社区编辑申请
注册/登录
微软新指导允许域控制器限量接入互联网
开发
很多企业都开始过渡到 Azure Active Directory(AAD)等云端身份平台,利用无密码登录和有条件访问等新认证机制来逐步淘汰 Active Directory(AD)基础设施。

很多企业都开始过渡到 Azure Active Directory(AAD)等云端身份平台,利用无密码登录和有条件访问等新认证机制来逐步淘汰 Active Directory(AD)基础设施。然而,依然有一些组织在混合或内部环境中使用域控制器(DC)。

DC 有活动目录域服务(AD DS)的能力,这意味着如果一个 DC 被恶意行为者感染,基本上你的所有账户和系统都会受到影响。就在几个月前,微软发布了一个关于 AD 特权升级攻击的警告。

此前微软已经提供了关于如何设置和保护 DC 的详细指导,近期微软再次对该指导进行了优化和更新。

此前,这家总部位于雷德蒙的科技巨头曾强调,DC 在任何情况下都不应该与互联网连接。考虑到不断变化的网络安全形势,微软已经修改了这一指导意见,表示 DC 不应该有不受监控的互联网接入,也不应该有启动网络浏览器的能力。基本上,只要严格控制访问,并建立适当的防御机制,让 DC 连接到互联网是可以的。

对于目前在混合环境下运行的组织,微软建议你至少通过身份保护器来保护企业内部的AD。其指导意见指出:

微软建议使用 Microsoft Defender for Identity 对这些企业内部的身份进行云端保护。在 DC 和 AD FS 服务器上配置 Defender for Identity 传感器,可以通过代理和特定的端点与云服务进行高度安全的单向连接。

关于如何配置这种代理连接的完整解释,可以在身份保护器的技术文档中找到。这种严格控制的配置确保了将这些服务器连接到云服务的风险得到缓解,并且企业可以从身份保护器提供的保护能力的提高中受益。微软还建议这些服务器用云端驱动的端点检测来保护,如 Azure Defender for Servers。

责任编辑:未丽燕 来源: cnBeta.COM
相关推荐

2022-06-20 22:37:25

Linux操作系统命令

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-22 10:23:42

互联网用户IE浏览器退休

2022-06-23 12:03:00

网络安全网络安全事故

2022-06-28 05:35:46

勒索软件网络安全网络攻击

2022-06-15 08:21:49

Linux运维工程师

2022-06-09 06:57:53

Windows 10Windows 11微软

2022-05-10 06:01:17

Windows 11微软操作系统

2022-06-17 09:47:04

Linux命令

2022-06-02 15:28:42

网络安全信息通信数据保护

2022-06-16 07:32:38

VSCodePython插件

2022-05-26 11:01:24

2022-07-01 15:46:20

网络安全数字化智能制造

2022-07-01 17:19:33

网络安全零信任

2022-06-06 14:32:36

2022-05-26 07:18:54

Windows 11RTM22H2

2022-06-06 11:21:22

网络安全工具禁令

2022-06-27 08:07:13

Go语言互斥锁

2022-06-28 09:34:24

可视化Python代码

同话题下的热门内容

手把手教你用装饰器扩展 Python 计时器吐血推荐17个提升开发效率的“轮子”裁员真能拯救中国互联网?哪些编程语言会在Web 3时代脱颖而出?监控Kubernetes的最佳实践、工具和方法IOC-Golang 的 AOP 原理与应用跨区域、Kubernetes集群运行数据库实践指南并发编程的三大核心问题

编辑推荐

2017年9月编程语言排行榜:Java、C与C++三巨头还能统治排行榜多久?2017年最受欢迎的5个前端框架比较2017年11月编程语言排行榜:脚本语言怎么了?2017年3月编程语言排行榜:Swift首次进入前十最近租房有点烦!技术人如何用Python找到称心如意的“小窝”?
我收藏的内容
点赞
收藏

51CTO技术栈公众号