Microsoft peut désormais accéder à Internet via des contrôleurs de domaine

De nombreuses organisations ont récemment migré vers des plateformes d'identité basées sur le cloud telles qu'Azure Active Directory (AAD) pour tirer parti des derniers mécanismes d'authentification tels que la connexion sans mot de passe et l'accès conditionnel et supprimer progressivement l'infrastructure Active Directory (AD). Cependant, d'autres organisations utilisent encore des contrôleurs de domaine (DC) dans des environnements hybrides ou sur site.

Pour ceux qui ne le savent pas, un DC est capable de lire et d'écrire sur les services de domaine Active Directory (AD DS), ce qui signifie que si le DC est infecté par un acteur malveillant, pratiquement tous vos comptes et systèmes seront compromis. . Il y a quelques mois à peine, Microsoft a publié un avis concernant une attaque par élévation de privilèges AD.

Microsoft propose déjà un didacticiel détaillé sur la façon de configurer et de sécuriser un contrôleur de domaine, mais il apporte désormais quelques mises à jour au processus.

Redmond Technology a un jour souligné que les DC ne doivent en aucun cas être connectés à Internet. À la lumière de l'évolution du paysage de la cybersécurité, Microsoft a modifié ce didacticiel pour indiquer que les contrôleurs de domaine ne doivent pas avoir d'accès Internet non surveillé ni la possibilité de lancer un navigateur Web. Les DC peuvent être connectés à Internet à condition que l’accès soit étroitement contrôlé avec des protections appropriées.

Image via Trend Micro

Pour les organisations fonctionnant actuellement dans un environnement hybride, Microsoft vous recommande de protéger AD sur site avec au moins Defender pour Identity. Ses directives indiquent :

Microsoft recommande d'utiliser Microsoft Defender for Identity pour une protection basée sur le cloud de ces identités sur site. La configuration des capteurs Defender pour Identity sur les contrôleurs de domaine et les serveurs AD FS permet des connexions unidirectionnelles hautement sécurisées aux services cloud via des proxys et des points de terminaison spécifiques. Pour obtenir des instructions détaillées sur la configuration de cette connexion proxy, veuillez vous référer à la documentation technique de Defender pour Identity. Cette configuration étroitement contrôlée garantit que les risques liés à la connexion de ces serveurs aux services cloud sont réduits et que les organisations bénéficient des capacités de protection accrues fournies par Defender pour Identity. Microsoft recommande également d'utiliser la détection des points de terminaison basée sur le cloud comme Azure Defender for Servers pour protéger ces serveurs.

Néanmoins, Microsoft recommande toujours aux organisations opérant dans des environnements isolés de ne pas accéder du tout à Internet pour des raisons juridiques et réglementaires.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!