Indicators of Exposure

動態物件錯誤設定和使用方式

嚴重性: Medium

名稱

動態物件錯誤設定和使用方式

說明

BadSuccessor 危險的 dMSA 權限

嚴重性: Critical

名稱

BadSuccessor 危險的 dMSA 權限

說明

BadSuccessor 是 Windows Server 2025 中的 Active Directory 特權提升缺陷，可利用 dMSA，讓攻擊者得以操控帳戶連結，甚至可能入侵網域。

非必要群組

嚴重性: Low

名稱

非必要群組

說明

確認沒有群組無成員或只有一名成員。

機密 Exchange 權限

嚴重性: Critical

名稱

機密 Exchange 權限

說明

識別會影響 Exchange 資源或已指派給 Exchange 群組的潛在不安全權限。

不支援或過時的 Exchange 伺服器

嚴重性: High

名稱

不支援或過時的 Exchange 伺服器

說明

偵測 Microsoft 不再支援的過時 Exchange 伺服器，以及缺少最新累積更新的 Exchange 伺服器。

Exchange 危險的錯誤設定

嚴重性: High

名稱

Exchange 危險的錯誤設定

說明

下文將列舉影響 Exchange 資源或其底層 Active Directory 結構描述物件的錯誤設定。

混合 Entra ID 資訊

嚴重性: Low

名稱

混合 Entra ID 資訊

說明

從內部部署 Active Directory 環境收集與 Microsoft Entra ID 同步的資源相關的資訊，例如混合使用者和電腦。

Exchange 群組成員

嚴重性: High

名稱

Exchange 群組成員

說明

敏感 Exchange 群組中的異常帳戶

服務帳戶錯誤設定

嚴重性: Medium

名稱

服務帳戶錯誤設定

說明

顯示網域服務帳戶可能出現的錯誤設定。

Shadow Credentials

嚴重性: High

名稱

Shadow Credentials

說明

偵測「Windows Hello 企業版」功能及其相關金鑰憑證中的 Shadow Credentials 後門程式以及錯誤設定。

受管理服務帳戶的危險錯誤設定

嚴重性: High

名稱

受管理服務帳戶的危險錯誤設定

說明

確定受管理服務帳戶 (MSAs) 已部署並正確設定。

WSUS 危險的錯誤設定

嚴重性: Critical

名稱

WSUS 危險的錯誤設定

說明

列出與 Windows Server 更新服務 (WSUS) 有關的錯誤設定參數。

屬性集完整性

嚴重性: Medium

名稱

屬性集完整性

說明

檢查屬性集的完整性並驗證權限

危險 SYSVOL 複製設定

嚴重性: Medium

名稱

危險 SYSVOL 複製設定

說明

檢查「分散式檔案系統複製」(DFS-R) 機制是否取代了「檔案複製服務」(FRS)。

密碼弱點偵測

嚴重性: High

名稱

密碼弱點偵測

說明

驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。

針對勒索軟體的強化措施不足

嚴重性: Medium

名稱

針對勒索軟體的強化措施不足

說明

確認網域已建置強化措施，以防禦勒索軟體。

ADCS 危險設定錯誤

嚴重性: Critical

名稱

ADCS 危險設定錯誤

說明

列出與 Active Directory 憑證服務 (AD CS) 公開金鑰基礎架構 (PKI) 相關的危險權限和設定錯誤的參數。

GPO 執行合理性

嚴重性: High

名稱

GPO 執行合理性

說明

驗證套用至網域電腦的群組原則物件 (GPO) 是否合理。

危險機密特權

嚴重性: High

名稱

危險機密特權

說明

識別設定不當的機密特權會降低目錄基礎架構的安全性。

帳戶上的對應憑證

嚴重性: Critical

名稱

帳戶上的對應憑證

說明

確定沒有指派給物件的低強度憑證對應。

未使用受保護的使用者群組

嚴重性: High

名稱

未使用受保護的使用者群組

說明

驗證非受保護的使用者群組成員的特權使用者。

可能有空白密碼的帳戶

嚴重性: High

名稱

可能有空白密碼的帳戶

說明

識別允許空白密碼的使用者帳戶。

獲允許將電腦加入網域的使用者

嚴重性: Medium

名稱

獲允許將電腦加入網域的使用者

說明

確認一般使用者無法將外部電腦加入網域。

AD 結構描述中的危險權限

嚴重性: High

名稱

AD 結構描述中的危險權限

說明

列出可能會遭到利用進行長期潛伏的異常結構描述實體。

使用舊密碼的使用者帳戶

嚴重性: Medium

名稱

使用舊密碼的使用者帳戶

說明

檢查 Active Directory 中所有的作用中帳戶密碼是否有定期更新，以降低憑證遭竊的風險。

驗證與 Microsoft Entra Connect 帳戶相關的權限

嚴重性: Critical

名稱

驗證與 Microsoft Entra Connect 帳戶相關的權限

說明

確保設定於 Microsoft Entra Connect 帳戶的權限合理

不正當使用者管理的網域控制器

嚴重性: Critical

名稱

不正當使用者管理的網域控制器

說明

由於危險存取權限，部分網域控制器可由非系統管理使用者管理。

對使用者套用脆弱密碼原則

嚴重性: Critical

名稱

對使用者套用脆弱密碼原則

說明

部分套用於特定使用者帳戶的密碼原則不夠強大，可能會導致憑證遭竊。

驗證機密 GPO 物件和檔案權限

嚴重性: Critical

名稱

驗證機密 GPO 物件和檔案權限

說明

確認指派至連結機密容器 (例如網域控制器或 OU) 之 GPO 物件與檔案的權限正確且安全。

根物件權限允許類似 DCSync 的攻擊

嚴重性: Critical

名稱

根物件權限允許類似 DCSync 的攻擊

說明

檢查根物件是否具有可讓未授權使用者竊取驗證憑證的不安全權限。

使用 Windows 2000 以前版本的相容存取控制的帳戶

嚴重性: High

名稱

使用 Windows 2000 以前版本的相容存取控制的帳戶

說明

檢查可繞過安全措施的「Windows 2000 以前版本相容存取」群組帳戶成員。

具有危險 SID History 屬性的帳戶

嚴重性: High

名稱

具有危險 SID History 屬性的帳戶

說明

使用 SID history 屬性中的特權 SID 檢查使用者或電腦帳戶。

在 Active Directory PKI 中使用脆弱的密碼編譯演算法

嚴重性: Critical

名稱

在 Active Directory PKI 中使用脆弱的密碼編譯演算法

說明

針對部署在內部 Active Directory PKI 上的根憑證，識別其中所用的脆弱密碼編譯演算法。

使用者主要群組

嚴重性: Critical

名稱

使用者主要群組

說明

驗證使用者的主要群組未經變更

危險的 Kerberos 委派

嚴重性: Critical

名稱

危險的 Kerberos 委派

說明

檢查未經授權的 Kerberos 委派，並確保針對特權使用者提供相關保護。

可逆密碼

嚴重性: Medium

名稱

可逆密碼

說明

確認未啟用以可逆格式儲存密碼的選項。

GPO 中的可逆密碼

嚴重性: Medium

名稱

GPO 中的可逆密碼

說明

檢查 GPO 喜好設定是否不允許使用可逆格式的密碼。

確保 SDProp 一致性

嚴重性: Critical

名稱

確保 SDProp 一致性

說明

將 AdminSDHolder 物件控制在初始狀態。

KRBTGT 帳戶的上次密碼變更

嚴重性: High

名稱

KRBTGT 帳戶的上次密碼變更

說明

檢查 KRBTGT 帳戶是否已超過建議的時間間隔未變更密碼。

特權帳戶執行 Kerberos 服務

嚴重性: Critical

名稱

特權帳戶執行 Kerberos 服務

說明

偵測具有會影響安全性之服務主體名稱 (SPN) 屬性的高特權帳戶。

休眠帳戶

嚴重性: Medium

名稱

休眠帳戶

說明

偵測可能會導致安全風險的未用休眠帳戶。

危險信任關係

嚴重性: High

名稱

危險信任關係

說明

識別設定錯誤的信任關係屬性，其會降低目錄基礎架構的安全性。

同盟網域清單

嚴重性: Low

名稱

同盟網域清單

說明

惡意同盟網域設定是攻擊者常用的威脅技術，用於在 Entra ID 租用戶中充當驗證後門程式。驗證現有和新增的同盟網域對於確保其設定正當可信至關重要。此曝險指標提供同盟網域及其相關屬性的完整清單，以協助您根據相關資訊有效判斷其安全狀態。

已知的同盟網域後門程式

嚴重性: Critical

名稱

已知的同盟網域後門程式

說明

Microsoft Entra ID 可透過同盟的方式，將驗證工作委派給其他提供者。但是，獲得進階特權的攻擊者可以新增惡意同盟網域來利用此功能，進而達到潛伏和特權提升的目的。

已強制執行密碼過期

嚴重性: Low

名稱

已強制執行密碼過期

說明

在 Microsoft Entra ID 網域中強制執行密碼過期可能會促使使用者頻繁地變更密碼，進而使用脆弱、可預測或重複的密碼，進而破壞安全性，降低整體帳戶的保護力。

特權帳戶命名慣例

嚴重性: Low

名稱

特權帳戶命名慣例

說明

Entra ID 中特權使用者的命名慣例對於強化安全性、促進標準化並提升稽核合規性至關重要，同時也使系統更便於管理。

與 AD (混合帳戶) 同步的特權 Entra 帳戶

嚴重性: High

名稱

與 AD (混合帳戶) 同步的特權 Entra 帳戶

說明

在 Entra ID 中擁有特權角色的混合帳戶 (即從 Active Directory 同步) 會帶來安全性風險，因為入侵 AD 的攻擊者可利用此類帳戶轉而入侵 Entra ID。Entra ID 中的特權帳戶必須為雲端專用帳戶。

應用程式的非受限使用者同意

嚴重性: Medium

名稱

應用程式的非受限使用者同意

說明

Entra ID 允許使用者自動同意外部應用程式存取組織資料，攻擊者可能會在「非法同意授予」攻擊中利用這項漏洞。為了防止此問題，您可以僅授予存取權給經過驗證的發行者，或啟用管理員核准機制。

未驗證的網域

嚴重性: Low

名稱

未驗證的網域

說明

您必須在 Entra ID 中確認所有自訂網域的所有權。僅暫時保留未驗證的網域。請驗證網域或將其移除，讓網域清單保持條理並提升審查效率。

訪客帳戶和一般帳戶享有同等存取權

嚴重性: High

名稱

訪客帳戶和一般帳戶享有同等存取權

說明

不建議在 Entra ID 的設定中將訪客視為一般使用者，因為這樣一來，惡意訪客就有機會對租用戶的資源進行全面偵察。

進行 MFA 註冊時無需使用受管理裝置

嚴重性: Medium

名稱

進行 MFA 註冊時無需使用受管理裝置

說明

要求使用受管理裝置進行 MFA 註冊，能有效阻止攻擊者在憑證遭竊的情況下，註冊惡意 MFA，因為若攻擊者無法取得受管理裝置，也就無法完成註冊流程。

風險性登入未要求使用 MFA

嚴重性: High

名稱

風險性登入未要求使用 MFA

說明

MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。根據安全性最佳做法和標準的建議，您應針對風險性登入啟用 MFA，例如當驗證請求可能並非來自合法身分所有者的情況下。

非特權帳戶缺少 MFA

嚴重性: Medium

名稱

非特權帳戶缺少 MFA

說明

MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。

待啟用的特權使用者

嚴重性: Medium

名稱

待啟用的特權使用者

說明

待啟用的特權使用者帳戶很容易受到入侵，因為這些帳戶通常能避開防禦措施的偵測。此外，這類帳戶可能使用預設密碼，也使它們成為攻擊者的首要目標。

可存取 M365 服務的特權 Entra 帳戶

嚴重性: Medium

名稱

可存取 M365 服務的特權 Entra 帳戶

說明

系統管理工作應使用獨立 Entra 帳戶來執行: 請開設一個標準帳戶用於日常所需，另外再開一個特權帳戶專門用於管理活動。這種方法可減少特權帳戶的攻擊破綻。

未強制執行的風險使用者

嚴重性: Medium

名稱

未強制執行的風險使用者

說明

封鎖風險使用者，以防止未經授權的存取和潛在的缺口。安全性最佳做法建議使用條件式存取原則，以阻止易受攻擊的帳戶驗證 Entra ID。

未受限訪客帳戶

嚴重性: Medium

名稱

未受限訪客帳戶

說明

根據預設，雖然 Entra ID 中的訪客使用者本就只能取得有限存取權，因此瀏覽權限比其他租用戶群體更低，但您也可以進一步強化這些限制以提升安全性和私密性。

同盟簽署憑證的有效期出現異常

嚴重性: Medium

名稱

同盟簽署憑證的有效期出現異常

說明

同盟簽署憑證的有效期過長可能會引發疑慮，因為這表示攻擊者或許已在 Entra ID 中取得進階特權，並透過同盟信任機制建立後門程式。

內部部署環境未啟用密碼保護

嚴重性: Medium

名稱

內部部署環境未啟用密碼保護

說明

Microsoft Entra 密碼保護是一項安全功能，可防止使用者設定容易被猜中的密碼，以增強組織的整體密碼安全性。

公開 M365 群組

嚴重性: Medium

名稱

公開 M365 群組

說明

儲存在 Entra ID 中的 Microsoft 365 群組，其設定可能為公開或私人。公開群組會帶來安全性風險，因為租用戶中的任何使用者都可以加入並獲得其資料的存取權 (Teams 聊天記錄/檔案、電子郵件等)。

在 Microsoft 驗證器通知中顯示更多背景資訊

嚴重性: Medium

名稱

在 Microsoft 驗證器通知中顯示更多背景資訊

說明

為了讓資訊一目了然，請啟用 Microsoft Authenticator 通知以顯示更多背景資訊，例如應用程式名稱和地理位置。使用者可透過此功能判斷並阻止惡意的 MFA 或無密碼驗證請求，有效降低 MFA 疲勞攻擊的風險。

可疑的 AD 同步處理角色指派

嚴重性: High

名稱

可疑的 AD 同步處理角色指派

說明

Microsoft 針對 Active Directory 同步處理設計了兩個隱藏的內建 Entra ID 角色，專門供 Entra Connect 或 Cloud Sync 服務帳戶使用。這些角色具有隱含的特權，可能會遭到惡意攻擊者利用，藉此在難以察覺的情況下發動攻擊。

同盟簽署憑證不相符

嚴重性: High

名稱

同盟簽署憑證不相符

說明

Microsoft Entra ID 可透過同盟的方式，將驗證工作委派給其他提供者。但是，獲得進階特權的攻擊者可以新增權杖簽署憑證來利用此功能，進而達到潛伏和特權提升的目的。

擁有憑證的第一方服務主體

嚴重性: High

名稱

擁有憑證的第一方服務主體

說明

第一方服務主體擁有強大權限，然而因為他們處於隱藏狀態、數量眾多，且為 Microsoft 所有，因而會被忽略。攻擊者會將憑證新增至主體，在神不知鬼不覺的情況下利用主體特權達成特權提升和潛伏的目的。

未封鎖舊型驗證

嚴重性: Medium

名稱

未封鎖舊型驗證

說明

舊型驗證方法不支援多因素驗證 (MFA)，導致攻擊者能夠繼續執行暴力密碼破解、憑證填充和密碼噴濺攻擊。

驗證時無需使用受管理裝置

嚴重性: Medium

名稱

驗證時無需使用受管理裝置

說明

要求使用受管理裝置，以防止未經授權的存取和潛在的安全缺口。安全性最佳做法建議使用條件式存取原則，阻止未受管理裝置進行 Entra ID 驗證。

待啟用裝置

嚴重性: Low

名稱

待啟用裝置

說明

您應避免使用預先建立的待啟用裝置帳戶，因為這反映了不良的操作習慣，並且可能帶來安全風險。

單一成員群組

嚴重性: Low

名稱

單一成員群組

說明

我們不建議建立只有一個成員的群組，因為這會造成系統冗餘及複雜化。這種做法會增加層級，徒增管理難度，並背離使用群組來簡化存取權控制和管理模式的初衷。

已啟用臨時存取密碼功能

嚴重性: Low

名稱

已啟用臨時存取密碼功能

說明

臨時存取密碼 (TAP) 功能是一種臨時驗證方法，使用有時間或使用限制的密碼。雖然這是正當的功能，但在貴組織不需要的情況下，建議您將其停用以減少攻擊破綻。

未針對特權角色要求使用 MFA

嚴重性: High

名稱

未針對特權角色要求使用 MFA

說明

MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，特別是具有特權角色的特權帳戶。

訪客帳戶具有特權角色

嚴重性: High

名稱

訪客帳戶具有特權角色

說明

訪客帳戶是外部身分，一旦獲派特權角色就可能造成安全風險。這會將租用戶的重大特權授予組織外部人員。

特權帳戶缺少 MFA

嚴重性: High

名稱

特權帳戶缺少 MFA

說明

MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，尤其是針對特權帳戶。未註冊 MFA 方法的帳戶無法受到此機制保護。

待啟用的非特權使用者

嚴重性: Low

名稱

待啟用的非特權使用者

說明

待啟用的非特權使用者帳戶很容易受到入侵，因為這些帳戶通常能避開防禦措施的偵測。此外，這類帳戶可能使用預設密碼，也使它們成為攻擊者的首要目標。

獲允許加入裝置的使用者

嚴重性: Low

名稱

獲允許加入裝置的使用者

說明

若允許所有使用者將不受限制的裝置加入 Entra 租用戶，就是為威脅執行者打開了方便的大門，使其能順利地將惡意裝置植入組織的身分系統，並為其進一步的入侵提供立足點。

管理員數量過多

嚴重性: High

名稱

管理員數量過多

說明

管理員擁有進階特權，因此當管理員數量過多時，可能會增加攻擊破綻，造成安全性風險。這也是未遵循最低特權原則的跡象。