Авторизация из ad, но при подборе пароля блочится доступ на конкретный сервис, а не на вход в домен. Взять, например, exchange, защита от перебора паролей — блокировка учетки. Но счетчик попыток в данном случае ведет сам почтовый сервак и забанит вас он.
А атаки из серии, я запущу программу изнутри и она будет подбирать пароли маловероятна. Я подозреваю, что при включенном брандмауэре она ответ от dc даже не получит (соответственно схему мы не выгрузим).
Можно еще с пеной у рта кричать о software restriction policy и app controller, но лично мое мнение: в среднестатистической конторе нереально внедрять. (если кто внедрял, поделитесь опытом!!!)
По вашей статье предлагаю расширить область, рассмотрите как работает AD CS и какие проблемы позволяет решить.
радиус для железа хорош. Сейчас активно говорят о «притащи свое устройство», для этого есть workplace join, direct access. Они позволяют бурить тоннели через все подряд. И авторизироваться сертификатами. Формально ты за пределы сетевого периметра не выходишь.
А атаки из серии, я запущу программу изнутри и она будет подбирать пароли маловероятна. Я подозреваю, что при включенном брандмауэре она ответ от dc даже не получит (соответственно схему мы не выгрузим).
Можно еще с пеной у рта кричать о software restriction policy и app controller, но лично мое мнение: в среднестатистической конторе нереально внедрять. (если кто внедрял, поделитесь опытом!!!)
По вашей статье предлагаю расширить область, рассмотрите как работает AD CS и какие проблемы позволяет решить.