微软现在可以通过域控制器访问互联网

你在学习文章相关的知识吗？本文《微软现在可以通过域控制器访问互联网》，主要介绍的内容就涉及到，如果你想提升自己的开发能力，就不要错过这篇文章，大家要知道编程理论基础和实战操作都是不可或缺的哦！

• 点击进入：ChatGPT工具插件导航大全

许多组织最近已过渡到基于云的身份平台，例如 Azure Active Directory (AAD)，以利用最新的身份验证机制，例如无密码登录和条件访问，并逐步淘汰 Active Directory (AD) 基础设施。但是，其他组织仍在混合或本地环境中使用域控制器 (DC)。

对于那些不知道的人，DC 能够读取和写入 Active Directory 域服务 (AD DS)，这意味着如果 DC 被恶意行为者感染，基本上你的所有帐户和系统都会受到损害。就在几个月前，微软发布了关于 AD 权限升级攻击的公告。

Microsoft 已经提供了有关如何设置和保护 DC 的详细教程，但现在，它正在对此过程进行一些更新。

此前，这家雷德蒙德科技公司曾强调 DC 在任何情况下都不应该连接到互联网。鉴于不断发展的网络安全形势，微软已修改此教程，表示 DC 不应拥有不受监控的互联网访问或启动 Web 浏览器的能力。基本上，只要使用适当的防御机制严格控制访问权限，就可以将 DC 连接到 Internet。

对于当前在混合环境中运营的组织，Microsoft 建议您至少通过 Defender for Identity 保护本地 AD。其指导意见指出：

Microsoft 建议使用 Microsoft Defender for Identity 对这些本地身份进行云驱动保护。Defender for Identity 传感器在域控制器和 AD FS 服务器上的配置允许通过代理和特定端点与云服务建立高度安全的单向连接。有关如何配置此代理连接的完整说明，请参阅 Defender for Identity 的技术文档。这种严格控制的配置可确保降低将这些服务器连接到云服务的风险，并使组织受益于 Defender for Identity 提供的保护功能的增加。Microsoft 还建议使用 Azure Defender for Servers 等云驱动的端点检测来保护这些服务器。

尽管如此，由于法律和监管原因，微软仍然建议在隔离环境中运营的组织完全不要访问互联网。

到这里，我们也就讲完了《微软现在可以通过域控制器访问互联网》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于域控制器的知识点！