微軟現在可以透過網域控制器存取互聯網

許多組織最近已過渡到基於雲端的身份平台，例如Azure Active Directory (AAD)，以利用最新的身份驗證機制，例如無密碼登入和條件訪問，並逐步淘汰Active Directory (AD) 基礎架構。但是，其他組織仍在混合或本機環境中使用網域控制站 (DC)。

對於那些不知道的人，DC 能夠讀取和寫入Active Directory 網域服務(AD DS)，這意味著如果DC 被惡意行為者感染，基本上你的所有帳戶和系統都會受到損害。就在幾個月前，微軟發布了關於 AD 權限升級攻擊的公告。

Microsoft 已經提供了有關如何設定和保護 DC 的詳細教程，但現在，它正在對此過程進行一些更新。

雷德蒙科技公司曾經強調，無論在什麼情況下都不應該將DC連接到網路。鑑於不斷發展的網路安全形勢，微軟已修改此教程，表示 DC 不應擁有不受監控的網路存取或啟動 Web 瀏覽器的能力。只要採用適當的保護措施嚴密控制存取權限，DC 就能與網路連結。

圖片來自趨勢科技

對於目前在混合環境中運作的組織，Microsoft 建議您至少透過Defender for Identity 保護本地AD。其指導意見指出：

Microsoft 建議使用 Microsoft Defender for Identity 對這些本機身分進行雲端驅動保護。 Defender for Identity 感測器在網域控制站和 AD FS 伺服器上的設定可透過代理程式和特定端點與雲端服務建立高度安全性的單向連線。有關配置此代理連線的詳細說明，請參考Defender for Identity技術文件。這種嚴格控制的配置可確保降低將這些伺服器連接到雲端服務的風險，並使組織受益於 Defender for Identity 提供的保護功能的增加。 Microsoft 也建議使用 Azure Defender for Servers 等雲端驅動的端點偵測來保護這些伺服器。

儘管如此，由於法律和監管原因，微軟仍然建議在隔離環境中運營的組織完全不要訪問互聯網。

以上是微軟現在可以透過網域控制器存取互聯網的詳細內容。更多資訊請關注PHP中文網其他相關文章！