Microsoft는 이제 도메인 컨트롤러를 통해 인터넷에 액세스할 수 있습니다.

많은 조직이 최근 AAD(Azure Active Directory)와 같은 클라우드 기반 ID 플랫폼으로 전환하여 비밀번호 없는 로그인 및 조건부 액세스와 같은 최신 인증 메커니즘을 활용하고 AD(Active Directory) 인프라를 단계적으로 폐지했습니다. 그러나 다른 조직에서는 여전히 하이브리드 또는 온프레미스 환경에서 DC(도메인 컨트롤러)를 사용합니다.

모르시는 분들을 위해 말씀드리자면, DC는 AD DS(Active Directory 도메인 서비스)를 읽고 쓸 수 있습니다. 이는 DC가 악의적인 공격자에 의해 감염되면 본질적으로 모든 계정과 시스템이 손상된다는 의미입니다. . 불과 몇 달 전, Microsoft는 AD 권한 상승 공격에 대한 주의보를 발표했습니다.

Microsoft는 이미 DC를 설정하고 보호하는 방법에 대한 자세한 자습서를 제공하고 있지만 지금은 프로세스를 일부 업데이트하고 있습니다.

Redmond Technology는 어떤 상황에서도 DC가 인터넷에 연결되어서는 안 된다고 강조한 적이 있습니다. 진화하는 사이버 보안 환경을 고려하여 Microsoft는 DC에 모니터링되지 않는 인터넷 액세스 또는 웹 브라우저 실행 기능이 없어야 함을 명시하기 위해 이 자습서를 수정했습니다. 적절한 보호를 통해 액세스가 엄격하게 제어되는 한 DC는 인터넷에 연결될 수 있습니다.

Trend Micro를 통한 이미지

현재 하이브리드 환경에서 운영 중인 조직의 경우 Microsoft는 최소한 Defender for Identity를 사용하여 온-프레미스 AD를 보호할 것을 권장합니다. 해당 지침에는 다음과 같은 내용이 나와 있습니다.

Microsoft는 이러한 온-프레미스 ID에 대한 클라우드 기반 보호를 위해 Microsoft Defender for Identity를 사용할 것을 권장합니다. 도메인 컨트롤러 및 AD FS 서버에서 Defender for Identity 센서를 구성하면 프록시 및 특정 엔드포인트를 통해 클라우드 서비스에 대한 매우 안전한 단방향 연결이 가능합니다. 이 프록시 연결을 구성하는 방법에 대한 자세한 지침은 Defender for Identity 기술 문서를 참조하세요. 엄격하게 제어되는 이 구성을 통해 이러한 서버를 클라우드 서비스에 연결할 때의 위험이 줄어들고 조직은 Defender for Identity에서 제공하는 향상된 보호 기능의 이점을 누릴 수 있습니다. 또한 Microsoft는 이러한 서버를 보호하기 위해 Azure Defender for Servers와 같은 클라우드 기반 엔드포인트 감지를 사용할 것을 권장합니다.

그럼에도 불구하고 Microsoft는 법적 및 규제상의 이유로 격리된 환경에서 운영되는 조직이 인터넷에 전혀 액세스하지 않을 것을 여전히 권장합니다.

위 내용은 Microsoft는 이제 도메인 컨트롤러를 통해 인터넷에 액세스할 수 있습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!