微軟現(xiàn)在允許可通過域控制器訪問互聯(lián)網(wǎng)

IT之家 4 月 16 日消息，據(jù) Neowin 報(bào)道，許多組織最近已過渡到基于云的身份平臺(tái)，例如 Azure Active Directory (AAD) 以利用最新的身份驗(yàn)證機(jī)制，包括無密碼登錄和條件訪問，并逐步淘汰 Active Directory (AD) 基礎(chǔ)設(shè)施。但是，其他組織仍在混合或本地環(huán)境中使用域控制器 (DC)。

DC 能夠讀取和寫入 Active Directory 域服務(wù) (AD DS)，這意味著如果 DC 被惡意行為者感染，基本上你的所有帳戶和系統(tǒng)都會(huì)受到損害。就在幾個(gè)月前，微軟發(fā)布了關(guān)于 AD 權(quán)限升級(jí)攻擊的公告。

微軟已經(jīng)提供了有關(guān)如何設(shè)置和保護(hù) DC 的詳細(xì)指南，但現(xiàn)在，它正在對(duì)此過程進(jìn)行一些更新。

此前，這家雷德蒙德科技公司曾強(qiáng)調(diào) DC 在任何情況下都不應(yīng)該連接到互聯(lián)網(wǎng)。鑒于不斷發(fā)展的網(wǎng)絡(luò)安全形勢(shì)，微軟已修改此指南，表示 DC 不能不受監(jiān)控的訪問互聯(lián)網(wǎng)或啟動(dòng) Web 瀏覽器?；旧?，只要使用適當(dāng)?shù)姆烙鶛C(jī)制嚴(yán)格控制訪問權(quán)限，就可以將 DC 連接到互聯(lián)網(wǎng)。

對(duì)于當(dāng)前在混合環(huán)境中運(yùn)營的組織，微軟建議至少通過 Defender for Identity 保護(hù)本地 AD。其指導(dǎo)意見指出：

“微軟建議使用 Microsoft Defender for Identity 對(duì)這些本地身份進(jìn)行云驅(qū)動(dòng)保護(hù)。Defender for Identity 傳感器在域控制器和 AD FS 服務(wù)器上的配置允許通過代理和特定端點(diǎn)與云服務(wù)建立高度安全的單向連接。有關(guān)如何配置此代理連接的完整說明，請(qǐng)參閱 Defender for Identity 的技術(shù)文檔。這種嚴(yán)格控制的配置可確保降低將這些服務(wù)器連接到云服務(wù)的風(fēng)險(xiǎn)，并使組織受益于 Defender for Identity 提供的保護(hù)功能的增加。微軟還建議使用 Azure Defender for Servers 等云驅(qū)動(dòng)的端點(diǎn)檢測(cè)來保護(hù)這些服務(wù)器?！?/p>

盡管如此，由于法律和監(jiān)管原因，微軟仍然建議在隔離環(huán)境中運(yùn)營的組織完全不要訪問互聯(lián)網(wǎng)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。