许多组织最近已过渡到基于云的身份平台，例如 Azure Active Directory (AAD)，以利用最新的身份验证机制，例如无密码登录和条件访问，并逐步淘汰 Active Directory (AD) 基础设施。但是，其他组织仍在混合或本地环境中使用域控制器 (DC)。

对于那些不知道的人，DC 能够读取和写入 Active Directory 域服务 (AD DS)，这意味着如果 DC 被恶意行为者感染，基本上你的所有帐户和系统都会受到损害。就在几个月前，微软发布了关于 AD 权限升级攻击的公告。

Microsoft 已经提供了有关如何设置和保护 DC 的详细教程，但现在，它正在对此过程进行一些更新。

雷德蒙德科技公司曾经强调，无论在什么情况下都不应该将DC连接到互联网。鉴于不断发展的网络安全形势，微软已修改此教程，表示 DC 不应拥有不受监控的互联网访问或启动 Web 浏览器的能力。只要采用适当的保护措施严密控制访问权限，DC 就能与互联网相连。

对于当前在混合环境中运营的组织，Microsoft 建议您至少通过 Defender for Identity 保护本地 AD。其指导意见指出：

尽管如此，由于法律和监管原因，微软仍然建议在隔离环境中运营的组织完全不要访问互联网。

以上就是微软现在可以通过域控制器访问互联网的详细内容，更多请关注Work网其它相关文章！