暴露指标

名称描述严重程度
针对勒索软件的加固不足

请确保已在域上部署针对勒索软件的加固措施

medium
危险的 ADCS 错误配置

列出与 WindowsPublic Key Infrastructure (PKI) 有关的危险权限以及配置错误的参数

critical
GPO 执行的合理性

确保应用于域计算机的 GPOs 是合理的。

high
特权用户登录限制

特权用户可连接至特权较低的计算机,因而有凭据被盗的风险

high
不安全的 Netlogon 协议配置

CVE-2020-1472(“Zerologon”)会影响 Netlogon 协议并允许提升特权

critical
易受攻击的 credential roaming 相关属性

Credential roaming 属性易受攻击,因此,攻击者可以读取相关受用户保护的密钥。

low
潜在明文密码

部分明文密码似乎可被每个域的用户读取

high
存在风险的敏感特权

配置错误的敏感特权会降低目录基础结构的安全性。

high
帐户上的映射证书

确保未在特权对象上设置映射证书

critical
没有计算机加固 GPO 的域

检查加固 GPO 是否已部署在域上

medium
未使用 Protected Users 组

一些特权用户不是 Protected Users 组的成员。

high
可能使用空密码的帐户

检查是否存在可能使用空密码的用户帐户。

high
允许将计算机加入到域的用户

确认普通用户无法将外部计算机加入到域。

medium
验证上次更改的 AAD SSO 帐户密码

AAD SSO 帐户密码必须定期更改

high
AD 架构中存在风险的权限

列出可提供持久性机制的架构中的异常条目。

high
使用旧密码的用户帐户

用户帐户密码必须定期更改

medium
验证与 AAD Connect 帐户相关的权限

确保在 AAD Connect 帐户上设置的权限是合理的

critical
由非法用户管理的域控制器

某些域控制器可以由非管理用户管理,这是访问权限存在风险所致。

critical
对用户应用了弱密码策略

一些应用于特定用户帐户的密码策略不够强,可能会导致凭据被盗。

critical
验证敏感 GPO 和文件权限

确保在链接到敏感容器(如 Domain ControllersOU)的 GPO 和 文件上设置的权限是合理的

critical
使用存在风险的后向兼容性配置的域

dSHeuristics 属性可修改 AD 行为并影响安全性

low
域的功能级别已过时

低功能级别无法使用或 改进 高功能级别

medium
本地管理帐户管理

确保使用 LAPS 对本地管理帐户进行安全的集中管理

medium
用户帐户的 Kerberos 配置

某些帐户使用弱 Kerberos 配置

medium
允许类似 DCSync 攻击的根对象权限

根对象上设置的权限可能允许非法用户窃取身份验证密钥

critical
使用 Pre-Windows 2000 Compatible Access 控制的帐户

Pre-Windows 2000 Compatible Access Group 的帐户成员可以绕过特定的安全措施。

high
特权组中的禁用帐户

不再使用的帐户应从特权组中删除

low
运行过时 OS 的计算机

供应商不再为过时系统提供支持,这大大增加了基础结构的漏洞风险

high
具有存在风险的 SID History 属性的帐户

在 SID history 属性中使用特权 SID 检查用户或计算机帐户。

high
在 Active Directory PKI 中使用弱加密算法

部署在内部 Active Directory PKI 上的根证书不得使用弱加密算法

critical
最近使用了默认管理员帐户

内置管理员帐户最近使用过

medium
用户主要组

验证用户的主要组是否未发生变化

critical
存在风险的 Kerberos 委派

检查以确认未授权存在风险的 Kerberos 委派(无约束、协议转换等)

critical
可逆密码

确认没有任何参数使密码以可逆格式存储

medium
GPO 中的可逆密码

确认没有 GPO 包含以可逆格式存储的密码

medium
确保 SDProp 一致性

控制 adminSDHolder 对象处于干净状态

critical
KDC 密码上次更改

KDC 帐户密码必须定期更改

high
本机管理组成员

Active Directory 本机管理组中的异常帐户

critical
运行 Kerberos 服务的特权帐户

列出具有 Service Principal Name,且可遭受暴力破解攻击的高特权帐户

critical
标准用户中设置的 AdminCount 属性

一些已停用的管理帐户无法进行全局管理

medium
休眠帐户

未使用的休眠帐户仍处于激活状态

medium
存在风险的信任关系

信任关系属性如配置错误,会降低目录基础结构的安全性。

high
密码永不过期的帐户

配置 DONT_EXPIRE 属性的帐户不受密码更新策略影响

medium
未链接、已禁用或孤立的 GPO

使用未链接、已禁用或孤立的 GPOs 可能会导致管理错误

low