域控安全防御手段有哪些

域控安全防御手段有以下这些：

• 严格控制域控制器组策略的设置，由于域控制器共享域的同一个账户数据库，因此必须在所有域控制器上统一设置某些安全设置。

• 在域DC服务器和办公终端安装安全检测软件，定期查杀病毒能够有效防御系统的安全。

• 域内安装防病毒软件、WAF等，避免黑客进入域内进行攻击，出现攻击情况能够及时发现预警等。

• 重装DC预防域控已经被控等问题，出现安全提问时可以重装DC。

• 配置SMB签名，使用已启用远程直接内存访问（RDMA）的网络适配器。启用服务器消息块（SMB）签名或SMB加密后，SMBDirect与网络适配器的网络性能会显著降低，但可抵御SMB-Relay攻击。

• 关闭域内WPAD服务，对抗LLMNR/NBTPoisoning攻击。

• 对域控进行流量梳理和网络访问控制，可以缩小攻击面。

• 对域账号进行权限梳理，加固高权限账号。检测高权限账号可以用bloodhound黑客工具，也可以通过SystemInternalTools的ADExplorer来进行。

• 域内禁止无限制委派，对抗权限提升，凭证提取。