很多企業(yè)都開(kāi)始過(guò)渡到 Azure Active Directory(AAD)等云端身份平臺(tái),利用無(wú)密碼登錄和有條件訪問(wèn)等新認(rèn)證機(jī)制來(lái)逐步淘汰 Active Directory(AD)基礎(chǔ)設(shè)施。然而,依然有一些組織在混合或內(nèi)部環(huán)境中使用域控制器(DC)。
DC 有活動(dòng)目錄域服務(wù)(AD DS)的能力,這意味著如果一個(gè) DC 被惡意行為者感染,基本上你的所有賬戶和系統(tǒng)都會(huì)受到影響。就在幾個(gè)月前,微軟發(fā)布了一個(gè)關(guān)于 AD 特權(quán)升級(jí)攻擊的警告。
此前微軟已經(jīng)提供了關(guān)于如何設(shè)置和保護(hù) DC 的詳細(xì)指導(dǎo), 近期微軟再次對(duì)該指導(dǎo)進(jìn)行了優(yōu)化和更新。
此前,這家總部位于雷德蒙的科技巨頭曾強(qiáng)調(diào),DC 在任何情況下都不應(yīng)該與互聯(lián)網(wǎng)連接。考慮到不斷變化的網(wǎng)絡(luò)安全形勢(shì),微軟已經(jīng)修改了這一指導(dǎo)意見(jiàn),表示 DC 不應(yīng)該有不受監(jiān)控的互聯(lián)網(wǎng)接入,也不應(yīng)該有啟動(dòng)網(wǎng)絡(luò)瀏覽器的能力。基本上,只要嚴(yán)格控制訪問(wèn),并建立適當(dāng)?shù)姆烙鶛C(jī)制,讓 DC 連接到互聯(lián)網(wǎng)是可以的。
對(duì)于目前在混合環(huán)境下運(yùn)行的組織,微軟建議你至少通過(guò)身份保護(hù)器來(lái)保護(hù)企業(yè)內(nèi)部的AD。其指導(dǎo)意見(jiàn)指出:微軟建議使用 Microsoft Defender for Identity 對(duì)這些企業(yè)內(nèi)部的身份進(jìn)行云端保護(hù)。在 DC 和 AD FS服務(wù)器上配置 Defender for Identity 傳感器,可以通過(guò)代理和特定的端點(diǎn)與云服務(wù)進(jìn)行高度安全的單向連接。
關(guān)于如何配置這種代理連接的完整解釋,可以在身份保護(hù)器的技術(shù)文檔中找到。這種嚴(yán)格控制的配置確保了將這些服務(wù)器連接到云服務(wù)的風(fēng)險(xiǎn)得到緩解,并且企業(yè)可以從身份保護(hù)器提供的保護(hù)能力的提高中受益。微軟還建議這些服務(wù)器用云端驅(qū)動(dòng)的端點(diǎn)檢測(cè)來(lái)保護(hù),如 Azure Defender for Servers。
關(guān)鍵詞: 互聯(lián)網(wǎng)接入 防御機(jī)制 科技巨頭 單向連接
網(wǎng)站首頁(yè) |網(wǎng)站簡(jiǎn)介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
中國(guó)網(wǎng)絡(luò)消費(fèi)網(wǎng) 版權(quán)所有 未經(jīng)書(shū)面授權(quán) 不得復(fù)制或建立鏡像
聯(lián)系郵箱:920 891 263@qq.com