Meilleures pratiques pour Active Directory

De nombreuses organisations utilisent des méthodes plus récentes et Azure Active Directory Ils ont commencé à utiliser des techniques telles que l'authentification sans mot de passe et l'accès conditionnel pour protéger leurs systèmes en utilisant des plates-formes basées sur le cloud telles que.

Ce processus est généralement réalisé en créant des structures hybrides. Dans cette situation, Active Directory sur site Les serveurs sont essentiels pour les organisations car ils restent la cible des attaquants.

contrôleur de domaine(DC) contre les attaques est toujours une priorité pour les administrateurs. Voici quelques façons dont les organisations peuvent contribuer à assurer la sécurité de leurs contrôleurs de domaine :

  • Restreindre l'utilisation des privilèges d'administrateur de domaine
  • RDP accéder ou MMC utilisez sauter pour accéder
  • N'installez pas de logiciels tiers sur les serveurs DC
  • Restreindre l'accès Internet des DC

Une équipe de sécurité moderne doit examiner régulièrement ces bonnes pratiques pour identifier les domaines dans lesquels des améliorations peuvent être apportées.

Microsoft publie régulièrement des notifications et des mises à jour de correctifs pour offrir à ses clients le plus haut niveau de protection et de support possible. La sécurité basée sur le cloud offre la défense la plus efficace contre les menaces modernes et élimine toutes les contraintes telles que le traitement, la capacité et l'évolutivité.

Enfin, Microsoft s’abstient désormais de recommander aux DC de ne pas avoir accès à Internet. Au lieu de cela, il a formulé de nouvelles suggestions adaptées à l’évolution de l’environnement de sécurité. Au lieu d’isoler complètement les contrôleurs de domaine de l’accès à Internet, Microsoft recommande une protection moderne contre les menaces pour surveiller en permanence les violations.

Ceci est accompli en détectant les menaces basées sur l'identité dans les environnements sur site avec des outils tels que Defender et en aidant les clients à bloquer les menaces et les mouvements latéraux. Le Defender pour Identity de Microsoft vaut des millions Le tiering Active Directory Il a survécu et prouvé son efficacité, ce qui nécessite une mise à jour du guide des bonnes pratiques.

Microsoft recommande aux organisations une protection assistée par le cloud pour Active Directory sur site à l'aide de Defender pour Identity. Cela peut être accompli en permettant aux contrôleurs de domaine et aux serveurs AD FS de communiquer en toute sécurité avec le service cloud via une connexion codée unidirectionnelle.

Enfin, pour les organisations situées dans des environnements complètement isolés pour des raisons juridiques ou réglementaires, il est recommandé de restreindre complètement les contrôleurs de domaine de toutes les formes d'accès à Internet et d'utiliser des contrôles techniques et basés sur des politiques pour la sécurité.

La protection contre les menaces d'identité n'est qu'un élément de la stratégie de sécurité d'une organisation. Microsoft recommande d'utiliser la gamme complète de produits Microsoft 365 Defender qui protège les identités, les points de terminaison, les applications et l'infrastructure cloud. Microsoft continuera toujours à protéger ses clients et partenaires de la manière la plus sûre possible et à leur offrir les meilleures protections. Il supprime les obstacles au déploiement pour garantir que les organisations bénéficient des meilleures protections que Microsoft peut offrir de la manière la plus simple possible.

Commenter