防御域信任攻击

下面是一些常用的强化方式：

仅允许必要的账户或组进行跨信任身份验证。这通过限制仅受信任的实体访问，从而缩小攻击面。

尽可能实施单向信任，尤其是在域之间存在明确层级关系时。这可以限制信任关系的范围并减少潜在的攻击向量。

在外部信任上启用 SID 过滤，以防止通过 SID 注入攻击进行提权。这确保了在身份验证期间仅接受真实的 SID。

在适当的情况下使用非传递性信任，以防止信任关系超出预期范围，从而降低横向移动的风险。

定期审查并验证信任关系，确保其必要性且配置正确。删除任何不必要的信任以最小化攻击面。

实施监控机制以追踪与信任相关的活动，并检测任何未经授权建立或操纵信任关系的尝试。

对信任通信强制使用强身份验证机制（如 Kerberos 双向身份验证），以防止凭据窃取和重放攻击。

配置防火墙规则以限制受信任域之间的网络流量，将通信限制在必要的端口和协议内。将 WinRM 对域控制器及其他关键服务器/工作站的访问限制在特定的源 IP 地址。

实施凭据保护措施，例如执行强密码策略、定期轮换涉及信任关系的业务账户密码，并在适用时使用托管服务账户 (MSA)。

保持 Active Directory 及相关系统更新至最新的安全补丁，以缓解可能被利用来破坏信任关系的已知漏洞。

在所有域控制器上实施 MFA，以防止攻击者在获取明文凭据后通过远程桌面 (RDP) 进行访问。

事件 ID 4769（记录Kerberos 服务票据请求）它提供了域内所有 TGT 请求的详细记录。需要重点分析此事件，以识别可能表明跨林恶意活动的模式，例如：来自外部林账户的TGT请求。关注从另一个林的账户请求本地 TGT的情况。
位置：Windows Logs > Security > Filter Current Log >  4769 in the Event ID field

此外还可以利用 Microsoft Sentinel 中的 Kusto 查询语言 (KQL) 等先进技术，全面跟踪跨域信任的各种枚举活动。这篇博文全面介绍了如何检测和缓解跨林信任攻击，并深入分析了各种枚举工具和技术的检测方法。