4 月 16 日消息，據 Neowin 報道，許多組織最近已過渡到基于云的身份平臺，例如 Azure Active Directory (AAD) 以利用最新的身份驗證機制，包括無密碼登錄和條件訪問，并逐步淘汰 Active Directory (AD) 基礎設施。但是，其他組織仍在混合或本地環境中使用域控制器 (DC)。

DC 能夠讀取和寫入 Active Directory 域服務 (AD DS)，這意味著如果 DC 被惡意行為者感染，基本上你的所有帳戶和系統都會受到損害。就在幾個月前，微軟發布了關于 AD 權限升級攻擊的公告。

微軟已經提供了有關如何設置和保護 DC 的詳細指南，但現在，它正在對此過程進行一些更新。

此前，這家雷德蒙德科技公司曾強調 DC 在任何情況下都不應該連接到互聯網。鑒于不斷發展的網絡安全形勢，微軟已修改此指南，表示 DC 不能不受監控的訪問互聯網或啟動 Web 瀏覽器。基本上，只要使用適當的防御機制嚴格控制訪問權限，就可以將 DC 連接到互聯網。

對于當前在混合環境中運營的組織，微軟建議至少通過 Defender for Identity 保護本地 AD。其指導意見指出：

“微軟建議使用 Microsoft Defender for Identity 對這些本地身份進行云驅動保護。Defender for Identity 傳感器在域控制器和 AD FS 服務器上的配置允許通過代理和特定端點與云服務建立高度安全的單向連接。有關如何配置此代理連接的完整說明，請參閱 Defender for Identity 的技術文檔。這種嚴格控制的配置可確保降低將這些服務器連接到云服務的風險，并使組織受益于 Defender for Identity 提供的保護功能的增加。微軟還建議使用 Azure Defender for Servers 等云驅動的端點檢測來保護這些服務器。”

盡管如此，由于法律和監管原因，微軟仍然建議在隔離環境中運營的組織完全不要訪問互聯網。

關鍵詞：