Domain Controller Coercion

多种现代 Active Directory 攻击依赖于强制认证技术，诱骗域控制器或特权系统向恶意接收器发起身份验证。
现有攻击工具可利用 MS-EFSRPC、MS-RPRN 等内置及遗留协议以及各类远程过程调用实施攻击。此外，打印后台处理程序服务和 WebClient 服务（用于与 WebDav 服务器通信的客户端服务）等组件也可被用于强制认证，进而将认证请求中继至域控制器上的 LDAP Enum 服务或 ADCS Web 注册端点等服务。

最著名的强制认证攻击之一是 PetitPotam。该攻击允许攻击者利用加密文件系统远程协议（EFSRPC）强制域控制器向中继服务器进行身份验证。如果未打补丁，当结合不安全的 AD CS Web 注册端点使用时，此强制方法可直接实现未授权拿下域控。即使打了补丁，使用有效的域凭据通过内置/默认的远程过程调用（RPC）仍可能执行此强制方法。可以应用 RPC 过滤器来加强防御这些强制方法

此外还要禁用打印后台处理程序服务，因为该服务会使域控制器容易受到使用 PrinterBug（或 MS-RPRN 滥用）的强制攻击