У меня есть папка в удаленном домене:
\ DomainRemote \ Shared_Folder
И процесс в локальном домене, которому требуется доступ к указанной общей папке:
Между доменами существуют доверительные отношения, но только аутентифицированные пользователи из локального домена должны иметь доступ к общему ресурсу.
Хорошо - мне предлагается ввести учетные данные, и я могу получить доступ к общему ресурсу ...
Как эти учетные данные передаются по сети? Они ясны?
Если ясно, есть ли способ сделать это более надежно?
Если у вас есть действительное и функциональное доверие, а удаленный сервер, предоставляющий общий ресурс, является членом удаленного домена, вам никогда не следует запрашивать учетные данные. Тот факт, что вы являются запрашиваются учетные данные, это признак того, что доверие каким-то образом нарушено.
Если оставить в стороне проблему доверия, аутентификация для общих ресурсов SMB может быть выполнена с помощью одного из следующих механизмов:
какой из них будет выбран, зависит от поддержки и конфигурации клиента и сервера. В вашем случае вы, вероятно, аутентифицируетесь с помощью NTLMv2, который является процесс вызова / ответа и, таким образом, не раскрывает пароли удаленной стороне.
Тем не менее сам протокол имеет слабые места. Один из них заключается в том, что взломать брутфорс в автономном режиме возможно, имея под рукой только переданные пакеты аутентификации и успешно для длины пароля <= 8 символов более десяти лет назад. Кроме того, аутентификация NTLMv2 подвержена вектору атаки, называемому отражение атак где злоумышленник обманом заставляет вас пройти аутентификацию на хосте, которым он управляет, и использует эту информацию для «прокси» данных аутентификации для сеанса, который он хочет установить.
Итак, auth делает не используйте пароли в виде открытого текста, но, тем не менее, они могут быть небезопасными. Если вас это беспокоит, убедитесь, что обе стороны аутентифицированы и желательно зашифрованы - например, используя сквозной IPSEC для всего вашего трафика.