IT之家 4月16日音讯，据 Neowin 报导，许多安排最近已过渡到根据云的身份渠道，例如 Azure Active Directory (AAD) 以运用最新的身份验证机制，包含无暗码登录和条件拜访，并逐渐筛选 Active Directory (AD) 基础设施。可是，其他安排仍在混合或本地环境中运用域控制器 (DC)。

  DC 可以读取和写入 Active Directory 域服务 (AD DS)，这在某种程度上预示着假如 DC 被歹意行为者感染，基本上你的一切帐户和体系都会受损。就在几个月前，微软发布了关于 AD 权限晋级进犯的公告。

  微软现已供给了有关怎么设置和维护 DC 的具体攻略，但现在，它正在对此进程进行一些更新。

  此前，这家雷德蒙德科技公司曾着重 DC 在任何情况下都不应该衔接到互联网。鉴于继续不断的开展的网络安全形势，微软已修正此攻略，表明 DC 不能不受监控的拜访互联网或发动 Web 浏览器。基本上，只需运用恰当的防御机制严控拜访权限，就可以将 DC 衔接到互联网。

  关于当时在混合环境中运营的安排，微软主张至少经过 Defender for Identity 维护本地 AD。其辅导定见指出：

  “微软主张运用 Microsoft Defender for Identity 对这些本地身份进行云驱动维护。Defender for Identity 传感器在域控制器和 AD FS 服务器上的装备答应经过署理和特定端点与云服务树立高度安全的单向衔接。有关怎么装备此署理衔接的完好阐明，请参阅 Defender for Identity 的技能文档。这种严控的装备可保证下降将这些服务器衔接到云服务的危险，并使安排获益于 Defender for Identity 供给的维护功用的添加。微软还主张运用 Azure Defender for Servers 等云驱动的端点检测来维护这些服务器。”

  尽管如此，因为法令和监管原因，微软依然主张在阻隔环境中运营的安排彻底不要拜访互联网。