指標

多部電腦上出現使用 NTLM 或 Kerberos 通訊協定且來源相同的大量驗證請求，可能是攻擊的跡象，有可能與 BloodHound/SharpHound 有關。

名為 Zerologon 的嚴重 CVE-2020-1472 是一種濫用 Netlogon 通訊協定加密缺陷的攻擊，攻擊者可藉此在任何電腦上與網域控制器建立 Netlogon 安全通道。透過此攻擊，攻擊者可以使用多種後滲透攻擊手法做到特權提升，例如變更網域控制器帳戶密碼​、強制驗證、DCSync 攻擊等。人們經常誤以為 ZeroLogon 利用是使用實際 Netlogon 偽造驗證繞過的後滲透攻擊活動 (由攻擊指標 (IoA)「Zerologon 刺探利用」解決)。此指標著重於可以結合 Netlogon 弱點使用的後滲透攻擊活動之一​：修改網域控制器裝置帳戶密碼。

Golden Ticket 攻擊可取得 Active Directory 金鑰發布服務帳戶 (KRBTGT) 控制權，且攻擊者會使用該帳戶建立有效的 Kerberos Ticket 授權的工單 (TGTs)。

DCShadow 是另一種後期 kill chain 攻擊，讓具有特權憑證的攻擊者可以註冊未經授權的網域控制器，以透過網域複製程序任意變更網域 (例如套用禁止的 sidHistory 值)。

DNSAdmins 刺探利用攻擊允許 DNSAdmins 群組的成員控制執行 MicrosoftDNS 服務的網域控制器。DNSAdmins 群組的成員有權在 Active Directory DNS 服務上執行系統管理工作。攻擊者可能會濫用這些權利，在高特權環境中執行惡意程式碼。

本機管理員群組是透過 SAMR RPC 介面列舉 (可能是透過 BloodHound/SharpHound)。

Mimikatz 中的 DCSync 命令允許攻擊者冒充網域控制器，並從其他網域控制器擷取密碼雜湊和加密金鑰，無需在目標上執行任何程式碼。

密碼噴濺是一種嘗試使用幾個常用密碼來存取大量帳戶 (使用者名稱) 的攻擊，也稱為慢速攻擊法

PetitPotam 工具可用於將目標裝置的驗證強制轉型至遠端系統，通常用於執行 NTLM 轉送攻擊。如果 PetitPotam 以網域控制器為目標，則攻擊者可以驗證中繼網域控制器驗證的另一部網絡裝置。

使用者登入後，攻擊者會嘗試存取儲存在「本機安全性授權子系統服務」(LSASS) 處理程序記憶體中的憑證資料。

DPAPI 網域備份金鑰是復原 DPAPI 密碼的重要關鍵。各式各樣的攻擊工具會使用 LSARPC 呼叫，設法從網域控制器中擷取這些金鑰。Microsoft 確認沒有任何支援方法可變換或變更這些金鑰。因此，若網域的 DPAPI 備份金鑰遭到入侵，系統會建議您重新建立全新的網域，這會導致作業的成本與時間增加。

暴力密碼猜測攻擊會提交並檢查所有可能的密碼 (包括複雜密碼)，直到找到正確的密碼。

Kerberoasting 是一種鎖定 Active Directory 服務帳戶憑證，以離線破解密碼的攻擊類型。此攻擊旨在透過請求服務工單，然後離線破解服務帳戶的憑證，來取得服務帳戶的存取權。Kerberoasting 攻擊指標要求啟用 Tenable Identity Exposure 的誘捕帳戶功能，以便在嘗試登入誘捕帳戶或此帳戶收到工單要求時傳送警示。

NTDS 洩漏是指攻擊者用以擷取 NTDS.dit 資料庫的手法。此檔案會儲存 Active Directory 密碼，例如密碼雜湊和 Kerberos 金鑰。攻擊者取得存取權後，會離線剖析此檔案的副本，藉此用另一種方式發動 DCSync 攻擊來擷取 Active Directory 的機密內容。

嚴重 CVE-2021-42287 會導致標準帳戶在網域上的特權提高。該缺陷是對目標為包含不存在 sAMAccountName 屬性的物件之要求處理不當所致。網域控制器會在 sAMAccountName 值後自動新增美元符號 ($) (如果沒有找到)，這可能會導致假冒目標電腦帳戶。

Kerberoasting 是一種鎖定 Active Directory 服務帳戶憑證，以離線破解密碼的攻擊類型。此攻擊旨在透過請求服務工單，然後離線破解服務帳戶的憑證，來取得服務帳戶的存取權。Kerberoasting 攻擊指標 (IoA) 有涵蓋典型的 Kerberoasting 方法。正如指標名稱所述，還有另外一種途徑可以發動 Kerberoasting 攻擊，此途徑採用隱密的方式繞過各種偵測。老練的攻擊者可能傾向於採用此方法，以便繞過大多數的偵測啟發式。

名為 Zerologon 的弱點與 Windows Server 中的嚴重弱點 (CVE-2020-1472) 相關，在 Microsoft 的 CVSS 評分系統中為 10.0 分。當攻擊者使用 Netlogon 遠端通訊協定 (MS-NRPC) 與網域控制器建立易受攻擊的 Netlogon 安全通道連線時，此弱點會提高特權。攻擊者可利用此弱點入侵網域並取得網域管理員特權。

偵測動態物件及相關不安全設定。

BadSuccessor 是 Windows Server 2025 中的 Active Directory 特權提升缺陷，可利用 dMSA，讓攻擊者得以操控帳戶連結，甚至可能入侵網域。

確認沒有群組無成員或只有一名成員。

識別會影響 Exchange 資源或已指派給 Exchange 群組的潛在不安全權限。

偵測 Microsoft 不再支援的過時 Exchange 伺服器，以及缺少最新累積更新的 Exchange 伺服器。

下文將列舉影響 Exchange 資源或其底層 Active Directory 結構描述物件的錯誤設定。

從內部部署 Active Directory 環境收集與 Microsoft Entra ID 同步的資源相關的資訊，例如混合使用者和電腦。

敏感 Exchange 群組中的異常帳戶

顯示網域服務帳戶可能出現的錯誤設定。

偵測「Windows Hello 企業版」功能及其相關金鑰憑證中的 Shadow Credentials 後門程式以及錯誤設定。

確定受管理服務帳戶 (MSAs) 已部署並正確設定。

列出與 Windows Server 更新服務 (WSUS) 有關的錯誤設定參數。

檢查屬性集的完整性並驗證權限

檢查「分散式檔案系統複製」(DFS-R) 機制是否取代了「檔案複製服務」(FRS)。

驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。

確認網域已建置強化措施，以防禦勒索軟體。

列出與 Active Directory 憑證服務 (AD CS) 公開金鑰基礎架構 (PKI) 相關的危險權限和設定錯誤的參數。

驗證套用至網域電腦的群組原則物件 (GPO) 是否合理。

識別設定不當的機密特權會降低目錄基礎架構的安全性。

確定沒有指派給物件的低強度憑證對應。

驗證非受保護的使用者群組成員的特權使用者。

識別允許空白密碼的使用者帳戶。

確認一般使用者無法將外部電腦加入網域。

列出可能會遭到利用進行長期潛伏的異常結構描述實體。

檢查 Active Directory 中所有的作用中帳戶密碼是否有定期更新，以降低憑證遭竊的風險。

確保設定於 Microsoft Entra Connect 帳戶的權限合理

由於危險存取權限，部分網域控制器可由非系統管理使用者管理。

部分套用於特定使用者帳戶的密碼原則不夠強大，可能會導致憑證遭竊。

確認指派至連結機密容器 (例如網域控制器或 OU) 之 GPO 物件與檔案的權限正確且安全。

檢查根物件是否具有可讓未授權使用者竊取驗證憑證的不安全權限。

檢查可繞過安全措施的「Windows 2000 以前版本相容存取」群組帳戶成員。

使用 SID history 屬性中的特權 SID 檢查使用者或電腦帳戶。

針對部署在內部 Active Directory PKI 上的根憑證，識別其中所用的脆弱密碼編譯演算法。

驗證使用者的主要群組未經變更

檢查未經授權的 Kerberos 委派，並確保針對特權使用者提供相關保護。

確認未啟用以可逆格式儲存密碼的選項。

檢查 GPO 喜好設定是否不允許使用可逆格式的密碼。

將 AdminSDHolder 物件控制在初始狀態。

偵測具有會影響安全性之服務主體名稱 (SPN) 屬性的高特權帳戶。

偵測可能會導致安全風險的未用休眠帳戶。

識別設定錯誤的信任關係屬性，其會降低目錄基礎架構的安全性。

惡意同盟網域設定是攻擊者常用的威脅技術，用於在 Entra ID 租用戶中充當驗證後門程式。驗證現有和新增的同盟網域對於確保其設定正當可信至關重要。此曝險指標提供同盟網域及其相關屬性的完整清單，以協助您根據相關資訊有效判斷其安全狀態。

Microsoft Entra ID 可透過同盟的方式，將驗證工作委派給其他提供者。但是，獲得進階特權的攻擊者可以新增惡意同盟網域來利用此功能，進而達到潛伏和特權提升的目的。

在 Microsoft Entra ID 網域中強制執行密碼過期可能會促使使用者頻繁地變更密碼，進而使用脆弱、可預測或重複的密碼，進而破壞安全性，降低整體帳戶的保護力。

Entra ID 中特權使用者的命名慣例對於強化安全性、促進標準化並提升稽核合規性至關重要，同時也使系統更便於管理。

在 Entra ID 中擁有特權角色的混合帳戶 (即從 Active Directory 同步) 會帶來安全性風險，因為入侵 AD 的攻擊者可利用此類帳戶轉而入侵 Entra ID。Entra ID 中的特權帳戶必須為雲端專用帳戶。

Entra ID 允許使用者自動同意外部應用程式存取組織資料，攻擊者可能會在「非法同意授予」攻擊中利用這項漏洞。為了防止此問題，您可以僅授予存取權給經過驗證的發行者，或啟用管理員核准機制。

您必須在 Entra ID 中確認所有自訂網域的所有權。僅暫時保留未驗證的網域。請驗證網域或將其移除，讓網域清單保持條理並提升審查效率。

不建議在 Entra ID 的設定中將訪客視為一般使用者，因為這樣一來，惡意訪客就有機會對租用戶的資源進行全面偵察。

要求使用受管理裝置進行 MFA 註冊，能有效阻止攻擊者在憑證遭竊的情況下，註冊惡意 MFA，因為若攻擊者無法取得受管理裝置，也就無法完成註冊流程。