曝險指標 (IoE)
| 名稱 | 說明 | 嚴重性 | Type |
|---|---|---|---|
| 動態物件錯誤設定和使用方式 | 偵測動態物件及相關不安全設定。 | medium | |
| BadSuccessor 危險的 dMSA 權限 | BadSuccessor 是 Windows Server 2025 中的 Active Directory 特權提升缺陷,可利用 dMSA,讓攻擊者得以操控帳戶連結,甚至可能入侵網域。 | critical | |
| 非必要群組 | 確認沒有群組無成員或只有一名成員。 | low | |
| 機密 Exchange 權限 | 識別會影響 Exchange 資源或已指派給 Exchange 群組的潛在不安全權限。 | critical | |
| 不支援或過時的 Exchange 伺服器 | 偵測 Microsoft 不再支援的過時 Exchange 伺服器,以及缺少最新累積更新的 Exchange 伺服器。 | high | |
| Exchange 危險的錯誤設定 | 下文將列舉影響 Exchange 資源或其底層 Active Directory 結構描述物件的錯誤設定。 | high | |
| 混合 Entra ID 資訊 | 從內部部署 Active Directory 環境收集與 Microsoft Entra ID 同步的資源相關的資訊,例如混合使用者和電腦。 | low | |
| Exchange 群組成員 | 敏感 Exchange 群組中的異常帳戶 | high | |
| 服務帳戶錯誤設定 | 顯示網域服務帳戶可能出現的錯誤設定。 | medium | |
| Shadow Credentials | 偵測「Windows Hello 企業版」功能及其相關金鑰憑證中的 Shadow Credentials 後門程式以及錯誤設定。 | high | |
| 受管理服務帳戶的危險錯誤設定 | 確定受管理服務帳戶 (MSAs) 已部署並正確設定。 | high | |
| WSUS 危險的錯誤設定 | 列出與 Windows Server 更新服務 (WSUS) 有關的錯誤設定參數。 | critical | |
| 屬性集完整性 | 檢查屬性集的完整性並驗證權限 | medium | |
| 危險 SYSVOL 複製設定 | 檢查「分散式檔案系統複製」(DFS-R) 機制是否取代了「檔案複製服務」(FRS)。 | medium | |
| 密碼弱點偵測 | 驗證可能會加劇 Active Directory 帳戶弱點的密碼弱點。 | high | |
| 針對勒索軟體的強化措施不足 | 確認網域已建置強化措施,以防禦勒索軟體。 | medium | |
| ADCS 危險設定錯誤 | 列出與 Active Directory 憑證服務 (AD CS) 公開金鑰基礎架構 (PKI) 相關的危險權限和設定錯誤的參數。 | critical | |
| GPO 執行合理性 | 驗證套用至網域電腦的群組原則物件 (GPO) 是否合理。 | high | |
| 危險機密特權 | 識別設定不當的機密特權會降低目錄基礎架構的安全性。 | high | |
| 帳戶上的對應憑證 | 確定沒有指派給物件的低強度憑證對應。 | critical | |
| 未使用受保護的使用者群組 | 驗證非受保護的使用者群組成員的特權使用者。 | high | |
| 可能有空白密碼的帳戶 | 識別允許空白密碼的使用者帳戶。 | high | |
| 獲允許將電腦加入網域的使用者 | 確認一般使用者無法將外部電腦加入網域。 | medium | |
| AD 結構描述中的危險權限 | 列出可能會遭到利用進行長期潛伏的異常結構描述實體。 | high | |
| 使用舊密碼的使用者帳戶 | 檢查 Active Directory 中所有的作用中帳戶密碼是否有定期更新,以降低憑證遭竊的風險。 | medium | |
| 驗證與 Microsoft Entra Connect 帳戶相關的權限 | 確保設定於 Microsoft Entra Connect 帳戶的權限合理 | critical | |
| 不正當使用者管理的網域控制器 | 由於危險存取權限,部分網域控制器可由非系統管理使用者管理。 | critical | |
| 對使用者套用脆弱密碼原則 | 部分套用於特定使用者帳戶的密碼原則不夠強大,可能會導致憑證遭竊。 | critical | |
| 驗證機密 GPO 物件和檔案權限 | 確認指派至連結機密容器 (例如網域控制器或 OU) 之 GPO 物件與檔案的權限正確且安全。 | critical | |
| 根物件權限允許類似 DCSync 的攻擊 | 檢查根物件是否具有可讓未授權使用者竊取驗證憑證的不安全權限。 | critical | |
| 使用 Windows 2000 以前版本的相容存取控制的帳戶 | 檢查可繞過安全措施的「Windows 2000 以前版本相容存取」群組帳戶成員。 | high | |
| 具有危險 SID History 屬性的帳戶 | 使用 SID history 屬性中的特權 SID 檢查使用者或電腦帳戶。 | high | |
| 在 Active Directory PKI 中使用脆弱的密碼編譯演算法 | 針對部署在內部 Active Directory PKI 上的根憑證,識別其中所用的脆弱密碼編譯演算法。 | critical | |
| 使用者主要群組 | 驗證使用者的主要群組未經變更 | critical | |
| 危險的 Kerberos 委派 | 檢查未經授權的 Kerberos 委派,並確保針對特權使用者提供相關保護。 | critical | |
| 可逆密碼 | 確認未啟用以可逆格式儲存密碼的選項。 | medium | |
| GPO 中的可逆密碼 | 檢查 GPO 喜好設定是否不允許使用可逆格式的密碼。 | medium | |
| 確保 SDProp 一致性 | 將 AdminSDHolder 物件控制在初始狀態。 | critical | |
| 特權帳戶執行 Kerberos 服務 | 偵測具有會影響安全性之服務主體名稱 (SPN) 屬性的高特權帳戶。 | critical | |
| 休眠帳戶 | 偵測可能會導致安全風險的未用休眠帳戶。 | medium | |
| 危險信任關係 | 識別設定錯誤的信任關係屬性,其會降低目錄基礎架構的安全性。 | high | |
| 同盟網域清單 | 惡意同盟網域設定是攻擊者常用的威脅技術,用於在 Entra ID 租用戶中充當驗證後門程式。驗證現有和新增的同盟網域對於確保其設定正當可信至關重要。此曝險指標提供同盟網域及其相關屬性的完整清單,以協助您根據相關資訊有效判斷其安全狀態。 | LOW | |
| 已知的同盟網域後門程式 | Microsoft Entra ID 可透過同盟的方式,將驗證工作委派給其他提供者。但是,獲得進階特權的攻擊者可以新增惡意同盟網域來利用此功能,進而達到潛伏和特權提升的目的。 | CRITICAL | |
| 已強制執行密碼過期 | 在 Microsoft Entra ID 網域中強制執行密碼過期可能會促使使用者頻繁地變更密碼,進而使用脆弱、可預測或重複的密碼,進而破壞安全性,降低整體帳戶的保護力。 | LOW | |
| 特權帳戶命名慣例 | Entra ID 中特權使用者的命名慣例對於強化安全性、促進標準化並提升稽核合規性至關重要,同時也使系統更便於管理。 | LOW | |
| 與 AD (混合帳戶) 同步的特權 Entra 帳戶 | 在 Entra ID 中擁有特權角色的混合帳戶 (即從 Active Directory 同步) 會帶來安全性風險,因為入侵 AD 的攻擊者可利用此類帳戶轉而入侵 Entra ID。Entra ID 中的特權帳戶必須為雲端專用帳戶。 | HIGH | |
| 應用程式的非受限使用者同意 | Entra ID 允許使用者自動同意外部應用程式存取組織資料,攻擊者可能會在「非法同意授予」攻擊中利用這項漏洞。為了防止此問題,您可以僅授予存取權給經過驗證的發行者,或啟用管理員核准機制。 | MEDIUM | |
| 未驗證的網域 | 您必須在 Entra ID 中確認所有自訂網域的所有權。僅暫時保留未驗證的網域。請驗證網域或將其移除,讓網域清單保持條理並提升審查效率。 | LOW | |
| 訪客帳戶和一般帳戶享有同等存取權 | 不建議在 Entra ID 的設定中將訪客視為一般使用者,因為這樣一來,惡意訪客就有機會對租用戶的資源進行全面偵察。 | HIGH | |
| 進行 MFA 註冊時無需使用受管理裝置 | 要求使用受管理裝置進行 MFA 註冊,能有效阻止攻擊者在憑證遭竊的情況下,註冊惡意 MFA,因為若攻擊者無法取得受管理裝置,也就無法完成註冊流程。 | MEDIUM |