Tcp 135,139,445 в технологических сетях необходимо использовать и без Ad - SCADA многих вендоров используют, но и тут есть рецепты - сетевые экраны на endpoint ни кто не отменял. Сложно? Да. Но работает и спасло в свое время от wannacry, и всяких плохих кроликов.

Прочитал баталию, но так и не понял чем AD плох в АСУ ТП. Что с чем сранивается? Хорошо настроенная сеть без AD с ненастроенным AD?

AD - это недорогое решение опредленного количества проблем на предприятии, порожденных регуляторами.

Что я и пытался объяснить) но я так и не понял до конца чем AD так не угодил, что его "травмой" назвали)

Если конечные хосты в ад, порты эти в сторону контроллеров вы не закроете. Никакой антивирус на конотроллерах в случае серьезного зеродей не поможет, по крайней мере сразу (потом может быть, патч выпустит вендор или предложит мелкодавошную утилиту или еще что-то, в горячей фазе 99% антивирусов пойдут лесом). Порутанный контроллер - единая точка легкого и удобного убийства всей сети, механизмы на выбор. Все, что вас в ад радоволо, начнет работать против вас.

используйте Read Only DC, обновляйте его

AD зрелая технология, уже десятки лет используется. Боязни её связаны чаще с тем, что не весь функционал безопасности и отказоустойчисовсти используется, а также с применением к нему подхода к обновлениям, принятым к АСУ ТП в целом.

Чем же он поможет особо сильно?  Там вирус или хакер сдампить не сможет аутентфикационные данные для дальнейшего веселья? Что мне с того, что он ридонли? Логон скипт подменить? А врайтб не нужен? Хоть где-то и как-то? Между ридонли и врайтбл не тот же набор портов дрлжен быть открыт и тех же проблемных механизмов?

а вы какой протокол для аутентификации применяете?

зачем SMB открывать?

Боязни связаны с опытом. Вот какой механизм безопасности ее, уже вполне зрелую в далеком 2003 году мог спасти от мсбласт? Патчи? Не везде их можно с такой скоростью ставить, они даже в офисной сети серьезной и большой требуют тестирования от пары недель до месяца и это тоже печальный опыт. Rpc  пресловутый зарезать нельзя, а через него имели эту шляпу, имеют и иметь, похоже, будут.

Таки вы ответьте что с чем сравниваете. Мсбласт, кидо и т.п. это вирусня не нацеленная на AD. Чем в данном случае будет лучше обычная сеть?

А есть контроллеры способные интегрироваться с AD? Да и зачем открывать эти порты в сторону контроллеров? С контроллеров в сторону АД - наверное.

AD там была ни при чем, и очень многие выводы после того были сделаны. И многие методы предлагаются - сегментирование, МЭ, запрет peer-to-peer и т.п.

Есть, в AD имеется технология RADIUS, LDAP, Kerberos, NTLM v2. любыми методами можно идентифицироваться. Вопрос зачем? Чтобы не плодить учетки и иметь лог с аутентификациями, например.

А кроме аутентификации между клиентом ад и сервером ничего не бегает? Политики он как получает? По фтп? Логон скрипты? 445 для ад критичен. Я не глубокий виндовый спец, но я рулю файрволами и четко знаю, что закрытие 445 порта в сторону ад серверов - это прямо беда-беда что в 2003 году что в 2021м.

Так про контроллер речь или виндовые узлы?

Я все четко пишу, читайте выше.

Нет, вы главные вопросы игнориуете. Всё то, что вы пишите относится к плохонстроенной сети AD большой конторы.

В сторону контроллкров 135,445 закрывать нельзя. Контроллер из-за этого всегда под ударом. С него потом, пусть он хоть трижды ридонли, под удар встает вся сеть.