위험 노출 지표
| 이름 | 설명 | 심각도 |
|---|---|---|
| WSUS 위험한 구성 오류 | WSUS(Windows Server Update Services)와 관련하여 잘못된 구성된 매개 변수를 목록으로 나열합니다. | critical |
| Dangerous SYSVOL Replication Configuration | Checks that the "Distributed File System Replication" (DFS-R) mechanism replaced the "File Replication Service" (FRS). | medium |
| 비밀번호 약점 탐지 | Active Directory 계정의 취약성을 높일 수 있는 비밀번호 약점을 확인합니다. | high |
| 랜섬웨어에 대한 강화 부족 | 도메인에서 랜섬웨어로부터 보호하는 강화 조치를 구현하도록 합니다. | medium |
| ADCS 위험한 구성 오류 | Windows 공개 키 인프라(PKI)와 관련된 위험한 권한과 잘못 구성한 매개 변수를 목록으로 나타냅니다. | critical |
| GPO 실행 적절성 | 도메인 컴퓨터에 적용된 그룹 정책 개체(GPO)가 적절한지 확인합니다. | high |
| 권한 있는 사용자의 로그온 제한 | 권한 있는 사용자가 권한이 낮은 컴퓨터에 연결하면 자격 증명 탈취 위험이 발생할 수 있으니 확인해야 합니다. | high |
| Netlogon 프로토콜의 구성이 안전하지 못함 | CVE-2020-1472("Zerologon")는 Netlogon 프로토콜에 영향을 미치고 권한 상승을 허용합니다. | critical |
| 취약한 Credential Roaming 관련 특성 | Credential roaming 특성에 취약성이 있어서 사용자가 보호하는 관련 암호를 공격자가 읽을 수 있습니다. | low |
| 잠재적인 일반 텍스트 비밀번호 | 개체를 검사하여 도메인 사용자가 읽을 수 있는 특성에 일반 텍스트 비밀번호를 포함할 가능성이 있는지 확인합니다. | high |
| 위험한 중요한 권한 | 디렉터리 인프라의 보안을 취약하게 하는 잘못 구성된 중요한 특별 권한을 식별합니다. | high |
| 계정의 매핑된 인증서 | 권한 있는 개체에 매핑된 인증서가 할당되지 않도록 합니다. | critical |
| 컴퓨터 강화 GPO가 없는 도메인 | 강화 GPO가 도메인에 배포되었는지 확인합니다. | medium |
| Protected Users 그룹을 사용하지 않음 | Protected Users 그룹의 멤버가 아닌 권한 있는 사용자를 인증합니다. | high |
| 비밀번호가 비어 있을 수 있는 계정 | 빈 비밀번호를 허용하는 사용자 계정을 찾습니다. | high |
| 컴퓨터를 도메인에 조인하도록 허용된 사용자 | 일반 사용자가 외부 컴퓨터를 도메인에 조인할 수 없음을 확인합니다. | medium |
| Microsoft Entra SSO 계정 비밀번호 마지막 변경 | Microsoft Entra SSO 계정 비밀번호에 대한 정기적인 변경을 보장합니다. | high |
| AD 스키마 내 위험한 권한 | 비정상으로 간주되며 지속 수단을 제공할 가능성이 있는 스키마 입력 항목을 목록으로 나열합니다. | high |
| 오래된 비밀번호를 사용하는 사용자 계정 | Active Directory의 모든 활성 계정 비밀번호를 정기적으로 업데이트하여 자격 증명 탈취 위험을 낮추십시오. | medium |
| Microsoft Entra Connect 계정과 관련된 권한 확인 | Microsoft Entra Connect 계정에 설정된 권한이 적절한지 확인 | critical |
| 불법적 사용자가 관리하는 도메인 컨트롤러 | 일부 도메인 컨트롤러는 위험한 액세스 권한으로 인해 관리자가 아닌 사용자가 관리할 수 있습니다. | critical |
| 사용자에게 약한 비밀번호 정책 적용 | 특정 사용자 계정에 적용된 일부 비밀번호 정책이 강력하지 않아서 자격 증명 탈취로 이어질 수 있습니다. | critical |
| 중요한 GPO 개체 및 파일 권한 확인 | 중요한 컨테이너(예: 도메인 컨트롤러, OU)에 연결된 GPO 개체와 파일에 할당된 권한이 적절하고 안전한지 확인합니다. | critical |
| 위험한 이전 버전과 호환성 구성을 사용하는 도메인 | dsHeuristics 특성은 AD 동작을 수정할 수 있지만 일부 필드는 보안에 민감해서 보안 위험을 초래합니다. | low |
| 오래된 기능 수준이 존재하는 도메인 | 도메인 또는 포리스트의 기능 수준이 올바른지 확인하십시오. 이것이 고급 기능과 보안 옵션의 사용 가능성을 결정합니다. | medium |
| 로컬 관리 계정 관리 | LAPS를 사용하여 로컬 관리 계정을 한 곳에서 안전하게 관리해야 합니다. | medium |
| 사용자 계정의 Kerberos 구성 | 약한 Kerberos 구성을 사용하는 계정을 탐지합니다. | medium |
| DCSync와 유사한 공격을 허용하는 루트 개체 권한 | 루트 개체에 승인되지 않은 사용자가 인증 자격 증명을 유출할 수 있는 안전하지 않은 권한이 있는지 검사합니다. | critical |
| Windows 2000 이전 호환 액세스 제어를 사용하는 계정 | 보안 조치를 우회할 수 있는 Windows 2000 이전 호환 액세스 그룹의 계정 멤버를 확인합니다. | high |
| 권한 있는 그룹의 사용 중지된 계정 | 더 이상 사용하지 않는 계정은 권한 있는 그룹에 남겨두어서는 안 됩니다. | low |
| 사용하지 않는 OS를 실행하는 컴퓨터 | Microsoft가 더 이상 지원하지 않아서 인프라 취약성을 높이는 사용되지 않는 시스템을 찾습니다. | high |
| 위험한 SID History 특성이 있는 계정 | SID history 특성에서 권한이 있는 SID를 사용하는 사용자 또는 컴퓨터 계정을 검사합니다. | high |
| Active Directory PKI에서 약한 암호화 알고리즘 사용 | 내부 Active Directory PKI에 배포된 루트 인증서에서 사용한 약한 암호화 알고리즘을 찾습니다. | critical |
| 기본 관리자 계정의 최근 사용 | 기본 제공 관리자 계정의 최근 사용 여부를 검사합니다. | medium |
| 사용자 주 그룹 | 사용자의 주 그룹이 변경되지 않았는지 확인합니다 | critical |
| 위험한 Kerberos 위임 | 권한이 없는 Kerberos 위임을 확인하고 권한 있는 사용자를 이러한 위임으로부터 보호합니다. | critical |
| 해독 가능한 비밀번호 | 해독 가능한 형식으로 비밀번호를 저장하는 옵션이 활성화되지 않도록 확인합니다. | medium |
| GPO의 해독 가능한 비밀번호 | GPO 기본 설정이 복원 가능한 형식의 비밀번호를 허용하지 않는지 확인합니다. | medium |
| SDProp 일관성 보장 | adminSDHolder 개체가 원래 상태가 되도록 관리합니다. | critical |
| KRBTGT 계정의 마지막 비밀번호 변경 | 권장 기간 이상 비밀번호를 변경하지 않은 KRBTGT 계정을 찾습니다. | high |
| 기본 관리 그룹 멤버 | Active Directory의 기본 관리 그룹에 비정상적인 계정이 있습니다. | critical |
| Kerberos 서비스를 실행하는 권한 있는 계정 | 보안에 영향을 미치는 Service Principal Name(SPN) 특성으로 매우 권한이 높은 계정을 탐지합니다. | critical |
| AdminCount 특성을 일반 사용자에 설정 | 해제된 계정에서 관리하기 어려운 권한 문제를 일으킬 수 있는 adminCount 특성을 확인하십시오. | medium |
| 휴면 계정 | 보안 위험을 일으킬 수 있는 사용하지 않는 휴면 계정을 탐지합니다. | medium |
| 위험한 트러스트 관계 | 디렉터리 인프라의 보안을 저하하는 잘못 구성된 트러스트 관계 특성을 식별합니다. | high |
| 만료되지 않는 비밀번호를 사용하는 계정 | userAccountControl 특성에서 동일한 비밀번호를 무한하게 사용하여 비밀번호 갱신 정책을 우회하도록 하는 DONT_EXPIRE_PASSWORD 속성 플래그가 있는 계정을 찾습니다. | medium |
| 연결되지 않았거나 사용 중지되거나 연결이 없는 GPO | 미사용 또는 사용 중지된 GPO는 디렉터리 성능과 RSoP 연산 속도를 낮춰 보안 정책에 혼란을 줄 수 있습니다. 실수로 다시 활성화하는 경우, 기존 정책이 약화될 수 있습니다. | low |
| 관리자 수가 많음 | 관리자는 상승된 권한을 보유하고 있으며 관리자 수가 많으면 공격 표면이 넓어지기 때문에 보안 위험이 발생할 수 있습니다. 이것은 또한 최소 권한 원칙이 지켜지지 않고 있다는 신호입니다. | High |
| 권한 있는 계정의 MFA 누락 | MFA는 비밀번호가 약하거나 침해되는 경우에 대비해 계정에 강력한 보호를 제공합니다. 보안 모범 사례 및 표준에 따르면 특히 권한 있는 계정에는 MFA를 사용하는 것이 좋습니다. MFA 방법을 등록하지 않은 계정은 이 방식의 이점을 누릴 수 없습니다. | High |
| AD와 동기화되고 권한이 있는 Entra 계정(하이브리드) | Entra ID에 권한 있는 역할이 있고 Active Directory에서 동기화된 하이브리드 계정은 AD를 침해한 공격자가 Entra ID로 전환할 수 있게 하기 때문에 보안 위험을 초래합니다. Entra ID에서 권한 있는 계정은 클라우드 전용 계정이어야 합니다. | High |