Banyak organisasi baru-baru ini telah beralih kepada platform identiti berasaskan awan seperti Azure Active Directory (AAD) untuk memanfaatkan mekanisme pengesahan terkini seperti log masuk tanpa kata laluan dan akses bersyarat, dan Bersara secara beransur-ansur Infrastruktur Active Directory (AD). Walau bagaimanapun, organisasi lain masih menggunakan pengawal domain (DC) dalam persekitaran hibrid atau di premis.
Bagi mereka yang tidak tahu, DC boleh membaca dan menulis ke Active Directory Domain Services (AD DS), yang bermaksud bahawa jika DC dijangkiti oleh pelakon yang berniat jahat, pada dasarnya semua akaun anda dan sistem akan terjejas kerosakan. Hanya beberapa bulan yang lalu, Microsoft mengeluarkan nasihat tentang serangan peningkatan keistimewaan AD.
Microsoft sudah menyediakan tutorial terperinci tentang cara menyediakan dan mengamankan DC, tetapi kini, ia membuat beberapa kemas kini pada proses tersebut.
Teknologi Redmond telah menekankan bahawa DC tidak boleh disambungkan ke Internet dalam apa jua keadaan. Memandangkan landskap keselamatan siber yang semakin berkembang, Microsoft telah mengubah suai tutorial ini untuk menyatakan bahawa DC tidak sepatutnya mempunyai akses Internet yang tidak dipantau atau keupayaan untuk melancarkan pelayar web. DC boleh disambungkan ke Internet selagi akses dikawal ketat dengan perlindungan yang sesuai.
Untuk organisasi yang sedang beroperasi dalam persekitaran hibrid, Microsoft mengesyorkan agar anda melindungi dengan sekurang-kurangnya Defender untuk Identiti AD Tempatan. Panduannya menyatakan:
Microsoft mengesyorkan menggunakan Microsoft Defender for Identity untuk perlindungan dipacu awan bagi identiti di premis ini. Konfigurasi penderia Defender for Identity pada pengawal domain dan pelayan AD FS membolehkan sambungan sehala yang sangat selamat kepada perkhidmatan awan melalui proksi dan titik akhir tertentu. Untuk arahan terperinci tentang mengkonfigurasi sambungan proksi ini, sila rujuk kepada dokumentasi teknikal Defender for Identity. Konfigurasi yang dikawal ketat ini memastikan bahawa risiko menyambungkan pelayan ini kepada perkhidmatan awan dikurangkan dan organisasi mendapat manfaat daripada peningkatan keupayaan perlindungan yang disediakan oleh Defender for Identity. Microsoft juga mengesyorkan menggunakan pengesanan titik akhir dipacu awan seperti Azure Defender untuk Pelayan untuk melindungi pelayan ini.
Walau bagaimanapun, Microsoft masih mengesyorkan agar organisasi yang beroperasi dalam persekitaran terpencil tidak mengakses Internet sama sekali atas sebab undang-undang dan peraturan.
Atas ialah kandungan terperinci Microsoft kini boleh mengakses internet melalui pengawal domain. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!