名稱 | 說明 | 嚴重性 |
---|---|---|
衝突的安全性主體 | 確認沒有重複 (衝突) 的使用者、電腦或群組。 | low |
Shadow Credentials | 偵測「Windows Hello for Business」功能及其相關金鑰憑證中的 Shadow Credentials 後門程式以及錯誤設定。 | high |
特權驗證獨立環境設定 | 有關為特權 (第 0 層) 帳戶設定驗證獨立環境的逐步指南。 | high |
WSUS 危險的錯誤設定 | 列出與 Windows Server 更新服務 (WSUS) 有關的錯誤設定參數。 | critical |
危險 SYSVOL 複製設定 | 檢查 "Distributed File System Replication" (DFS-R) 機制是否取代 "File Replication Service" (FRS)。 | medium |
密碼弱點偵測 | 驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。 | high |
針對勒索軟體的強化措施不足 | 確認網域已建置強化措施,以防禦勒索軟體。 | medium |
ADCS 危險設定錯誤 | 列出與 Windows 公開金鑰基礎架構 (PKI) 相關的危險權限和設定錯誤的參數。 | critical |
GPO 執行合理性 | 驗證套用至網域電腦的群組原則物件 (GPO) 是否合理。 | high |
特權使用者的登入限制 | 檢查可連線至特權較少裝置產生憑證遭竊風險的特權使用者。 | high |
Netlogon 通訊協定的不安全設定 | CVE-2020-1472 (「Zerologon」) 會影響 Netlogon 通訊協定並允許權限提高 | critical |
易受攻擊的 Credential Roaming 相關屬性 | Credential roaming 屬性易受攻擊,使攻擊者可以讀取相關使用者保護的密碼。 | low |
可能的純文字密碼 | 檢查在網域使用者可讀取的屬性中包含潛在純文字密碼的物件。 | high |
危險機密特權 | 識別設定不當的機密特權會降低目錄基礎架構的安全性。 | high |
帳戶上的對應憑證 | 確保未向特權物件指派任何對應憑證。 | critical |
沒有電腦強化 GPO 的網域 | 檢查是否已在網域上部署強化 GPO。 | medium |
未使用 Protected Users 群組 | 驗證並非 Protected Users 群組成員的特權使用者。 | high |
可能有空白密碼的帳戶 | 識別允許空白密碼的使用者帳戶。 | high |
獲允許將電腦加入網域的使用者 | 確認一般使用者無法將外部電腦加入網域。 | medium |
Microsoft Entra SSO 帳戶密碼的上次變更 | 確認定期變更 Microsoft Entra SSO 帳戶密碼。 | high |
AD 結構描述中的危險權限 | 列出可能會遭到利用進行長期潛伏的異常結構描述實體。 | high |
使用舊密碼的使用者帳戶 | 檢查 Active Directory 中所有的作用中帳戶密碼是否有定期更新,以降低憑證遭竊的風險。 | medium |
驗證與 Microsoft Entra Connect 帳戶相關的權限 | 確保設定於 Microsoft Entra Connect 帳戶的權限合理 | critical |
不正當使用者管理的網域控制器 | 由於危險存取權限,部分網域控制器可由非系統管理使用者管理。 | critical |
對使用者套用脆弱密碼原則 | 部分套用於特定使用者帳戶的密碼原則不夠強大,可能會導致憑證遭竊。 | critical |
驗證機密 GPO 物件和檔案權限 | 確認指派至連結機密容器 (例如網域控制器或 OU) 之 GPO 物件與檔案的權限正確且安全。 | critical |
使用不安全回溯相容性設定的網域 | dsHeuristics 屬性可修改 AD 行為,但某些欄位具有安全敏感性,且會暴露安全風險。 | low |
網域具有過時的功能層級 | 檢查是否具有正確的網域或樹系功能層級,其會判定進階功能與安全選項的可用性。 | medium |
本機系統管理帳戶管理 | 使用 LAPS 確保本機系統管理帳戶得到集中且安全的管理。 | medium |
使用者帳戶上的 Kerberos 設定 | 偵測到使用脆弱 Kerberos 設定的帳戶。 | medium |
根物件權限允許類似 DCSync 的攻擊 | 檢查根物件是否具有可讓未授權使用者竊取驗證憑證的不安全權限。 | critical |
使用 Windows 2000 以前版本的相容存取控制的帳戶 | 檢查可繞過安全措施的「Windows 2000 以前版本相容存取」群組帳戶成員。 | high |
特權群組中的已停用帳戶 | 不再使用的帳戶不應留在特權群組中。 | low |
搭載過時作業系統的電腦 | 識別 Microsoft 不再支援的過時系統,其會增加基礎架構弱點。 | high |
具有危險 SID History 屬性的帳戶 | 使用 SID history 屬性中的特權 SID 檢查使用者或電腦帳戶。 | high |
在 Active Directory PKI 中使用脆弱的密碼編譯演算法 | 針對部署在內部 Active Directory PKI 上的根憑證,識別其中所用的脆弱密碼編譯演算法。 | critical |
預設管理員帳戶的最近使用情況 | 檢查內建管理員帳戶的最近使用情況。 | medium |
使用者主要群組 | 驗證使用者的主要群組未經變更 | critical |
危險 Kerberos 委派 | 檢查未經授權的 Kerberos 委派,並確保針對特權使用者提供相關保護。 | critical |
可逆密碼 | 確認未啟用以可逆格式儲存密碼的選項。 | medium |
GPO 中的可逆密碼 | 檢查 GPO 喜好設定是否不允許使用可逆格式的密碼。 | medium |
確保 SDProp 一致性 | 將 adminSDHolder 物件控制在初始狀態。 | critical |
KRBTGT 帳戶的上次密碼變更 | 檢查 KRBTGT 帳戶是否已超過建議的時間間隔未變更密碼。 | high |
原生系統管理群組成員 | Active Directory 本機系統管理群組中的異常帳戶 | critical |
特權帳戶執行 Kerberos 服務 | 偵測具有會影響安全性之 Service Principal Name (SPN) 屬性的高特權帳戶。 | critical |
針對標準使用者設定的 AdminCount 屬性 | 針對已解除委任的帳戶,檢查會導致發生難以管理之權限問題的 adminCount 屬性。 | medium |
休眠帳戶 | 偵測可能會導致安全風險的未用休眠帳戶。 | medium |
危險信任關係 | 識別設定錯誤的信任關係屬性,其會降低目錄基礎架構的安全性。 | high |
擁有永不過期密碼的帳戶 | 檢查在 userAccountControl 屬性中具有 DONT_EXPIRE_PASSWORD 屬性標記的帳戶,此屬性標記允許無限期使用相同的密碼,並繞過密碼更新原則。 | medium |
取消連結、已停用或孤立的 GPO | 未使用或已停用的 GPO 會拖慢目錄效能與 RSoP 運算速度,且可能會導致安全原則困擾。將其錯誤重新啟用可能會弱化現有的原則。 | low |