Explore os Indicadores de Segurança Purple Knight

Filtros
Categoria
  • Segurança da conta
  • Delegação AD
  • Infraestrutura AD
  • Segurança da Política de Grupo
  • Segurança Kerberos
  • Azure AD
Nome do Indicador
Descrição
Severidade
  • Todos
  • Aviso
  • Informação
  • Crítico
Quadro Normativo
IoE/IoC

Sem resultados

Azure AD
Contas de hóspedes que estiveram inactivos durante mais de 30 dias
Verificações de contas de hóspedes que não assinaram, usando um sinal interactivo ou não interactivo, durante os últimos 30 dias. Contas de hóspedes inactivas deixam uma porta aberta para o seu inquilino Azure. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
Azure AD
Política de Acesso Condicional com Avaliação de Acesso Contínuo desactivado
Verificações das políticas de Acesso Condicional que têm a função de Avaliação de Acesso Contínuo desactivada. A funcionalidade de Avaliação de Acesso Contínuo permite revogar o código de acesso para aplicações Microsoft e limitar o tempo que um atacante tem acesso aos dados da empresa. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • COI
Azure AD
AAD Connect sync password da conta de sincronização redefinida
Verificações das políticas de Acesso Condicional que têm a função de Avaliação de Acesso Contínuo desactivada. A funcionalidade de Avaliação de Acesso Contínuo permite revogar o código de acesso para aplicações Microsoft e limitar o tempo que um atacante tem acesso aos dados da empresa. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
Infraestrutura AD
Credenciais de utilizadores privilegiados em cache no RODC
Procura utilizadores privilegiados com credenciais que se encontram em cache nos RODCs. Embora não seja imediatamente indicativo de um ataque, as contas de utilizadores privilegiados são sensíveis e não devem ser colocadas em cache nos RODCs, uma vez que a sua segurança física não é tão robusta como um DC completo. Informação
  • MITRE ATT&CK:

    Movimento Lateral

    Escalada de Privilégios

  • IOE
Infraestrutura AD
Caminhos de controlo perigosos expõem modelos de certificados
Procura por principiantes não faltosos com a capacidade de escrever propriedades num modelo de certificado. Os utilizadores não privilegiados com propriedades de escrita em modelos de certificado têm a capacidade de aumentar o seu acesso e criar certificados vulneráveis para se inscreverem. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_adcs_template_ control

  • MITRE D3FEND:

    Detectar - Análise de certificados

  • IOE
  • COI
Infraestrutura AD
Conjunto de Atributos de Confiança Perigosos
Identifica os trusts com um dos seguintes atributos definidos TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION ou TRUST_ATTRIBUTE_ PIM_TRUST. A definição destes atributos permitirá ou delegar um bilhete Kerberos ou reduzir a protecção que a filtragem SID proporciona. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Política de confiança de domínio

  • IOE
  • COI
Infraestrutura AD
Provas de ataque de Mimikatz DCShadow
Procura provas de que uma máquina foi utilizada para injectar alterações arbitrárias no AD usando um controlador de domínio "falso". Estas alterações contornam o registo de eventos de segurança e não podem ser detectadas utilizando ferramentas de monitorização padrão. Crítico
  • MITRE ATT&CK:

    Evasão de Defesa

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

    Isolado - Isolamento de Execução

  • IOE
  • COI
Infraestrutura AD
Acesso sem falha à chave de raiz gMSA
Procura por principiantes não faltosos com permissões para ler o atributo msKds-RootKeyData na chave de raiz KDS. Os utilizadores com permissões de leitura desta propriedade podem comprometer todas as contas gMSA na floresta. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_permissions_ gmsa_keys

    vuln2_permissions_ gmsa_keys

  • IOE
  • COI
Infraestrutura AD
Permissões de esquemas não normalizados
Procura por mandantes adicionais com quaisquer permissões para além das genéricas Leia as partições do esquema. Por defeito, as permissões de modificação no esquema estão limitadas aos Administradores do Esquema. Estas permissões concedem ao mandante de confiança o controlo completo sobre o Active Directory. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de configuração do sistema

  • IOE
  • COI
Infraestrutura AD
SIDs privilegiados bem conhecidos na sIDHistory
Procura princípios de segurança que contenham SID específicos de contas de grupos privilegiados incorporados dentro do atributo sIDHistory. Permite que esses princípios de segurança tenham os mesmos privilégios que essas contas privilegiadas, mas de uma forma que não é óbvia para controlar (por exemplo, através da adesão a um grupo). Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Escalada de Privilégios

  • ANSSI:

    vuln2_sidhistory_dan- gerous vuln3_sidhistory_presente

  • IOE
  • COI
Infraestrutura AD
Autoridade Certificadora AD com inscrição na Web (PetitPotam e ESC8)
Identifica os servidores AD CS no domínio que aceitam a autenticação NTLM para a inscrição na Web. Os atacantes podem abusar de uma falha no registo de AD CS Web Enrollment que permite que os ataques de retransmissão NTLM se autentiquem como um utilizador privilegiado. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Infraestrutura AD
Acesso anónimo ao Active Directory activado
Procura a presença da bandeira que permite o acesso anónimo. O acesso anónimo permitiria aos utilizadores não autenticados a consulta de AD. Crítico
  • MITRE ATT&CK:

    Evasão de Defesa

    Acesso Inicial

    Persistência

    Escalada de Privilégios

  • ANSSI:

    vuln2_compatível_2000_ anónimo

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Infraestrutura AD
Acesso anónimo NSPI ao AD activado
Detecta quando o acesso à interface de fornecedor de serviços de nomes anónimos (NSPI) está activado. Permite ligações anónimas baseadas em RPC para AD. O NSPI raramente é activado, por isso, se se verificar que está activado, deve ser motivo de preocupação. Aviso
  • MITRE ATT&CK:

    Acesso Inicial

  • ANSSI:

    vuln1_dsheuristics_bad

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Infraestrutura AD
Modelos de certificados que permitem aos requerentes especificar um assuntoAltName
Verifica se os modelos de certificado permitem aos requerentes especificar um assuntoAltName no CSR. Quando os modelos de certificado permitem aos requerentes especificar um subjectAltName no CSR, o resultado é que podem solicitar um certificado como qualquer pessoa (por exemplo, um administrador de domínio). Quando isso é combinado com um EKU de autenticação presente no modelo de certificado, pode tornar-se extremamente perigoso. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Análise de certificados

  • IOE
Infraestrutura AD
Modelos de certificados com três ou mais configurações inseguras
Verifica se os modelos de certificados na floresta têm um mínimo de três configurações inseguras: A aprovação do gestor está desactivada, Não são necessárias assinaturas autorizadas, SAN activada, Autenticação EKU presente. Cada uma destas configurações pode ser explorada pelos adversários para obter acesso. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Análise de certificados

  • IOE
Infraestrutura AD
Computadores com versões de SO mais antigas
Procura contas de máquinas que estejam a correr versões mais antigas do Windows Server 2012 R2 e Windows 8.1. Os computadores que correm versões mais antigas e sem suporte de SO podem ser alvo de explorações conhecidas ou não. Informação
  • MITRE ATT&CK:

    Movimento Lateral

    Persistência

  • MITRE D3FEND:

    Harden - Actualização de software

  • IOE
Infraestrutura AD
Computadores com palavra-passe definidos pela última vez há mais de 90 dias
"Procura contas de computador que não tenham rodado automaticamente as suas palavras-passe. As contas de computador devem rodar automaticamente as suas palavras-passe de 30 em 30 dias; os objectos que não o tenham feito podem apresentar indícios de adulteração". Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_password_ change_server_no_ change_90

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Infraestrutura AD
Controladores de domínio num estado inconsistente
Procura controladores de domínio que possam estar num estado inconsistente, indicando um possível DC velhaco ou não funcional. Máquinas ilegítimas actuando como DC podem indicar que alguém comprometeu o ambiente (por exemplo, usando DCShadow ou ataque de DC spoofing semelhante). Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

    Desenvolvimento de Recursos

  • ANSSI:

    vuln1_dc_inconsistent_ uac

  • IOE
Infraestrutura AD
Controladores de domínio que não se tenham autenticado no domínio durante mais de 45 dias
Procura controladores de domínio que não tenham autenticado o domínio em mais de 45 dias. A falta de autenticação do domínio revela máquinas fora da sincronização. Se um atacante comprometer um DC offline e quebrar as credenciais ou voltar a ligar-se ao domínio, poderá ser capaz de introduzir alterações indesejadas no Active Directory. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • ANSSI:

    vuln1_password_ change_inactive_dc

  • MITRE D3FEND:

    Isolado - Isolamento de Execução

  • IOE
Infraestrutura AD
Controladores de domínio com palavras-passe antigas
"Procura contas de máquinas de controlo de domínio cuja palavra-passe não tenha sido redefinida em mais de 45 dias. As contas de máquinas com senhas mais antigas poderiam indicar uma CD que já não funciona no domínio. Além disso, as CD com passwords de contas de máquinas mais antigas poderiam ser mais facilmente retomadas". Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

    Desenvolvimento de Recursos

  • IOE
Infraestrutura AD
Confiança do domínio a um domínio de terceiros sem quarentena
Procura fundos florestais de saída que têm a bandeira de quarentena hasteada em falso. Um atacante que tenha comprometido o domínio remoto pode criar uma conta "falsificável" para obter acesso a todos os recursos no domínio local. Se um caminho de controlo perigoso for exposto, qualquer conta "falsificável" pode também aumentar os seus privilégios até aos administradores do domínio e comprometer toda a floresta". Aviso
  • MITRE ATT&CK:

    Movimento Lateral

  • ANSSI:

    vuln1_trusts_domain_nãofiltrado

  • MITRE D3FEND:

    Harden - Política de confiança de domínio

  • IOE
Infraestrutura AD
Domínios com níveis funcionais obsoletos
Procura domínios AD que tenham um nível funcional de domínio definido para Windows Server 2012 ou inferior. Níveis funcionais mais baixos significam que as novas características de segurança disponíveis no AD não podem ser alavancadas. Informação
  • MITRE ATT&CK:

    Reconhecimento

  • MITRE D3FEND:

    Harden - Actualização de software

  • IOE
Infraestrutura AD
gMSA não utilizado
Verificações de objectos de Contas de Serviços Geridos de Grupo (gMSA) habilitados no domínio. A funcionalidade gMSA no Windows Server 2016 permite a rotação automática de senhas para contas de serviço, tornando-as muito mais difíceis para os atacantes de comprometerem. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Infraestrutura AD
objectos gMSA com palavras-passe antigas
Procura contas de serviços geridos em grupo (gMSA) que não tenham rodado automaticamente as suas palavras-passe. Os objectos que não tenham rodado as suas palavras-passe regularmente poderiam mostrar provas de adulteração. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Infraestrutura AD
A assinatura do LDAP não é necessária nos Controladores de Domínios
Procura controladores de domínio onde a assinatura do LDAP não é necessária. O tráfego de rede não assinado é exposto a ataques MITM (Man-in-the-Middle), onde os atacantes alteram os pacotes e os reencaminham para o servidor LDAP, levando o servidor a tomar decisões baseadas em pedidos forjados do cliente LDAP. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Infraestrutura AD
Replicação do NTFRS SYSVOL
Procura indicação de utilização de FRS para replicação SYSVOL. NTFRS é um protocolo mais antigo que foi substituído pelo DFSR. Atacantes que podem manipular vulnerabilidades NTFRS para comprometer o SYSVOL podem potencialmente alterar GPOs e scripts de logon para propagar malware e mover-se lateralmente através do ambiente. Aviso
  • MITRE ATT&CK:

    Colecção

  • ANSSI:

    vuln2_sysvol_ntfrs

  • IOE
Infraestrutura AD
Grupos de operadores já não protegidos por AdminSDHolder e SDProp
Verifica se a dwAdminSDExMask no dsHeurstics foi definida, o que indica uma mudança no comportamento do SDProp que poderia comprometer a segurança. Uma alteração ao comportamento do AdminSDHolder SDProp poderia indicar uma tentativa de evasão à defesa. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Infraestrutura AD
Confiança florestal de saída com a História da SID activada
Procura fundos florestais de saída que tenham a bandeira TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL colocada para verdadeiro. Se esta bandeira for colocada, um trust florestal cruzado para um domínio é tratado como um trust externo para efeitos de filtragem SID. Este atributo relaxa a filtragem mais rigorosa realizada em fideicomissos de cross-forest. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

  • ANSSI:

    vuln1_trusts_forest_forest_sidy- história

  • MITRE D3FEND:

    Harden - Política de confiança de domínio

  • IOE
Infraestrutura AD
O serviço de spooler de impressão está activado num CD
Procura controladores de domínio que tenham o serviço de spooler de impressão em funcionamento, que é activado por defeito. Foram encontradas várias falhas críticas nos serviços do Windows Print Spooler, que afectam directamente os spoolers de impressão instalados nos controladores de domínio, permitindo a execução de código remoto. Crítico
  • MITRE ATT&CK:

    Execução

    Movimento Lateral

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Actualização de software

  • IOE
Infraestrutura AD
Caching arriscado de credenciais RODC
Procura uma Política de Replicação de Senha que permita objectos privilegiados. Se os utilizadores privilegiados estiverem na lista de permissão, podem ser expostos a roubo de credenciais num RODC. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_rodc_priv_ revelado

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Infraestrutura AD
Configuração DNS sem segurança
Procura zonas DNS configuradas com ZONE_UPDATE_UNSECURE, o que permite actualizar um registo DSN de forma anónima. Um atacante poderia aproveitar esta exposição para adicionar um novo registo DSN ou substituir um registo DNS existente para falsificar uma interface de gestão, depois esperar por ligações de entrada a fim de roubar credenciais. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_dnszone_bad_ prop

  • IOE
Infraestrutura AD
Fraca encriptação de certificados
Procura certificados armazenados no Active Directory com chaves de tamanho inferior a 2048 bits ou usando encriptação DSA. Certificados fracos podem ser abusados por atacantes para obter acesso a sistemas que utilizam autenticação de certificados. Crítico
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_certificates_vuln

  • MITRE D3FEND:

    Harden - Autenticação baseada em certificados

  • IOE
Infraestrutura AD
Vulnerabilidade Zerologon
Procura uma vulnerabilidade de segurança ao CVE-2020-1472, que foi remendado pela Microsoft em Agosto de 2020. Sem esta correcção, um atacante não autenticado pode explorar o CVE-2020-1472 para elevar os seus privilégios e obter acesso administrativo ao domínio. Crítico
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Delegação AD
Mudanças nos especificadores de display AD nos últimos 90 dias
Procura alterações recentes feitas ao atributo adminContextMenu em especificadores de expositores AD. A modificação deste atributo pode potencialmente permitir que os atacantes utilizem menus de contexto para fazer com que os utilizadores executem código arbitrário. Informação
  • MITRE ATT&CK:

    Evasão de Defesa

  • IOE
  • COI
Delegação AD
Alterações ao esquema de descritores de segurança por defeito nos últimos 90 dias
Detecta alterações recentes de atributos de esquema feitas no descritor de segurança padrão. Se um atacante tiver acesso à instância do esquema numa floresta, quaisquer alterações feitas podem propagar-se a objectos recentemente criados na AD, enfraquecendo potencialmente a postura de segurança da AD. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Delegação AD
Hereditariedade activada no objecto AdminSDHolder
Os cheques por herança são activados na Lista de Controlo de Acesso (ACL) do objecto AdminSDHolder, o que poderia indicar uma tentativa de modificar permissões em objectos privilegiados que estão sujeitos a AdminSDHolder (por exemplo, utilizadores ou grupos com adminCount=1). As alterações ao objecto AdminSDHolder são muito raras. Os administradores devem saber que foi feita uma alteração e ser capazes de articular a razão da alteração. Se a alteração não foi intencional, a probabilidade de compromisso é muito elevada. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Evasão de Defesa

  • IOE
  • COI
Delegação AD
Valor não por defeito em ms-Mcs-AdmPwd SearchFlags
Procura por alterações nas Flags de pesquisa padrão no esquema ms-Mcs-AdmPwd. Algumas bandeiras podem inadvertidamente fazer com que a palavra-passe seja visível para utilizadores não intencionais, permitindo que um atacante a utilize como uma porta traseira furtiva. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
  • COI
Delegação AD
Utilizadores não privilegiados com acesso a palavras-passe gMSA
Procura os principais membros do MSDS-groupMSAmembership que não estejam nos grupos de administração incorporados. Um atacante que controla o acesso à conta gMSA pode recuperar palavras-passe para recursos geridos com gMSA. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
  • COI
Delegação AD
Objectos em grupos de omissão sem adminCount=1 (SDProp)
Procura objectos em grupos de omissão protegidos cujo atributo adminCount não está definido como 1. Se um objecto dentro destes grupos tiver um adminCount não igual a 1, pode significar que os DACLs foram definidos manualmente (sem herança) ou que existe um problema com o processo SDProp. Informação
  • MITRE ATT&CK:

    Evasão de Defesa

    Persistência

  • IOE
  • COI
Delegação AD
Alterações de permissão no objecto AdminSDHolder
Procura alterações na Lista de Controlo de Acesso (ACL) no objecto AdminSDHolder. Pode indicar uma tentativa de modificar as permissões em objectos privilegiados que estão sujeitos a AdminSDHolder. Crítico
  • MITRE ATT&CK:

    Evasão de Defesa

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_ adminsdholder

    vuln1_privileged_mem- bers_perm

  • IOE
  • COI
Delegação AD
Conta de convidado embutida está activada
Verificações para assegurar que a conta "convidado" de AD embutida está desactivada. Uma conta de convidado activada permite o acesso sem palavra-passe ao domínio, o que pode apresentar um risco de segurança. Informação
  • MITRE ATT&CK:

    Análise

    Reconhecimento

  • MITRE D3FEND:

    Evitar - Bloqueio de contas

  • IOE
Delegação AD
Alterações às permissões de leitura do MS LAPS
Procura permissões em contas de computador que possam permitir a exposição inadvertida de contas de administrador local em ambientes que utilizam Microsoft LAPS. Os atacantes podem utilizar esta capacidade para se deslocarem lateralmente através de um domínio utilizando contas de administrador local comprometidas. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Delegação AD
O proprietário do Controlador do domínio não é um administrador
Procura contas de computador Controlador de Domínio cujo dono não seja um Administrador de Domínio, Administrador de Empresa, ou uma conta de Administrador incorporada. A obtenção de controlo de contas de máquinas DC permite um caminho fácil para comprometer o domínio. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_dc

  • MITRE D3FEND:

    Harden - Permissões de configuração do sistema

  • IOE
Delegação AD
Enterprise Key Admins com acesso total ao domínio
Procura provas de um bug em certas versões do Windows Server 2016 Adprep que concedeu acesso indevido ao grupo Enterprise Key Admins. Este problema foi corrigido numa versão posterior do Windows 2016; contudo, se esta correcção não tiver sido aplicada, este bug concede a este grupo a capacidade de replicar todas as alterações do AD (ataque DCSync). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

  • ANSSI:

    vuln2_adupdate_bad

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Delegação AD
Os Princípios de Segurança Estrangeiros no Grupo dos Privilegiados
Procura membros de grupos protegidos integrados que sejam Foreign Security Principals. Deve ser tomado especial cuidado ao incluir contas de outros domínios como membros de grupos privilegiados. Os Foreign Security Principals não têm o atributo adminCount e, portanto, podem não ser detectados por alguns instrumentos de auditoria de segurança. Adicionalmente, um atacante pode adicionar uma conta privilegiada e tentar escondê-la utilizando este método. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Persistência

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
Delegação AD
Acesso sem falhas à chave DPAPI
Verifica os controladores de domínio para os princípios não faltosos que estão autorizados a recuperar a chave de reserva do domínio DPAPI. Com estas permissões, um atacante poderia recuperar todos os dados do domínio encriptados através de DPAPI. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_permissions_dpapi

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Delegação AD
Titulares não faltosos com direitos DC Sync no domínio
Procura os princípios de segurança com Replicating Changes All ou Replicating Directory Altera as permissões no objecto de contexto de nomenclatura de domínios. Os princípios de segurança com estas permissões no objecto de contexto de nomenclatura de domínios podem potencialmente recuperar hashes de palavra-passe para utilizadores num domínio AD (ataque DCSync). Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_permissions_naming_context

  • IOE
Delegação AD
Objectos privilegiados com proprietários desprivilegiados
Procura objectos privilegiados (adminCount =1) que são propriedade de uma conta sem privilégios. Qualquer compromisso de uma conta sem privilégios poderia resultar na modificação da delegação de um objecto privilegiado. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_ adminsdholder

  • IOE
Delegação AD
Utilizadores sem privilégios podem adicionar contas de computador ao domínio
Verifica se os membros não privilegiados do domínio estão autorizados a adicionar contas de computador a um domínio. Ter a capacidade de adicionar contas de computador a um domínio pode ser abusado por ataques baseados em Kerberos. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

  • IOE
Delegação AD
Utilizadores com permissões para definir conta de confiança no servidor
Verifica as permissões da cabeça NC de domínio para ver se a bandeira Server_Trust_Account está configurada em objectos de computador. Um atacante que possa semear utilizadores autenticados com estas permissões pode utilizar o seu acesso para promover qualquer computador que controle para o estatuto de Controlador de Domínio, permitindo a escalada de privilégios para serviços AD e realizando ataques de acesso a credenciais, tais como DCSync. Crítico
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Segurança Kerberos
Tomada de posse da conta do computador através da delegação de restrição baseada em recursos de Kerberos (RBCD)
Procura o atributo msDS-Allowed-ToActOnBehalfOfOtherIdentity em objectos informáticos. Os atacantes poderiam usar a configuração do Kerberos RBCD para aumentar os privilégios através de um computador que controlam, se esse computador tiver delegação no sistema alvo. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

    Escalada de Privilégios

  • IOE
  • COI
Segurança Kerberos
Controladores de domínio com Delegação Restrita Baseada em Recursos (RBCD) activada
Detecta uma configuração que concede certas contas com delegação completa aos controladores de domínio. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Movimento Lateral

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_sour- cedeleg

  • IOE
  • COI
Segurança Kerberos
Configuração da delegação de transição do protocolo Kerberos
Procura serviços que tenham sido configurados para permitir a transição do protocolo Kerberos, que basicamente diz que um serviço delegado pode utilizar qualquer protocolo de autenticação disponível. Serviços comprometidos podem reduzir a qualidade do seu protocolo de autenticação que é mais facilmente comprometida (por exemplo, NTLM). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

    Escalada de Privilégios

  • IOE
  • COI
Segurança Kerberos
Conta krbtgt com Delegação Restrita Baseada em Recursos (RBCD) activada
Procura uma conta krbtgt que tenha uma Delegação Restrita Baseada em Recursos (RBCD) definida. Normalmente, as delegações não devem ser criadas na conta krbtgt; se forem encontradas, podem representar um risco significativo e devem ser mitigadas rapidamente. Crítico
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
  • COI
Segurança Kerberos
Objectos com delegação restrita configurada
Procura quaisquer objectos que tenham valores no atributo msDS-AllowedToDelegateTo (ou seja, delegação restrita) e não tem o bit UserAccountControl para o conjunto de transição de protocolo. Os atacantes podem utilizar delegações para se deslocarem lateralmente ou aumentar os privilégios se comprometerem um serviço em que se confia delegar. Informação
  • MITRE ATT&CK:

    Movimento Lateral

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Segurança Kerberos
Os directores com delegação de autenticação restrita habilitados para um serviço DC
Procura computadores e utilizadores que tenham restringido a delegação habilitada para um serviço em funcionamento num CD. Se um atacante pode criar tal delegação, pode autenticar-se a esse serviço utilizando qualquer utilizador que não esteja protegido contra delegação. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Segurança Kerberos
Príncipes com delegação restrita usando transição de protocolo permitida para um serviço de CD
Procura computadores e utilizadores que tenham restringido a delegação utilizando a transição de protocolo definida contra um serviço em funcionamento num CD. Se um atacante pode criar tal delegação para um serviço que possa controlar ou comprometer um serviço existente, pode efectivamente ganhar um TGS para qualquer utilizador com privilégios para o CD. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_t2a4d

  • IOE
  • COI
Segurança Kerberos
Utilizadores privilegiados com ServiçoNomes PRINCIPAIS definidos
Procura contas com o atributo adminCount definido como 1 AND ServicePrincipalNames (SPNs) definido na conta. As contas privilegiadas que têm um SPN definido são alvos de ataques baseados em Kerberos que podem elevar os privilégios a essas contas. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • ANSSI:

    vuln1_spn_priv

  • IOE
  • COI
Segurança Kerberos
Utilizadores com ServiçoPrincipalNome Definido
Fornece uma forma de inventariar visualmente todas as contas de utilizadores que têm ServicePrincipalNames (SPNs) definidos. Geralmente, os SPNs só são definidos para serviços "Kerberized"; outras contas com um SPN podem ser motivo de preocupação. Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Segurança Kerberos
Contas com Constrained Delegation configurada para krbtgt
Procura contas que tenham a delegação restrita configurada para o serviço krbtgt. A criação de uma delegação Kerberos à própria conta krbtgt permite a esse comitente (utilizador ou computador) gerar um pedido de Ticket Granting Service (TGS) para a conta krbtgt como qualquer utilizador, o que tem o efeito de gerar um Ticket Granting Ticket (TGT) semelhante a um Bilhete Dourado. Crítico
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_a2d2

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
Segurança Kerberos
Contas de computador ou de utilizadores com delegação sem restrições
Procura contas de computador ou de utilizador de confiança para a delegação de Kerberos sem constrangimentos. As contas com delegação sem restrições são facilmente alvo de ataques baseados em Kerberos. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Movimento Lateral

  • ANSSI:

    vuln2_delegation_t4d

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
Segurança Kerberos
Conta Kerberos krbtgt com palavra-passe antiga
Procura uma conta de utilizador krbtgt cuja palavra-passe não tenha sido alterada nos últimos 180 dias. Se a palavra-passe da conta krbtgt for comprometida, os ataques Golden Ticket podem ser efectuados para obter acesso a qualquer recurso de um domínio AD. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_krbtgt

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança Kerberos
O tipo de encriptação RC4 ou DES é suportado pelos Controladores de Domínio
Verifica se a encriptação RC4 ou DES é suportada por controladores de domínio. RC4 e DES são considerados uma forma insegura de encriptação, susceptível a vários ataques criptográficos. Vulnerabilidades múltiplas no algoritmo RC4 ou DES permitem ataques MITM (Man-in-the-Middle) e decifrar. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Segurança Kerberos
Escrever o acesso ao RBCD em CD
Procura utilizadores que não estejam em Administradores de Domínios, Administradores de Empresas, ou grupos de Administradores Incorporados que tenham acesso de escrita na Delegação Restrita Baseada em Recursos (RBCD) para controladores de domínios. Os atacantes que podem obter acesso de escrita ao RBCD para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador (excepto nos casos em que a delegação é explicitamente recusada). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Segurança Kerberos
Escrever o acesso ao RBCD na conta krbtgt
Procura utilizadores que não estejam em Admins de Domínios, Enterprise Admins, ou grupos de Admins Incorporados que tenham acesso por escrito na Resource-Based Constrained Delegation (RBCD) para a conta krbtgt. Os atacantes que podem obter acesso de escrita ao RBCD para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador (excepto nos casos em que a delegação é explicitamente recusada). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Segurança da conta
Utilizadores privilegiados com uma política de senha fraca
Procura utilizadores privilegiados em cada domínio que não tenham uma política de senhas forte aplicada, de acordo com o quadro ANSSI . Verifica tanto a Política de Palavra-passe de Grão Fino (FGPP) como a política de palavra-passe aplicada ao domínio. Uma senha forte definida pela ANSSI tem pelo menos oito caracteres e é actualizada o mais tardar de três em três anos. As senhas fracas são mais fáceis de quebrar através de ataques de força bruta e podem proporcionar aos atacantes oportunidades de se moverem lateralmente ou de aumentarem os privilégios. O risco é ainda maior para as contas privilegiadas, pois quando comprometidas melhoram a hipótese de o atacante avançar rapidamente dentro da rede. Crítico
  • MITRE ATT&CK:

    Análise

  • ANSSI:

    vuln2_privileged_mem- bers_password

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
  • COI
Segurança da conta
Actividade recente de criação de conta privilegiada
Procura quaisquer utilizadores ou grupos privilegiados (adminCount = 1) que tenham sido criados recentemente. Permite detectar contas e grupos privilegiados que tenham sido criados sem conhecimento prévio. Informação
  • MITRE ATT&CK:

    Persistência

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Segurança da conta
Mudanças recentes na história lateral de objectos
Detecta quaisquer alterações recentes à sIDHistoria sobre objectos, incluindo alterações a contas não-privilegiadas onde são adicionados SIDs privilegiados. Os atacantes precisam de acesso privilegiado ao AD para poderem escrever à sIDHistory, mas se tais direitos existirem, então escrever SIDs privilegiados em contas de utilizadores regulares é uma forma furtiva de criar contas de backdoor. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
  • COI
Segurança da conta
Contas desprotegidas com adminCount=1
Procura quaisquer utilizadores ou grupos que possam estar sob o controlo da SDProp (adminCount=1) mas que já não sejam membros de grupos privilegiados. Pode ser a prova de um atacante que tentou cobrir os seus rastos e remover um utilizador que usou para se comprometer. Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
  • COI
Segurança da conta
Utilizadores e computadores com IDs de grupos primários não faltosos
Devolve uma lista de todos os utilizadores e computadores cujos IDs de grupo primários (PGIDs) não são os valores por defeito para utilizadores de domínio e computadores. A modificação do ID de grupo primário é uma forma furtiva de um atacante escalar privilégios sem desencadear a auditoria de atributos de membro para alterações de membros de grupo. Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_primary_group_ id_1000

    vuln3_primary_group_ id_nochange

  • IOE
  • COI
Segurança da conta
Utilizadores e computadores sem PGID legível
Encontra utilizadores e computadores que não conseguem ler o ID do Grupo Primário (PGID). Pode ser causado pela remoção da permissão de leitura padrão, que poderia indicar uma tentativa de ocultar o utilizador (em combinação com a remoção do atributo memberOf). Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

  • IOE
  • COI
Segurança da conta
FGPP não aplicado ao Grupo
Procura uma política de palavra-passe de grão fino (FGPP) dirigida a um grupo Universal ou Domínio Local. A alteração da definição do âmbito de um grupo de Global para Universal ou Domínio Local, faz com que as definições FGPP deixem de se aplicar a esse grupo, diminuindo assim os seus controlos de segurança de palavra-passe. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Persistência

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
A floresta contém mais de 50 contas privilegiadas
Conta o número de contas privilegiadas na floresta. Em geral, quanto maior o número de utilizadores privilegiados, maior será o número de oportunidades para os atacantes comprometerem um desses utilizadores. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

    Reconhecimento

  • ANSSI:

    vuln1_privileged_members

  • IOE
Segurança da conta
Grupos de operadores que não estão vazios
Procura grupos de operadores (Operadores de Conta, Operadores de Servidor, Operadores de Backup, Operadores de Impressão) que contenham membros. Estes grupos têm acesso por escrito a recursos críticos no domínio; os atacantes que são membros destes grupos podem assumir o controlo indirecto do domínio. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Segurança da conta
Contas privilegiadas com uma palavra-passe que nunca expira
Identifica as contas privilegiadas (adminCount = 1) onde a bandeira "Password Never Expires" está colocada. Contas de utilizadores cujas palavras-passe nunca expiram são alvos maduros para adivinhar a palavra-passe de força bruta. Se estas contas forem também contas administrativas ou privilegiadas, isto torna-as mais um alvo. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • ANSSI:

    vuln1_dont_expire_priv

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
Utilizadores privilegiados que são deficientes
Procura contas de utilizadores privilegiados que estejam incapacitados. Se uma conta privilegiada for desactivada, deve ser removida do(s) seu(s) grupo(s) privilegiado(s) para evitar o seu uso indevido inadvertido. Informação
  • MITRE ATT&CK:

    Escalada de Privilégios

  • MITRE D3FEND:

    Harden - Permissões de conta de utilizador

  • IOE
Segurança da conta
Grupo de Utilizadores Protegidos não em uso
Detecta quando os utilizadores privilegiados não são um membro do grupo de Utilizadores Protegidos. O grupo de Utilizadores Protegidos proporciona aos utilizadores privilegiados uma protecção adicional contra ataques directos de roubo de credenciais. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln3_protected_users

  • IOE
Segurança da conta
Contas de confiança com palavras-passe antigas
Procura contas fiduciárias cuja palavra-chave não tenha sido alterada no último ano. As contas fiduciárias facilitam a autenticação através dos trusts e devem ser protegidas como contas de utilizadores privilegiados. Normalmente, as senhas das contas fiduciárias são rodadas automaticamente, pelo que uma conta fiduciária sem uma alteração recente de senha poderia indicar uma conta fiduciária órfã. Informação
  • MITRE ATT&CK:

    Acesso Inicial

  • ANSSI:

    vuln2_trusts_accounts

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
Directores sem privilégios como administradores do DNS
Procura qualquer membro do grupo Admins do DNS que não seja um utilizador privilegiado. Os membros deste grupo podem ser delegados a administradores não-AD (por exemplo, administradores com responsabilidades de rede, tais como DNS, DHCP, etc.), o que pode resultar em que estas contas sejam alvos privilegiados de compromisso. Aviso
  • MITRE ATT&CK:

    Execução

  • ANSSI:

    vuln1_dnsadmins

    vuln1_permissions_msdn

  • IOE
Segurança da conta
Contas de utilizadores que armazenam palavras-passe com cifra reversível
Identifica contas com a bandeira "ENCRYPTED_TEXT_PWD_ALLOWED" activada. Os atacantes podem ser capazes de inferir as palavras-passe destes utilizadores a partir do texto cifrado e assumir o controlo destas contas. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln3_reversible_password

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
Contas de utilizadores que utilizam encriptação DES
Identifica contas de utilizador com o conjunto de bandeiras "Usar tipos de encriptação Kerberos DES para esta conta". Os atacantes podem facilmente decifrar senhas DES utilizando ferramentas amplamente disponíveis, tornando estas contas maduras para a aquisição. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_kerberos_properties_deskey

  • IOE
Segurança da conta
Contas de utilizador com palavra-passe não necessárias
Identifica as contas de utilizador onde não é necessária uma palavra-passe. As contas com fracos controlos de acesso são frequentemente alvo de ataques de movimento lateral ou como meio de persistência no ambiente. Informação
  • MITRE ATT&CK:

    Movimento Lateral

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
Utilizadores com pré autenticação Kerberos desactivada
Procura utilizadores com a pré-autenticação de Kerberos desactivada. Estes utilizadores podem ser alvo de ataques de ASREP-Roasting (como "Kerberoasting"). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln1_kerberos_prop- erties_preauth_priv

    vuln2_kerberos_prop- erties_preauth

  • IOE
Segurança da conta
Utilizadores marcados para não expirar a palavra-passe
Identifica as contas de utilizador marcadas com "Password Never Expires". Estas contas podem ser alvos potenciais de ataques por brute force. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_dont_expire

  • IOE
Segurança da conta
Utilizadores com palavras-passe antigas
Procura contas de utilizador cuja palavra-chave não tenha sido alterada em mais de 180 dias. Estas contas podem ser alvo de ataques de adivinhação da palavra-passe. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Persistência

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
Actualização de palavra-passe anormal
Procura contas de utilizador com uma alteração recente do pwdLastSet sem uma replicação de palavra-passe correspondente. Se a opção "User must change password at next logon" for definida e depois apagada, poderá indicar um erro administrativo ou uma tentativa de contornar a política de palavra-passe da organização. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
  • COI
Segurança da conta
Objectos AD criados nos últimos 10 dias
Procura quaisquer objectos AD que tenham sido criados recentemente. Permite-lhe detectar relatos desconhecidos ou ilegítimos. Significa ser utilizado para a caça de ameaças, investigação pós-investigação, ou validação de compromisso. Informação
  • MITRE ATT&CK:

    Movimento Lateral

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
  • COI
Segurança da conta
Administradores com palavras-passe antigas
Procura contas Admin cuja palavra-chave não tenha sido alterada há mais de 180 dias. Se as palavras-passe das contas Admin não forem alteradas regularmente, estas contas poderão vulneráveis a ataques de adivinhação de palavra-passe. Aviso
  • MITRE ATT&CK:

    Análise

  • ANSSI:

    vuln1_password_ change_priv

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
Conta Administrador do domínio (rid 500) utilizada nas últimas duas semanas
Verifica se o valor do atributo lastLogonTimestamp para a conta de Administrador do Domínio (rid 500) foi recentemente actualizado. Pode indicar que o utilizador foi comprometido. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

  • MITRE D3FEND:

    Detectar - Análise do Âmbito do Compromisso de Credenciais

    Harden - Política de Senha Forte

  • IOE
  • COI
Segurança da conta
Conta Administrador do domínio (rid 500) com palavra-passe antiga (180 dias)
Verifica se o atributo pwdLastSet na conta do Administrador do Domínio incorporado foi alterado nos últimos 180 dias. Se esta senha não for alterada regularmente, esta conta pode ser vulnerável a ataques por senha de força bruta. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
Alterações à lista de membros do grupo "Pre-Windows 2000 Compatible Access"
integrProcura alterações ao grupo de omissã "Acesso Compatível Pré-Windows 2000". É melhor assegurar que este grupo não contenha os grupos "Logon Anónimo" ou "Todos". Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
  • COI
Segurança da conta
Mudanças dos membros de grupos privilegiados nos últimos 7 dias
Procura contas Admin cuja palavra-chave não tenha sido alterada há mais de 180 dias. Se as palavras-passe das contas Admin não forem alteradas regularmente, estas contas poderão vulneráveis a ataques de adivinhação de palavra-passe. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
  • COI
Segurança da conta
Contas de computador em grupos privilegiados
Procura contas de computador que sejam membros de um grupo privilegiado de domínio. Se uma conta de computador é um membro do grupo de domínio privilegiado, então qualquer pessoa que comprometa essa conta de computador pode agir como membro desse grupo. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

    Persistência

  • MITRE D3FEND:

    Detectar - Monitorização de conta de domínio

  • IOE
Segurança da conta
Contas administrativas inactivas
Procura contas administrativas que estejam activadas, mas que não tenham entrado no sistema nos últimos 90 dias. Os atacantes que possam comprometer estas contas poderão operar sem serem notados. Aviso
  • MITRE ATT&CK:

    Análise

  • ANSSI:

    vuln1_password_ change_priv

  • MITRE D3FEND:

    Harden - Política de Senha Forte

  • IOE
Segurança da conta
Administradores efémeros
Procura utilizadores que foram adicionados e removidos de um grupo Admin dentro de um período de 48 horas. Tais contas de curta duração podem indicar actividade maliciosa. Informação
  • MITRE ATT&CK:

    Evasão de Defesa

  • MITRE D3FEND:

    Detectar - Análise do Âmbito do Compromisso de Credenciais

    Harden - Política de Senha Forte

  • IOE
  • COI
Segurança da Política de Grupo
Alterações à Default Domain Policy ou à Default Domain Controllers Policy nos últimos 7 dias
Procura alterações recentes na Política de Domínios por Defeito e na Política de Controladores de Domínios por Defeito GPO. Estes GPO controlam configurações de segurança em todo o domínio e controlador de domínio e podem ser indevidamente utilizados para obter acesso privilegiado a AD. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

    Movimento Lateral

    Escalada de Privilégios

  • IOE
  • COI
Segurança da Política de Grupo
SYSVOL Alterações executáveis
Procura modificações em ficheiros executáveis dentro do SYSVOL. As alterações aos ficheiros executáveis no SYSVOL devem ser contabilizadas ou investigadas para procurar um potencial enfraquecimento da postura de segurança. Informação
  • MITRE ATT&CK:

    Persistência da execução

    Escalada de Privilégios

  • MITRE D3FEND:

    Detectar - Análise de ficheiros

  • IOE
  • COI
Segurança da Política de Grupo
GPO ligando a delegação ao nível do Site AD
Procura mandantes não privilegiados que tenham permissões de escrita no atributo GPLink ou Escreva DACL/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível do AD Site, têm a capacidade de efectuar alterações nos controladores de domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. Aviso
  • MITRE ATT&CK:

    Execução

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Segurança da Política de Grupo
Delegação de ligação GPO ao nível da OU Domain Controllers
Procura mandantes não privilegiados que tenham permissões de escrita sobre o atributo GPLink ou Escreva DAC/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível da OU do controlador de domínio, têm a capacidade de efectuar alterações nos controladores de domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. Aviso
  • MITRE ATT&CK:

    Execução

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Segurança da Política de Grupo
Delegação de direitos de ligar GPO ao nível do domínio
Procura utilizadores não privilegiados que detenham permissões de escrita no atributo GPLink ou Write DACL/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível do domínio, têm a capacidade de efectuar alterações em todos os utilizadores e computadores do domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. Aviso
  • MITRE ATT&CK:

    Evasão de Defesa

    Escalada de Privilégios

  • ANSSI:

    vuln1_permissions_gpo_ priv

  • IOE
Segurança da Política de Grupo
Palavras-passe reversíveis encontradas nas GPO
Procura no SYSVOL por GPOs que contêm palavras-passe que podem ser facilmente decifradas por um atacante (as chamadas entradas "Cpassword"). Esta área é uma das primeiras coisas que os atacantes procuram quando têm acesso a um ambiente AD. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

  • MITRE D3FEND:

    Detectar - Análise de ficheiros emulados

  • IOE
Azure AD
Utilizadores privilegiados no Azure AD que também são privilegiados no AD
Verifica os utilizadores privilegiados do Azure AD que também são utilizadores privilegiados no AD on-premises. Um comprometimento de uma conta que é privilegiada tanto no AD como no Azure AD pode resultar no comprometimento de ambos os ambientes. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Azure AD
As unidades administrativas não estão a ser utilizadas
Verifica a existência de unidades administrativas. As unidades administrativas ajudam a limitar o âmbito da autoridade de um security principal. Os atacantes que comprometem uma conta administrativa podem ter um amplo acesso através dos recursos. Utilizando unidades administrativas, é possível limitar o alcance de administradores específicos e assegurar que um único comprometimento de credenciais seja limitado e não afecte todo o ambiente. Informação
  • MITRE ATT&CK:

    Movimento Lateral

  • IOE
Azure AD
Verificação se os convidados detêm permissão para convidar outros convidados
Verificação das permissões de convite dos convidados. Não é recomendado permitir aos convidados o envio de convites a novos convidados. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

  • IOE
Azure AD
Verificar as permissões API de risco concedidas aos service principals de applicações
Verificações de permissões API que podem ser arriscadas se não forem devidamente planeadas e aprovadas. Os administradores de aplicações maliciosas poderiam utilizar estas permissões para conceder privilégios administrativos a si próprios ou a outros. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Azure AD
Verificar se a autenticação legacy é permitida
Verifica se a autenticação do legado está bloqueada, quer utilizando políticas de acesso condicional ou padrões de segurança. Permitir autenticação legada aumenta o risco de um atacante entrar no sistema usando credenciais previamente comprometidas. Informação
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Azure AD
MFA não configurada para contas privilegiadas
Verifica se a Autenticação Multi-Factor (MFA) está activada para utilizadores com direitos administrativos. As contas com acesso privilegiado são alvos mais vulneráveis aos atacantes. Um compromisso de um utilizador privilegiado representa um risco significativo e, portanto, requer protecção extra. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Azure AD
Utilizadores não-administrativos podem registar aplicações personalizadas
Verificações para uma política de autorização que permita aos utilizadores não-administradores registar pedidos personalizados. Se os utilizadores não-administradores forem autorizados a registar aplicações empresariais personalizadas, os atacantes podem utilizar essa lacuna para registar aplicações nefastas, que podem então aproveitar para obter permissões adicionais. Aviso
  • MITRE ATT&CK:

    Persistência

    Escalada de Privilégios

  • IOE
Azure AD
Grupo privilegiado contém conta de convidado
Verifica se algum papel privilegiado foi atribuído a contas de convidados. Os atacantes externos cobiçam contas privilegiadas, uma vez que fornecem uma via rápida para os sistemas mais críticos de uma organização. As contas de convidados representam uma entidade externa que não sofre a mesma segurança que os utilizadores no seu tenant; portanto, atribuir-lhes papéis privilegiados representa um risco acrescido. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Azure AD
Security Defaults não activados
Quando não há políticas de Conditional Accessconfiguradas, este indicador verifica se os Security Defaults estão activados. Recomenda-se que os Security Defaults sejam utilizados para Tenants que não tenham políticas de Conditional Access configuradas. Os Security Defaults exigirão MFA, bloquearão a autenticação básica (legacy) e exigirão autenticação adicional ao aceder ao portal Azure, Azure PowerShell, e Azure CLI. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Acesso Inicial

  • IOE
Azure AD
Consentimento sem restrições permitido a utilizadores
Verifica se os utilizadores estão autorizados a adicionar aplicações de editores não verificados. Quando os utilizadores têm permissão para consentir quaisquer aplicações de terceiros, há um risco considerável de que uma aplicação permitida tome acções intrusivas ou arriscadas. Aviso
  • MITRE ATT&CK:

    Movimento Lateral

    Persistência

  • IOE
Azure AD
Os utilizadores convidados não estão sujeitos a restrições
Os utilizadores convidados são restringidos no tenant. Os atacantes podem utilizar utilizadores convidados sem restrições para efectuar a contagem de utilizadores e grupos no tenant. Informação
  • MITRE ATT&CK:

    Reconhecimento

  • IOE
Segurança Kerberos
Utilizadores primários com SPN que não suportam encriptação AES no protocolo Kerberos
Mostra todos os utilizadores primários com serviçoPrincipalNames (SPNs) que não suportam o tipo de encriptação AES-128 ou AES-256. A encriptação AES é mais forte do que a encriptação RC4. A configuração de utilizadores primários com SPNs que suportam a encriptação AES não mitigará ataques como o kerberoasting. No entanto, força a encriptação AES por defeito, o que significa que é possível monitorizar para a encriptação ataques de downgrade para RC4 (ataques de kerberoasting). Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Infraestrutura AD
SMBv1 está activo nos Domain Controllers
Procura Domain Controllers onde o protocolo SMBv1 está activo. SMBv1 é um protocolo antigo (tornado obsoleto pela Microsoft em 2014), que é considerado inseguro e susceptível a todo o tipo de ataques. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Segurança da conta Aviso
Segurança Kerberos
Contas com altSecurityIdentities configuradas
Verificações de contas com o atributo altSecurityIdentities configurado. O atributo altSecurityIdentities é um atributo multivalorizado utilizado para criar mapeamentos para certificados X.509 e contas externas Kerberos. Quando configurado, é possível adicionar valores que essencialmente personificam essa conta. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
Segurança Kerberos
Contas com delegação restrita configurada para SPN fantasma
Procura contas que tenham impedido a delegação configurada para SPNs fantasmas. Quando os computadores são desactivados, a configuração da sua delegação nem sempre é limpa. Tal delegação poderia permitir a um atacante que tenha privilégios de escrever para o atributo ServicePrincipalName de outra conta de serviço, aumentar os privilégios sobre esses serviços. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • ANSSI:

    vuln1_delegation_a2d2

  • IOE
Azure AD
AD utilizadores privilegiados que estão sincronizados com o AAD
Verificações para utilizadores privilegiados de AD que estão sincronizados com o AAD. Quando um utilizador privilegiado de AD é sincronizado com o DAA, um compromisso do utilizador do DAA pode resultar no comprometimento do ambiente no local também. Crítico
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Azure AD
Verificar se há utilizadores com fraca ou nenhuma AMF
Verifica todos os utilizadores para registo de autenticação multi-factor (AMF) e os métodos configurados. Devido à falta de medidas de segurança uniformes nas redes móveis, os SMS e a Voz são considerados menos seguros do que as aplicações móveis e o FIDO. Um utilizador malicioso pode visar/códigos e enganar os utilizadores para que estes forneçam autenticação. Aviso
  • MITRE ATT&CK:

    Acesso Inicial

    Movimento Lateral

  • IOE
Azure AD
Política de Acesso Condicional que desactiva a persistência simbólica administrativa
Procura políticas de Acesso Condicional que desactivem a persistência simbólica para os utilizadores com funções administrativas e que tenham uma frequência de entrada inferior ou igual a nove horas. Quando o login de um administrador tem o seu token em cache no cliente, este fica vulnerável a um ataque relacionado com um Token de Actualização Primária. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Azure AD
Política de Acesso Condicional que desactiva a persistência simbólica administrativa
Procura políticas de Acesso Condicional que desactivem a persistência simbólica para os utilizadores com funções administrativas e que tenham uma frequência de entrada inferior ou igual a nove horas. Quando o login de um administrador tem o seu token em cache no cliente, este fica vulnerável a um ataque relacionado com um Token de Actualização Primária. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Azure AD
Política de Acesso Condicional que não exige uma mudança de senha de utilizadores de alto risco
Verifica se existe uma política de Acesso Condicional que requer uma mudança de senha se o utilizador for determinado como sendo de alto risco pela API Azure AD Identity Protection user risk. Um risco elevado para o utilizador representa uma elevada probabilidade de que uma conta tenha sido comprometida. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Azure AD
Política de Acesso Condicional que não requer AMF quando o risco de acesso tiver sido identificado
Verifica se existe uma política de Acesso Condicional que requer AMF se o risco do pedido de autenticação for determinado como médio ou elevado pelo API de risco de ingresso de protecção de identidade AD Azure. Um risco de entrada médio ou alto representa uma probabilidade média a alta de que tenha sido feito um pedido de autenticação não autorizado. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • IOE
Azure AD
Convidados não aceites nos últimos 30 dias
Cheques para os convidados que não foram aceites no prazo de 30 dias após o convite. Os convites de convidados fora do prazo representam um risco de segurança e devem ser eliminados. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

    Escalada de Privilégios

  • IOE
Azure AD
Existem mais de 5 Administradores Globais
Verifica a presença de cinco ou mais Administradores Globais. Os Administradores Globais controlam o seu ambiente Azure AD e têm acesso a todas as características administrativas e controlo total do Azure AD. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Azure AD
Utilizador do DAA não sincronizado que é elegível para um papel privilegiado
Verificações para utilizadores de AD Azure que são elegíveis para um papel de alto privilégio e têm o atributo proxyAddress mas não estão sincronizados com uma conta AD. Um atacante pode usar correspondência SMTP para sincronizar utilizadores AD controlados com utilizadores AAD que são elegíveis para papéis de alto privilégio. Este processo substitui a palavra-passe do DAA e pode resultar numa escalada de privilégios sobre o DAA. Aviso
  • MITRE ATT&CK:

    Escalada de Privilégios

  • IOE
Azure AD
Conta de computador SSO com palavra-passe definida pela última vez durante 90 dias
Verifica a conta do computador Azure SSP (AZUREADSSOACC) para determinar se a senha foi rodada nos últimos 90 dias. A palavra-passe para a conta do computador Azure SSO não é alterada automaticamente a cada 30 dias. Se a senha desta conta for comprometida, um atacante pode gerar um pedido de Ticket Granting Service (TGS) para a conta AZUREADSSOACC como qualquer utilizador, o que tem o efeito de gerar um Ticket to Azure e fazer-se passar por esse utilizador. Aviso
  • MITRE ATT&CK:

    Acesso às Credenciais

  • ANSSI:

    vuln2_password_ change_server_no_ change_90

  • IOE

Indicadores de segurança actualizados regularmente pela nossa equipa de investigação de ameaças

Purple Knight analisa o seu ambiente Active Directory sobre mais de 100 indicadores de segurança de exposição ou comprometimento - incluindo configurações arriscadas e vulnerabilidades não corrigidas - que podem levar a um ataque.

Quem desenvolve a investigação?

A nossa equipa de investigação especializada, liderada pelo nosso CTO e Microsoft MVP Guy Teverovsky, estuda continuamente como os cibercriminosos planeiam explorar o AD e desenvolve indicadores para descobrir os pontos fracos no AD, antes que os atacantes o façam.

Mais de 100 anos

experiência combinada em tecnologia Microsoft

O que dizem os utilizadores do Purple Knight ?

 

Purple Knight é uma ferramenta poderosa com um conjunto de scripts que faz um trabalho fantástico ao  mostrar alguns dos aspectos escondidos do seu AD que estão apenas à espera de serem descobertos pela pessoa errada.Patrick Emerick Engenheiro de Sistemas Sénior | Bethel School District
Recomendo o Purple Knight pela sua facilidade de utilização - dá-lhe um conjunto de notas rápidas com base no interface gráfico, assim como uma lista de acções de remediação para começar a trabalhar.Jim Shakespear Director de Segurança Informática | Universidade do Sul do Utah
O Purple Knight é o primeiro utilitário que utilizei e que aprofunda o tema da segurança do Active Directory. Funciona tão bem, que não precisei de encontrar mais nada.Micah Clark IT Manager | Central Utah Emergency Communications
O relatório Purple Knight ajudou-nos a corrigir imediatamente vários itens, tais como remover ou desabilitar contas do Active Directory que não deviam ter sido ativadas. E depois ajudou-nos a desenvolver um plano de manutenção a longo prazo.CISO empresa industrial canadiana