露出インジケーター
| 名前 | 説明 | 深刻度 | Type |
|---|---|---|---|
| BadSuccessor の危険な dMSA アクセス許可 | BadSuccessor は、dMSA を悪用する Windows Server 2025 の Active Directory 権限昇格の欠陥であり、攻撃者がアカウントリンクを操作してドメインを侵害する可能性があります。 | critical | |
| 不必要なグループ | 空のグループや、メンバーが 1 人だけのグループがないことを確認します。 | low | |
| 機密性の高い Exchange のアクセス許可 | Exchange リソースに影響を与える、または Exchange グループに割り当てられている、安全でない可能性のあるアクセス許可を特定します。 | critical | |
| サポートされていない、または古くなった Exchange サーバー | Microsoft がサポートしなくなった古い Exchange サーバーや、最新の累積更新プログラムが適用されていない Exchange サーバーを検出します。 | high | |
| Exchange の危険な設定ミス | Exchange リソースまたはその基盤となる Active Directory スキーマオブジェクトに影響を与える設定ミスをリストします。 | high | |
| ハイブリッド Entra ID 情報 | Microsoft Entra ID と同期されているリソースについて、オンプレミスの Active Directory 環境からハイブリッドユーザーやコンピューターなどの情報を収集します。 | low | |
| Exchange グループメンバー | 機密性の高い Exchange グループ内の異常なアカウント | high | |
| サービスアカウントの設定ミス | ドメインサービスアカウントの潜在的な設定ミスを表示します。 | medium | |
| セキュリティプリンシパルの競合 | 重複している (競合する) ユーザー、コンピューター、グループがないことを確認します。 | low | |
| Shadow Credentials | 「Windows Hello for Business」機能とそれに関連する鍵認証情報のShadow Credentialsバックドアと設定ミスを検出します。 | high | |
| ゲストアカウントの有効化 | ビルトインゲストアカウントが無効になっているかチェックします。 | low | |
| 管理サービスアカウントの危険な設定ミス | 管理サービスアカウント (MSAs) がデプロイされ、適切に設定されていることを確認します。 | high | |
| Microsoft Entra ID と同期している特権 AD ユーザーアカウント | 特権 Active Directory ユーザーアカウントが Microsoft Entra ID に同期されていないことをチェックします。 | high | |
| 特権認証サイロ設定 | 特権 (ティア 0) アカウントの認証サイロ設定手順を示すガイド。 | high | |
| 安全でない動的 DNS ゾーンの更新が許可される | DNS サーバー設定で安全でない動的 DNS ゾーンの更新が許可されていないことを確認します。 | high | |
| WSUS の危険な設定ミス | Windows Server Update Services (WSUS) に関連する、間違って設定されたパラメーターをリストします。 | critical | |
| Property Sets の整合性 | property sets の整合性をチェックし、アクセス許可を検証します | medium | |
| 弱いパスワードの検出 | Active Directory アカウントの脆弱性を高める可能性のある弱いパスワードがないか検証します。 | high | |
| ランサムウェアに対する不十分な堅牢化 | ランサムウェアに対する堅牢化の強化策がドメインで実装されているかを確認します。 | medium | |
| ADCS の危険な設定ミス | Active Directory Certificate Services (AD CS) 公開鍵インフラ (PKI) に関連した危険なアクセス許可と設定ミスがあるパラメーターをリストします。 | critical | |
| GPO 実行の健全性 | ドメインコンピューターに適用されたグループポリシーオブジェクト (GPO) が正常であることを確認します。 | high | |
| 特権ユーザーのログオン制限 | 認証情報が盗まれるリスクのある、権限の低いマシンに接続できる特権ユーザーをチェックします。 | high | |
| Netlogon プロトコルの安全でない設定 | CVE-2020-1472 ( [Zerologon] )はNetlogonプロトコルに影響し、特権の昇格を許可します | critical | |
| 脆弱な Credential Roaming に関連した属性 | Credential roaming 属性は脆弱なため、関連するユーザーの保護された秘密情報が攻撃者から読み取られる可能性があります。 | low | |
| 潜在的なクリアテキストのパスワード | ドメインユーザーが読み取り可能な属性に、潜在的なクリアテキストパスワードを含むオブジェクトがないかをチェックします。 | high | |
| 機密性の高い危険な権限 | ディレクトリインフラのセキュリティを低下させる、機密性の高い特権の設定ミスを特定します。 | high | |
| アカウントにマップされた証明書 | オブジェクトに弱い証明書マッピングが割り当てられていないことを確認します。 | critical | |
| コンピューター堅牢化 GPO のないドメイン | 堅牢化 GPO がドメイン上にデプロイされていることを確認します。 | medium | |
| Protected Users グループが使用されていない | Protected Users グループのメンバーでない特権ユーザーを確認します。 | high | |
| 空のパスワードの可能性のあるアカウント | 空のパスワードを許容するユーザーアカウントを特定します。 | high | |
| ユーザーにコンピューターをドメインに参加させることが許可されている | 通常ユーザーが外部コンピューターをドメインに参加させることができなくなっているか確認します。 | medium | |
| Microsoft Entra SSO アカウントパスワードの前回の変更 | Microsoft Entra SSO アカウントパスワードが定期的に変更されていることを確認します。 | high | |
| AD スキーマの危険な権限 | 永続化の手段を提供する可能性のある、異常と見なされるスキーマエントリをリストします。 | high | |
| 古いパスワードを使用しているユーザーアカウント | Active Directory のアクティブアカウントのパスワードすべての定期更新をチェックして、認証情報を盗取されるリスクを減少させます。 | medium | |
| Microsoft Entra Connect アカウントに関連するアクセス許可を確認する | Microsoft Entra Connect アカウントに設定されたアクセス許可が正当なものかどうかを確認します。 | critical | |
| ドメインコントローラーが不正なユーザーに管理されている | 一部のドメインコントローラーは、危険なアクセス権限が原因で非管理ユーザーによって管理される可能性があります。 | critical | |
| ユーザーに対する弱いパスワードポリシーの適用 | 特定のユーザーアカウントに適用されている一部のパスワードポリシーは、十分に強力なものではなく、認証情報の盗取につながる可能性があります。 | critical | |
| 機密性の高い GPO オブジェクトおよびファイルのアクセス許可の確認 | ドメインコントローラーや OU などの機密性の高いコンテナにリンクされている GPO オブジェクトとファイルに割り当てられたアクセス許可が適切かつ安全であることを確認します。 | critical | |
| 安全でない下位互換性設定を持つドメイン | dsHeuristics 属性は AD の動作を変更できますが、一部のフィールドはセキュリティが脆弱であるため、セキュリティリスクを引き起こします。 | low | |
| 機能レベルが更新されていないドメイン | 使用可能な高度な機能やセキュリティオプションを決定する、ドメインまたはフォレストの正しい機能レベルをチェックします。 | medium | |
| ローカル管理アカウントの管理 | ローカル管理アカウントが、LAPSを使用して一元的かつ安全に管理されていることを確認します。 | medium | |
| ユーザーアカウントの Kerberos 設定 | 弱い Kerberos 設定を使用するアカウントを検出します。 | medium | |
| DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可 | 不正ユーザーによる認証情報の窃取につながる、ルートオブジェクトの安全でないアクセス許可がないかを確認します。 | critical | |
| Windows 2000 以前と互換性のあるアクセス制御を使用するアカウント | セキュリティ対策をバイパスできてしまう可能性がある Windows 2000 以前と互換性のあるアクセスグループのアカウントメンバーについてチェックします。 | high | |
| 特権グループ内の無効化されたアカウント | もう使用されないアカウントは特権グループ内に残しておかないようにする必要があります。 | low | |
| 廃止になった OS を実行しているコンピューター | Microsoft によるサポートが終了していて、インフラの脆弱性を高める廃止されたシステムを特定します。 | high | |
| 危険な SID History 属性を持つアカウント | SID history 属性内の特権 SID を使用するユーザーまたはコンピューターアカウントをチェックします。 | high | |
| Active Directory PKI での弱い暗号化アルゴリズムの使用 | 内部Active Directory PKIに実装されたルート証明書で、弱い暗号化アルゴリズムが使用されていないかを確認します。 | critical | |
| デフォルト管理者アカウントの最近の使用 | ビルトイン管理者アカウントの最近の使用をチェックします。 | medium | |
| ユーザープライマリグループ | ユーザーのプライマリグループが変更されていないことを確認します。 | critical |