最后一个“S”是为了安全起见.
我记得以前的床垫广告. 你把电话号码的最后一个"S"留作储蓄. 在我们的世界里,我们需要始终确保我们拥有安全的最后一个“S”.
在我们的世界里,任何面向internet的连接都必须使用商业SSL(即SSL).e. VPN,安全远程访问,网页,LDAP等.).
网络浏览器现在会弹出“您的网站有风险”的信息,或者屏蔽不支持HTTPS的网站. 你不需要人们质疑你所在地区的安全. 如果您还没有这样做,请确保所有这些项目都具有真正的商业ssl.
还请记住,我们现在正在避免使用通配符ssl,而是使用显式ssl,因为在某些罕见的情况下,攻击者可能会利用理论上的中间人攻击场景. 这根本不值得担心. 这意味着您的SSL预算可能需要增加,并且创建所有CSR请求和实现所有离散SSL所需的时间将更长. 相应的计划.
然而, 我在许多网络中注意到的一件事是,像ADAudit Plus这样的工具, 我们将其用于活动目录审计和报告(以及你们每个人都应该拥有的东西), 经常以明文形式报告内部LDAP身份验证通信在您的网络中交叉! 事实上,这是这些请求传输网络的默认方式. 微软值得赞扬, 他们一直试图迫使你们所有人消除你们网络中的所有不安全通信. 包括LDAPS, rpc, 还有其他历史上不安全的地方, 微软设备通信的传统方式. 这是一个非常颠簸的过渡,微软已经退后一步,然后试图重新实施更高的安全标准,迫使我们所有人都在一个更好的地方.
但是,修复内部LDAP明文并不难. 如果您从未在您的网络中考虑过这个问题,那么这可能就是您的问题.
如果你需要帮助,请告诉我们.
如果你想知道在你的网络中微软那边还有什么, 与Lisa谈谈如何使用ADAudit Plus实现Active Directory审计.
斯科特
最近的评论