露出インジケーター
| 名前 | 説明 | 深刻度 |
|---|---|---|
| サービスアカウントの設定ミス | ドメインサービスアカウントの潜在的な設定ミスを表示します。 | medium |
| セキュリティプリンシパルの競合 | 重複している (競合する) ユーザー、コンピューター、グループがないことを確認します。 | low |
| Shadow Credentials | 「Windows Hello for Business」機能とそれに関連する鍵認証情報のShadow Credentialsバックドアと設定ミスを検出します。 | high |
| ゲストアカウントの有効化 | ビルトインゲストアカウントが無効になっているかチェックします。 | low |
| 管理サービスアカウントの危険な設定ミス | 管理サービスアカウント (MSAs) がデプロイされ、適切に設定されていることを確認します。 | high |
| Microsoft Entra ID と同期している特権 AD ユーザーアカウント | 特権 Active Directory ユーザーアカウントが Microsoft Entra ID に同期されていないことをチェックします。 | high |
| 特権認証サイロ設定 | 特権 (ティア 0) アカウントの認証サイロ設定手順を示すガイド。 | high |
| 安全でない動的 DNS ゾーンの更新が許可される | DNS サーバー設定で安全でない動的 DNS ゾーンの更新が許可されていないことを確認します。 | high |
| WSUS の危険な設定ミス | Windows Server Update Services (WSUS) に関連する、間違って設定されたパラメーターをリストします。 | critical |
| Property Sets の整合性 | property sets の整合性をチェックし、アクセス許可を検証します | medium |
| 弱いパスワードの検出 | Active Directory アカウントの脆弱性を高める可能性のある弱いパスワードがないか検証します。 | high |
| ランサムウェアに対する不十分な堅牢化 | ランサムウェアに対する堅牢化の強化策がドメインで実装されているかを確認します。 | medium |
| ADCS の危険な設定ミス | Active Directory Certificate Services (AD CS) 公開鍵インフラ (PKI) に関連した危険なアクセス許可と設定ミスがあるパラメーターをリストします。 | critical |
| GPO 実行の健全性 | ドメインコンピューターに適用されたグループポリシーオブジェクト (GPO) が正常であることを確認します。 | high |
| 特権ユーザーのログオン制限 | 認証情報が盗まれるリスクのある、権限の低いマシンに接続できる特権ユーザーをチェックします。 | high |
| Netlogon プロトコルの安全でない設定 | CVE-2020-1472 ( [Zerologon] )はNetlogonプロトコルに影響し、特権の昇格を許可します | critical |
| 脆弱な Credential Roaming に関連した属性 | Credential roaming 属性は脆弱なため、関連するユーザーの保護された秘密情報が攻撃者から読み取られる可能性があります。 | low |
| 潜在的なクリアテキストのパスワード | ドメインユーザーが読み取り可能な属性に、潜在的なクリアテキストパスワードを含むオブジェクトがないかをチェックします。 | high |
| 機密性の高い危険な特権 | ディレクトリインフラのセキュリティを低下させる、機密性の高い特権の設定ミスを特定します。 | high |
| アカウントにマップされた証明書 | 特権オブジェクトに、マップされた証明書が何も割り当てられていないことを確認します。 | critical |
| コンピューター堅牢化 GPO のないドメイン | 堅牢化 GPO がドメイン上にデプロイされていることを確認します。 | medium |
| Protected Usersグループが使用されていない | Protected Usersグループのメンバーでない特権ユーザーを確認します。 | high |
| 空のパスワードの可能性のあるアカウント | 空のパスワードを許容するユーザーアカウントを特定します。 | high |
| ユーザーにコンピューターをドメインに参加させることが許可されている | 通常ユーザーが外部コンピューターをドメインに参加させることができなくなっているか確認します。 | medium |
| Microsoft Entra SSO アカウントパスワードの前回の変更 | Microsoft Entra SSO アカウントパスワードが定期的に変更されていることを確認します。 | high |
| AD スキーマの危険な権限 | 永続化の手段を提供する可能性のある、異常と見なされるスキーマエントリをリストします。 | high |
| 古いパスワードを使用しているユーザーアカウント | Active Directory のアクティブアカウントのパスワードすべての定期更新をチェックして、認証情報を盗取されるリスクを減少させます。 | medium |
| Microsoft Entra Connect アカウントに関連するアクセス許可を確認する | Microsoft Entra Connect アカウントに設定されたアクセス許可が正当なものかどうかを確認します。 | critical |
| ブルートフォースアタックの検出 | ブルートフォースアタックとパスワードスプレー攻撃を検出します。 | critical |
| ドメインコントローラーが不正なユーザーに管理されている | 一部のドメインコントローラーは、危険なアクセス権限が原因で非管理ユーザーによって管理される可能性があります。 | critical |
| ユーザーに対する弱いパスワードポリシーの適用 | 特定のユーザーアカウントに適用されている一部のパスワードポリシーは、十分に強力なものではなく、認証情報の盗取につながる可能性があります。 | critical |
| 機密性の高い GPO オブジェクトおよびファイルのアクセス許可の確認 | ドメインコントローラーや OU などの機密性の高いコンテナにリンクされている GPO オブジェクトとファイルに割り当てられたアクセス許可が適切かつ安全であることを確認します。 | critical |
| ローグドメインコントローラー | 正当なドメインコントローラーサーバーだけがActive Directoryのインフラに登録されていることを確認してください。 | high |
| 安全でない下位互換性設定を持つドメイン | dsHeuristics 属性は AD の動作を変更できますが、一部のフィールドはセキュリティが脆弱であるため、セキュリティリスクを引き起こします。 | low |
| 機能レベルが更新されていないドメイン | 使用可能な高度な機能やセキュリティオプションを決定する、ドメインまたはフォレストの正しい機能レベルをチェックします。 | medium |
| ローカル管理アカウントの管理 | ローカル管理アカウントが、LAPSを使用して一元的かつ安全に管理されていることを確認します。 | medium |
| ユーザーアカウントの Kerberos 設定 | 弱い Kerberos 設定を使用するアカウントを検出します。 | medium |
| DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可 | 不正ユーザーによる認証情報の窃取につながる、ルートオブジェクトの安全でないアクセス許可がないかを確認します。 | critical |
| Windows 2000 以前と互換性のあるアクセス制御を使用するアカウント | セキュリティ対策をバイパスできてしまう可能性がある Windows 2000 以前と互換性のあるアクセスグループのアカウントメンバーについてチェックします。 | high |
| 特権グループ内の無効化されたアカウント | もう使用されないアカウントは特権グループ内に残しておかないようにする必要がある。 | low |
| 廃止になった OS を実行しているコンピューター | Microsoft によるサポートが終了していて、インフラの脆弱性を高める廃止されたシステムを特定します。 | high |
| 危険な SID History 属性を持つアカウント | SID history 属性内の特権 SID を使用するユーザーまたはコンピューターアカウントをチェックします。 | high |
| Active Directory PKI での弱い暗号化アルゴリズムの使用 | 内部Active Directory PKIに実装されたルート証明書で、弱い暗号化アルゴリズムが使用されていないかを確認します。 | critical |
| デフォルト管理者アカウントの最近の使用 | ビルトイン管理者アカウントの最近の使用をチェックします。 | medium |
| ユーザープライマリグループ | ユーザーのプライマリグループが変更されていないことの確認 | critical |
| 危険な Kerberos 委任 | 許可されていない Kerberos 委任を確認し、特権ユーザーをその委任から保護します。 | critical |
| 可逆パスワード | 可逆形式のパスワードを保存するオプションが有効にならないことを検証します。 | medium |
| GPO の可逆パスワード | GPO 環境設定で、パスワードを可逆的な形式で設定できないようになっていることを確認します。 | medium |
| SDProp の一貫性を確保する | adminSDHolder オブジェクトが正常な状態を維持するように制御します。 | critical |
| KRBTGT アカウントで前回行ったパスワード変更 | 推奨期間を過ぎてもパスワードを変更していない KRBTGT アカウントがないかチェックします。 | high |