我只是在考虑 AD 域环境中的安全性。我有一个问题:默认情况下域之间的通信有多安全(不实施 IPSec 等)。例如,如果我使用 SMB 将文件从一台域计算机下载到另一台域计算机(假设它们都通过集线器连接),同一子网中任何使用嗅探器的人都能捕获此文件吗?在 AD 成员之间的通信中,是否有默认加密的协议列表?
答案1
通常不是。域成员之间的流量不加密,除非协议本身已加密(如 Kerberos 流量,或者您在 SMB 3.0 中打开加密并且端点支持它),或者您已正确实施 IPSec。
答案2
一般规则是:除非您确实知道机制是加密的,否则没有任何内容是加密的。
作为其基本功能的一部分,AD 环境 (kerberos 等) 中的身份验证流量始终是加密的。
数据移动(例如文件复制)不是。正如网络上的数据移动不是,除非它明确是(ssl)。正如 ftp 不是,除非它明确是(sftp)。正如 telnet 不是,除非它明确是(ssh)。
因此,NSA 的工作相当容易......直到 2048 位加密成为假定的传输方式(而不是“费力实施”的传输方式,如设置 ipsec 等)
答案3
听起来你想实现域隔离如果您担心加密环境内的内部通信,则可以使用 IPSec。