微软新指导允许域控制器限量接入互联网


本文摘自太平洋电脑网,原文链接:https://news.pconline.com.cn/1495/14952884.html,侵删。

很多企业都开始过渡到 Azure Active Directory(AAD)等云端身份平台,利用无密码登录和有条件访问等新认证机制来逐步淘汰 Active Directory(AD)基础设施。然而,依然有一些组织在混合或内部环境中使用域控制器(DC)。

          DC 有活动目录域服务(AD DS)的能力,这意味着如果一个 DC 被恶意行为者感染,基本上你的所有账户和系统都会受到影响。就在几个月前,微软发布了一个关于 AD 特权升级攻击的警告。

         此前微软已经提供了关于如何设置和保护 DC 的详细指导, 近期微软再次对该指导进行了优化和更新。

          此前,这家总部位于雷德蒙的科技巨头曾强调,DC 在任何情况下都不应该与互联网连接。考虑到不断变化的网络安全形势,微软已经修改了这一指导意见,表示 DC 不应该有不受监控的互联网接入,也不应该有启动网络浏览器的能力。基本上,只要严格控制访问,并建立适当的防御机制,让 DC 连接到互联网是可以的。

        对于目前在混合环境下运行的组织,微软建议你至少通过身份保护器来保护企业内部的AD。其指导意见指出:微软建议使用 Microsoft Defender for Identity 对这些企业内部的身份进行云端保护。在 DC 和 AD FS 服务器上配置 Defender for Identity 传感器,可以通过代理和特定的端点与云服务进行高度安全的单向连接。

         关于如何配置这种代理连接的完整解释,可以在身份保护器的技术文档中找到。这种严格控制的配置确保了将这些服务器连接到云服务的风险得到缓解,并且企业可以从身份保护器提供的保护能力的提高中受益。微软还建议这些服务器用云端驱动的端点检测来保护,如 Azure Defender for Servers。

微软新指导允许域控制器限量接入互联网

相关阅读 >>

微软超越苹果成为全球市值最高上市公司

微软年底停止支持windows版cortana语音助手

微软计划在xbox免费游戏中植入广告

调研指数字化人才有从“互联网大厂”流向“工厂”趋势

win10自动更新坑死人?微软承诺改善

微软针对m1/m2芯片mac电脑优化升级teams

广州拓璞集团荣获首届工业互联网全国应用创新大赛二等奖

“5g+工业互联网”万亿空间 安全防护仍在起步阶段

全球最大看片工具彻底凉了:微软喊话让用户放弃ie使用edge

微软双屏平板surface neo出现在电影《红色通缉令》中

更多相关阅读请进入《微软》频道 >>



打赏

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,您说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

评论

管理员已关闭评论功能...