本文摘自卓越科技,原文链接:https://mini.eastday.com/mobile/220416214446470204290.html,侵删。
IT之家4月16日消息,据Neowin报道,许多组织最近已过渡到基于云的身份平台,例如AzureActiveDirectory(AAD)以利用最新的身份验证机制,包括无密码登录和条件访问,并逐步淘汰ActiveDirectory(AD)基础设施。但是,其他组织仍在混合或本地环境中使用域控制器(DC)。
DC能够读取和写入ActiveDirectory域服务(ADDS),这意味着如果DC被恶意行为者感染,基本上你的所有帐户和系统都会受到损害。就在几个月前,微软发布了关于AD权限升级攻击的公告。
微软已经提供了有关如何设置和保护DC的详细指南,但现在,它正在对此过程进行一些更新。
此前,这家雷德蒙德科技公司曾强调DC在任何情况下都不应该连接到互联网。鉴于不断发展的网络安全形势,微软已修改此指南,表示DC不能不受监控的访问互联网或启动Web浏览器。基本上,只要使用适当的防御机制严格控制访问权限,就可以将DC连接到互联网。
对于当前在混合环境中运营的组织,微软建议至少通过DefenderforIdentity保护本地AD。其指导意见指出:
“微软建议使用MicrosoftDefenderforIdentity对这些本地身份进行云驱动保护。DefenderforIdentity传感器在域控制器和ADFS服务器上的配置允许通过代理和特定端点与云服务建立高度安全的单向连接。有关如何配置此代理连接的完整说明,请参阅DefenderforIdentity的技术文档。这种严格控制的配置可确保降低将这些服务器连接到云服务的风险,并使组织受益于DefenderforIdentity提供的保护功能的增加。微软还建议使用AzureDefenderforServers等云驱动的端点检测来保护这些服务器。”
尽管如此,由于法律和监管原因,微软仍然建议在隔离环境中运营的组织完全不要访问互联网。
相关阅读 >>
微软发布win11 22000.194:虚拟机上现要求tpm 2.0
更多相关阅读请进入《微软》频道 >>
