曝險指標 (IoE)

名稱說明嚴重性
WSUS 危險的錯誤設定

列出與 Windows Server Update Services (WSUS) 有關的錯誤設定參數。

critical
危險 SYSVOL 複寫設定

檢查 "Distributed File System Replication" (DFS-R) 機制是否取代 "File Replication Service" (FRS)。

medium
密碼弱點偵測

驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。

high
針對勒索軟體的強化措施不足

確認網域已建置強化措施,以防禦勒索軟體。

medium
ADCS 危險設定錯誤

列出與 Windows 公開金鑰基礎架構 (PKI) 相關的危險權限和設定錯誤的參數。

critical
GPO 執行合理性

驗證套用至網域電腦的群組原則物件 (GPO) 是否合理。

high
特權使用者的登入限制

檢查可連線至特權較少裝置產生憑證遭竊風險的特權使用者。

high
Netlogon 通訊協定的不安全設定

CVE-2020-1472 (「Zerologon」) 會影響 Netlogon 通訊協定並允許權限提高

critical
易受攻擊的 Credential Roaming 相關屬性

Credential roaming 屬性易受攻擊,使攻擊者可以讀取相關使用者保護的密碼。

low
可能的純文字密碼

檢查在網域使用者可讀取的屬性中包含潛在純文字密碼的物件。

high
危險機密特權

識別設定不當的機密特權會降低目錄基礎架構的安全性。

high
帳戶上的對應憑證

確保未向特權物件指派任何對應憑證。

critical
沒有電腦強化 GPO 的網域

檢查是否已在網域上部署強化 GPO。

medium
未使用 Protected Users 群組

驗證並非 Protected Users 群組成員的特權使用者。

high
可能有空白密碼的帳戶

識別允許空白密碼的使用者帳戶。

high
獲允許將電腦加入網域的使用者

確認一般使用者無法將外部電腦加入網域。

medium
Microsoft Entra SSO 帳戶密碼的上次變更

確認定期變更 Microsoft Entra SSO 帳戶密碼。

high
AD 結構描述中的危險權限

列出可能會遭到利用進行長期潛伏的異常結構描述實體。

high
使用舊密碼的使用者帳戶

檢查 Active Directory 中所有的作用中帳戶密碼是否有定期更新,以降低憑證遭竊的風險。

medium
驗證與 Microsoft Entra Connect 帳戶相關的權限

確保設定於 Microsoft Entra Connect 帳戶的權限合理

critical
不正當使用者管理的網域控制器

由於危險存取權限,部分網域控制器可由非系統管理使用者管理。

critical
對使用者套用脆弱密碼原則

部分套用於特定使用者帳戶的密碼原則不夠強大,可能會導致憑證遭竊。

critical
驗證機密 GPO 物件和檔案權限

確認指派至連結機密容器 (例如網域控制器或 OU) 之 GPO 物件與檔案的權限正確且安全。

critical
使用不安全回溯相容性設定的網域

dsHeuristics 屬性可修改 AD 行為,但某些欄位具有安全敏感性,且會暴露安全風險。

low
網域具有過時的功能層級

檢查是否具有正確的網域或樹系功能層級,其會判定進階功能與安全選項的可用性。

medium
本機系統管理帳戶管理

使用 LAPS 確保本機系統管理帳戶得到集中且安全的管理。

medium
使用者帳戶上的 Kerberos 設定

偵測到使用脆弱 Kerberos 設定的帳戶。

medium
根物件權限允許類似 DCSync 的攻擊

檢查根物件是否具有可讓未授權使用者竊取驗證憑證的不安全權限。

critical
使用 Windows 2000 以前版本的相容存取控制的帳戶

檢查可繞過安全措施的「Windows 2000 以前版本相容存取」群組帳戶成員。

high
特權群組中的已停用帳戶

不再使用的帳戶不應留在特權群組中。

low
搭載過時作業系統的電腦

識別 Microsoft 不再支援的過時系統,其會增加基礎架構弱點。

high
具有危險 SID History 屬性的帳戶

使用 SID history 屬性中的特權 SID 檢查使用者或電腦帳戶。

high
在 Active Directory PKI 中使用脆弱的密碼編譯演算法

針對部署在內部 Active Directory PKI 上的根憑證,識別其中所用的脆弱密碼編譯演算法。

critical
預設管理員帳戶的最近使用情況

檢查內建管理員帳戶的最近使用情況。

medium
使用者主要群組

驗證使用者的主要群組未經變更

critical
危險 Kerberos 委派

檢查未經授權的 Kerberos 委派,並確保針對特權使用者提供相關保護。

critical
可逆密碼

確認未啟用以可逆格式儲存密碼的選項。

medium
GPO 中的可逆密碼

檢查 GPO 喜好設定是否不允許使用可逆格式的密碼。

medium
確保 SDProp 一致性

將 adminSDHolder 物件控制在初始狀態。

critical
KRBTGT 帳戶的上次密碼變更

檢查 KRBTGT 帳戶是否已超過建議的時間間隔未變更密碼。

high
原生系統管理群組成員

Active Directory 本機系統管理群組中的異常帳戶

critical
特權帳戶執行 Kerberos 服務

偵測具有會影響安全性之 Service Principal Name (SPN) 屬性的高特權帳戶。

critical
針對標準使用者設定的 AdminCount 屬性

針對已解除委任的帳戶,檢查會導致發生難以管理之權限問題的 adminCount 屬性。

medium
休眠帳戶

偵測可能會導致安全風險的未用休眠帳戶。

medium
危險信任關係

識別設定錯誤的信任關係屬性,其會降低目錄基礎架構的安全性。

high
擁有永不過期密碼的帳戶

檢查在 userAccountControl 屬性中具有 DONT_EXPIRE_PASSWORD 屬性標記的帳戶,此屬性標記允許無限期使用相同的密碼,並繞過密碼更新原則。

medium
取消連結、已停用或孤立的 GPO

未使用或已停用的 GPOs 會拖慢目錄效能與 RSoP 運算速度,且可能會導致安全原則困擾。將其錯誤重新啟用可能會弱化現有的原則。

low
管理員數量過多

管理員擁有高權限,因此當管理員數量過多時,可能會增加攻擊破綻,造成安全性風險。這也是未遵循最低特權原則的跡象。

High
特權帳戶缺少 MFA

MFA 為帳戶提供強大保護,防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA,尤其是針對特權帳戶。未註冊 MFA 方法的帳戶無法受到此機制保護。

High
與 AD (混合帳戶) 同步的特權 Entra 帳戶

在 Entra ID 中擁有特權角色的混合帳戶 (即從 Active Directory 同步) 會帶來安全性風險,因為入侵 AD 的攻擊者可利用此類帳戶轉而入侵 Entra ID。Entra ID 中的特權帳戶必須為僅限雲端帳戶。

High