名前 | 説明 | 深刻度 |
---|---|---|
WSUS の危険な設定ミス | Windows Server Update Services (WSUS) に関連する、間違って設定されたパラメーターをリストします。 | critical |
Dangerous SYSVOL Replication Configuration | Checks that the "Distributed File System Replication" (DFS-R) mechanism replaced the "File Replication Service" (FRS). | medium |
弱いパスワードの検出 | Active Directory アカウントの脆弱性を高める可能性のある弱いパスワードがないか検証します。 | high |
ランサムウェアに対する不十分な堅牢化 | ランサムウェアに対する堅牢化の強化策がドメインで実装されているかを確認します。 | medium |
ADCS の危険な設定ミス | Windows公開鍵インフラ (PKI) に関連した危険なアクセス許可と間違って設定されたパラメーターをリストします。 | critical |
GPO実行の健全性 | ドメインコンピューターに適用されたグループポリシーオブジェクト (GPO) が正常であることを確認します。 | high |
特権ユーザーのログオン制限 | 認証情報が盗まれるリスクのある、権限の低いマシンに接続できる特権ユーザーをチェックします。 | high |
Netlogon プロトコルの安全でない設定 | CVE-2020-1472 ( [Zerologon] )はNetlogonプロトコルに影響し、特権の昇格を許可します | critical |
脆弱な Credential Roaming に関連した属性 | Credential roaming 属性は脆弱なため、関連するユーザーの保護された秘密情報が攻撃者から読み取られる可能性があります。 | low |
潜在的なクリアテキストのパスワード | ドメインユーザーが読み取り可能な属性に、潜在的なクリアテキストパスワードを含むオブジェクトがないかをチェックします。 | high |
機密性の高い危険な特権 | ディレクトリインフラのセキュリティを低下させる、機密性の高い特権の設定ミスを特定します。 | high |
アカウントにマップされた証明書 | 特権オブジェクトに、マップされた証明書が何も割り当てられていないことを確認します。 | critical |
コンピューター堅牢化 GPO のないドメイン | 堅牢化 GPO がドメイン上にデプロイされていることを確認します。 | medium |
Protected Usersグループが使用されていない | Protected Usersグループのメンバーでない特権ユーザーを確認します。 | high |
空のパスワードの可能性のあるアカウント | 空のパスワードを許容するユーザーアカウントを特定します。 | high |
ユーザーにコンピューターをドメインに参加させることが許可されている | 通常ユーザーが外部コンピューターをドメインに参加させることができなくなっているか確認します。 | medium |
Microsoft Entra SSO アカウントパスワードの前回の変更 | Microsoft Entra SSO アカウントパスワードが定期的に変更されていることを確認します。 | high |
AD スキーマの危険な権限 | 永続化の手段を提供する可能性のある、異常と見なされるスキーマエントリをリストします。 | high |
古いパスワードを使用しているユーザーアカウント | Active Directory のアクティブアカウントのパスワードすべての定期更新をチェックして、資格情報の盗難リスクを減少させます。 | medium |
Microsoft Entra Connect アカウントに関連するアクセス許可を確認する | Microsoft Entra Connect アカウントに設定されたアクセス許可が正当なものかどうかを確認します。 | critical |
ドメインコントローラーが不正なユーザーに管理されている | 一部のドメインコントローラーは、危険なアクセス権限が原因で非管理ユーザーによって管理される可能性があります。 | critical |
ユーザーに対する弱いパスワードポリシーの適用 | 特定のユーザーアカウントに適用されている一部のパスワードポリシーは、十分に強力なものではなく、資格情報の盗取につながる可能性があります。 | critical |
機密性の高いGPOオブジェクトおよびファイルのアクセス許可の確認 | ドメインコントローラーや OU などの機密性の高いコンテナにリンクされている GPO オブジェクトとファイルに割り当てられたアクセス許可が適切かつ安全であることを確認します。 | critical |
安全でない下位互換性設定を持つドメイン | dsHeuristics 属性は AD の動作を変更できますが、一部のフィールドはセキュリティが脆弱であるため、セキュリティリスクを引き起こします。 | low |
機能レベルが更新されていないドメイン | 使用可能な高度な機能やセキュリティオプションを決定する、ドメインまたはフォレストの正しい機能レベルをチェックします。 | medium |
ローカル管理アカウントの管理 | ローカル管理アカウントが、LAPSを使用して一元的かつ安全に管理されていることを確認します。 | medium |
ユーザーアカウントの Kerberos 設定 | 弱い Kerberos 設定を使用するアカウントを検出します。 | medium |
DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可 | 不正ユーザーによる認証情報の窃取につながる、ルートオブジェクトの安全でないアクセス許可がないかを確認します。 | critical |
Windows 2000 以前と互換性のあるアクセス制御を使用するアカウント | セキュリティ対策をバイパスできてしまう可能性がある Windows 2000 以前と互換性のあるアクセスグループのアカウントメンバーについてチェックします。 | high |
特権グループ内の無効化されたアカウント | もう使用されないアカウントは特権グループ内に残しておかないようにする必要がある。 | low |
廃止になった OS を実行しているコンピューター | Microsoft によるサポートが終了していて、インフラの脆弱性を高める廃止されたシステムを特定します。 | high |
危険な SID History 属性を持つアカウント | SID history 属性内の特権 SID を使用するユーザーまたはコンピューターアカウントをチェックします。 | high |
Active Directory PKI での弱い暗号化アルゴリズムの使用 | 内部Active Directory PKIに実装されたルート証明書で、弱い暗号化アルゴリズムが使用されていないかを確認します。 | critical |
デフォルト管理者アカウントの最近の使用 | ビルトイン管理者アカウントの最近の使用をチェックします。 | medium |
ユーザープライマリグループ | ユーザーのプライマリグループが変更されていないことの確認 | critical |
危険な Kerberos 委任 | 許可されていない Kerberos 委任を確認し、特権ユーザーをその委任から保護します。 | critical |
可逆パスワード | 可逆形式のパスワードを保存するオプションが有効にならないことを検証します。 | medium |
GPO の可逆パスワード | GPO 環境設定で、パスワードを可逆的な形式で設定できないようになっていることを確認します。 | medium |
SDProp の一貫性を確保する | adminSDHolder オブジェクトが正常な状態を維持するように制御します。 | critical |
KRBTGTアカウントで前回行ったパスワード変更 | 推奨期間を過ぎてもパスワードを変更していない KRBTGT アカウントがないかチェックします。 | high |
ネイティブ管理グループメンバー | Active Directoryのネイティブ管理グループの異常なアカウント | critical |
Kerberos サービスを実行する特権アカウント | セキュリティに影響する Service Principal Name (SPN) 属性が設定されている高度な特権アカウントを検出します。 | critical |
標準ユーザーに AdminCount 属性が設定されている | 管理が困難なアクセス許可の問題につながる廃止されたアカウントの adminCount 属性をチェックします。 | medium |
休止アカウント | セキュリティリスクにつながる可能性のある使用されていない休止アカウントの検出 | medium |
危険な信頼関係 | ディレクトリインフラのセキュリティを低下させる、間違って設定された信頼関係属性を特定します。 | high |
パスワードが決して期限切れにならないアカウント | userAccountControl 属性に DONT_EXPIRE_PASSWORD プロパティのフラグが設定されたアカウント (パスワード更新ポリシーをバイパスして同じパスワードを無限に使い回せてしまう) がないかを確認します。 | medium |
リンクされていないか、無効化されていないか、オーファンとなっている GPO | 使用していない、または無効な GPOs はディレクトリのパフォーマンス速度や RSoP 計算速度を低下させ、セキュリティポリシーの混乱につながる可能性があります。誤って再アクティブ化すると、既存のポリシーが弱体化する可能性があります。 | low |
管理者数が多い | 管理者には昇格された特権があるので、その数が多くなるとアタックサーフェスが拡大するため、セキュリティリスクをもたらす可能性があります。特権を最小限に抑えるという原則が尊重されていない兆候でもあります。 | High |
特権アカウントに MFA がない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権アカウントで MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。 | High |
AD (ハイブリッド) と同期された特権 Entra アカウント | ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうので、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。 | High |