Мы собираемся начать обновление AD до 2012 R2, и я только что обнаружил, к своему ужасу, что анонимные привязки LDAP были включены в 2003 г. домен.
Мы, безусловно, выдавали учетные записи для аутентификации LDAP для систем, отличных от Windows, с помощью политики, но перед отключением анонимной привязки мы, вероятно, должны проявить должную осмотрительность, чтобы никто не использовал анонимный ярлык.
Есть предложения по аудиту анонимных операций в LDAP? Очевидно, что можно включить ведение журнала диагностики отладки AD или, возможно, использовать такой инструмент, как ADInsight, но я бы понятия не имел, какие события нужно фильтровать.
Согласно Microsoft PSS, нет возможности проверить, является ли привязка анонимной или нет.
Если вы включите журнал отладки ldap, он покажет активность привязки, но не будет отображать какой-либо использованный метод аутентификации.