微软新指导允许域控制器限量接入互联网
很多企业都开始过渡到 Azure Active Directory(AAD)等云端身份平台,利用无密码登录和有条件访问等新认证机制来逐步淘汰 Active Directory(AD)基础设施。然而,依然有一些组织在混合或内部环境中使用域控制器(DC)。
DC 有活动目录域服务(AD DS)的能力,这意味着如果一个 DC 被恶意行为者感染,基本上你的所有账户和系统都会受到影响。就在几个月前,微软发布了一个关于 AD 特权升级攻击的警告。
此前微软已经提供了关于如何设置和保护 DC 的详细指导,近期微软再次对该指导进行了优化和更新。
此前,这家总部位于雷德蒙的科技巨头曾强调,DC 在任何情况下都不应该与互联网连接。考虑到不断变化的网络安全形势,微软已经修改了这一指导意见,表示 DC 不应该有不受监控的互联网接入,也不应该有启动网络浏览器的能力。基本上,只要严格控制访问,并建立适当的防御机制,让 DC 连接到互联网是可以的。
对于目前在混合环境下运行的组织,微软建议你至少通过身份保护器来保护企业内部的AD。其指导意见指出:
微软建议使用 Microsoft Defender for Identity 对这些企业内部的身份进行云端保护。在 DC 和 AD FS 服务器上配置 Defender for Identity 传感器,可以通过代理和特定的端点与云服务进行高度安全的单向连接。
关于如何配置这种代理连接的完整解释,可以在身份保护器的技术文档中找到。这种严格控制的配置确保了将这些服务器连接到云服务的风险得到缓解,并且企业可以从身份保护器提供的保护能力的提高中受益。微软还建议这些服务器用云端驱动的端点检测来保护,如 Azure Defender for Servers。