我们正在考虑将 Windows AD 用作 DMZ Ubuntu 环境的 LDAP,并发现来自 DMZ ubuntu 服务器的简单 LDAP 查询会生成所有 AD 对象的完整列表。(我们暂时将 LDAP 从 DMZ 开放到内部 AD 服务器)我认为通过使用委派任务,我可以限制帐户只能读取某些 OU,例如帐户和组,而不能读取其他任何内容。经过一番研究,情况似乎并非如此,因为“列出对象”选项似乎有点复杂。我只是想尽可能限制任何攻击者的侦察。
还有其他人遇到过类似的难题吗?
谢谢,乔
答案1
该 Ubuntu 服务器是否与其查询的 DC 位于同一域中?
如果不使用帐户获取该数据,则需要采取一些基本的安全措施 - 禁用匿名 LDAP 绑定、匿名 SID/名称转换和 SAM 帐户的匿名枚举。确保匿名用户不包含在组中Pre-Windows 2000 Compatible Access。
如果使用域帐户进行身份验证,并且您希望限制该帐户对敏感对象的可见性,则需要对权限进行创造性的利用。默认情况下,Authenticated Users应用于所有帐户的身份对整个域具有一些基本的对象读取功能。
为了限制对其他权限较低的账户“隐藏”账户的访问权限,您需要通过禁用特定 OU 的继承并为该 OU 构建自定义 ACL 来删除该访问权限。
请记住,当您这样做时可能会产生一些非常有趣的后果 - 当登录的用户帐户无法读取其登录的计算机帐户时,就会发生不好的事情,反之亦然,并且对隐藏对象的 SID 解析可能会导致一些有趣的失败,特别是在第三方软件中。 如果您组织的安全政策要求您走这条路,请谨慎行事,仔细考虑您的变化,并进行彻底的测试。