| Azure AD | Contas de hóspedes que estiveram inactivos durante mais de 30 dias | Verificações de contas de hóspedes que não assinaram, usando um sinal interactivo ou não interactivo, durante os últimos 30 dias. Contas de hóspedes inactivas deixam uma porta aberta para o seu inquilino Azure. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
| Azure AD | Política de Acesso Condicional com Avaliação de Acesso Contínuo desactivado | Verificações das políticas de Acesso Condicional que têm a função de Avaliação de Acesso Contínuo desactivada. A funcionalidade de Avaliação de Acesso Contínuo permite revogar o código de acesso para aplicações Microsoft e limitar o tempo que um atacante tem acesso aos dados da empresa. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
| Azure AD | AAD Connect sync password da conta de sincronização redefinida | Verificações das políticas de Acesso Condicional que têm a função de Avaliação de Acesso Contínuo desactivada. A funcionalidade de Avaliação de Acesso Contínuo permite revogar o código de acesso para aplicações Microsoft e limitar o tempo que um atacante tem acesso aos dados da empresa. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
| Infraestrutura AD | Credenciais de utilizadores privilegiados em cache no RODC | Procura utilizadores privilegiados com credenciais que se encontram em cache nos RODCs. Embora não seja imediatamente indicativo de um ataque, as contas de utilizadores privilegiados são sensíveis e não devem ser colocadas em cache nos RODCs, uma vez que a sua segurança física não é tão robusta como um DC completo. | Informação |
-
MITRE ATT&CK:
Movimento Lateral Escalada de Privilégios
|
|
| Infraestrutura AD | Caminhos de controlo perigosos expõem modelos de certificados | Procura por principiantes não faltosos com a capacidade de escrever propriedades num modelo de certificado.
Os utilizadores não privilegiados com propriedades de escrita em modelos de certificado têm a capacidade de aumentar o seu acesso e criar certificados vulneráveis para se inscreverem. | Aviso |
|
|
| Infraestrutura AD | Conjunto de Atributos de Confiança Perigosos | Identifica os trusts com um dos seguintes atributos definidos TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION ou TRUST_ATTRIBUTE_ PIM_TRUST.
A definição destes atributos permitirá ou delegar um bilhete Kerberos ou reduzir a protecção que a filtragem SID proporciona. | Aviso |
|
|
| Infraestrutura AD | Provas de ataque de Mimikatz DCShadow | Procura provas de que uma máquina foi utilizada para injectar alterações arbitrárias no AD usando um controlador de domínio "falso". Estas alterações contornam o registo de eventos de segurança e não podem ser detectadas utilizando ferramentas de monitorização padrão. | Crítico |
|
|
| Infraestrutura AD | Acesso sem falha à chave de raiz gMSA | Procura por principiantes não faltosos com permissões para ler o atributo msKds-RootKeyData na chave de raiz KDS. Os utilizadores com permissões de leitura desta propriedade podem comprometer todas as contas gMSA na floresta. | Aviso |
|
|
| Infraestrutura AD | Permissões de esquemas não normalizados | Procura por mandantes adicionais com quaisquer permissões para além das genéricas Leia as partições do esquema.
Por defeito, as permissões de modificação no esquema estão limitadas aos Administradores do Esquema. Estas permissões concedem ao mandante de confiança o controlo completo sobre o Active Directory. | Aviso |
|
|
| Infraestrutura AD | SIDs privilegiados bem conhecidos na sIDHistory | Procura princípios de segurança que contenham SID específicos de contas de grupos privilegiados incorporados dentro do atributo sIDHistory. Permite que esses princípios de segurança tenham os mesmos privilégios que essas contas privilegiadas, mas de uma forma que não é óbvia para controlar (por exemplo, através da adesão a um grupo). | Aviso |
|
|
| Infraestrutura AD | Autoridade Certificadora AD com inscrição na Web (PetitPotam e ESC8) | Identifica os servidores AD CS no domínio que aceitam a autenticação NTLM para a inscrição na Web.
Os atacantes podem abusar de uma falha no registo de AD CS Web Enrollment que permite que os ataques de retransmissão NTLM se autentiquem como um utilizador privilegiado. | Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
| Infraestrutura AD | Acesso anónimo ao Active Directory activado | Procura a presença da bandeira que permite o acesso anónimo. O acesso anónimo permitiria aos utilizadores não autenticados a consulta de AD. | Crítico |
|
|
| Infraestrutura AD | Acesso anónimo NSPI ao AD activado | Detecta quando o acesso à interface de fornecedor de serviços de nomes anónimos (NSPI) está activado. Permite ligações anónimas baseadas em RPC para AD. O NSPI raramente é activado, por isso, se se verificar que está activado, deve ser motivo de preocupação. | Aviso |
|
|
| Infraestrutura AD | Modelos de certificados que permitem aos requerentes especificar um assuntoAltName | Verifica se os modelos de certificado permitem aos requerentes especificar um assuntoAltName no CSR.
Quando os modelos de certificado permitem aos requerentes especificar um subjectAltName no CSR, o resultado é que podem solicitar um certificado como qualquer pessoa (por exemplo, um administrador de domínio). Quando isso é combinado com um EKU de autenticação presente no modelo de certificado, pode tornar-se extremamente perigoso. | Crítico |
|
|
| Infraestrutura AD | Modelos de certificados com três ou mais configurações inseguras | Verifica se os modelos de certificados na floresta têm um mínimo de três configurações inseguras: A aprovação do gestor está desactivada, Não são necessárias assinaturas autorizadas, SAN activada, Autenticação EKU presente. Cada uma destas configurações pode ser explorada pelos adversários para obter acesso. | Aviso |
|
|
| Infraestrutura AD | Computadores com versões de SO mais antigas | Procura contas de máquinas que estejam a correr versões mais antigas do Windows Server 2012 R2 e Windows 8.1. Os computadores que correm versões mais antigas e sem suporte de SO podem ser alvo de explorações conhecidas ou não. | Informação |
|
|
| Infraestrutura AD | Computadores com palavra-passe definidos pela última vez há mais de 90 dias | "Procura contas de computador que não tenham rodado automaticamente as suas palavras-passe.
As contas de computador devem rodar automaticamente as suas palavras-passe de 30 em 30 dias; os objectos que não o tenham feito podem apresentar indícios de adulteração". | Aviso |
|
|
| Infraestrutura AD | Controladores de domínio num estado inconsistente | Procura controladores de domínio que possam estar num estado inconsistente, indicando um possível DC velhaco ou não funcional. Máquinas ilegítimas actuando como DC podem indicar que alguém comprometeu o ambiente (por exemplo, usando DCShadow ou ataque de DC spoofing semelhante). | Informação |
|
|
| Infraestrutura AD | Controladores de domínio que não se tenham autenticado no domínio durante mais de 45 dias | Procura controladores de domínio que não tenham autenticado o domínio em mais de 45 dias.
A falta de autenticação do domínio revela máquinas fora da sincronização. Se um atacante comprometer um DC offline e quebrar as credenciais ou voltar a ligar-se ao domínio, poderá ser capaz de introduzir alterações indesejadas no Active Directory. | Aviso |
|
|
| Infraestrutura AD | Controladores de domínio com palavras-passe antigas | "Procura contas de máquinas de controlo de domínio cuja palavra-passe não tenha sido redefinida em mais de 45 dias.
As contas de máquinas com senhas mais antigas poderiam indicar uma CD que já não funciona no domínio. Além disso, as CD com passwords de contas de máquinas mais antigas poderiam ser mais facilmente retomadas". | Informação |
|
|
| Infraestrutura AD | Confiança do domínio a um domínio de terceiros sem quarentena | Procura fundos florestais de saída que têm a bandeira de quarentena hasteada em falso. Um atacante que tenha comprometido o domínio remoto pode criar uma conta "falsificável" para obter acesso a todos os recursos no domínio local. Se um caminho de controlo perigoso for exposto, qualquer conta "falsificável" pode também aumentar os seus privilégios até aos administradores do domínio e comprometer toda a floresta". | Aviso |
|
|
| Infraestrutura AD | Domínios com níveis funcionais obsoletos | Procura domínios AD que tenham um nível funcional de domínio definido para Windows Server 2012 ou inferior. Níveis funcionais mais baixos significam que as novas características de segurança disponíveis no AD não podem ser alavancadas. | Informação |
|
|
| Infraestrutura AD | gMSA não utilizado | Verificações de objectos de Contas de Serviços Geridos de Grupo (gMSA) habilitados no domínio.
A funcionalidade gMSA no Windows Server 2016 permite a rotação automática de senhas para contas de serviço, tornando-as muito mais difíceis para os atacantes de comprometerem. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Infraestrutura AD | objectos gMSA com palavras-passe antigas | Procura contas de serviços geridos em grupo (gMSA) que não tenham rodado automaticamente as suas palavras-passe.
Os objectos que não tenham rodado as suas palavras-passe regularmente poderiam mostrar provas de adulteração. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Infraestrutura AD | A assinatura do LDAP não é necessária nos Controladores de Domínios | Procura controladores de domínio onde a assinatura do LDAP não é necessária. O tráfego de rede não assinado é exposto a ataques MITM (Man-in-the-Middle), onde os atacantes alteram os pacotes e os reencaminham para o servidor LDAP, levando o servidor a tomar decisões baseadas em pedidos forjados do cliente LDAP. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
| Infraestrutura AD | Replicação do NTFRS SYSVOL | Procura indicação de utilização de FRS para replicação SYSVOL. NTFRS é um protocolo mais antigo que foi substituído pelo DFSR. Atacantes que podem manipular vulnerabilidades NTFRS para comprometer o SYSVOL podem potencialmente alterar GPOs e scripts de logon para propagar malware e mover-se lateralmente através do ambiente. | Aviso |
-
MITRE ATT&CK:
Colecção
-
ANSSI:
vuln2_sysvol_ntfrs
|
|
| Infraestrutura AD | Grupos de operadores já não protegidos por AdminSDHolder e SDProp | Verifica se a dwAdminSDExMask no dsHeurstics foi definida, o que indica uma mudança no comportamento do SDProp que poderia comprometer a segurança. Uma alteração ao comportamento do AdminSDHolder SDProp poderia indicar uma tentativa de evasão à defesa. | Aviso |
|
|
| Infraestrutura AD | Confiança florestal de saída com a História da SID activada | Procura fundos florestais de saída que tenham a bandeira TRUST_ATTRIBUTE_TREAT_AS_ EXTERNAL colocada para verdadeiro.
Se esta bandeira for colocada, um trust florestal cruzado para um domínio é tratado como um trust externo para efeitos de filtragem SID. Este atributo relaxa a filtragem mais rigorosa realizada em fideicomissos de cross-forest. | Aviso |
|
|
| Infraestrutura AD | O serviço de spooler de impressão está activado num CD | Procura controladores de domínio que tenham o serviço de spooler de impressão em funcionamento, que é activado por defeito.
Foram encontradas várias falhas críticas nos serviços do Windows Print Spooler, que afectam directamente os spoolers de impressão instalados nos controladores de domínio, permitindo a execução de código remoto. | Crítico |
|
|
| Infraestrutura AD | Caching arriscado de credenciais RODC | Procura uma Política de Replicação de Senha que permita objectos privilegiados. Se os utilizadores privilegiados estiverem na lista de permissão, podem ser expostos a roubo de credenciais num RODC. | Aviso |
|
|
| Infraestrutura AD | Configuração DNS sem segurança | Procura zonas DNS configuradas com ZONE_UPDATE_UNSECURE, o que permite actualizar um registo DSN de forma anónima. Um atacante poderia aproveitar esta exposição para adicionar um novo registo DSN ou substituir um registo DNS existente para falsificar uma interface de gestão, depois esperar por ligações de entrada a fim de roubar credenciais. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_dnszone_bad_ prop
|
|
| Infraestrutura AD | Fraca encriptação de certificados | Procura certificados armazenados no Active Directory com chaves de tamanho inferior a 2048 bits ou usando encriptação DSA.
Certificados fracos podem ser abusados por atacantes para obter acesso a sistemas que utilizam autenticação de certificados. | Crítico |
|
|
| Infraestrutura AD | Vulnerabilidade Zerologon | Procura uma vulnerabilidade de segurança ao CVE-2020-1472, que foi remendado pela Microsoft em Agosto de 2020. Sem esta correcção, um atacante não autenticado pode explorar o CVE-2020-1472 para elevar os seus privilégios e obter acesso administrativo ao domínio. | Crítico |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Delegação AD | Mudanças nos especificadores de display AD nos últimos 90 dias | Procura alterações recentes feitas ao atributo adminContextMenu em especificadores de expositores AD. A modificação deste atributo pode potencialmente permitir que os atacantes utilizem menus de contexto para fazer com que os utilizadores executem código arbitrário. | Informação |
-
MITRE ATT&CK:
Evasão de Defesa
|
|
| Delegação AD | Alterações ao esquema de descritores de segurança por defeito nos últimos 90 dias | Detecta alterações recentes de atributos de esquema feitas no descritor de segurança padrão. Se um atacante tiver acesso à instância do esquema numa floresta, quaisquer alterações feitas podem propagar-se a objectos recentemente criados na AD, enfraquecendo potencialmente a postura de segurança da AD. | Aviso |
|
|
| Delegação AD | Hereditariedade activada no objecto AdminSDHolder | Os cheques por herança são activados na Lista de Controlo de Acesso (ACL) do objecto AdminSDHolder, o que poderia indicar uma tentativa de modificar permissões em objectos privilegiados que estão sujeitos a AdminSDHolder (por exemplo, utilizadores ou grupos com adminCount=1). As alterações ao objecto AdminSDHolder são muito raras. Os administradores devem saber que foi feita uma alteração e ser capazes de articular a razão da alteração. Se a alteração não foi intencional, a probabilidade de compromisso é muito elevada. | Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Evasão de Defesa
|
|
| Delegação AD | Valor não por defeito em ms-Mcs-AdmPwd SearchFlags | Procura por alterações nas Flags de pesquisa padrão no esquema ms-Mcs-AdmPwd. Algumas bandeiras podem inadvertidamente fazer com que a palavra-passe seja visível para utilizadores não intencionais, permitindo que um atacante a utilize como uma porta traseira furtiva. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Delegação AD | Utilizadores não privilegiados com acesso a palavras-passe gMSA | Procura os principais membros do MSDS-groupMSAmembership que não estejam nos grupos de administração incorporados. Um atacante que controla o acesso à conta gMSA pode recuperar palavras-passe para recursos geridos com gMSA. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Delegação AD | Objectos em grupos de omissão sem adminCount=1 (SDProp) | Procura objectos em grupos de omissão protegidos cujo atributo adminCount não está definido como 1. Se um objecto dentro destes grupos tiver um adminCount não igual a 1, pode significar que os DACLs foram definidos manualmente (sem herança) ou que existe um problema com o processo SDProp. | Informação |
-
MITRE ATT&CK:
Evasão de Defesa Persistência
|
|
| Delegação AD | Alterações de permissão no objecto AdminSDHolder | Procura alterações na Lista de Controlo de Acesso (ACL) no objecto AdminSDHolder. Pode indicar uma tentativa de modificar as permissões em objectos privilegiados que estão sujeitos a AdminSDHolder. | Crítico |
|
|
| Delegação AD | Conta de convidado embutida está activada | Verificações para assegurar que a conta "convidado" de AD embutida está desactivada. Uma conta de convidado activada permite o acesso sem palavra-passe ao domínio, o que pode apresentar um risco de segurança. | Informação |
|
|
| Delegação AD | Alterações às permissões de leitura do MS LAPS | Procura permissões em contas de computador que possam permitir a exposição inadvertida de contas de administrador local em ambientes que utilizam Microsoft LAPS. Os atacantes podem utilizar esta capacidade para se deslocarem lateralmente através de um domínio utilizando contas de administrador local comprometidas. | Informação |
|
|
| Delegação AD | O proprietário do Controlador do domínio não é um administrador | Procura contas de computador Controlador de Domínio cujo dono não seja um Administrador de Domínio, Administrador de Empresa, ou uma conta de Administrador incorporada. A obtenção de controlo de contas de máquinas DC permite um caminho fácil para comprometer o domínio. | Aviso |
|
|
| Delegação AD | Enterprise Key Admins com acesso total ao domínio | Procura provas de um bug em certas versões do Windows Server 2016 Adprep que concedeu acesso indevido ao grupo Enterprise Key Admins. Este problema foi corrigido numa versão posterior do Windows 2016; contudo, se esta correcção não tiver sido aplicada, este bug concede a este grupo a capacidade de replicar todas as alterações do AD (ataque DCSync). | Aviso |
|
|
| Delegação AD | Os Princípios de Segurança Estrangeiros no Grupo dos Privilegiados | Procura membros de grupos protegidos integrados que sejam Foreign Security Principals. Deve ser tomado especial cuidado ao incluir contas de outros domínios como membros de grupos privilegiados. Os Foreign Security Principals não têm o atributo adminCount e, portanto, podem não ser detectados por alguns instrumentos de auditoria de segurança. Adicionalmente, um atacante pode adicionar uma conta privilegiada e tentar escondê-la utilizando este método. | Aviso |
|
|
| Delegação AD | Acesso sem falhas à chave DPAPI | Verifica os controladores de domínio para os princípios não faltosos que estão autorizados a recuperar a chave de reserva do domínio DPAPI. Com estas permissões, um atacante poderia recuperar todos os dados do domínio encriptados através de DPAPI. | Aviso |
|
|
| Delegação AD | Titulares não faltosos com direitos DC Sync no domínio | Procura os princípios de segurança com Replicating Changes All ou Replicating Directory Altera as permissões no objecto de contexto de nomenclatura de domínios. Os princípios de segurança com estas permissões no objecto de contexto de nomenclatura de domínios podem potencialmente recuperar hashes de palavra-passe para utilizadores num domínio AD (ataque DCSync). | Crítico |
|
|
| Delegação AD | Objectos privilegiados com proprietários desprivilegiados | Procura objectos privilegiados (adminCount =1) que são propriedade de uma conta sem privilégios. Qualquer compromisso de uma conta sem privilégios poderia resultar na modificação da delegação de um objecto privilegiado. | Aviso |
|
|
| Delegação AD | Utilizadores sem privilégios podem adicionar contas de computador ao domínio | Verifica se os membros não privilegiados do domínio estão autorizados a adicionar contas de computador a um domínio.
Ter a capacidade de adicionar contas de computador a um domínio pode ser abusado por ataques baseados em Kerberos. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais Movimento Lateral
|
|
| Delegação AD | Utilizadores com permissões para definir conta de confiança no servidor | Verifica as permissões da cabeça NC de domínio para ver se a bandeira Server_Trust_Account está configurada em objectos de computador.
Um atacante que possa semear utilizadores autenticados com estas permissões pode utilizar o seu acesso para promover qualquer computador que controle para o estatuto de Controlador de Domínio, permitindo a escalada de privilégios para serviços AD e realizando ataques de acesso a credenciais, tais como DCSync. | Crítico |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Segurança Kerberos | Tomada de posse da conta do computador através da delegação de restrição baseada em recursos de Kerberos (RBCD) | Procura o atributo msDS-Allowed-ToActOnBehalfOfOtherIdentity em objectos informáticos. Os atacantes poderiam usar a configuração do Kerberos RBCD para aumentar os privilégios através de um computador que controlam, se esse computador tiver delegação no sistema alvo. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais Movimento Lateral Escalada de Privilégios
|
|
| Segurança Kerberos | Controladores de domínio com Delegação Restrita Baseada em Recursos (RBCD) activada | Detecta uma configuração que concede certas contas com delegação completa aos controladores de domínio. | Aviso |
|
|
| Segurança Kerberos | Configuração da delegação de transição do protocolo Kerberos | Procura serviços que tenham sido configurados para permitir a transição do protocolo Kerberos, que basicamente diz que um serviço delegado pode utilizar qualquer protocolo de autenticação disponível. Serviços comprometidos podem reduzir a qualidade do seu protocolo de autenticação que é mais facilmente comprometida (por exemplo, NTLM). | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Movimento Lateral Escalada de Privilégios
|
|
| Segurança Kerberos | Conta krbtgt com Delegação Restrita Baseada em Recursos (RBCD) activada | Procura uma conta krbtgt que tenha uma Delegação Restrita Baseada em Recursos (RBCD) definida.
Normalmente, as delegações não devem ser criadas na conta krbtgt; se forem encontradas, podem representar um risco significativo e devem ser mitigadas rapidamente. | Crítico |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_delegation_a2d2
|
|
| Segurança Kerberos | Objectos com delegação restrita configurada | Procura quaisquer objectos que tenham valores no atributo msDS-AllowedToDelegateTo (ou seja, delegação restrita) e não tem o bit UserAccountControl para o conjunto de transição de protocolo. Os atacantes podem utilizar delegações para se deslocarem lateralmente ou aumentar os privilégios se comprometerem um serviço em que se confia delegar. | Informação |
|
|
| Segurança Kerberos | Os directores com delegação de autenticação restrita habilitados para um serviço DC | Procura computadores e utilizadores que tenham restringido a delegação habilitada para um serviço em funcionamento num CD.
Se um atacante pode criar tal delegação, pode autenticar-se a esse serviço utilizando qualquer utilizador que não esteja protegido contra delegação. | Aviso |
|
|
| Segurança Kerberos | Príncipes com delegação restrita usando transição de protocolo permitida para um serviço de CD | Procura computadores e utilizadores que tenham restringido a delegação utilizando a transição de protocolo definida contra um serviço em funcionamento num CD. Se um atacante pode criar tal delegação para um serviço que possa controlar ou comprometer um serviço existente, pode efectivamente ganhar um TGS para qualquer utilizador com privilégios para o CD. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_delegation_t2a4d
|
|
| Segurança Kerberos | Utilizadores privilegiados com ServiçoNomes PRINCIPAIS definidos | Procura contas com o atributo adminCount definido como 1 AND ServicePrincipalNames (SPNs) definido na conta. As contas privilegiadas que têm um SPN definido são alvos de ataques baseados em Kerberos que podem elevar os privilégios a essas contas. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
-
ANSSI:
vuln1_spn_priv
|
|
| Segurança Kerberos | Utilizadores com ServiçoPrincipalNome Definido | Fornece uma forma de inventariar visualmente todas as contas de utilizadores que têm ServicePrincipalNames (SPNs) definidos.
Geralmente, os SPNs só são definidos para serviços "Kerberized"; outras contas com um SPN podem ser motivo de preocupação. | Informação |
|
|
| Segurança Kerberos | Contas com Constrained Delegation configurada para krbtgt | Procura contas que tenham a delegação restrita configurada para o serviço krbtgt. A criação de uma delegação Kerberos à própria conta krbtgt permite a esse comitente (utilizador ou computador) gerar um pedido de Ticket Granting Service (TGS) para a conta krbtgt como qualquer utilizador, o que tem o efeito de gerar um Ticket Granting Ticket (TGT) semelhante a um Bilhete Dourado. | Crítico |
|
|
| Segurança Kerberos | Contas de computador ou de utilizadores com delegação sem restrições | Procura contas de computador ou de utilizador de confiança para a delegação de Kerberos sem constrangimentos. As contas com delegação sem restrições são facilmente alvo de ataques baseados em Kerberos. | Aviso |
|
|
| Segurança Kerberos | Conta Kerberos krbtgt com palavra-passe antiga | Procura uma conta de utilizador krbtgt cuja palavra-passe não tenha sido alterada nos últimos 180 dias. Se a palavra-passe da conta krbtgt for comprometida, os ataques Golden Ticket podem ser efectuados para obter acesso a qualquer recurso de um domínio AD. | Aviso |
|
|
| Segurança Kerberos | O tipo de encriptação RC4 ou DES é suportado pelos Controladores de Domínio | Verifica se a encriptação RC4 ou DES é suportada por controladores de domínio. RC4 e DES são considerados uma forma insegura de encriptação, susceptível a vários ataques criptográficos. Vulnerabilidades múltiplas no algoritmo RC4 ou DES permitem ataques MITM (Man-in-the-Middle) e decifrar. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
| Segurança Kerberos | Escrever o acesso ao RBCD em CD | Procura utilizadores que não estejam em Administradores de Domínios, Administradores de Empresas, ou grupos de Administradores Incorporados que tenham acesso de escrita na Delegação Restrita Baseada em Recursos (RBCD) para controladores de domínios. Os atacantes que podem obter acesso de escrita ao RBCD para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador (excepto nos casos em que a delegação é explicitamente recusada). | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Segurança Kerberos | Escrever o acesso ao RBCD na conta krbtgt | Procura utilizadores que não estejam em Admins de Domínios, Enterprise Admins, ou grupos de Admins Incorporados que tenham acesso por escrito na Resource-Based Constrained Delegation (RBCD) para a conta krbtgt. Os atacantes que podem obter acesso de escrita ao RBCD para um recurso podem fazer com que o recurso se faça passar por qualquer utilizador (excepto nos casos em que a delegação é explicitamente recusada). | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Segurança da conta | Utilizadores privilegiados com uma política de senha fraca | Procura utilizadores privilegiados em cada domínio que não tenham uma política de senhas forte aplicada, de acordo com o quadro ANSSI . Verifica tanto a Política de Palavra-passe de Grão Fino (FGPP) como a política de palavra-passe aplicada ao domínio. Uma senha forte definida pela ANSSI tem pelo menos oito caracteres e é actualizada o mais tardar de três em três anos. As senhas fracas são mais fáceis de quebrar através de ataques de força bruta e podem proporcionar aos atacantes oportunidades de se moverem lateralmente ou de aumentarem os privilégios. O risco é ainda maior para as contas privilegiadas, pois quando comprometidas melhoram a hipótese de o atacante avançar rapidamente dentro da rede. | Crítico |
|
|
| Segurança da conta | Actividade recente de criação de conta privilegiada | Procura quaisquer utilizadores ou grupos privilegiados (adminCount = 1) que tenham sido criados recentemente. Permite detectar contas e grupos privilegiados que tenham sido criados sem conhecimento prévio. | Informação |
|
|
| Segurança da conta | Mudanças recentes na história lateral de objectos | Detecta quaisquer alterações recentes à sIDHistoria sobre objectos, incluindo alterações a contas não-privilegiadas onde são adicionados SIDs privilegiados. Os atacantes precisam de acesso privilegiado ao AD para poderem escrever à sIDHistory, mas se tais direitos existirem, então escrever SIDs privilegiados em contas de utilizadores regulares é uma forma furtiva de criar contas de backdoor. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Segurança da conta | Contas desprotegidas com adminCount=1 | Procura quaisquer utilizadores ou grupos que possam estar sob o controlo da SDProp (adminCount=1) mas que já não sejam membros de grupos privilegiados. Pode ser a prova de um atacante que tentou cobrir os seus rastos e remover um utilizador que usou para se comprometer. | Informação |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Segurança da conta | Utilizadores e computadores com IDs de grupos primários não faltosos | Devolve uma lista de todos os utilizadores e computadores cujos IDs de grupo primários (PGIDs) não são os valores por defeito para utilizadores de domínio e computadores. A modificação do ID de grupo primário é uma forma furtiva de um atacante escalar privilégios sem desencadear a auditoria de atributos de membro para alterações de membros de grupo. | Informação |
|
|
| Segurança da conta | Utilizadores e computadores sem PGID legível | Encontra utilizadores e computadores que não conseguem ler o ID do Grupo Primário (PGID). Pode ser causado pela remoção da permissão de leitura padrão, que poderia indicar uma tentativa de ocultar o utilizador (em combinação com a remoção do atributo memberOf). | Aviso |
-
MITRE ATT&CK:
Evasão de Defesa
|
|
| Segurança da conta | FGPP não aplicado ao Grupo | Procura uma política de palavra-passe de grão fino (FGPP) dirigida a um grupo Universal ou Domínio Local.
A alteração da definição do âmbito de um grupo de Global para Universal ou Domínio Local, faz com que as definições FGPP deixem de se aplicar a esse grupo, diminuindo assim os seus controlos de segurança de palavra-passe. | Aviso |
|
|
| Segurança da conta | A floresta contém mais de 50 contas privilegiadas | Conta o número de contas privilegiadas na floresta. Em geral, quanto maior o número de utilizadores privilegiados, maior será o número de oportunidades para os atacantes comprometerem um desses utilizadores. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios Reconhecimento
-
ANSSI:
vuln1_privileged_members
|
|
| Segurança da conta | Grupos de operadores que não estão vazios | Procura grupos de operadores (Operadores de Conta, Operadores de Servidor, Operadores de Backup, Operadores de Impressão) que contenham membros. Estes grupos têm acesso por escrito a recursos críticos no domínio; os atacantes que são membros destes grupos podem assumir o controlo indirecto do domínio. | Aviso |
|
|
| Segurança da conta | Contas privilegiadas com uma palavra-passe que nunca expira | Identifica as contas privilegiadas (adminCount = 1) onde a bandeira "Password Never Expires" está colocada. Contas de utilizadores cujas palavras-passe nunca expiram são alvos maduros para adivinhar a palavra-passe de força bruta. Se estas contas forem também contas administrativas ou privilegiadas, isto torna-as mais um alvo. | Aviso |
|
|
| Segurança da conta | Utilizadores privilegiados que são deficientes | Procura contas de utilizadores privilegiados que estejam incapacitados. Se uma conta privilegiada for desactivada, deve ser removida do(s) seu(s) grupo(s) privilegiado(s) para evitar o seu uso indevido inadvertido. | Informação |
|
|
| Segurança da conta | Grupo de Utilizadores Protegidos não em uso | Detecta quando os utilizadores privilegiados não são um membro do grupo de Utilizadores Protegidos. O grupo de Utilizadores Protegidos proporciona aos utilizadores privilegiados uma protecção adicional contra ataques directos de roubo de credenciais. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
-
ANSSI:
vuln3_protected_users
|
|
| Segurança da conta | Contas de confiança com palavras-passe antigas | Procura contas fiduciárias cuja palavra-chave não tenha sido alterada no último ano. As contas fiduciárias facilitam a autenticação através dos trusts e devem ser protegidas como contas de utilizadores privilegiados. Normalmente, as senhas das contas fiduciárias são rodadas automaticamente, pelo que uma conta fiduciária sem uma alteração recente de senha poderia indicar uma conta fiduciária órfã. | Informação |
|
|
| Segurança da conta | Directores sem privilégios como administradores do DNS | Procura qualquer membro do grupo Admins do DNS que não seja um utilizador privilegiado. Os membros deste grupo podem ser delegados a administradores não-AD (por exemplo, administradores com responsabilidades de rede, tais como DNS, DHCP, etc.), o que pode resultar em que estas contas sejam alvos privilegiados de compromisso. | Aviso |
-
MITRE ATT&CK:
Execução
-
ANSSI:
vuln1_dnsadmins vuln1_permissions_msdn
|
|
| Segurança da conta | Contas de utilizadores que armazenam palavras-passe com cifra reversível | Identifica contas com a bandeira "ENCRYPTED_TEXT_PWD_ALLOWED" activada. Os atacantes podem ser capazes de inferir as palavras-passe destes utilizadores a partir do texto cifrado e assumir o controlo destas contas. | Informação |
|
|
| Segurança da conta | Contas de utilizadores que utilizam encriptação DES | Identifica contas de utilizador com o conjunto de bandeiras "Usar tipos de encriptação Kerberos DES para esta conta". Os atacantes podem facilmente decifrar senhas DES utilizando ferramentas amplamente disponíveis, tornando estas contas maduras para a aquisição. | Informação |
|
|
| Segurança da conta | Contas de utilizador com palavra-passe não necessárias | Identifica as contas de utilizador onde não é necessária uma palavra-passe. As contas com fracos controlos de acesso são frequentemente alvo de ataques de movimento lateral ou como meio de persistência no ambiente. | Informação |
|
|
| Segurança da conta | Utilizadores com pré autenticação Kerberos desactivada | Procura utilizadores com a pré-autenticação de Kerberos desactivada. Estes utilizadores podem ser alvo de ataques de ASREP-Roasting (como "Kerberoasting"). | Aviso |
|
|
| Segurança da conta | Utilizadores marcados para não expirar a palavra-passe | Identifica as contas de utilizador marcadas com "Password Never Expires". Estas contas podem ser alvos potenciais de ataques por brute force. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
-
ANSSI:
vuln2_dont_expire
|
|
| Segurança da conta | Utilizadores com palavras-passe antigas | Procura contas de utilizador cuja palavra-chave não tenha sido alterada em mais de 180 dias. Estas contas podem ser alvo de ataques de adivinhação da palavra-passe. | Aviso |
|
|
| Segurança da conta | Actualização de palavra-passe anormal | Procura contas de utilizador com uma alteração recente do pwdLastSet sem uma replicação de palavra-passe correspondente. Se a opção "User must change password at next logon" for definida e depois apagada, poderá indicar um erro administrativo ou uma tentativa de contornar a política de palavra-passe da organização. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Segurança da conta | Objectos AD criados nos últimos 10 dias | Procura quaisquer objectos AD que tenham sido criados recentemente. Permite-lhe detectar relatos desconhecidos ou ilegítimos. Significa ser utilizado para a caça de ameaças, investigação pós-investigação, ou validação de compromisso. | Informação |
|
|
| Segurança da conta | Administradores com palavras-passe antigas | Procura contas Admin cuja palavra-chave não tenha sido alterada há mais de 180 dias. Se as palavras-passe das contas Admin não forem alteradas regularmente, estas contas poderão vulneráveis a ataques de adivinhação de palavra-passe.
| Aviso |
|
|
| Segurança da conta | Conta Administrador do domínio (rid 500) utilizada nas últimas duas semanas | Verifica se o valor do atributo lastLogonTimestamp para a conta de Administrador do Domínio (rid 500) foi recentemente actualizado. Pode indicar que o utilizador foi comprometido. | Aviso |
|
|
| Segurança da conta | Conta Administrador do domínio (rid 500) com palavra-passe antiga (180 dias) | Verifica se o atributo pwdLastSet na conta do Administrador do Domínio incorporado foi alterado nos últimos 180 dias. Se esta senha não for alterada regularmente, esta conta pode ser vulnerável a ataques por senha de força bruta. | Informação |
|
|
| Segurança da conta | Alterações à lista de membros do grupo "Pre-Windows 2000 Compatible Access" | integrProcura alterações ao grupo de omissã "Acesso Compatível Pré-Windows 2000". É melhor assegurar que este grupo não contenha os grupos "Logon Anónimo" ou "Todos". | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Segurança da conta | Mudanças dos membros de grupos privilegiados nos últimos 7 dias | Procura contas Admin cuja palavra-chave não tenha sido alterada há mais de 180 dias. Se as palavras-passe das contas Admin não forem alteradas regularmente, estas contas poderão vulneráveis a ataques de adivinhação de palavra-passe. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
| Segurança da conta | Contas de computador em grupos privilegiados | Procura contas de computador que sejam membros de um grupo privilegiado de domínio. Se uma conta de computador é um membro do grupo de domínio privilegiado, então qualquer pessoa que comprometa essa conta de computador pode agir como membro desse grupo. | Aviso |
|
|
| Segurança da conta | Contas administrativas inactivas | Procura contas administrativas que estejam activadas, mas que não tenham entrado no sistema nos últimos 90 dias. Os atacantes que possam comprometer estas contas poderão operar sem serem notados. | Aviso |
|
|
| Segurança da conta | Administradores efémeros | Procura utilizadores que foram adicionados e removidos de um grupo Admin dentro de um período de 48 horas. Tais contas de curta duração podem indicar actividade maliciosa. | Informação |
|
|
| Segurança da Política de Grupo | Alterações à Default Domain Policy ou à Default Domain Controllers Policy nos últimos 7 dias | Procura alterações recentes na Política de Domínios por Defeito e na Política de Controladores de Domínios por Defeito GPO. Estes GPO controlam configurações de segurança em todo o domínio e controlador de domínio e podem ser indevidamente utilizados para obter acesso privilegiado a AD. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais Movimento Lateral Escalada de Privilégios
|
|
| Segurança da Política de Grupo | SYSVOL Alterações executáveis | Procura modificações em ficheiros executáveis dentro do SYSVOL. As alterações aos ficheiros executáveis no SYSVOL devem ser contabilizadas ou investigadas para procurar um potencial enfraquecimento da postura de segurança. | Informação |
|
|
| Segurança da Política de Grupo | GPO ligando a delegação ao nível do Site AD | Procura mandantes não privilegiados que tenham permissões de escrita no atributo GPLink ou Escreva DACL/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível do AD Site, têm a capacidade de efectuar alterações nos controladores de domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. | Aviso |
|
|
| Segurança da Política de Grupo | Delegação de ligação GPO ao nível da OU Domain Controllers | Procura mandantes não privilegiados que tenham permissões de escrita sobre o atributo GPLink ou Escreva DAC/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível da OU do controlador de domínio, têm a capacidade de efectuar alterações nos controladores de domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. | Aviso |
|
|
| Segurança da Política de Grupo | Delegação de direitos de ligar GPO ao nível do domínio | Procura utilizadores não privilegiados que detenham permissões de escrita no atributo GPLink ou Write DACL/Write Owner no objecto. Quando utilizadores não privilegiados podem ligar GPOs ao nível do domínio, têm a capacidade de efectuar alterações em todos os utilizadores e computadores do domínio. Podem potencialmente elevar o acesso e alterar a postura de segurança em todo o domínio. | Aviso |
|
|
| Segurança da Política de Grupo | Palavras-passe reversíveis encontradas nas GPO | Procura no SYSVOL por GPOs que contêm palavras-passe que podem ser facilmente decifradas por um atacante (as chamadas entradas "Cpassword"). Esta área é uma das primeiras coisas que os atacantes procuram quando têm acesso a um ambiente AD. | Crítico |
|
|
| Azure AD | Utilizadores privilegiados no Azure AD que também são privilegiados no AD | Verifica os utilizadores privilegiados do Azure AD que também são utilizadores privilegiados no AD on-premises. Um comprometimento de uma conta que é privilegiada tanto no AD como no Azure AD pode resultar no comprometimento de ambos os ambientes. | Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
| Azure AD | As unidades administrativas não estão a ser utilizadas | Verifica a existência de unidades administrativas. As unidades administrativas ajudam a limitar o âmbito da autoridade de um security principal. Os atacantes que comprometem uma conta administrativa podem ter um amplo acesso através dos recursos. Utilizando unidades administrativas, é possível limitar o alcance de administradores específicos e assegurar que um único comprometimento de credenciais seja limitado e não afecte todo o ambiente. | Informação |
-
MITRE ATT&CK:
Movimento Lateral
|
|
| Azure AD | Verificação se os convidados detêm permissão para convidar outros convidados | Verificação das permissões de convite dos convidados. Não é recomendado permitir aos convidados o envio de convites a novos convidados. | Aviso |
-
MITRE ATT&CK:
Movimento Lateral
|
|
| Azure AD | Verificar as permissões API de risco concedidas aos service principals de applicações | Verificações de permissões API que podem ser arriscadas se não forem devidamente planeadas e aprovadas. Os administradores de aplicações maliciosas poderiam utilizar estas permissões para conceder privilégios administrativos a si próprios ou a outros. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Azure AD | Verificar se a autenticação legacy é permitida | Verifica se a autenticação do legado está bloqueada, quer utilizando políticas de acesso condicional ou padrões de segurança. Permitir autenticação legada aumenta o risco de um atacante entrar no sistema usando credenciais previamente comprometidas. | Informação |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Azure AD | MFA não configurada para contas privilegiadas | Verifica se a Autenticação Multi-Factor (MFA) está activada para utilizadores com direitos administrativos. As contas com acesso privilegiado são alvos mais vulneráveis aos atacantes. Um compromisso de um utilizador privilegiado representa um risco significativo e, portanto, requer protecção extra. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Azure AD | Utilizadores não-administrativos podem registar aplicações personalizadas | Verificações para uma política de autorização que permita aos utilizadores não-administradores registar pedidos personalizados.
Se os utilizadores não-administradores forem autorizados a registar aplicações empresariais personalizadas, os atacantes podem utilizar essa lacuna para registar aplicações nefastas, que podem então aproveitar para obter permissões adicionais. | Aviso |
-
MITRE ATT&CK:
Persistência Escalada de Privilégios
|
|
| Azure AD | Grupo privilegiado contém conta de convidado | Verifica se algum papel privilegiado foi atribuído a contas de convidados. Os atacantes externos cobiçam contas privilegiadas, uma vez que fornecem uma via rápida para os sistemas mais críticos de uma organização. As contas de convidados representam uma entidade externa que não sofre a mesma segurança que os utilizadores no seu tenant; portanto, atribuir-lhes papéis privilegiados representa um risco acrescido. | Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Azure AD | Security Defaults não activados | Quando não há políticas de Conditional Accessconfiguradas, este indicador verifica se os Security Defaults estão activados. Recomenda-se que os Security Defaults sejam utilizados para Tenants que não tenham políticas de Conditional Access configuradas. Os Security Defaults exigirão MFA, bloquearão a autenticação básica (legacy) e exigirão autenticação adicional ao aceder ao portal Azure, Azure PowerShell, e Azure CLI. | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Acesso Inicial
|
|
| Azure AD | Consentimento sem restrições permitido a utilizadores | Verifica se os utilizadores estão autorizados a adicionar aplicações de editores não verificados. Quando os utilizadores têm permissão para consentir quaisquer aplicações de terceiros, há um risco considerável de que uma aplicação permitida tome acções intrusivas ou arriscadas. | Aviso |
-
MITRE ATT&CK:
Movimento Lateral Persistência
|
|
| Azure AD | Os utilizadores convidados não estão sujeitos a restrições | Os utilizadores convidados são restringidos no tenant. Os atacantes podem utilizar utilizadores convidados sem restrições para efectuar a contagem de utilizadores e grupos no tenant. | Informação |
-
MITRE ATT&CK:
Reconhecimento
|
|
| Segurança Kerberos | Utilizadores primários com SPN que não suportam encriptação AES no protocolo Kerberos | Mostra todos os utilizadores primários com serviçoPrincipalNames (SPNs) que não suportam o tipo de encriptação AES-128 ou AES-256. A encriptação AES é mais forte do que a encriptação RC4. A configuração de utilizadores primários com SPNs que suportam a encriptação AES não mitigará ataques como o kerberoasting. No entanto, força a encriptação AES por defeito, o que significa que é possível monitorizar para a encriptação ataques de downgrade para RC4 (ataques de kerberoasting). | Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
| Infraestrutura AD | SMBv1 está activo nos Domain Controllers | Procura Domain Controllers onde o protocolo SMBv1 está activo. SMBv1 é um protocolo antigo (tornado obsoleto pela Microsoft em 2014), que é considerado inseguro e susceptível a todo o tipo de ataques.
| Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
| Segurança da conta | Aviso |
|
|
| Segurança Kerberos | Contas com altSecurityIdentities configuradas | Verificações de contas com o atributo altSecurityIdentities configurado.
O atributo altSecurityIdentities é um atributo multivalorizado utilizado para criar mapeamentos para certificados X.509 e contas externas Kerberos. Quando configurado, é possível adicionar valores que essencialmente personificam essa conta.
| Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_delegation_a2d2
|
|
| Segurança Kerberos | Contas com delegação restrita configurada para SPN fantasma | Procura contas que tenham impedido a delegação configurada para SPNs fantasmas.
Quando os computadores são desactivados, a configuração da sua delegação nem sempre é limpa. Tal delegação poderia permitir a um atacante que tenha privilégios de escrever para o atributo ServicePrincipalName de outra conta de serviço, aumentar os privilégios sobre esses serviços.
| Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
-
ANSSI:
vuln1_delegation_a2d2
|
|
| Azure AD | AD utilizadores privilegiados que estão sincronizados com o AAD | Verificações para utilizadores privilegiados de AD que estão sincronizados com o AAD.
Quando um utilizador privilegiado de AD é sincronizado com o DAA, um compromisso do utilizador do DAA pode resultar no comprometimento do ambiente no local também.
| Crítico |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
| Azure AD | Verificar se há utilizadores com fraca ou nenhuma AMF | Verifica todos os utilizadores para registo de autenticação multi-factor (AMF) e os métodos configurados.
Devido à falta de medidas de segurança uniformes nas redes móveis, os SMS e a Voz são considerados menos seguros do que as aplicações móveis e o FIDO. Um utilizador malicioso pode visar/códigos e enganar os utilizadores para que estes forneçam autenticação.
| Aviso |
-
MITRE ATT&CK:
Acesso Inicial Movimento Lateral
|
|
| Azure AD | Política de Acesso Condicional que desactiva a persistência simbólica administrativa | Procura políticas de Acesso Condicional que desactivem a persistência simbólica para os utilizadores com funções administrativas e que tenham uma frequência de entrada inferior ou igual a nove horas.
Quando o login de um administrador tem o seu token em cache no cliente, este fica vulnerável a um ataque relacionado com um Token de Actualização Primária.
| Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Azure AD | Política de Acesso Condicional que desactiva a persistência simbólica administrativa | Procura políticas de Acesso Condicional que desactivem a persistência simbólica para os utilizadores com funções administrativas e que tenham uma frequência de entrada inferior ou igual a nove horas.
Quando o login de um administrador tem o seu token em cache no cliente, este fica vulnerável a um ataque relacionado com um Token de Actualização Primária.
| Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Azure AD | Política de Acesso Condicional que não exige uma mudança de senha de utilizadores de alto risco | Verifica se existe uma política de Acesso Condicional que requer uma mudança de senha se o utilizador for determinado como sendo de alto risco pela API Azure AD Identity Protection user risk.
Um risco elevado para o utilizador representa uma elevada probabilidade de que uma conta tenha sido comprometida.
| Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Azure AD | Política de Acesso Condicional que não requer AMF quando o risco de acesso tiver sido identificado | Verifica se existe uma política de Acesso Condicional que requer AMF se o risco do pedido de autenticação for determinado como médio ou elevado pelo API de risco de ingresso de protecção de identidade AD Azure.
Um risco de entrada médio ou alto representa uma probabilidade média a alta de que tenha sido feito um pedido de autenticação não autorizado.
| Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais
|
|
| Azure AD | Convidados não aceites nos últimos 30 dias | Cheques para os convidados que não foram aceites no prazo de 30 dias após o convite.
Os convites de convidados fora do prazo representam um risco de segurança e devem ser eliminados.
| Aviso |
-
MITRE ATT&CK:
Acesso às Credenciais Escalada de Privilégios
|
|
| Azure AD | Existem mais de 5 Administradores Globais | Verifica a presença de cinco ou mais Administradores Globais.
Os Administradores Globais controlam o seu ambiente Azure AD e têm acesso a todas as características administrativas e controlo total do Azure AD.
| Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Azure AD | Utilizador do DAA não sincronizado que é elegível para um papel privilegiado | Verificações para utilizadores de AD Azure que são elegíveis para um papel de alto privilégio e têm o atributo proxyAddress mas não estão sincronizados com uma conta AD.
Um atacante pode usar correspondência SMTP para sincronizar utilizadores AD controlados com utilizadores AAD que são elegíveis para papéis de alto privilégio. Este processo substitui a palavra-passe do DAA e pode resultar numa escalada de privilégios sobre o DAA.
| Aviso |
-
MITRE ATT&CK:
Escalada de Privilégios
|
|
| Azure AD | Conta de computador SSO com palavra-passe definida pela última vez durante 90 dias | Verifica a conta do computador Azure SSP (AZUREADSSOACC) para determinar se a senha foi rodada nos últimos 90 dias.
A palavra-passe para a conta do computador Azure SSO não é alterada automaticamente a cada 30 dias. Se a senha desta conta for comprometida, um atacante pode gerar um pedido de Ticket Granting Service (TGS) para a conta AZUREADSSOACC como qualquer utilizador, o que tem o efeito de gerar um Ticket to Azure e fazer-se passar por esse utilizador.
| Aviso |
|
|
