检测
分析
指标的接触
| 的名字 | 描述 | 严重程度 |
|---|---|---|
| 危险SYSVOL复制配置 | 检查“分布式文件系统复制”(DFS-R)机制取代了“文件复制服务”(FRS)。 |
媒介 |
| 坚决反对ransomware不足 | 确保淬火措施ransomware已经部署在域 |
媒介 |
| adc危险的错误配置 | 危险的权限和配置参数列表与Windows公钥基础设施(PKI)。 |
至关重要的 |
| GPO执行理智 | 验证组策略对象(gpo)应用于域电脑是正常的。 |
高 |
| 登录限制特权用户 | 检查特权用户可以连接到更少的特权机器导致凭据盗窃的风险。 |
高 |
| 无担保的配置Netlogon协议 | cve - 2020 - 1472 (“Zerologon”)影响Netlogon协议,允许高度的特权 |
至关重要的 |
| 脆弱的凭据漫游相关的属性 | 凭据漫游属性是脆弱,使得攻击者秘密保护的相关用户可读的。 |
低 |
| 潜在的明文密码 | 似乎一些明文密码可读的每个域的用户 |
高 |
| 危险的敏感的特权 | 配置错误的敏感的特权的权利减少一个目录的安全基础设施。 |
高 |
| 在账户映射证书 | 确保没有证书映射对象特权 |
至关重要的 |
| 域没有computer-hardening gpo | 检查淬火gpo已经部署在域 |
媒介 |
| 保护用户不习惯 | 一些特权用户不受保护的用户组的成员。 |
高 |
| 账户,可能有一个空的密码 | 检查没有用户帐户的密码可能是空的。 |
高 |
| 用户允许加入计算机领域 | 确认正常用户无法连接外部计算机领域。 |
媒介 |
| 微软的最后改变Entra SSO帐户密码 | 确保定期改变微软Entra SSO帐户密码。 |
高 |
| 危险的权利在广告的模式 | 异常模式中的条目列表可以提供一个持久性机制。 |
高 |
| 用户帐户使用旧密码 | 用户帐户必须定期更改密码 |
媒介 |
| 验证权限相关广告连接的帐户 | 确保权限集AAD连接帐户是理智的 |
至关重要的 |
| 域控制器由非法用户 | 一些域控制器可以由非管理员用户由于危险的访问权限。 |
至关重要的 |
| 弱密码策略应用于用户 | 一些密码策略应用于特定用户帐户不足够强大,可以导致凭证盗窃。 |
至关重要的 |
| 验证敏感GPO对象和文件权限 | 确保GPO对象上设置的权限和文件与敏感的容器(如欧域控制器)是理智的 |
至关重要的 |
| 域使用危险的向后兼容配置 | dSHeuristics属性可以修改广告行为和安全的影响 |
低 |
| 域有一个过时的功能水平 | 低功能水平防止使用高级功能或改进 |
媒介 |
| 地方行政账户管理 | 确保当地行政账户集中管理和安全使用圈 |
媒介 |
| Kerberos配置用户帐户 | 一些帐户使用弱的Kerberos配置 |
媒介 |
| 根对象权限允许DCSync-like攻击 | 权限设置根对象可以让非法用户窃取身份验证的秘密 |
至关重要的 |
| 账户使用Pre-Windows 2000兼容的访问控制 | 账户Pre-Windows 2000兼容的访问组的成员,可以绕过具体的安全措施。 |
高 |
| 禁用帐户特权集团 | 账户,不习惯了不应该留在特权集团 |
低 |
| 运行一个过时的电脑操作系统 | 过时的系统不支持的供应商了,大大增加基础设施脆弱性 |
高 |
| 账户有一个危险的SID历史属性 | 检查用户或计算机帐户使用特权SID SID历史上的属性。 |
高 |
| 使用弱密码算法在Active Directory PKI | 根证书公钥基础设施部署在内部活动目录不能使用弱密码算法 |
至关重要的 |
| 最近使用默认的管理员帐户 | 内置管理员帐户最近被使用 |
媒介 |
| 用户主要组 | 验证用户的主组并没有改变 |
至关重要的 |
| 危险的Kerberos代表团 | 检查没有危险的Kerberos代表团(无约束、协议转换等)授权,这特权用户保护这样的代表团 |
至关重要的 |
| 可逆的密码 | 验证选择可逆的格式来存储密码不会被启用。 |
媒介 |
| 可逆的GPO的密码 | 确认没有GPO包含密码存储在一个可逆的格式 |
媒介 |
| 确保SDProp一致性 | 控制adminSDHolder对象处于一个干净的状态 |
至关重要的 |
| KDC去年改变密码 | KDC帐户密码必须定期改变 |
高 |
| 本地管理小组成员 | 在本机异常账户管理活动目录组 |
至关重要的 |
| 特权帐户运行Kerberos服务 | 列表高度特权,brute-forceable账户服务主体名称 |
至关重要的 |
| 在标准用户AdminCount属性设置 | 全球一些退役管理账户不可控的 |
媒介 |
| 睡眠账户 | 未使用的睡眠账户仍然被激活 |
媒介 |
| 危险的信任关系 | 配置错误的信任关系属性减少一个目录的安全基础设施。 |
高 |
| 账户没有过期的密码 | 账户与DONT_EXPIRE财产不受密码更新策略的影响 |
媒介 |
| 链接、残疾或孤儿GPO | 链接,禁用或孤儿gpo会导致行政错误 |
低 |