi.
Câu trả lời:
Việc sao chép giữa các bộ điều khiển miền vẫn sẽ diễn ra trên RPC, ngay cả sau khi cài đặt chứng chỉ SSL. Tải trọng được mã hóa, nhưng không phải với SSL.
Nếu bạn sử dụng bản sao SMTP, bản sao đó có thể được mã hóa bằng chứng chỉ SSL của bộ điều khiển miền ... nhưng tôi hy vọng không ai sử dụng bản sao SMTP trong năm 2017.
LDAPS giống như LDAP, nhưng qua SSL / TLS, sử dụng chứng chỉ của bộ điều khiển miền. Nhưng các thành viên miền Windows bình thường sẽ không tự động bắt đầu sử dụng LDAPS cho những thứ như DC Locator hoặc miền tham gia. Họ vẫn sẽ chỉ sử dụng cLDAP và LDAP đơn giản.
Một trong những cách chính mà chúng tôi sử dụng LDAPS là dành cho các dịch vụ của bên thứ 3 hoặc các hệ thống không tham gia miền cần một cách an toàn để truy vấn bộ điều khiển miền. Với LDAPS, các hệ thống đó vẫn có thể hưởng lợi từ truyền thông được mã hóa ngay cả khi chúng không được tham gia vào miền. (Hãy nghĩ các bộ tập trung VPN, bộ định tuyến Wifi, hệ thống Linux, v.v.)
Nhưng các máy khách Windows đã tham gia miền đã có chữ ký và niêm phong SASL và Kerberos, đã được mã hóa và khá an toàn. Vì vậy, họ sẽ tiếp tục sử dụng nó.
Các máy khách thẻ thông minh sử dụng chứng chỉ SSL của bộ điều khiển miền khi Xác thực KDC nghiêm ngặt được bật. Đây chỉ là một biện pháp bảo vệ bổ sung cho các khách hàng sử dụng thẻ thông minh để có thể xác minh rằng KDC mà họ đang nói chuyện là hợp pháp.
Bộ kiểm soát miền cũng có thể sử dụng chứng chỉ của họ để liên lạc IPsec, với chính họ hoặc với các máy chủ thành viên.
Đó là tất cả những gì tôi có thể nghĩ ra ngay bây giờ.