Microsoft sẽ cho phép Domain Controller được phép có kết nối internet

Gần đây, nhiều doanh nghiệp đã chuyển đổi sang các nền tảng nhận dạng dựa trên công nghệ điện toán đám mây như Azure Active Dircetory (AAD) để tận dụng các cơ chế xác thực mới nhất như đăng nhập không cần mật khẩu và truy cập có điều kiện. Đồng thời, họ cũng loại bỏ dần cơ sở hạ tầng Active Directory (AD). Tuy nhiên, các tổ chức khác vẫn đang sử dụng Domain Controllers (DCs) trong môi trường kết hợp hoặc tại chỗ.

Có thể bạn không biết rằng DC còn có khả năng Active Directory Domain Services (AD DS), điều này có nghĩa là nếu DC bị nhiễm mã độc thì về cơ bản tất cả các tài khoản và hệ thống của bạn đều bị xâm phạm. Vài tháng trước, Microsoft đã đưa ra thông tin cảnh báo về một cuộc tấn công leo thang đặc quyền AD.

Microsoft cũng đã cung cấp hướng dẫn chi tiết về cách thiết lập và bảo mật DC nhưng hiện tại họ còn chuẩn bị có một số cập nhật cho quy trình này.

Trước đây, Microsoft nhấn mạnh rằng các DC không được kết nối với internet trong mọi trường hợp. Với bối cảnh tình hình an ninh mạng thay đổi, Microsoft đã sửa đổi quy định rằng các DC không nên có quyền truy cập mà không được giám sát hoặc khả năng chạy một trình duyệt web. Về cơ bản, có thể có một DC kết nối internet miễn là quyền truy cập đó được kiểm soát chặt chẽ với các cơ chế bảo vệ phù hợp.

Với các công ty đang sử dụng môi trường kết hợp, Microsoft khuyến cáo admin IT ít nhất nên thực hiện bảo mật AD tại chỗ thông qua Defender for Indentity.

Về cơ bản, Microsoft vẫn khuyến nghị các tổ chức đang hoạt động trong môi trường air-gapped (cách ly hoàn toàn máy tính khỏi internet) không truy cập internet vì lý do pháp lý và quy định. Các doanh nghiệp khác có thể xem xét bổ sung kết nối internet cho Domain Controllers nếu cảm thấy cần thiết và phù hợp với chính sách nội bộ.

Microsoft chia sẻ thêm rằng việc chạy trình duyệt web trên DCs nên bị hạn chế bởi các biện pháp kiểm soát kỹ thuật và chính sách. Ngoài ra, việc truy cập internet đến và đi nói chung từ các DCs cũng cần được kiểm soát chặt chẽ.

Microsoft khuyến nghị tất cả các tổ chức nên chuyển sang cách tiếp cận dựa trên đám mây cho việc quản lý danh tính và truy cập, đồng thời chuyển từ Active Directory sang Azure Active Directory (Azure AD). Azure AD là một giải pháp quản lý truy cập và nhận dạng đám mây hoàn chỉnh cho việc quản lý twh mục, cho phép truy cập vào các ứng dụng đám mây và tại chỗ, đồng thời bảo vệ dnah tính khỏi các mối đe dọa bảo mật.