| \#
| Проверять
| Описание
|
|---|
| 1
| **Политика паролей**
| Минимальная длина, история, сложность, порог блокировки, обратимое шифрование, детализированные PSO.
|
| 2
| **Привилегированные учетные записи**
| Членство в группах администраторов домена, администраторов предприятия, администраторов схем и других группах с конфиденциальной информацией; устаревшие данные участников, пароли, срок действия которых не истекает, пароли в описаниях, встроенный статус администратора, возраст krbtgt.
|
| 3
| **Kerberos**
| Учетные записи, допускающие завышение рейтинга Kerberos (SPN в объектах пользователей), учетные записи, допускающие завышение рейтинга AS-REP, шифрование только DES, высокоприоритетные цели, объединяющие adminCount=1 + SPN + PasswordNeverExpires
|
| 4
| **Неограниченное делегирование**
| Компьютеры и учетные записи пользователей, не относящиеся к центру обработки данных, используются для неограниченного делегирования полномочий Kerberos.
|
| 5
| **Ограниченное делегирование**
| Учетные записи с переходом протокола (S4U2Self) и стандартными целями с ограниченным делегированием.
|
| 6
| **ADCS / PKI**
| ESC1, ESC2, ESC3, ESC6, ESC8, ESC9, ESC10, ESC11, ESC13, ESC15, слабые размеры ключей, перечисление ACL участников
|
| 7
| **Доверительное использование доменов**
| Двустороннее доверие без фильтрации SID, доверие между лесами, внешнее доверие.
|
| 8
| **Гигиена аккаунта**
| Устаревшие пользователи/компьютеры, учетные записи, в которые никогда не входили, флаг PASSWD\_NOTREQD, обратимое шифрование для каждой учетной записи, старые пароли, повторяющиеся SPN.
|
| 9
| **Безопасность протокола**
| Подписание LDAP/привязка каналов, версии операционных систем контроллеров домена, функциональный уровень домена/леса, рекомендации по NTLMv1/WDigest.
|
| 10
| **Объекты групповой политики**
| Отключенные, осиротевшие, несвязанные и пустые групповые политики; чрезмерное количество групповых политик.
|
| 11
| **LAPS**
| Обнаружение устаревших схем LAPS и схем Windows LAPS; компьютеры без паролей LAPS.
|
| 12
| **LAPS coverage**
| Процентное покрытие всех компьютеров, не являющихся центрами обработки данных, с паролем, управляемым LAPS.
|
| 13
| **DNS и инфраструктура**
| Использование подстановочных DNS-записей, рекомендации по отравлению LLMNR/NetBIOS-NS.
|
| 14
| **Контроллеры домена**
| Обнаружение отдельного контроллера домена, устаревшие ОС на контроллерах домена, роли FSMO, политика репликации паролей RODC.
|
| 15
| **ACL / Права доступа**
| Права доступа ESC4, ESC5, ESC7, DCSync для непривилегированных субъектов, группа защищенных пользователей, списки контроля доступа (ACL) для делегирования.
|
| 16
| **Дополнительные функции**
| Корзина Active Directory, управление привилегированным доступом (PAM)
|
| 17
| **Replication Health**
| Количество сайтов, интервалы репликации связей между сайтами, объекты nTDSDSA
|
| 18
| **Служебные аккаунты**
| Внедрение gMSA, обычные учетные записи пользователей, учетные записи пользователей с adminCount=1
|
| 19
| **Miscellaneous Hardening**
| Квота для учетных записей машин, время жизни удаленных файлов, членство в группах администраторов схемы/корпоративных администраторов, гостевая учетная запись, рекомендации по политике аудита.
|
| 20
| **Устаревшие операционные системы**
| Включены учетные записи компьютеров, сообщающие об окончании поддержки версий Windows.
|
| 21
| **Устаревшие протоколы**
| Обнаружение SMBv1, обеспечение подписи SMB, принятие нулевых сессий (проверка сети в реальном времени)
|
| 22
| **Exchange**
| Группа разрешений Windows Exchange (PrivExchange / CVE-2019-0686), доверенная подсистема Exchange
|
| 23
| **Защищенные администраторы**
| adminCount=1 inventory — orphaned, ghost (disabled) and stale accounts
|
| 24
| **Пароли в описаниях**
| Обнаружение учетных данных, хранящихся в поле «Описание» пользователей, администраторов и компьютеров, на основе ключевых слов.
|
| 25
| **GPP / cpassword (MS14-025)**
| Программа выполняет обход файлов XML с атрибутами групповых политик в каталоге SYSVOL
```
cpassword
```
и расшифровывает их с помощью общеизвестного ключа AES от Microsoft.
|
| 26
| **AdminSDHolder ACL**
| Считывает двоичный список
```
CN=AdminSDHolder
```
контроля доступа (DACL) и помечает непривилегированные учетные записи с правами на запись — эти записи автоматически распространяются на все защищенные учетные записи каждые 60 минут через SDProp.
|
| 27
| **История SID**
| Обнаруживает учетные записи с
```
sIDHistory
```
заполненными данными; повышает статус до CRITICAL, если какой-либо внедренный SID соответствует привилегированной группе (администраторы домена, администраторы предприятия и т. д.).
|
| 28
| **Shadow Credentials**
| Функция помечает неожиданные
```
msDS-KeyCredentialLink
```
записи в объектах пользователей и компьютеров, позволяя использовать аутентификацию на основе сертификатов без знания пароля учетной записи.
|
| 29
| **RC4 / Устаревшее шифрование Kerberos**
| Проверяет
```
msDS-SupportedEncryptionTypes
```
учетные записи служб, контроллеров домена и администраторов, чтобы выявить те, которые по-прежнему разрешают использование RC4-HMAC — уязвимого типа шифрования, специально запрашиваемого злоумышленниками для взлома в автономном режиме.
|
| 30
| **Foreign Security Principals in Privileged Groups**
| Выявляет
```
CN=ForeignSecurityPrincipals
```
и помечает любые FSP из доверенного домена, являющиеся членами конфиденциальной локальной группы (администраторы домена, операторы резервного копирования и т. д.).
|
| 31
| **Доступ, совместимый с версиями до Windows 2000.**
| Проверяет, являются ли
```
Everyone
```
или
```
Anonymous Logon
```
являются членами этой группы, что позволяет осуществлять неаутентифицированное перечисление SAMR/LSARPC из любой точки сети.
|
| 32
| **Dangerous Constrained Delegation Targets** | Проводит перекрестную проверку целевых объектов делегирования на основе имен хостов контроллеров домена и помечает учетные записи, делегирующие делегирование приоритетным классам обслуживания (
```
ldap/
```
,
```
cifs/
```
,
```
host/
```
,
```
gc/
```
,
```
krbtgt/
```
) на контроллерах домена.
|
| 33
| **Orphaned AD Subnets**
| Обнаруживает подсети без
```
siteObject
```
назначений, в результате чего клиенты получают случайный контроллер домена и потенциально маршрутизируют трафик аутентификации через каналы WAN.
|
| 34
| **Legacy FRS SYSVOL Replication**
| Определяет, продолжает ли SYSVOL реплицироваться с помощью устаревшей службы репликации файлов (File Replication Service) вместо DFSR, и помечает состояния, остановившиеся в процессе миграции.
|
| 35
| **RBCD on Domain Object / DCs**
| Проверяет
```
msDS-AllowedToActOnBehalfOfOtherIdentity
```
состояние головного узла домена NC и всех объектов компьютеров контроллера домена — любая из конфигураций предоставляет фактические права администратора домена разрешенным субъектам через S4U2Proxy.
|