Вы же пишете, что не разбираетесь глубоко в винде. Вопрос неотчуждаемая для каких целей? Аутентификации, управления?

Это вы ведете об этом речь. ПОтому, что для вас контроллер - это DC, вы даже не поняли о чём вам выше написали коллеги.

никакого rpc нету в сети АСУ ТП

Коррнктной работы клиентской винды. Коллега писал ночью, скада под винду, учетками упрпвляем централизованно политиками, прочая. Rpc при таком раскладе между сервером и клиентом невыпиливоемо. 135 как минимум в сторону дц бужет исподьзоваться, 445 тоже, что бы вы не думали.

Да ладно? Туча.

Когда скада под виндой, как писали выше, винда включена в домен - есть. Куда же rpc  денется.

Ну есть рпс, да с ним проблем полно. Но есть и механизмы по снижению рисков

Чем вас пугает RPC в данном случае? Еще раз - 1) сегментирование клиенты и инфраструктуры 2) запрет peer-to-peer - разрешать только клиент с сервером 3) обновления 4) использование где надо RODC 5) другие рекомендации по обновлению паролей учеток DC. От 99% угроз закроетесь.

Вы скачите с темы на тему. Клиентская винда, включённая в домен как политики получает? По фтп может? Это к влпросу про 445 порт и ненужность смб.

так, я же как коллеги тоже про другие контроллеры подумал, а когда Вы разъяснили это понятие, то стало ясно

Забейте, чел на своей волне :)

Как вы будете в винде контролировать кучу настроек реестра (если нужно что то поправить на группу по объектам, применить запрет на работу сервисов, централизовано устанавливать обновление по группам объектов, ). Я работал много где и без АД,и тоже раньше думал что на фиг надо и без него все супер, но когда нужно сделать какие то изменения, проконтролировать больше 50 ПК, разбить все по разным группам приоритета, а еще и централизованно управлять всем ). Но п бывав там где изначально все строилось на МС и получив ответ что ни кто не будет перестраивать структуру то приходиться с этим жить и как оказалось очень даже не плохо можно все реализовать по минимуму встроенными средствами.

ну и для SMB rpс не нужен

RPС нужен для управления

Человек сравнивает сеть с AD без настроенных средств безопасности и сеть без AD, в которой на всех хостах стоит deny all :) всё норм

так в основном если у вас Нормальная АСУ то эти порты и так будут открыты для нормальной работы, но все решается на одним АВЗ, МСЭ локальные правила , приоритеты,  ограничения, много накручивается. В каждой системе есть + и -. но уж если что то есть то глупо это не использовать

2) вот так сервер и порутается гарантированно от любого нового кидо
3) не успеют
4) не поможет

И все это именно актуально для винды и ее родовых травм. Зеродей где угодно может быть, но нигде он так не бывал разрушителен, как в виндовых сетях. И вот почему-то почти всегда это 135 и 445. Я это лично наблюдал в течении уже почти 20 лет.

я тока начал топик читать ) пока даже не понял иду сверху в низ, уж простите если буду писать глупости )

Как и вы :) Мне вот очевидно, что вы далеки от понимания, в чем проблема любой виндовой ад сети и почему ее реально секьюрно настроить (с учетом повышенной критичности иб для асутп)

Давайте по-другому: есть две сети АСУ ТП - одна с AD, другая - без. На обоих настроены средсва ИБ. Какой именно ущёрб от одинаковой вирусни будет на этих объектах? Ключевоей слово - ущерб.