微软如今允许可通过域控制器访问互联网

IT之家 4 月 16 日消息，据 Neowin 报道，许多有组织最近已带入基于幽的身份平台，例如 Azure Active Directory (AAD) 以利用最新的提供者机制，最主要无密码选定和条件到访，并逐步淘汰 Active Directory (AD) 基建。但是，其他有组织仍在混合成或本地周围环境中都适用都从控制器 (DC)。

DC 能够复制到和写入 Active Directory 都从服务 (AD DS)，这假定如果 DC 被假新闻行为者感染，基本上你的所有账户和系统会都会受到受到影响。就在几个月前，开发者发布了关于 AD 权限升级突袭的公告。

开发者已经提供了有关如何设置和维护 DC 的详细指南，但那时候，它正在不以为然过程开展一些更新。

此前，这家贝尔拉贡科技美国公司曾强调 DC 在任何完全都不应该相互连接到网上。鉴于不断发展的互联网安全形势，开发者已修改此指南，表示 DC 不能不受追踪的到访网上或启动 Web Firefox。基本上，只要适用适当的防御机制受制于到访权限，就可以将 DC 相互连接到网上。

对于当前在混合成周围环境中都公交系统的有组织，开发者表示同意至少通过 Defender for Identity 维护本地 AD。其指导意见引述：

“开发者表示同意适用 Microsoft Defender for Identity 对这些本地身份开展幽驱动维护。Defender for Identity 传感器在都从控制器和 AD FS 服务器上的配有允许通过暂由和特定交会与幽服务建立高度安全的单向相互连接。有关如何配有此暂由相互连接的完整说明，请参阅 Defender for Identity 的新科技文档。这种受制于的配有可确保降低将这些服务器相互连接到幽服务的风险，并使有组织获益于 Defender for Identity 提供的维护动态的增加。开发者还表示同意适用 Azure Defender for Servers 等幽驱动的交会探测来维护这些服务器。”

尽管如此，由于法律和税务因素，开发者仍然表示同意在隔离周围环境中都公交系统的有组织无论如何不要到访网上。