Microsoft はドメイン コントローラー経由でインターネットにアクセスできるようになりました

多くの組織は最近、パスワードなしのログインや条件付きアクセスなどの最新の認証メカニズムを活用するために、Azure Active Directory (AAD) などのクラウドベースの ID プラットフォームに移行しており、徐々に移行しています。 Active Directory (AD) インフラストラクチャを廃止します。ただし、他の組織は依然としてハイブリッド環境またはオンプレミス環境でドメイン コントローラー (DC) を使用しています。

知らない人のために説明すると、DC は Active Directory ドメイン サービス (AD DS) の読み取りと書き込みが可能です。つまり、DC が悪意のある攻撃者によって感染すると、基本的にすべてのアカウントが感染します。システムが損傷を受ける可能性があります。ほんの数か月前、Microsoft は AD 権限昇格攻撃に関する勧告を発行しました。

Microsoft は、DC をセットアップして保護する方法に関する詳細なチュートリアルをすでに提供していますが、現在、そのプロセスにいくつかの更新を加えています。

Redmond Technology は、いかなる状況でも DC をインターネットに接続すべきではないと強調しています。進化するサイバーセキュリティ情勢を考慮して、Microsoft はこのチュートリアルを変更して、DC が監視されていないインターネット アクセスや Web ブラウザを起動できるようにすべきではないと述べています。適切な保護によってアクセスが厳密に制御されている限り、DC はインターネットに接続できます。

Trend Micro 経由の画像

現在ハイブリッド環境で運用している組織の場合、Microsoft では、少なくとも Defender で保護することをお勧めします。ローカル AD を識別します。そのガイダンスには次のように記載されています:

Microsoft では、これらのオンプレミス ID をクラウド主導で保護するために Microsoft Defender for Identity を使用することをお勧めします。ドメイン コントローラーと AD FS サーバー上で Defender for Identity センサーを構成すると、プロキシと特定のエンドポイントを介したクラウド サービスへの安全性の高い一方向接続が可能になります。このプロキシ接続の構成に関する詳細な手順については、Defender for Identity の技術ドキュメントを参照してください。この厳密に制御された構成により、これらのサーバーをクラウド サービスに接続するリスクが軽減され、組織は Defender for Identity によって提供される強化された保護機能の恩恵を受けることができます。 Microsoft は、これらのサーバーを保護するために、Azure Defender for Servers のようなクラウド主導のエンドポイント検出を使用することも推奨しています。

それでも Microsoft は、法的および規制上の理由から、隔離された環境で活動している組織にはインターネットにまったくアクセスしないことを推奨しています。

以上がMicrosoft はドメイン コントローラー経由でインターネットにアクセスできるようになりましたの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。