许多组织最近已过渡到基于云的身份平台,例如 Azure Active Directory (AAD),以利用最新的身份验证机制,例如无密码登录和条件访问,并逐步淘汰 Active Directory (AD) 基础设施。但是,其他组织仍在混合或本地环境中使用域控制器 (DC)。
对于那些不知道的人,DC 能够读取和写入 Active Directory 域服务 (AD DS),这意味着如果 DC 被恶意行为者感染,基本上你的所有帐户和系统都会受到损害。就在几个月前,微软发布了关于 AD 权限升级攻击的公告。
Microsoft 已经提供了有关如何设置和保护 DC 的详细教程,但现在,它正在对此过程进行一些更新。
雷德蒙德科技公司曾经强调,无论在什么情况下都不应该将DC连接到互联网。鉴于不断发展的网络安全形势,微软已修改此教程,表示 DC 不应拥有不受监控的互联网访问或启动 Web 浏览器的能力。只要采用适当的保护措施严密控制访问权限,DC 就能与互联网相连。
对于当前在混合环境中运营的组织,Microsoft 建议您至少通过 Defender for Identity 保护本地 AD。其指导意见指出:
Microsoft 建议使用 Microsoft Defender for Identity 对这些本地身份进行云驱动保护。Defender for Identity 传感器在域控制器和 AD FS 服务器上的配置允许通过代理和特定端点与云服务建立高度安全的单向连接。有关配置此代理连接的详细说明,请参考Defender for Identity技术文档。这种严格控制的配置可确保降低将这些服务器连接到云服务的风险,并使组织受益于 Defender for Identity 提供的保护功能的增加。Microsoft 还建议使用 Azure Defender for Servers 等云驱动的端点检测来保护这些服务器。
尽管如此,由于法律和监管原因,微软仍然建议在隔离环境中运营的组织完全不要访问互联网。
以上是微软现在可以通过域控制器访问互联网的详细内容。更多信息请关注PHP中文网其他相关文章!