如何解决将密钥表放在外部服务器上是否安全
我想知道我们是否可以将我们内部活动目录中的密钥表放在野外的网络服务器上。
如果我没有说错的话,网络服务器和活动目录之间没有直接通信。 SPNEGO 通过客户端连接进行任何协商。 因此这应该可行,但它安全吗?
假设 Web 服务器被黑客入侵,攻击者可以访问密钥表文件。 这可能/是否会影响我们内部活动目录的安全性,还是我“只有”有一个受损的网络服务器? 密钥表文件可以用来找出我们网络的一些内部结构吗?
编辑:澄清一下,维基百科提供了一篇很好的文章来更好地描述这种情况。我说的是 Kc-s,我们在 TGS 和 SS 之间共享密钥表
Jeran Renz 的 Kerberos 协议,CC BY-SA 4.0 https://creativecommons.org/licenses/by-sa/4.0,通过 Wikimedia Commons https://en.wikipedia.org/wiki/Kerberos_(protocol)
解决方法
密钥表文件只是 SPN 到密钥的映射。密钥是用于在 Active Directory 中验证服务或验证从 Active Directory 到服务的票证的文字密钥。
因此,这相当于攻击者获得了服务 SPN 及其密码。这是真的不好还是只是有点不好,这只有你自己能决定。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。