很多企業(yè)都開始過渡到 Azure Active Directory(AAD)等云端身份平臺(tái)，利用無(wú)密碼登錄和有條件訪問等新認(rèn)證機(jī)制來(lái)逐步淘汰 Active Directory(AD)基礎(chǔ)設(shè)施。然而，依然有一些組織在混合或內(nèi)部環(huán)境中使用域控制器(DC)。

DC 有活動(dòng)目錄域服務(wù)(AD DS)的能力，這意味著如果一個(gè) DC 被惡意行為者感染，基本上你的所有賬戶和系統(tǒng)都會(huì)受到影響。就在幾個(gè)月前，微軟發(fā)布了一個(gè)關(guān)于 AD 特權(quán)升級(jí)攻擊的警告。

此前微軟已經(jīng)提供了關(guān)于如何設(shè)置和保護(hù) DC 的詳細(xì)指導(dǎo)，近期微軟再次對(duì)該指導(dǎo)進(jìn)行了優(yōu)化和更新。

此前，這家總部位于雷德蒙的科技巨頭曾強(qiáng)調(diào)，DC 在任何情況下都不應(yīng)該與互聯(lián)網(wǎng)連接?？紤]到不斷變化的網(wǎng)絡(luò)安全形勢(shì)，微軟已經(jīng)修改了這一指導(dǎo)意見，表示 DC 不應(yīng)該有不受監(jiān)控的互聯(lián)網(wǎng)接入，也不應(yīng)該有啟動(dòng)網(wǎng)絡(luò)瀏覽器的能力。基本上，只要嚴(yán)格控制訪問，并建立適當(dāng)?shù)姆烙鶛C(jī)制，讓 DC 連接到互聯(lián)網(wǎng)是可以的。

對(duì)于目前在混合環(huán)境下運(yùn)行的組織，微軟建議你至少通過身份保護(hù)器來(lái)保護(hù)企業(yè)內(nèi)部的AD。其指導(dǎo)意見指出：

微軟建議使用 Microsoft Defender for Identity 對(duì)這些企業(yè)內(nèi)部的身份進(jìn)行云端保護(hù)。在 DC 和 AD FS 服務(wù)器上配置 Defender for Identity 傳感器，可以通過代理和特定的端點(diǎn)與云服務(wù)進(jìn)行高度安全的單向連接。

關(guān)于如何配置這種代理連接的完整解釋，可以在身份保護(hù)器的技術(shù)文檔中找到。這種嚴(yán)格控制的配置確保了將這些服務(wù)器連接到云服務(wù)的風(fēng)險(xiǎn)得到緩解，并且企業(yè)可以從身份保護(hù)器提供的保護(hù)能力的提高中受益。微軟還建議這些服務(wù)器用云端驅(qū)動(dòng)的端點(diǎn)檢測(cè)來(lái)保護(hù)，如 Azure Defender for Servers。