Microsoft|微软新指导允许域控制器限量接入互联网微软新指导允许域控制器限量

【Microsoft|微软新指导允许域控制器限量接入互联网】很多企业都开始过渡到 Azure Active Directory（AAD）等云端身份平台，利用无密码登录和有条件访问等新认证机制来逐步淘汰 Active Directory（AD）基础设施。然而，依然有一些组织在混合或内部环境中使用域控制器（DC）。
访问:
微软中国官方商城 - 首页

文章图片

DC 有活动目录域服务（AD DS）的能力，这意味着如果一个 DC 被恶意行为者感染，基本上你的所有账户和系统都会受到影响。就在几个月前，微软发布了一个关于 AD 特权升级攻击的警告。
此前微软已经提供了关于如何设置和保护 DC 的详细指导，近期微软再次对该指导进行了优化和更新。
此前，这家总部位于雷德蒙的科技巨头曾强调，DC 在任何情况下都不应该与互联网连接。考虑到不断变化的网络安全形势，微软已经修改了这一指导意见，表示 DC 不应该有不受监控的互联网接入，也不应该有启动网络浏览器的能力。基本上，只要严格控制访问，并建立适当的防御机制，让 DC 连接到互联网是可以的。
对于目前在混合环境下运行的组织，微软建议你至少通过身份保护器来保护企业内部的AD 。其指导意见指出：