风险暴露指标
| 名称 | 描述 | 严重性 | Type |
|---|---|---|---|
| BadSuccessor 存在风险的 dMSA 权限 | BadSuccessor 是 Windows Server 2025 中可利用 dMSA 的 Active Directory 特权提升缺陷,让攻击者可以操纵帐户链接,并可能入侵域。 | critical | |
| 非必要组 | 验证没有空组或组只包含单个成员。 | low | |
| 敏感 Exchange 权限 | 识别影响 Exchange 资源或已分配给 Exchange 组的潜在不安全权限。 | critical | |
| 不受支持或过时的 Exchange 服务器 | 检测到 Microsoft 不再支持的过时 Exchange 服务器,以及缺少最新累积更新的服务器。 | high | |
| 存在风险的 Exchange 错误配置 | 列出影响 Exchange 资源或其底层 Active Directory 架构对象的错误配置。 | high | |
| 混合 Entra ID 信息 | 从本地 Active Directory 环境收集已与 Microsoft Entra ID 同步的资源有关的信息,如混合用户和计算机等。 | low | |
| Exchange 组成员 | 敏感 Exchange 组中的异常帐户 | high | |
| 服务帐户配置错误 | 显示域服务帐户中的潜在配置错误。 | medium | |
| 冲突的安全主体 | 请检查是否有重复(冲突)的用户、计算机或组。 | low | |
| Shadow Credentials | 在“Windows Hello for Business”功能及其相关密钥凭据中检测到 Shadow Credentials 后门程序和配置错误。 | high | |
| 已启用来宾帐户 | 检查内置的来宾帐户是否已禁用。 | low | |
| 托管服务帐户中存在风险的错误配置 | 确保托管服务帐户 (MSAs) 已部署和正确配置。 | high | |
| 已同步到 Microsoft Entra ID 的特权 AD 用户帐户 | 检查特权 Active Directory 用户帐户是否已同步到 Microsoft Entra ID。 | high | |
| 特权身份验证孤岛配置 | 有关为特权(第 0 层)帐户配置身份验证孤岛的分步指南。 | high | |
| 允许不安全的动态 DNS 区域更新 | 检查 DNS 服务器配置是否禁止不安全的动态 DNS 区域更新。 | high | |
| 存在风险的 WSUS 错误配置 | 列出了与 Windows Server Update Services (WSUS) 相关的错误配置参数。 | critical | |
| Property Sets 完整性 | 检查 property sets 的完整性并验证权限 | medium | |
| 存在风险的 SYSVOL 复制配置 | 检查 "Distributed File System Replication" (DFS-R) 机制是否替换了 "File Replication Service" (FRS)。 | medium | |
| 检测到密码弱点 | 验证可能会加剧 Active Directory 帐户漏洞的密码中的缺陷。 | high | |
| 针对勒索软件的加固不足 | 确保域实现了针对勒索软件的加固措施。 | medium | |
| 危险的 ADCS 错误配置 | 列出与 Active Directory Certificate Services (AD CS) 公钥基础设施 (PKI) 有关、存在风险的权限以及错误配置的参数。 | critical | |
| GPO 执行的合理性 | 验证应用于域计算机的组策略对象 (GPO) 是否健全。 | high | |
| 特权用户登录限制 | 检查是否存在可连接到低特权计算机,从而导致凭据盗窃风险的特权用户。 | high | |
| 不安全的 Netlogon 协议配置 | CVE-2020-1472(“Zerologon”)会影响 Netlogon 协议并允许提升特权 | critical | |
| 易受攻击的 Credential Roaming 相关属性 | Credential roaming 属性易受攻击,因此,攻击者可以读取相关受用户保护的密钥。 | low | |
| 潜在明文密码 | 检查域用户可读属性中包含潜在明文密码的对象。 | high | |
| 存在风险的敏感特权 | 识别配置错误的敏感特权,这些特权会降低目录基础设施的安全性。 | high | |
| 帐户上的映射证书 | 确保没有弱证书映射被分配给对象。 | critical | |
| 没有计算机加固 GPO 的域 | 检查域中是否部署了加固 GPO。 | medium | |
| 未使用 Protected Users 组 | 验证是否有特权用户不是 Protected Users 组成员。 | high | |
| 可能使用空密码的帐户 | 识别允许使用空密码的用户帐户。 | high | |
| 允许将计算机加入到域的用户 | 确认普通用户无法将外部计算机加入到域。 | medium | |
| Microsoft Entra SSO 帐户密码的上次更改 | 确保定期更改 Microsoft Entra SSO 帐户密码。 | high | |
| AD 架构中存在风险的权限 | 列出被认为存在异常且可能提供持久性方法的架构条目。 | high | |
| 使用旧密码的用户帐户 | 检查 Active Directory 中所有处于活动状态的帐户密码是否定期更新,以减少凭据被盗的风险。 | medium | |
| 验证与 Microsoft Entra Connect 帐户相关的权限 | 确保在 Microsoft Entra Connect 帐户上设置的权限是合理的 | critical | |
| 由非法用户管理的域控制器 | 某些域控制器可以由非管理用户管理,这是访问权限存在风险所致。 | critical | |
| 对用户应用弱密码策略 | 一些应用于特定用户帐户的密码策略不够强,可能会导致凭据被盗。 | critical | |
| 验证敏感 GPO 和文件权限 | 确保分配给链接到敏感容器(如域控制器或组织单位)的 GPO 对象和文件的权限是适当且安全的。 | critical | |
| 采用不安全后向兼容配置的域 | dsHeuristics 属性可以修改 AD 行为,但部分字段为安全敏感字段,会带来安全风险。 | low | |
| 域的功能级别已过时 | 检查域或林的功能级别是否正确无误,这将决定高级功能和安全选项的可用性。 | medium | |
| 本地管理帐户管理 | 确保使用 LAPS 对本地管理帐户进行安全的集中管理。 | medium | |
| 用户帐户的 Kerberos 配置 | 检测使用弱 Kerberos 配置的帐户。 | medium | |
| 允许类似 DCSync 攻击的根对象权限 | 检查根对象上是否存在可使未经授权的用户窃取身份验证凭据的存在风险的权限。 | critical | |
| 使用 Windows 2000 以前版本兼容访问控制的帐户 | 检查是否存在可以绕过安全措施的 Windows 2000 以前版本兼容访问组的帐户成员。 | high | |
| 特权组中的禁用帐户 | 已停用的帐户不应继续留在特权组中。 | low | |
| 运行过时操作系统的计算机 | 识别 Microsoft 不再支持且会增加基础结构安全漏洞的过时系统。 | high | |
| 具有存在风险的 SID History 属性的帐户 | 使用 SID history 属性中的特权 SID 检查用户/计算机帐户。 | high | |
| 在 Active Directory PKI 中使用弱加密算法 | 标识部署在内部 Active Directory PKI 上的根证书中所使用的弱加密算法。 | critical | |
| 最近使用了默认管理员帐户 | 检查内置管理员帐户的近期使用情况。 | medium |