Как предотвратить отправку учетных данных между доменами без явного разрешения сервера?

Для предотвращения отправки учётных данных между доменами без явного разрешения сервера можно использовать следующие меры:

• Настроить доверительные отношения между доменами. vmblog.ru www.dmosk.ru Можно установить односторонние или двусторонние отношения доверия, определить направление (входящее или исходящее). vmblog.ru www.dmosk.ru В односторонних отношениях только один домен доверяет другому, в двусторонних — домены доверяют друг другу. www.dmosk.ru
• Настроить условную пересылку в DNS. vmblog.ru www.dmosk.ru Это необходимо, чтобы контроллеры доменов видели друг друга и могли выполнять разрешение имён в другом лесу. vmblog.ru
• Использовать функцию безопасности SID Filtering. vmblog.ru Она позволяет исключить из токена пользователя все SID сторонних доменов при доступе к ресурсам через доверительные отношения. vmblog.ru
• Использовать двухфакторную аутентификацию для привилегированных пользователей домена Active Directory. rezbez.ru Для сервисных учётных записей нужно использовать сложные и длинные пароли, а также регулярно менять их. rezbez.ru
• Настроить аудит системы. habr.com Можно включить и настроить auditd по показательным событиям (создание пользователя, изменение прав, изменение конфигурации) с отправкой уведомлений на удалённый сервер. habr.com

Для обеспечения безопасности сети и доменов рекомендуется обратиться к специалисту.