Я как раз думал о безопасности в среде домена AD. У меня вопрос: насколько безопасна связь между доменами по умолчанию (без реализации IPSec и т. Д.). Например, если я загружаю файл с одного компьютера домена на другой компьютер домена с помощью SMB (предположим, что они оба подключены через концентратор), будет ли кто-нибудь с помощью сниффера в той же подсети сможет этот файл захватить? Есть ли список протоколов, которые по умолчанию зашифрованы при обмене данными между членами AD?
Обычно это не так. Трафик между членами домена не шифруется, если сам протокол не зашифрован - например, трафик Kerberos, или если вы включили шифрование в SMB 3.0 и конечные точки его поддерживают, - или если вы правильно реализовали IPSec.
Общее правило: ничего не зашифровывается, если вы не знаете, что механизм зашифрован.
Трафик аутентификации в средах AD (kerberos и т. Д.) Всегда зашифрован как часть его основных функций.
Перемещение данных (например, копирование файла) - нет. Точно так же, как перемещение данных в Интернете, нет, если это специально не (ssl). Точно так же, как ftp нет, если это специально не (sftp). Так же, как telnet - нет, если это специально не (ssh).
Следовательно, работа АНБ довольно проста ... до тех пор, пока 2048-битное шифрование не станет предполагаемым транспортом (в отличие от транспорта `` реализовать с усилием '', такого как настройка ipsec и т. Д.)
Похоже, вы хотите реализовать изоляция домена с IPSec, если вас беспокоит шифрование внутренней связи внутри вашей среды.