很多企业都开始过渡到 Azure Active Directory(AAD)等云端身份平台,利用无密码登录和有条件访问等新认证机制来逐步淘汰 Active Directory(AD)基础设施。然而,依然有一些组织在混合或内部环境中使用域控制器(DC)。
DC 有活动目录域服务(AD DS)的能力,这意味着如果一个 DC 被恶意行为者感染,基本上你的所有账户和系统都会受到影响。就在几个月前,微软发布了一个关于 AD 特权升级攻击的警告。
此前微软已经提供了关于如何设置和保护 DC 的详细指导。
此前,这家总部位于雷德蒙的科技巨头曾强调,DC 在任何情况下都不应该与互联网连接。考虑到不断变化的网络安全形势,微软已经修改了这一指导意见,表示 DC 不应该有不受监控的互联网接入,也不应该有启动网络浏览器的能力。基本上,只要严格控制访问,并建立适当的防御机制,让 DC 连接到互联网是可以的。
对于目前在混合环境下运行的组织,微软建议你至少通过身份保护器来保护企业内部的AD。其指导意见指出:
关于如何配置这种代理连接的完整解释,可以在身份保护器的技术文档中找到。这种严格控制的配置确保了将这些服务器连接到云服务的风险得到缓解,并且企业可以从身份保护器提供的保护能力的提高中受益。微软还建议这些服务器用云端驱动的端点检测来保护,如 Azure Defender for Servers。
uc电脑园提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。
浏览次数 28759
浏览次数 10632
浏览次数 8952
浏览次数 8110
浏览次数 5227
未知的网友