🛡️ Windows (Security): Новое в Server 2025 — Защита LDAP по умолчанию

Боль: В 2025 году 90% AD-доменов до сих пор разрешают LDAP Simple Bind (простая привязка) — то есть, отправку паролей по LDAP (порт 389) в открытом тексте.

Реакция админа: "У меня внутренняя сеть, она доверенная". (Нет).
Реакция архитектора: "Весь трафик аутентификации должен быть зашифрован. Без исключений".

Microsoft меняет правила игры в Windows Server 2025.

Что нового:

1. LDAPS по умолчанию: LDAP-сервер больше не будет принимать Simple Bind (открытый текст), если соединение не зашифровано (через TLS/SSL, порт 636, или через StartTLS).

2. Шифрование Kerberos: Внедряется AES-SHA256/384, что делает Kerberos еще надежнее.

3. TLS 1.3: LDAP теперь поддерживает TLS 1.3 "из коробки".

Взгляд архитектора: Это "Security by Default" (Безопасность по умолчанию). Microsoft принудительно закрывает "дыры", которые админы игнорировали десятилетиями. Ваша задача — не ждать 2025 года. Запускайте LDP.exe, проверяйте свои DC на Simple Bind и внедряйте LDAPS (порт 636) уже вчера.

#windows #security #activedirectory #ldap #windowsserver #architect #гайд