Microsoft的新指南允许域控制器限制对Internet基础设施的访问。但是,仍有一些组织在混合或本地环境中使用域控制器(DC)。DC支持ActiveDirectory域服务(ADDS),这意味着如果一个DC被恶意行为者感染,基本上您的所有帐户和系统都会受到影响。就在几个月前,微软发布了有关AD权限升级攻击的警告。微软之前已经提供了关于如何设置和保护DC的详细指南,最近微软再次优化和更新了该指南。此前,这家总部位于雷德蒙德的科技巨头曾强调,DC在任何情况下都不应该连接到互联网。鉴于不断变化的网络安全格局,Microsoft修改了本指南,规定DC不应具有不受监控的互联网访问,也不应具有启动Web浏览器的能力。基本上,只要严格控制访问并进行防御,DC连接到互联网就可以了。对于当前在混合环境中运营的组织,Microsoft建议您至少使用IdentityProtector在本地保护AD。其指南指出:Microsoft建议使用MicrosoftDefenderforIdentity对这些本地身份进行基于云的保护。在DC和ADFS服务器上为身份传感器配置Defender,可通过代理和特定端点实现与云服务的高度安全的单向连接。有关如何配置此类代理连接的完整说明,请参阅IdentityProtector的技术文档。这种严格控制的配置可确保降低将这些服务器连接到云服务的风险,并且企业可以从IdentityProtector提供的增强保护中受益。Microsoft还建议使用云支持的端点检测来保护这些服务器,例如AzureDefenderforServers。
