曝險指標 (IoE)
| 名稱 | 說明 | 嚴重性 | Type |
|---|---|---|---|
| BadSuccessor 危險的 dMSA 權限 | BadSuccessor 是 Windows Server 2025 中的 Active Directory 特權提升缺陷,可利用 dMSA,讓攻擊者得以操控帳戶連結,甚至可能入侵網域。 | critical | |
| 非必要群組 | 確認沒有群組無成員或只有一名成員。 | low | |
| 機密 Exchange 權限 | 識別會影響 Exchange 資源或已指派給 Exchange 群組的潛在不安全權限。 | critical | |
| 不支援或過時的 Exchange 伺服器 | 偵測 Microsoft 不再支援的過時 Exchange 伺服器,以及缺少最新累積更新的 Exchange 伺服器。 | high | |
| Exchange 危險的錯誤設定 | 下文將列舉影響 Exchange 資源或其底層 Active Directory 結構描述物件的錯誤設定。 | high | |
| 混合 Entra ID 資訊 | 從內部部署 Active Directory 環境收集與 Microsoft Entra ID 同步的資源相關的資訊,例如混合使用者和電腦。 | low | |
| Exchange 群組成員 | 敏感 Exchange 群組中的異常帳戶 | high | |
| 服務帳戶錯誤設定 | 顯示網域服務帳戶可能出現的錯誤設定。 | medium | |
| 衝突的安全性主體 | 確認沒有重複 (衝突) 的使用者、電腦或群組。 | low | |
| Shadow Credentials | 偵測「Windows Hello 企業版」功能及其相關金鑰憑證中的 Shadow Credentials 後門程式以及錯誤設定。 | high | |
| 已啟用的訪客帳戶 | 檢查內建訪客帳戶是否已停用。 | low | |
| 受管理服務帳戶的危險錯誤設定 | 確定受管理服務帳戶 (MSAs) 已部署並正確設定。 | high | |
| 特權 AD 使用者帳戶已與 Microsoft Entra ID 同步 | 檢查該特權 Active Directory 使用者帳戶是否未與 Microsoft Entra ID 同步。 | high | |
| 特權驗證獨立環境設定 | 有關為特權 (第 0 層) 帳戶設定驗證獨立環境的逐步指南。 | high | |
| 允許不安全的動態 DNS 區域更新 | 檢查 DNS 伺服器設定是否不允許不安全的動態 DNS 區域更新。 | high | |
| WSUS 危險的錯誤設定 | 列出與 Windows Server 更新服務 (WSUS) 有關的錯誤設定參數。 | critical | |
| Property Sets 完整性 | 檢查 property sets 的完整性並驗證權限 | medium | |
| 危險 SYSVOL 複製設定 | 檢查 "Distributed File System Replication" (DFS-R) 機制是否取代 "File Replication Service" (FRS)。 | medium | |
| 密碼弱點偵測 | 驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。 | high | |
| 針對勒索軟體的強化措施不足 | 確認網域已建置強化措施,以防禦勒索軟體。 | medium | |
| ADCS 危險設定錯誤 | 列出與 Active Directory Certificate Services (AD CS) 公開金鑰基礎架構 (PKI) 相關的危險權限和設定錯誤的參數。 | critical | |
| GPO 執行合理性 | 驗證套用至網域電腦的群組原則物件 (GPO) 是否合理。 | high | |
| 特權使用者的登入限制 | 檢查可連線至特權較少裝置產生憑證遭竊風險的特權使用者。 | high | |
| Netlogon 通訊協定的不安全設定 | CVE-2020-1472 (「Zerologon」) 會影響 Netlogon 通訊協定並允許特權提高 | critical | |
| 易受攻擊的 Credential Roaming 相關屬性 | Credential roaming 屬性易受攻擊,使攻擊者可以讀取相關使用者保護的密碼。 | low | |
| 可能的純文字密碼 | 檢查在網域使用者可讀取的屬性中包含潛在純文字密碼的物件。 | high | |
| 危險機密特權 | 識別設定不當的機密特權會降低目錄基礎架構的安全性。 | high | |
| 帳戶上的對應憑證 | 確定沒有指派給物件的低強度憑證對應。 | critical | |
| 沒有電腦強化 GPO 的網域 | 檢查是否已在網域上部署強化 GPO。 | medium | |
| 未使用 Protected Users 群組 | 驗證並非 Protected Users 群組成員的特權使用者。 | high | |
| 可能有空白密碼的帳戶 | 識別允許空白密碼的使用者帳戶。 | high | |
| 獲允許將電腦加入網域的使用者 | 確認一般使用者無法將外部電腦加入網域。 | medium | |
| Microsoft Entra SSO 帳戶密碼的上次變更 | 確認定期變更 Microsoft Entra SSO 帳戶密碼。 | high | |
| AD 結構描述中的危險權限 | 列出可能會遭到利用進行長期潛伏的異常結構描述實體。 | high | |
| 使用舊密碼的使用者帳戶 | 檢查 Active Directory 中所有的作用中帳戶密碼是否有定期更新,以降低憑證遭竊的風險。 | medium | |
| 驗證與 Microsoft Entra Connect 帳戶相關的權限 | 確保設定於 Microsoft Entra Connect 帳戶的權限合理 | critical | |
| 不正當使用者管理的網域控制器 | 由於危險存取權限,部分網域控制器可由非系統管理使用者管理。 | critical | |
| 對使用者套用脆弱密碼原則 | 部分套用於特定使用者帳戶的密碼原則不夠強大,可能會導致憑證遭竊。 | critical | |
| 驗證機密 GPO 物件和檔案權限 | 確認指派至連結機密容器 (例如網域控制器或 OU) 之 GPO 物件與檔案的權限正確且安全。 | critical | |
| 使用不安全回溯相容性設定的網域 | dsHeuristics 屬性可修改 AD 行為,但某些欄位具有安全敏感性,且會暴露安全風險。 | low | |
| 網域具有過時的功能層級 | 檢查是否具有正確的網域或樹系功能層級,其會判定進階功能與安全選項的可用性。 | medium | |
| 本機系統管理帳戶管理 | 使用 LAPS 確保本機系統管理帳戶得到集中且安全的管理。 | medium | |
| 使用者帳戶上的 Kerberos 設定 | 偵測到使用脆弱 Kerberos 設定的帳戶。 | medium | |
| 根物件權限允許類似 DCSync 的攻擊 | 檢查根物件是否具有可讓未授權使用者竊取驗證憑證的不安全權限。 | critical | |
| 使用 Windows 2000 以前版本的相容存取控制的帳戶 | 檢查可繞過安全措施的「Windows 2000 以前版本相容存取」群組帳戶成員。 | high | |
| 特權群組中的已停用帳戶 | 不再使用的帳戶不應留在特權群組中。 | low | |
| 搭載過時作業系統的電腦 | 識別 Microsoft 不再支援的過時系統,其會增加基礎架構弱點。 | high | |
| 具有危險 SID History 屬性的帳戶 | 使用 SID history 屬性中的特權 SID 檢查使用者或電腦帳戶。 | high | |
| 在 Active Directory PKI 中使用脆弱的密碼編譯演算法 | 針對部署在內部 Active Directory PKI 上的根憑證,識別其中所用的脆弱密碼編譯演算法。 | critical | |
| 預設管理員帳戶的最近使用情況 | 檢查內建管理員帳戶的最近使用情況。 | medium |