微軟現(xiàn)在允許可通過(guò)域控制器訪問(wèn)互聯(lián)網(wǎng)

2022/4/16 15:08:02 來(lái)源:IT之家 作者:瀟公子 責(zé)編:瀟公子

IT之家 4 月 16 日消息,據(jù) Neowin 報(bào)道,許多組織最近已過(guò)渡到基于云的身份平臺(tái),例如 Azure Active Directory (AAD) 以利用最新的身份驗(yàn)證機(jī)制,包括無(wú)密碼登錄和條件訪問(wèn),并逐步淘汰 Active Directory (AD) 基礎(chǔ)設(shè)施。但是,其他組織仍在混合或本地環(huán)境中使用域控制器 (DC)。

DC 能夠讀取和寫(xiě)入 Active Directory 域服務(wù) (AD DS),這意味著如果 DC 被惡意行為者感染,基本上你的所有帳戶(hù)和系統(tǒng)都會(huì)受到損害。就在幾個(gè)月前,微軟發(fā)布了關(guān)于 AD 權(quán)限升級(jí)攻擊的公告。

微軟已經(jīng)提供了有關(guān)如何設(shè)置和保護(hù) DC 的詳細(xì)指南,但現(xiàn)在,它正在對(duì)此過(guò)程進(jìn)行一些更新。

此前,這家雷德蒙德科技公司曾強(qiáng)調(diào) DC 在任何情況下都不應(yīng)該連接到互聯(lián)網(wǎng)。鑒于不斷發(fā)展的網(wǎng)絡(luò)安全形勢(shì),微軟已修改此指南,表示 DC 不能不受監(jiān)控的訪問(wèn)互聯(lián)網(wǎng)或啟動(dòng) Web 瀏覽器?;旧?,只要使用適當(dāng)?shù)姆烙鶛C(jī)制嚴(yán)格控制訪問(wèn)權(quán)限,就可以將 DC 連接到互聯(lián)網(wǎng)。

對(duì)于當(dāng)前在混合環(huán)境中運(yùn)營(yíng)的組織,微軟建議至少通過(guò) Defender for Identity 保護(hù)本地 AD。其指導(dǎo)意見(jiàn)指出:

“微軟建議使用 Microsoft Defender for Identity 對(duì)這些本地身份進(jìn)行云驅(qū)動(dòng)保護(hù)。Defender for Identity 傳感器在域控制器和 AD FS 服務(wù)器上的配置允許通過(guò)代理和特定端點(diǎn)與云服務(wù)建立高度安全的單向連接。有關(guān)如何配置此代理連接的完整說(shuō)明,請(qǐng)參閱 Defender for Identity 的技術(shù)文檔。這種嚴(yán)格控制的配置可確保降低將這些服務(wù)器連接到云服務(wù)的風(fēng)險(xiǎn),并使組織受益于 Defender for Identity 提供的保護(hù)功能的增加。微軟還建議使用 Azure Defender for Servers 等云驅(qū)動(dòng)的端點(diǎn)檢測(cè)來(lái)保護(hù)這些服務(wù)器。”

盡管如此,由于法律和監(jiān)管原因,微軟仍然建議在隔離環(huán)境中運(yùn)營(yíng)的組織完全不要訪問(wèn)互聯(lián)網(wǎng)。

廣告聲明:文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時(shí)間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:微軟,互聯(lián)網(wǎng)

軟媒旗下網(wǎng)站: IT之家 最會(huì)買(mǎi) - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會(huì)買(mǎi) 要知