我知道目前的最佳实践要求我的 Windows AD 域名应该是购买的全球唯一命名空间(即 ad.namespace.com)的子域。这很好,花花公子。
我的问题是,如果我们的公共域注册失效并且有人从我们下面抢注了域名(坏人现在拥有 namespace.com),会引入哪些潜在的安全漏洞?他们是否可以利用一些 DNS 巫术来破坏我们位于 ad.namespace.com 的内部网络?一个不知情的最终用户是否会被诱骗做他们不应该做的事情,或者通过访问一个占据我们抢注网址的恶意网站来泄露敏感的私人域信息?是否存在因拥有我们根级域名的坏人而导致的任何远程 AD 身份验证漏洞?
我可能会因为这样说而激怒,但让私有 AD 域占据一个无法从 Internet 访问的单独命名空间(如whatever.local)似乎更安全。我知道这是讨厌的。有人请让我放心。我已经派了几天来试图研究这个问题,但我找不到其他人分享我对根级域名潜在危害的担忧。或许我只是在闹脾气。提前致谢。
有人抢占您托管有 AD 的域的潜在安全漏洞......与有人抢占没有 AD 的域的漏洞没有什么不同。
将能够使用完全有效的 SSL 证书和正确的域对您的用户进行网络钓鱼。通过使用“不可访问”的命名空间——我故意将其放在引号中——只会让你面临命名空间冲突,以及所有其他问题,这些问题是最佳实践是在您拥有的域。
DNS 只是 AD 解决方案的一部分,仅涉及域的安全,因为它用于查找网络服务的位置。除此之外,您还拥有决定身份验证能力的所有 Kerberos/LDAP 优点。
要回答您的具体问题:
网络钓鱼、恶意软件注入等。这些都与 AD 安全性无关,尽管这只是您正常的“当有人抢占您的域时发生的坏事”
不
肯定会看到上面的网络钓鱼风险。但这并不是 AD 独有的,只是您丢失了域。
没有 AD 身份验证由 Kerberos 而非 DNS 处理
现在补充几点:
1) 如果您有足够的资金,ICANN 允许创建任意 TLD,任何事情都是公平的游戏,并且您认为去年不会发生冲突的命名空间现在很可能成为今年的新 TLD。
2)要真正失去你的域名,你必须让它过期,然后不通知 30(60/90/?这些天我忘记了确切的数字。它可能取决于注册商,但至少 2 周)宽限期.
那么为什么人们不谈论它呢?因为这不是你需要担心的问题。您的内部 AD 基础架构没有漏洞,您的风险与您在不同域上运行 AD 并让您的域过期一样。将您的域设置为自动更新,您就完成了。