Limite la información revelada en AD Anonymous Bind

Question

Limite la información revelada en AD Anonymous Bind

#1 de Stu (1 votos)

1

Lo que estoy tratando de hacer

Por razones en las que no puedo entrar, debemos permitir el enlace anónimo en AD en una red privada. Soy plenamente consciente de los riesgos asociados con esto. He encontrado una gran cantidad de documentación sobre cómo habilitar y deshabilitar el enlace anónimo.

Lo que he intentado

Nada. No he podido encontrar nada en torno a la limitación de qué datos se exponen en AD en enlace anónimo. ¿Alguien ha pasado por el ejercicio de limitar la información que se divulga al usar el Enlace anónimo en Active Directory? Me gustaría al menos minimizar qué datos se proporcionan a través de consultas de enlace anónimas.

hardening active-directory

pregunta Aaron 18.08.2017 - 18:23

fuente

1 respuesta

Lea otras preguntas en las etiquetas hardening active-directory

¿Todo el XSS reflejado es malo? Máquina virtual y virus

score 1 · Answer 1

En lugar de habilitar el enlace anónimo de AD, considere usar LDAP o quizás un controlador de dominio de solo lectura (RODC) .

El uso de cualquiera de estos debería permitirle exponer información limitada sin acceso directo al AD en sentido ascendente.

Si realmente tiene que habilitar el enlace AD anónimo, use los permisos para especificar el acceso que el usuario "Inicio de sesión anónimo" tiene a los objetos. Utilice un enfoque de lista blanca para objetos específicos en lugar de un enfoque de lista negra.

Vale la pena mencionar que aunque esté en una red "privada", podría haber amenazas en la red por parte de esos usuarios malintencionados legítimamente en la red o por hosts comprometidos.