Усі говорять про контролери домену та про те, що у них повинен бути встановлений сертифікат, але в кінці дня це необов’язково. Щойно встановлено, що насправді використовує цей сертифікат? Я розумію, що вона принаймні потрібна для:
Однак я хочу дізнатися, чи існують конкретні нативні дії DC або Active Directory, де контролер домену використовує сертифікат?
Я знаю про наслідки для безпеки / хорошу практику тут :) Мене просто цікавить механіка в грі.
Відповіді:
Реплікація між контролерами домену все ще відбуватиметься через RPC, навіть після встановлення SSL-сертифікатів. Корисне навантаження шифрується, але не з SSL.
Якщо ви використовуєте реплікацію SMTP, ця реплікація може бути зашифрована SSL-сертифікатом контролера домену ... але я сподіваюся, що ніхто не використовує реплікацію SMTP у 2017 році.
LDAPS - це як LDAP, але над SSL / TLS, використовуючи сертифікат контролера домену. Але звичайні члени домену Windows автоматично не почнуть використовувати LDAPS для таких речей, як DC Locator або приєднання домену. Вони все ще просто використовуватимуть звичайний cLDAP та LDAP.
Один з головних способів використання LDAPS - це сторонні сервіси або не приєднані до домену системи, яким потрібен безпечний спосіб запиту контролера домену. З LDAPS ці системи все ще можуть скористатися зашифрованими повідомленнями, навіть якщо вони не приєднані до домену. (Подумайте про концентратори VPN, маршрутизатори Wifi, системи Linux тощо)
Але підключені до домену клієнти Windows вже мають підписання та печатку SASL та Kerberos, який уже зашифрований і досить захищений. Тож вони просто продовжуватимуть це використовувати.
Клієнти смарт-карт користуються SSL-сертифікатом контролера домену, коли увімкнено сувору перевірку KDC . Це лише додаткова міра захисту клієнтів смарт-карт, які зможуть переконатися, що KDC, з яким вони спілкуються, є законним.
Контролери домену також можуть використовувати свої сертифікати для IPsec-зв’язку як між собою, так і з серверами-членами.
Це все, що я можу зараз придумати.