Active Directory PKI 使用脆弱的加密演算法 在內部 Active Directory PKI 上部署的 Root 認證絕對不能使用脆弱的加密演算法 ANSSI-ADCP 持續性、權限提升、橫向移動 重要物件上的危險存取權限委派 我們發現某些存取權限會允許非法使用者控制重要的物件 BloodHound 洩漏、橫向移動、指令與控制、存取認證、權限提升 密碼原則中的多種問題 在某些特定的帳號上，目前所使用的密碼原則應不足以確保認證受到可靠的保護 Patator 規避防禦、橫向移動、存取認證、權限提升 危險的 RODC 管理帳號 負責管理唯讀網域控制器的系統管理群組中含有不正常的帳號 Impacket 存取認證、規避防禦、權限提升 與重要物件連結的敏感 GPO 某些由非系統管理帳號所管理的 GPO 會連結至敏感的 Active Directory 物件 (例如：KDC 帳號、網域控制器、系統管理群組等) ANSSI-ADCP 指令與控制、存取認證、持續性、權限提升 系統管理帳號能連接至除了網域控制器以外的其他系統 受監控的基礎架構上所部署的安全原則無法防止系統管理帳號連接除了 DC 以外的資源，導致敏感的認證洩漏 CrackMapExec 規避防禦、存取認證 危險的信任關係 不當設定的信任關係屬性會降低目錄基礎架構的安全性 Kekeo 橫向移動、存取認證、權限提升、規避防禦 GPO 中可還原的密碼 驗證 GPO 中包含的密碼不是以可還原的格式儲存 SMB 密碼編目程式 存取認證、權限提升 執行已過時作業系統的電腦 已過時的系統已不再受到廠商的支援，因此會大幅增加基礎架構的弱點 Metasploit 橫向移動、指令與控制 使用 Windows 2000 之前版本相容存取控制的帳號 Windows 2000 之前版本的相容存取群組的帳號成員可迴避特定的安全措施 Impacket 橫向移動、規避防禦 本機系統管理帳號的管理 確保本機系統管理帳號使用 LAPS 集中且安全地受到管理 CrackMapExec 防禦規避、存取認證、橫向移動 危險的匿名使用者組態 在受監控的 Active Directory 基礎架構上啟用匿名存取將會導致敏感資訊外洩 Impacket 不正常的 RODC 篩選屬性 套用在某些唯讀網域控制器的篩選原則會造成敏感資訊被快取處理，進而允許權限提升 Mimikatz (DCShadow) 權限提升、規避防禦 在橫向移動攻擊情境中缺少限制 在受監控的 Active Directory 基礎架構上沒有啟用橫向移動限制，讓攻擊者能夠以同樣的權限層級從一台機器跳到另一台機器上 CrackMapExec DC 共享區中儲存的純文字密碼 在 DC 共享區上的某些檔案可以被任何經授權的使用者存取，而其中可能會包含純文字密碼，進而允許權限提升 SMBSpider 存取認證、權限提升、持續性 登入指令碼上的危險存取控制權限 某些在電腦或使用者登入時執行的指令碼擁有危險的存取權限，進而導致權限提升 Metasploit 橫向移動、權限提升、持續性 GPO 中使用了危險的參數 某些危險的參數 (例如：限制的群組、LM 雜湊運算、NTLM 認證層級、敏感參數等等) 是由 GPO 所設定，這些參數會造成安全漏洞 Responder 搜尋、存取認證、執行、持續性、權限提升、規避防禦 使用者帳號控制 (User Account Control) 組態中所定義的危險參數 某些使用者帳號的使用者帳號控制屬性會定義危險的參數 (例如：PASSWD_NOTREQD 或 PARTIAL_SECRETS_ACCOUNT)，這些參數會危害這些帳號的安全性 Mimikatz (LSADump) 持續性、權限提升、規避防禦 沒有更新應用程式安全修補程式 某些在 Active Directory 中登錄的伺服器最近沒有套用安全更新程式 Metasploit 指令與控制權限升級、規避防禦 對使用者帳號嘗試暴力破解 某些使用者帳號已經被暴力破解攻擊鎖定 Patator 使用者帳號上的 Kerberos 組態 某些帳號會使用安全性脆弱的 Kerberos 組態 Mimikatz (Silver Ticket) 存取認證、權限提升 DC 上不正常的共享區或儲存的檔案 某些網域控制器會用來存放非必要的檔案或網路共享區 SMBSpider 搜尋、洩漏 某些儲存在 altSecurityIdentities 使用者帳號屬性中的 X509 憑證能讓憑證的私密金鑰擁有者以該使用者的身分通過身分驗證 指令與控制、存取認證、權限提升、持續性 正常帳號上的不良 Krbtgt SPN 設定 KDC 的 Service Principal Name 會出現在某些正常的使用者帳號上，進而偽造 Kerberos 工單 Mimikatz (Golden Ticket) 權限提升、持續性 KDC 密碼上次更改 KDC 帳號密碼必須定期更改 Mimikatz (Golden Ticket) 存取認證、權限提升、持續性 帳號擁有危險的 SID History 屬性 檢查在 SID 歷程屬性中使用特權 SID 的使用者或電腦帳號 DeathStar 權限提升、持續性 流氓網域控制器 確保只有合法的網域控制器伺服器登錄至 Active Directory 基礎架構中 Mimikatz (DCShadow) 執行、規避防禦、權限提升、持續性 非法的 Bitlocker 金鑰存取控制 某些儲存在 Active Directory 中的 Bitlocker 復原金鑰可以被除了系統管理員以外的人員以及連結的電腦存取 ANSSI-ADCP 存取認證、權限提升、持續性 Schema 安全描述項中不正常的項目 Active Directory Schema 被修改為新的標準存取權限或可能危害受監控基礎架構的物件 BloodHound 權限提升、持續性 啟用 DSRM 帳號 Active Directory 復原帳號被啟用，使其曝露在認證遭竊的風險之中 Mimikatz (LSADump) 存取認證、執行、規避防禦、權限提升、持續性 RODC 中危險的快取原則 某些唯讀網域控制器上所設定的快取原則會讓全域系統管理員帳號的認證被 RODC 管理帳號快取處理及擷取 Mimikatz (DCSync) 權限提升、持續性 套用在 DC 上由 GPO 部署的憑證 某些 GPO 會用來在網域控制器上部署憑證，讓憑證的私密金鑰擁有者得以入侵這些伺服器 BloodHound 權限提升、持續性 在使用智慧卡時無法更新身分驗證雜湊 某些使用智慧卡身分驗證的使用者帳號無法經常更新其認證雜湊 Mimikatz (LSADump) 使用者帳號的密碼可還原 驗證不會有參數使得密碼以可還原的格式儲存 Mimikatz (DC 同步) 在容器上使用明確的拒絕存取 某些 Active Directory 容器或 OU 會定義明確的拒絕存取，可能會導致後門程式隱藏 BloodHound 規避防禦、持續性