Eu estava pensando apenas em segurança no ambiente de domínio do AD. Eu tenho uma pergunta: quão segura é a comunicação entre domínios por padrão (sem implementar IPSec etc.) Por exemplo, se eu baixar um arquivo de um computador de domínio para outro computador de domínio usando SMB (suponha que ambos estejam conectados via hub), alguém com um sniffer na mesma sub-rede ser capaz de capturar este arquivo? Existe uma lista de protocolos que são criptografados por padrão nas comunicações entre os membros do AD?
Geralmente não é. O tráfego entre membros do domínio não é criptografado, a menos que o próprio protocolo seja criptografado - como o tráfego Kerberos, ou se você ativar a criptografia no SMB 3.0 e os pontos de extremidade o suportam - ou se você implementou o IPSec adequadamente.
A regra geral é: Nada é criptografado, a menos que você saiba que o mecanismo está criptografado.
O tráfego de autenticação em ambientes AD (kerberos, etc.) é sempre criptografado como parte de sua funcionalidade básica.
Movimentação de dados (por exemplo, cópia de arquivo) não é. Assim como o movimento de dados na web não é, a menos que seja especificamente (ssl). Assim como o ftp não é a menos que seja especificamente (sftp). Assim como o telnet não é, a menos que seja especificamente (ssh).
Ergo, o trabalho da NSA é bastante fácil ... até que a criptografia de 2048 bits seja o transporte assumido (em oposição ao transporte 'implementar com esforço', como configurar o ipsec etc.)
Parece que você deseja implementar o isolamento de domínio com IPSec, se você está preocupado em criptografar a comunicação interna dentro do seu ambiente.