我知道,目前的最佳做法规定,我的Windows AD域名应该是购买的全球唯一名称空间(即ad.namespace.com)的子域。 这很好,很棒。
我的问题是,如果我们的公共域名注册失效,并且有人蹲下了我们的域名(坏人现在拥有namespace.com),那么将会引入哪些潜在的安全漏洞? 他们可以利用一些DNS voodoo来在ad.namespace.com上妥协我们的内部networking吗? 一个不知情的最终用户是否可以通过访问一个占用我们蹲下的url的恶意网站来骗取他们不应该做的事情或泄漏敏感的私人域信息? 有坏的家伙拥有我们的根级域名是否有远程AD身份validation漏洞?
我可能会因此而感到愤怒,但是让私人的AD域占用一个独立的名字空间,这个名字空间是无法从互联网上访问的,比如whatever.local。 我知道这是讨厌的。 有人请放心。 我已经发送了几天来研究这个问题,但是我找不到任何人分享我对根级域名潜在危害的担忧。 也许我只是nuubi。 提前致谢。
有人蹲你的域名,你有AD托pipe…的潜在安全漏洞没有什么不同的人谁蹲在一个没有广告的域名的漏洞。
这将能够钓鱼您的用户,完全有效的SSL证书,以及正确的域名。 通过使用“不可访问”的名称空间 – 我故意将其放在引号中 – 只会向您提供名称空间冲突,以及所有其他问题,这些问题是为什么最佳实践是使用子域名您拥有的域名。
DNS只是AD解决scheme的一部分,只是用于查找networking服务的位置而仅涉及域的安全性。 除此之外,您还拥有所有的Kerberos / LDAP优势,可以进行身份validation。
回答你的具体问题:
如果我们的公共域名注册失效,并且有人蹲下了我们的域名(坏人现在拥有namespace.com),那么这个安全漏洞是什么?
networking钓鱼,恶意软件注入等。这些都与AD安全无关,尽pipe这只是您正常的“有人蹲在您的域名时发生的坏事”
他们可以利用一些DNS voodoo来在ad.namespace.com上妥协我们的内部networking吗?
没有
一个不知情的最终用户是否可以通过访问一个占用我们蹲下的url的恶意网站来骗取他们不应该做的事情或泄漏敏感的私人域信息?
当然,看到上面的networking钓鱼风险。 这不是特别是AD,只是你失去了你的领域。
是否存在由拥有我们的根级域名的坏家伙造成的远程AD身份validation漏洞
没有ADauthentication由Kerberos而不是由DNS处理
现在再补充一些注意事项:
1)如果您有足够的资金,ICANN允许创build任意顶级域名(TLD),任何事情都是公平的游戏,去年您认为可以避免碰撞的名称空间现在可以成为今年的新顶级域名(TLD)。
2)要真正失去你的域名,你必须让它过期,然后不会注意到30(60/90 /?我忘记了这些天的确切数字,它可能是注册商的依赖,但至less2周)宽限期。
那么人们为什么不谈论它呢? 因为这不是一个问题,你需要担心。 您的内部AD基础结构没有任何漏洞,您的风险与在不同域上运行AD并让您的域到期的风险一样。 设置你的域名自动更新,你就完成了。