暴露指标
| 名称 | 描述 | 严重程度 |
|---|---|---|
| 针对勒索软件的加固不足 | 请确保已在域上部署针对勒索软件的加固措施 | medium |
| 危险的 ADCS 错误配置 | 列出与 WindowsPublic Key Infrastructure (PKI) 有关的危险权限以及配置错误的参数 | critical |
| GPO 执行的合理性 | 确保应用于域计算机的 GPOs 是合理的。 | high |
| 特权用户登录限制 | 特权用户可连接至特权较低的计算机,因而有凭据被盗的风险 | high |
| 不安全的 Netlogon 协议配置 | CVE-2020-1472(“Zerologon”)会影响 Netlogon 协议并允许提升特权 | critical |
| 易受攻击的 credential roaming 相关属性 | Credential roaming 属性易受攻击,因此,攻击者可以读取相关受用户保护的密钥。 | low |
| 潜在明文密码 | 部分明文密码似乎可被每个域的用户读取 | high |
| 存在风险的敏感特权 | 配置错误的敏感特权会降低目录基础结构的安全性。 | high |
| 帐户上的映射证书 | 确保未在特权对象上设置映射证书 | critical |
| 没有计算机加固 GPO 的域 | 检查加固 GPO 是否已部署在域上 | medium |
| 未使用 Protected Users 组 | 一些特权用户不是 Protected Users 组的成员。 | high |
| 可能使用空密码的帐户 | 检查是否存在可能使用空密码的用户帐户。 | high |
| 允许将计算机加入到域的用户 | 确认普通用户无法将外部计算机加入到域。 | medium |
| 验证上次更改的 AAD SSO 帐户密码 | AAD SSO 帐户密码必须定期更改 | high |
| AD 架构中存在风险的权限 | 列出可提供持久性机制的架构中的异常条目。 | high |
| 使用旧密码的用户帐户 | 用户帐户密码必须定期更改 | medium |
| 验证与 AAD Connect 帐户相关的权限 | 确保在 AAD Connect 帐户上设置的权限是合理的 | critical |
| 由非法用户管理的域控制器 | 某些域控制器可以由非管理用户管理,这是访问权限存在风险所致。 | critical |
| 对用户应用了弱密码策略 | 一些应用于特定用户帐户的密码策略不够强,可能会导致凭据被盗。 | critical |
| 验证敏感 GPO 和文件权限 | 确保在链接到敏感容器(如 Domain ControllersOU)的 GPO 和 文件上设置的权限是合理的 | critical |
| 使用存在风险的后向兼容性配置的域 | dSHeuristics 属性可修改 AD 行为并影响安全性 | low |
| 域的功能级别已过时 | 低功能级别无法使用或 改进 高功能级别 | medium |
| 本地管理帐户管理 | 确保使用 LAPS 对本地管理帐户进行安全的集中管理 | medium |
| 用户帐户的 Kerberos 配置 | 某些帐户使用弱 Kerberos 配置 | medium |
| 允许类似 DCSync 攻击的根对象权限 | 根对象上设置的权限可能允许非法用户窃取身份验证密钥 | critical |
| 使用 Pre-Windows 2000 Compatible Access 控制的帐户 | Pre-Windows 2000 Compatible Access Group 的帐户成员可以绕过特定的安全措施。 | high |
| 特权组中的禁用帐户 | 不再使用的帐户应从特权组中删除 | low |
| 运行过时 OS 的计算机 | 供应商不再为过时系统提供支持,这大大增加了基础结构的漏洞风险 | high |
| 具有存在风险的 SID History 属性的帐户 | 在 SID history 属性中使用特权 SID 检查用户或计算机帐户。 | high |
| 在 Active Directory PKI 中使用弱加密算法 | 部署在内部 Active Directory PKI 上的根证书不得使用弱加密算法 | critical |
| 最近使用了默认管理员帐户 | 内置管理员帐户最近使用过 | medium |
| 用户主要组 | 验证用户的主要组是否未发生变化 | critical |
| 存在风险的 Kerberos 委派 | 检查以确认未授权存在风险的 Kerberos 委派(无约束、协议转换等) | critical |
| 可逆密码 | 确认没有任何参数使密码以可逆格式存储 | medium |
| GPO 中的可逆密码 | 确认没有 GPO 包含以可逆格式存储的密码 | medium |
| 确保 SDProp 一致性 | 控制 adminSDHolder 对象处于干净状态 | critical |
| KDC 密码上次更改 | KDC 帐户密码必须定期更改 | high |
| 本机管理组成员 | Active Directory 本机管理组中的异常帐户 | critical |
| 运行 Kerberos 服务的特权帐户 | 列出具有 Service Principal Name,且可遭受暴力破解攻击的高特权帐户 | critical |
| 标准用户中设置的 AdminCount 属性 | 一些已停用的管理帐户无法进行全局管理 | medium |
| 休眠帐户 | 未使用的休眠帐户仍处于激活状态 | medium |
| 存在风险的信任关系 | 信任关系属性如配置错误,会降低目录基础结构的安全性。 | high |
| 密码永不过期的帐户 | 配置 DONT_EXPIRE 属性的帐户不受密码更新策略影响 | medium |
| 未链接、已禁用或孤立的 GPO | 使用未链接、已禁用或孤立的 GPOs 可能会导致管理错误 | low |