Preocupação de segurança para consulta LDAP

Está correto. Essas informações estão disponíveis como parte do LDAP. Você poderia bloquear o AD usando delegação e modificando os direitos de segurança, mas eu não recomendaria isso.

Sim, as permissões de segurança padrão no Active Directory fornecem a todos os usuários acesso de leitura à maioria dos atributos em objetos no diretório, incluindo outros usuários.

Se a remoção dessa capacidade for necessária para satisfazer os requisitos de segurança da sua empresa, infelizmente não será tão fácil quanto modificar as permissões na UO/contêiner onde seus usuários confidenciais estão localizados. As permissões que concedem acesso de leitura a esses atributos não são herdadas de seu contêiner. Eles são definidos diretamente no objeto no momento da criação.

Para mudar isso, você precisa editar o esquema do AD e modificar a ACL de segurança padrão na classe de usuário para qualquer que seja a exigência de seus requisitos de segurança. É uma operação delicada, com certeza. Mas, ao contrário de outras alterações de esquema, é totalmente reversível (basta alterar as permissões novamente).

Também não afetará retroativamente os usuários já existentes. Você precisará voltar após o fato e usar uma ferramenta comodsaclspara redefinir os usuários para suas permissões de segurança padrão do esquema.

Lembre-se de que muitos aplicativos que acessam o Active Directory presumirão que existem permissões de segurança padrão e poderão falhar de maneiras estranhas se não conseguirem ler esses atributos do usuário. Portanto, certifique-se de que todos os aplicativos que precisam de acesso estejam em execução com credenciais que receberam acesso explícito para ler os atributos de seu interesse.