端口88转发给非站点用户使用DC进行身份验证
端口88转发给非站点用户使用DC进行身份验证
提问于 2016-07-30 12:26:30
因此,经过研究,我决定在88端口上使用公用IP地址x.x对主机进行端口转发,这样用户就可以通过域控制器进行身份验证以进行交互登录。
如果端口转发是使用特定的实IP x.x(外地办事处1)从端口88完成到端口88实IP Y.Y(主办事处),则外部用户应该能够验证凭据。
我关心的是这个设置在多大程度上容易受到攻击?
回答 1
Security用户
回答已采纳
发布于 2016-07-30 17:41:04
您不应该将身份验证服务器公开到internet上。公开VPN服务器并使用户首先连接到您的办公网络是更安全的。您也可以通过VPN连接您的两个网络。使用经过充分验证的、安全的VPN设备,有一些便宜的软件,比如OpenVPN。
VPN也是黑客的主要攻击目标。因此,只有有限的网络可以访问您的VPN (防火墙),保持它的最新,不允许在没有用户证书的情况下进行连接(因此您需要为每个用户颁发SSL证书,这样蛮力就不能在VPN上工作),为每个访问它的客户端执行好的AV软件。
关于为VPN公开SSL,请注意,过去存在大量SSL漏洞,因此拥有用户证书、防火墙和更新非常重要。
用户应该能够脱机使用域凭据(没有VPN)登录到Windows,然后登录到VPN并继续启动Outlook和使用Active等。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/131476
复制相关文章
相似问题
腾讯云开发者
