指標

DCShadow 是另一種後期 kill chain 攻擊，讓具有特權憑證的攻擊者可以註冊未經授權的網域控制器，以透過網域複製程序任意變更網域 (例如套用禁止的 sidHistory 值)。

本機管理員群組是透過 SAMR RPC 介面列舉 (可能是透過 BloodHound/SharpHound)。

名為 Zerologon 的弱點與 Windows Server 中的嚴重弱點 (CVE-2020-1472) 相關，在 Microsoft 的 CVSS 評分系統中為 10.0 分。當攻擊者使用 Netlogon 遠端通訊協定 (MS-NRPC) 與網域控制器建立易受攻擊的 Netlogon 安全通道連線時，此弱點會提高特權。攻擊者可利用此弱點入侵網域並取得網域管理員特權。

名為 Zerologon 的嚴重 CVE-2020-1472 是一種濫用 Netlogon 通訊協定加密缺陷的攻擊，攻擊者可藉此在任何電腦上與網域控制器建立 Netlogon 安全通道。透過此攻擊，攻擊者可以使用多種後滲透攻擊手法做到特權提升，例如變更網域控制器帳戶密碼​、強制驗證、DCSync 攻擊等。人們經常誤以為 ZeroLogon 利用是使用實際 Netlogon 偽造驗證繞過的後滲透攻擊活動 (由攻擊指標 (IoA)「Zerologon 刺探利用」解決)。此指標著重於可以結合 Netlogon 弱點使用的後滲透攻擊活動之一​：修改網域控制器裝置帳戶密碼。

使用者登入後，攻擊者會嘗試存取儲存在「本機安全性授權子系統服務」(LSASS) 處理程序記憶體中的憑證資料。

嚴重 CVE-2021-42287 會導致標準帳戶在網域上的特權提高。該缺陷是對目標為包含不存在 sAMAccountName 屬性的物件之要求處理不當所致。網域控制器會在 sAMAccountName 值後自動新增美元符號 ($) (如果沒有找到)，這可能會導致假冒目標電腦帳戶。

密碼噴濺是一種嘗試使用幾個常用密碼來存取大量帳戶 (使用者名稱) 的攻擊，也稱為慢速攻擊法

NTDS 洩漏是指攻擊者用以擷取 NTDS.dit 資料庫的手法。此檔案會儲存 Active Directory 密碼，例如密碼雜湊和 Kerberos 金鑰。攻擊者取得存取權後，會離線剖析此檔案的副本，藉此用另一種方式發動 DCSync 攻擊來擷取 Active Directory 的機密內容。

PetitPotam 工具可用於將目標裝置的驗證強制轉型至遠端系統，通常用於執行 NTLM 轉送攻擊。如果 PetitPotam 以網域控制器為目標，則攻擊者可以驗證中繼網域控制器驗證的另一部網絡裝置。

DPAPI 網域備份金鑰是復原 DPAPI 密碼的重要關鍵。各式各樣的攻擊工具會使用 LSARPC 呼叫，設法從網域控制器中擷取這些金鑰。Microsoft 確認沒有任何支援方法可變換或變更這些金鑰。因此，若網域的 DPAPI 備份金鑰遭到入侵，系統會建議您重新建立全新的網域，這會導致作業的成本與時間增加。

BadSuccessor 是 Windows Server 2025 中的 Active Directory 特權提升缺陷，可利用 dMSA，讓攻擊者得以操控帳戶連結，甚至可能入侵網域。

確認沒有群組無成員或只有一名成員。

識別會影響 Exchange 資源或已指派給 Exchange 群組的潛在不安全權限。

偵測 Microsoft 不再支援的過時 Exchange 伺服器，以及缺少最新累積更新的 Exchange 伺服器。

下文將列舉影響 Exchange 資源或其底層 Active Directory 結構描述物件的錯誤設定。

從內部部署 Active Directory 環境收集與 Microsoft Entra ID 同步的資源相關的資訊，例如混合使用者和電腦。

敏感 Exchange 群組中的異常帳戶

顯示網域服務帳戶可能出現的錯誤設定。

確認沒有重複 (衝突) 的使用者、電腦或群組。

偵測「Windows Hello 企業版」功能及其相關金鑰憑證中的 Shadow Credentials 後門程式以及錯誤設定。