露出インジケーター

名前説明深刻度
WSUS の危険な設定ミス

Windows Server Update Services (WSUS) に関連する、間違って設定されたパラメーターをリストします。

critical
Dangerous SYSVOL Replication Configuration

Checks that the "Distributed File System Replication" (DFS-R) mechanism replaced the "File Replication Service" (FRS).

medium
弱いパスワードの検出

Active Directory アカウントの脆弱性を高める可能性のある弱いパスワードがないか検証します。

high
ランサムウェアに対する不十分な堅牢化

ランサムウェアに対する堅牢化の強化策がドメインで実装されているかを確認します。

medium
ADCS の危険な設定ミス

Windows公開鍵インフラ (PKI) に関連した危険なアクセス許可と間違って設定されたパラメーターをリストします。

critical
GPO実行の健全性

ドメインコンピューターに適用されたグループポリシーオブジェクト (GPO) が正常であることを確認します。

high
特権ユーザーのログオン制限

認証情報が盗まれるリスクのある、権限の低いマシンに接続できる特権ユーザーをチェックします。

high
Netlogon プロトコルの安全でない設定

CVE-2020-1472 ( [Zerologon] )はNetlogonプロトコルに影響し、特権の昇格を許可します

critical
脆弱な Credential Roaming に関連した属性

Credential roaming 属性は脆弱なため、関連するユーザーの保護された秘密情報が攻撃者から読み取られる可能性があります。

low
潜在的なクリアテキストのパスワード

ドメインユーザーが読み取り可能な属性に、潜在的なクリアテキストパスワードを含むオブジェクトがないかをチェックします。

high
機密性の高い危険な特権

ディレクトリインフラのセキュリティを低下させる、機密性の高い特権の設定ミスを特定します。

high
アカウントにマップされた証明書

特権オブジェクトに、マップされた証明書が何も割り当てられていないことを確認します。

critical
コンピューター堅牢化 GPO のないドメイン

堅牢化 GPO がドメイン上にデプロイされていることを確認します。

medium
Protected Usersグループが使用されていない

Protected Usersグループのメンバーでない特権ユーザーを確認します。

high
空のパスワードの可能性のあるアカウント

空のパスワードを許容するユーザーアカウントを特定します。

high
ユーザーにコンピューターをドメインに参加させることが許可されている

通常ユーザーが外部コンピューターをドメインに参加させることができなくなっているか確認します。

medium
Microsoft Entra SSO アカウントパスワードの前回の変更

Microsoft Entra SSO アカウントパスワードが定期的に変更されていることを確認します。

high
AD スキーマの危険な権限

永続化の手段を提供する可能性のある、異常と見なされるスキーマエントリをリストします。

high
古いパスワードを使用しているユーザーアカウント

Active Directory のアクティブアカウントのパスワードすべての定期更新をチェックして、資格情報の盗難リスクを減少させます。

medium
Microsoft Entra Connect アカウントに関連するアクセス許可を確認する

Microsoft Entra Connect アカウントに設定されたアクセス許可が正当なものかどうかを確認します。

critical
ドメインコントローラーが不正なユーザーに管理されている

一部のドメインコントローラーは、危険なアクセス権限が原因で非管理ユーザーによって管理される可能性があります。

critical
ユーザーに対する弱いパスワードポリシーの適用

特定のユーザーアカウントに適用されている一部のパスワードポリシーは、十分に強力なものではなく、資格情報の盗取につながる可能性があります。

critical
機密性の高いGPOオブジェクトおよびファイルのアクセス許可の確認

ドメインコントローラーや OU などの機密性の高いコンテナにリンクされている GPO オブジェクトとファイルに割り当てられたアクセス許可が適切かつ安全であることを確認します。

critical
安全でない下位互換性設定を持つドメイン 

dsHeuristics 属性は AD の動作を変更できますが、一部のフィールドはセキュリティが脆弱であるため、セキュリティリスクを引き起こします。

low
機能レベルが更新されていないドメイン

使用可能な高度な機能やセキュリティオプションを決定する、ドメインまたはフォレストの正しい機能レベルをチェックします。

medium
ローカル管理アカウントの管理

ローカル管理アカウントが、LAPSを使用して一元的かつ安全に管理されていることを確認します。

medium
ユーザーアカウントの Kerberos 設定

弱い Kerberos 設定を使用するアカウントを検出します。

medium
DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可

不正ユーザーによる認証情報の窃取につながる、ルートオブジェクトの安全でないアクセス許可がないかを確認します。

critical
Windows 2000 以前と互換性のあるアクセス制御を使用するアカウント

セキュリティ対策をバイパスできてしまう可能性がある Windows 2000 以前と互換性のあるアクセスグループのアカウントメンバーについてチェックします。

high
特権グループ内の無効化されたアカウント

もう使用されないアカウントは特権グループ内に残しておかないようにする必要がある。

low
廃止になった OS を実行しているコンピューター

Microsoft によるサポートが終了していて、インフラの脆弱性を高める廃止されたシステムを特定します。

high
危険な SID History 属性を持つアカウント

SID history 属性内の特権 SID を使用するユーザーまたはコンピューターアカウントをチェックします。

high
Active Directory PKI での弱い暗号化アルゴリズムの使用

内部Active Directory PKIに実装されたルート証明書で、弱い暗号化アルゴリズムが使用されていないかを確認します。

critical
デフォルト管理者アカウントの最近の使用

ビルトイン管理者アカウントの最近の使用をチェックします。

medium
ユーザープライマリグループ

ユーザーのプライマリグループが変更されていないことの確認

critical
危険な Kerberos 委任

許可されていない Kerberos 委任を確認し、特権ユーザーをその委任から保護します。

critical
可逆パスワード

可逆形式のパスワードを保存するオプションが有効にならないことを検証します。

medium
GPO の可逆パスワード

GPO 環境設定で、パスワードを可逆的な形式で設定できないようになっていることを確認します。

medium
SDProp の一貫性を確保する

adminSDHolder オブジェクトが正常な状態を維持するように制御します。

critical
KRBTGTアカウントで前回行ったパスワード変更

推奨期間を過ぎてもパスワードを変更していない KRBTGT アカウントがないかチェックします。

high
ネイティブ管理グループメンバー

Active Directoryのネイティブ管理グループの異常なアカウント

critical
Kerberos サービスを実行する特権アカウント

セキュリティに影響する Service Principal Name (SPN) 属性が設定されている高度な特権アカウントを検出します。

critical
標準ユーザーに AdminCount 属性が設定されている

管理が困難なアクセス許可の問題につながる廃止されたアカウントの adminCount 属性をチェックします。

medium
休止アカウント

セキュリティリスクにつながる可能性のある使用されていない休止アカウントの検出

medium
危険な信頼関係

ディレクトリインフラのセキュリティを低下させる、間違って設定された信頼関係属性を特定します。

high
パスワードが決して期限切れにならないアカウント

userAccountControl属性にDONT_EXPIRE_PASSWORD プロパティのフラグが設定されたアカウント(パスワード更新ポリシーをバイパスして同じパスワードを無限に使い回せてしまう)がないかを確認します。

medium
リンクされていないか、無効化されていないか、オーファンとなっている GPO

使用していない、または無効な GPOs はディレクトリのパフォーマンス速度や RSoP 計算速度を低下させ、セキュリティポリシーの混乱につながる可能性があります。誤って再アクティブ化すると、既存のポリシーが弱体化する可能性があります。

low
管理者数が多い

管理者には昇格された特権があるので、その数が多くなるとアタックサーフェスが拡大するため、セキュリティリスクをもたらす可能性があります。特権を最小限に抑えるという原則が尊重されていない兆候でもあります。

High
特権アカウントに MFA がない

MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権アカウントで MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。

High
AD (ハイブリッド) と同期された特権 Entra アカウント

ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうので、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。

High