很多企業都開始過渡到 Azure Active Directory(AAD)等雲端身份平台,利用無密碼登錄和有條件訪問等新認證機制來逐步淘汰 Active Directory(AD)基礎設施。然而,依然有一些組織在混合或內部環境中使用域控制器(DC)。
DC 有活動目錄域服務(AD DS)的能力,這意味着如果一個 DC 被惡意行為者感染,基本上你的所有賬戶和系統都會受到影響。就在幾個月前,微軟發布了一個關於 AD 特權升級攻擊的警告。
此前微軟已經提供了關於如何設置和保護 DC 的詳細指導,近期微軟再次對該指導進行了優化和更新。
此前,這家總部位於雷德蒙的科技巨頭曾強調,DC 在任何情況下都不應該與互聯網連接。考慮到不斷變化的網絡安全形勢,微軟已經修改了這一指導意見,表示 DC 不應該有不受監控的互聯網接入,也不應該有啟動網絡瀏覽器的能力。基本上,只要嚴格控制訪問,並建立適當的防禦機制,讓 DC 連接到互聯網是可以的。
對於目前在混合環境下運行的組織,微軟建議你至少通過身份保護器來保護企業內部的AD。其指導意見指出:
微軟建議使用 Microsoft Defender for Identity 對這些企業內部的身份進行雲端保護。在 DC 和 AD FS 服務器上配置 Defender for Identity 傳感器,可以通過代理和特定的端點與雲服務進行高度安全的單向連接。
關於如何配置這種代理連接的完整解釋,可以在身份保護器的技術文檔中找到。這種嚴格控制的配置確保了將這些服務器連接到雲服務的風險得到緩解,並且企業可以從身份保護器提供的保護能力的提高中受益。微軟還建議這些服務器用雲端驅動的端點檢測來保護,如 Azure Defender for Servers。