Memorizzazione dell'indirizzo MAC di un computer in Active Directory

Naviga le tue risposte
4

Sto considerando di abilitare WoL (Wake on LAN) sulle workstation sulla mia rete.

Per avviare una workstation usando WoL ho bisogno del suo indirizzo MAC. Potrei memorizzare l'indirizzo MAC in un database, tuttavia preferirei memorizzarlo come attributo dell'oggetto computer in AD. La mia intenzione è di scrivere uno script di avvio che scriverà l'indirizzo MAC su un attributo di riserva in AD.

Non sono stato in grado di pensare a eventuali implicazioni sulla sicurezza che questo potrebbe introdurre, ma vorrei chiedere alla community se c'è qualcosa che trascuro o che dovrei prendere in considerazione prima di implementarlo?

    
posta Fitzroy 30.08.2013 - 22:16
fonte

2 risposte

1

Alcune persone ritengono che l' indirizzo MAC sia "un po 'segreto". Questo è fuorviante, ma sappi che rendere pubblici gli indirizzi MAC può generare un certo nervosismo. Potrebbe essere necessario giustificare te stesso.

Ad esempio, un'opzione di configurazione piuttosto comune su "switch intelligenti" consiste nel limitare ogni porta Ethernet a un singolo MAC o solo a un breve elenco di indirizzi MAC; questo è un tentativo di scoraggiare i dipendenti da portare il proprio dispositivo . Non è un strong sistema di sicurezza; può essere facilmente neutralizzato impostando l'indirizzo MAC di un dispositivo esterno su un valore specifico. Tuttavia, questo ha contribuito a propagare l'idea che l'indirizzo MAC sia una sorta di password, quindi il nervosismo sulla pubblicazione.

Wake on LAN si trova in una situazione simile: poiché consente di svegliare le macchine da remoto, potrebbe , potenzialmente, essere usato da un utente malintenzionato per attaccare macchine spente. In questo senso, spegnere la macchina non è più la massima sicurezza.

(Può creare un interessante DoS . Un computer che si avvia utilizza più energia di un computer che è semplicemente "su", questo effetto dura solo pochi secondi, fino a quando tutti i dischi rigidi sono alla velocità e la CPU ha terminato i suoi autotest di avvio. Con un Wake-on-LAN generico, è possibile svegliare un gruppo di macchine simultaneamente e sovraccaricare i fusibili.Ho conosciuto un computer che può gestire tutti i sistemi attivi e funzionanti, ma non tutti i sistemi l'avvio . dovevamo essere configurati per non all'accensione automatica quando l'alimentazione è tornata dopo una mancanza. Un Wake-on-LAN generalizzato può consentire lo stesso tipo di effetto.)

    
risposta data 30.08.2013 - 22:29
fonte
1

La sfida, come ha fatto intendere Thomas Pornin, è mantenere le informazioni sull'indirizzo MAC sicure e non inutilmente pubbliche.

Ecco alcune idee che ti vengono in mente

  • Estendi lo schema di AD per soddisfare i dati. Potresti essere in grado di utilizzare l'autorizzazione self e salvarla sull'oggetto Utente stesso (lo script di accesso viene eseguito nel contesto dell'utente)

  • Scrivi i dati su un server web, che a sua volta lo scrive su AD. Questo è più che altro un modo per indirizzare le scritture in AD e potrebbe essere utile nelle situazioni di auditing.

  • Trova un attributo in cui puoi utilizzare la bandiera confidenziale incorporata . Ciò potrebbe funzionare meglio se si utilizza l'approccio del server Web sopra riportato e non si desidera estendere lo schema. In questo modo puoi salvare informazioni su un attributo inutilizzato come jpegPhoto o qualcos'altro.

risposta data 30.08.2013 - 23:20
fonte

Leggi altre domande sui tag

È possibile connettersi al router wireless senza interrompere l'handshake WPA2? Progettazione di un ambiente PKI