风险暴露指标
| 名称 | 描述 | 严重程度 |
|---|---|---|
| 存在风险的 WSUS 错误配置 | 列出了与 Windows Server Update Services (WSUS) 相关的错误配置参数。 | critical |
| 存在风险的 SYSVOL 复制配置 | 检查 "Distributed File System Replication" (DFS-R) 机制是否替换了 "File Replication Service" (FRS)。 | medium |
| 检测到密码弱点 | 验证可能会加剧 Active Directory 帐户漏洞的密码中的缺陷。 | high |
| 针对勒索软件的加固不足 | 确保域实现了针对勒索软件的加固措施。 | medium |
| 危险的 ADCS 错误配置 | 列出与 Windows 公钥基础设施 (PKI) 有关的存在风险的权限以及错误配置的参数。 | critical |
| GPO 执行的合理性 | 验证应用于域计算机的组策略对象 (GPO) 是否健全。 | high |
| 特权用户登录限制 | 检查是否存在可连接到低特权计算机,从而导致凭据盗窃风险的特权用户。 | high |
| 不安全的 Netlogon 协议配置 | CVE-2020-1472(“Zerologon”)会影响 Netlogon 协议并允许提升特权 | critical |
| 易受攻击的 Credential Roaming 相关属性 | Credential roaming 属性易受攻击,因此,攻击者可以读取相关受用户保护的密钥。 | low |
| 潜在明文密码 | 检查域用户可读属性中包含潜在明文密码的对象。 | high |
| 存在风险的敏感特权 | 识别配置错误的敏感特权,这些特权会降低目录基础设施的安全性。 | high |
| 帐户上的映射证书 | 确保特权对象上未分配任何映射证书。 | critical |
| 没有计算机加固 GPO 的域 | 检查域中是否部署了加固 GPO。 | medium |
| 未使用 Protected Users 组 | 验证是否有特权用户不是 Protected Users 组成员。 | high |
| 可能使用空密码的帐户 | 识别允许使用空密码的用户帐户。 | high |
| 允许将计算机加入到域的用户 | 确认普通用户无法将外部计算机加入到域。 | medium |
| Microsoft Entra SSO 帐户密码的上次更改 | 确保定期更改 Microsoft Entra SSO 帐户密码。 | high |
| AD 架构中存在风险的权限 | 列出被认为存在异常且可能提供持久性方法的架构条目。 | high |
| 使用旧密码的用户帐户 | 检查 Active Directory 中所有处于活动状态的帐户密码是否定期更新,以减少凭据被盗的风险。 | medium |
| 验证与 Microsoft Entra Connect 帐户相关的权限 | 确保在 Microsoft Entra Connect 帐户上设置的权限是合理的 | critical |
| 由非法用户管理的域控制器 | 某些域控制器可以由非管理用户管理,这是访问权限存在风险所致。 | critical |
| 对用户应用弱密码策略 | 一些应用于特定用户帐户的密码策略不够强,可能会导致凭据被盗。 | critical |
| 验证敏感 GPO 和文件权限 | 确保分配给链接到敏感容器(如域控制器或组织单位)的 GPO 对象和文件的权限是适当且安全的。 | critical |
| 采用不安全后向兼容配置的域 | dsHeuristics 属性可以修改 AD 行为,但部分字段为安全敏感字段,会带来安全风险。 | low |
| 域的功能级别已过时 | 检查域或林的功能级别是否正确无误,这将决定高级功能和安全选项的可用性。 | medium |
| 本地管理帐户管理 | 确保使用 LAPS 对本地管理帐户进行安全的集中管理。 | medium |
| 用户帐户的 Kerberos 配置 | 检测使用弱 Kerberos 配置的帐户。 | medium |
| 允许类似 DCSync 攻击的根对象权限 | 检查根对象上是否存在可使未经授权的用户窃取身份验证凭据的存在风险的权限。 | critical |
| 使用 Windows 2000 以前版本兼容访问控制的帐户 | 检查是否存在可以绕过安全措施的 Windows 2000 以前版本兼容访问组的帐户成员。 | high |
| 特权组中的禁用帐户 | 已停用的帐户不应继续留在特权组中。 | low |
| 运行过时操作系统的计算机 | 识别 Microsoft 不再支持且会增加基础结构安全漏洞的过时系统。 | high |
| 具有存在风险的 SID History 属性的帐户 | 使用 SID history 属性中的特权 SID 检查用户/计算机帐户。 | high |
| 在 Active Directory PKI 中使用弱加密算法 | 标识部署在内部 Active Directory PKI 上的根证书中所使用的弱加密算法。 | critical |
| 最近使用了默认管理员帐户 | 检查内置管理员帐户的近期使用情况。 | medium |
| 用户主要组 | 验证用户的主要组是否未发生变化 | critical |
| 存在风险的 Kerberos 委派 | 检查是否存在未经授权的 Kerberos 委派,确保特权用户免受其影响。 | critical |
| 可逆密码 | 验证是否未启用以可逆格式存储密码的选项。 | medium |
| GPO 中的可逆密码 | 检查 GPO 首选项是否允许使用可逆格式的密码。 | medium |
| 确保 SDProp 一致性 | 控制 adminSDHolder 对象处于干净状态。 | critical |
| KRBTGT 帐户上次更改密码的时间 | 查找超过建议间隔没有更改密码的 KRBTGT 帐户。 | high |
| 本机管理组成员 | Active Directory 本机管理组中的异常帐户 | critical |
| 运行 Kerberos 服务的特权帐户 | 检测具有 Service Principal Name (SPN) 属性的高特权帐户,因为该属性会危害帐户安全。 | critical |
| 标准用户中设置的 AdminCount 属性 | 检查已停用帐户是否具有 adminCount 属性,从而造成难以管理的权限问题。 | medium |
| 休眠帐户 | 检测可带来安全风险的未使用的休眠帐户。 | medium |
| 存在风险的信任关系 | 识别配置错误的信任关系属性,这些属性会降低目录基础结构的安全性。 | high |
| 密码永不过期的帐户 | 检查是否存在这样的帐户,其 userAccountControl 属性中包含允许无限期使用相同密码以绕过密码更新策略的 DONT_EXPIRE_PASSWORD 属性标记。 | medium |
| 未链接、已禁用或孤立的 GPO | 未使用或禁用的 GPOs 会降低目录性能和 RSoP 计算速度,并可能导致安全策略混淆。误将它们重新激活可能会削弱现有策略。 | low |
| 管理员数量太多 | 管理员拥有更高的特权,因此当管理员数量太多时,可能会增加攻击面,并因此造成安全风险。这也是最低特权原则未受到遵循的表现。 | High |
| 特权帐户缺少 MFA | MFA 为帐户提供强大保护,防止出现弱密码或泄露密码。安全最佳实践和标准建议您启用 MFA,尤其是针对特权帐户。没有注册 MFA 方法的帐户无法从中获益。 | High |
| 与 AD(混合帐户)同步的特权 Entra 帐户 | 在 Entra ID 中具有特权角色的混合帐户(即从 Active Directory 同步)会构成安全风险,因为这类帐户允许入侵 AD 的攻击者转而入侵 Entra ID。Entra ID 中的特权帐户必须为纯云帐户。 | High |