曝險指標 (IoE)
| 名稱 | 說明 | 嚴重性 |
|---|---|---|
| 服務帳戶錯誤設定 | 顯示網域服務帳戶可能出現的錯誤設定。 | medium |
| 衝突的安全性主體 | 確認沒有重複 (衝突) 的使用者、電腦或群組。 | low |
| Shadow Credentials | 偵測「Windows Hello for Business」功能及其相關金鑰憑證中的 Shadow Credentials 後門程式以及錯誤設定。 | high |
| 已啟用的訪客帳戶 | 檢查內建訪客帳戶是否已停用。 | low |
| 受管理服務帳戶的危險錯誤設定 | 確定受管理服務帳戶 (MSAs) 已部署並正確設定。 | high |
| 特權 AD 使用者帳戶已與 Microsoft Entra ID 同步 | 檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。 | high |
| 特權驗證獨立環境設定 | 有關為特權 (第 0 層) 帳戶設定驗證獨立環境的逐步指南。 | high |
| 允許不安全的動態 DNS 區域更新 | 檢查 DNS 伺服器設定是否不允許不安全的動態 DNS 區域更新。 | high |
| WSUS 危險的錯誤設定 | 列出與 Windows Server 更新服務 (WSUS) 有關的錯誤設定參數。 | critical |
| Property Sets 完整性 | 檢查 property sets 的完整性並驗證權限 | medium |
| 危險 SYSVOL 複製設定 | 檢查 "Distributed File System Replication" (DFS-R) 機制是否取代 "File Replication Service" (FRS)。 | medium |
| 密碼弱點偵測 | 驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。 | high |
| 針對勒索軟體的強化措施不足 | 確認網域已建置強化措施,以防禦勒索軟體。 | medium |
| ADCS 危險設定錯誤 | 列出與 Active Directory Certificate Services (AD CS) 公開金鑰基礎架構 (PKI) 相關的危險權限和設定錯誤的參數。 | critical |
| GPO 執行合理性 | 驗證套用至網域電腦的群組原則物件 (GPO) 是否合理。 | high |
| 特權使用者的登入限制 | 檢查可連線至特權較少裝置產生憑證遭竊風險的特權使用者。 | high |
| Netlogon 通訊協定的不安全設定 | CVE-2020-1472 (「Zerologon」) 會影響 Netlogon 通訊協定並允許特權提高 | critical |
| 易受攻擊的 Credential Roaming 相關屬性 | Credential roaming 屬性易受攻擊,使攻擊者可以讀取相關使用者保護的密碼。 | low |
| 可能的純文字密碼 | 檢查在網域使用者可讀取的屬性中包含潛在純文字密碼的物件。 | high |
| 危險機密特權 | 識別設定不當的機密特權會降低目錄基礎架構的安全性。 | high |
| 帳戶上的對應憑證 | 確保未向特權物件指派任何對應憑證。 | critical |
| 沒有電腦強化 GPO 的網域 | 檢查是否已在網域上部署強化 GPO。 | medium |
| 未使用 Protected Users 群組 | 驗證並非 Protected Users 群組成員的特權使用者。 | high |
| 可能有空白密碼的帳戶 | 識別允許空白密碼的使用者帳戶。 | high |
| 獲允許將電腦加入網域的使用者 | 確認一般使用者無法將外部電腦加入網域。 | medium |
| Microsoft Entra SSO 帳戶密碼的上次變更 | 確認定期變更 Microsoft Entra SSO 帳戶密碼。 | high |
| AD 結構描述中的危險權限 | 列出可能會遭到利用進行長期潛伏的異常結構描述實體。 | high |
| 使用舊密碼的使用者帳戶 | 檢查 Active Directory 中所有的作用中帳戶密碼是否有定期更新,以降低憑證遭竊的風險。 | medium |
| 驗證與 Microsoft Entra Connect 帳戶相關的權限 | 確保設定於 Microsoft Entra Connect 帳戶的權限合理 | critical |
| 暴力密碼破解攻擊偵測 | 偵測暴力密碼破解和密碼噴濺攻擊。 | critical |
| 不正當使用者管理的網域控制器 | 由於危險存取權限,部分網域控制器可由非系統管理使用者管理。 | critical |
| 對使用者套用脆弱密碼原則 | 部分套用於特定使用者帳戶的密碼原則不夠強大,可能會導致憑證遭竊。 | critical |
| 驗證機密 GPO 物件和檔案權限 | 確認指派至連結機密容器 (例如網域控制器或 OU) 之 GPO 物件與檔案的權限正確且安全。 | critical |
| 流氓網域控制器 | 確保只有正當的網域控制器伺服器登錄至 Active Directory 基礎架構。 | high |
| 使用不安全回溯相容性設定的網域 | dsHeuristics 屬性可修改 AD 行為,但某些欄位具有安全敏感性,且會暴露安全風險。 | low |
| 網域具有過時的功能層級 | 檢查是否具有正確的網域或樹系功能層級,其會判定進階功能與安全選項的可用性。 | medium |
| 本機系統管理帳戶管理 | 使用 LAPS 確保本機系統管理帳戶得到集中且安全的管理。 | medium |
| 使用者帳戶上的 Kerberos 設定 | 偵測到使用脆弱 Kerberos 設定的帳戶。 | medium |
| 根物件權限允許類似 DCSync 的攻擊 | 檢查根物件是否具有可讓未授權使用者竊取驗證憑證的不安全權限。 | critical |
| 使用 Windows 2000 以前版本的相容存取控制的帳戶 | 檢查可繞過安全措施的「Windows 2000 以前版本相容存取」群組帳戶成員。 | high |
| 特權群組中的已停用帳戶 | 不再使用的帳戶不應留在特權群組中。 | low |
| 搭載過時作業系統的電腦 | 識別 Microsoft 不再支援的過時系統,其會增加基礎架構弱點。 | high |
| 具有危險 SID History 屬性的帳戶 | 使用 SID history 屬性中的特權 SID 檢查使用者或電腦帳戶。 | high |
| 在 Active Directory PKI 中使用脆弱的密碼編譯演算法 | 針對部署在內部 Active Directory PKI 上的根憑證,識別其中所用的脆弱密碼編譯演算法。 | critical |
| 預設管理員帳戶的最近使用情況 | 檢查內建管理員帳戶的最近使用情況。 | medium |
| 使用者主要群組 | 驗證使用者的主要群組未經變更 | critical |
| 危險 Kerberos 委派 | 檢查未經授權的 Kerberos 委派,並確保針對特權使用者提供相關保護。 | critical |
| 可逆密碼 | 確認未啟用以可逆格式儲存密碼的選項。 | medium |
| GPO 中的可逆密碼 | 檢查 GPO 喜好設定是否不允許使用可逆格式的密碼。 | medium |
| 確保 SDProp 一致性 | 將 adminSDHolder 物件控制在初始狀態。 | critical |