原始存取

橫向移動

TGT 委派可能會為信任關係帶來風險，尤其是透過在網域控制器上 (或其他特權伺服器) 使用「印表機錯誤」。如果無法啟用選擇性驗證，則應避免此情況。

如要保護外部和樹系信任免受 SID 歷程記錄插入的攻擊，SID 篩選就會非常實用。

選擇性驗證是可用於保護信任關係的機制之一。具體而言，其可用於防止網域控制器上 (或其他特權伺服器) 的「印表機錯誤」。

在遵循 Microsoft 系統管理安全模型時，必須啟用 PIM 信任。但是，在其他情況下使用時 (例如遵循資源樹系而非系統管理樹系)，這可能會帶來安全性風險。設定相關選項以將此資訊提供給 Tenable Identity Exposure。

如果未正確篩選信任關係，則已入侵單一 Active Directory 網域的攻擊者可以快速擴展到整個基礎架構。