接上篇

域控制器设置和最佳实践

攻击者使用多种常见方法来提升特权并创建持久性。以下步骤考虑了这些方法，并有助于防止发生违规行为：

为什么域控制器很重要？

域控制器可以通过目录服务来确保对本地域身份和资源的管理和授权，并防止对资源未经授权的访问。它们还可以扩展以便支持大型和复杂的网络及定制的目录要求。

域控制器的好处是什么？

域控制器实现了对本地域用户生命周期集中管理。它们可以帮助将 Windows 应用程序部署到用户组中，同时为文件和程序配置一些安全策略。Windows 域控制器是一种成熟的技术，得到了广泛的支持，它可以通过第三方解决方案进行扩展，并可用于将身份联合到云端。

域控制器的局限性是什么？

域控制器不提供开箱即用的高可用性或最佳安全实践。企业可能需要在不同的物理位置部署多个域控制器，以确保没有单点故障。域控制器上的负载也会随着环境的增长而增加，这可能会影响依赖于它的应用程序和网络服务的性能。针对这一点可能需要额外的硬件资源或对基础设施进行修改来解决。

这样就增加了数据中心维护超出标准配置和补丁的开销。新的服务器需要扩展基础设施和安全性，并且需要一些专业知识和技能才能正确完成。这就增加了培训和人员配置的成本。域控制器将需要仔细的规划、管理和监控。

您的域控制器将始终处于零日 Windows 漏洞的风险之中。保持警惕和细致的授权管理至关重要。

启用远程工作也可能是一个挑战。以 AD 为中心的 IT 团队必须通过 VPN 或替代方案（包括软件定义的 WAN（SD-WAN）和安全访问服务边缘（SASE））将远程用户连接到他们的局域网中。否则，面向特定目的的云服务可以更轻松地管理远程端点和身份，而不需要更多的基础设施和开销。此外，也不可能将单点登录（SSO）扩展到 Web 应用，没有多因素身份验证（MFA），也没有针对特权用户的条件访问规则，除非使用附加的云或软件解决方案。

现代域控制器

NingDS 的开放目录平台是一种云目录服务，通过将 IAM 和设备管理转移到云端，消除了对本地域控制器的需求。它能够将用户连接到他们所需的任何 IT 资源，而不考虑平台、协议、提供者和位置。所有安全身份验证仍会进行，但无需管理服务器。您可以保留 AD 并使用除 Azure AD 和 Intune 以外的云服务进行单点登录 (SSO) 和移动设备管理 (MDM) 来管理整个“车队”。

云交付降低了基础设施成本，简化了部署，并最大化您已有的资源。此外，基于属性的访问控制和 HR 系统集成可以实现高级用户生命周期管理场景，以降低总体管理开销。这些都是 NingDS 自带的能力（同步器模块）。

开放目录中的域控制器

NingDS 是一个开放目录平台，它统一了身份、访问和设备管理功能。它可以扩展 AD 和免费版本的 AAD，以更低的总拥有成本实现更多功能。NingDS 可以通过生物识别、数字证书、密码或 SSH 密钥验证用户身份。NingDS 确保每个资源都有连接到它的“最佳方法”，包括 LDAP、OIDC、RADIUS 和 SAML。采用 NingDS 后，用户可以使用一组凭据访问系统、应用程序、网络、文件服务器和云应用程序，且对企业整个环境都可提供 MFA 多因素认证进行登录保护，并针对特权用户提供可选的条件规则。不论用户从任何设备访问都将获得安全、无摩擦的访问体验。