專案

一般

配置概況

活動

起 2025-11-21 迄 2025-11-30

2025-11-28

11:04 專案資訊 #1068 (Resolved-解决): Dangerous Permisson over GPO that applies to object with high privileges
1. 識別受影響的 GPO 和目標 OU
首先,您需要確定哪些 GPO 連結到了包含高權限帳戶或群組的 OU。
可行之做法:
使用 Group Policy Management Console (GPMC) 進行分析:
開啟... 益利 周
11:03 專案資訊 #1069 (Resolved-解决): Dangerous Permisson over GPO that applies to object with high privileges
1. 識別受影響的 GPO 和目標 OU
首先,您需要確定哪些 GPO 連結到了包含高權限帳戶或群組的 OU。
可行之做法:
使用 Group Policy Management Console (GPMC) 進行分析:
開啟... 益利 周
11:01 專案資訊 #1070 (Resolved-解决): Dangerous Permisson over GPO that applies to object with high privileges
1. 識別受影響的 GPO 和目標 OU
首先,您需要確定哪些 GPO 連結到了包含高權限帳戶或群組的 OU。
可行之做法:
使用 Group Policy Management Console (GPMC) 進行分析:
開啟... 益利 周
10:50 專案資訊 #1084 (In process-進行中): Object Owner Anomalies
1. 識別目前所有權配置現況
2. 變更所有權至標準化管理群組
一旦識別出錯誤配置的物件,就需要將所有權重新分配給組織定義的標準管理群組,例如 Domain Admins、Enterprise Admins 或 Adminis... 益利 周
10:47 專案資訊 #1085 (In process-進行中): Dangerous Permission over Privileged Objects Containers
核心改善目標是:嚴格限制對特權 Active Directory 容器的存取,實施最小權限原則,並將權限委派標準化。
以下是針對此問題的具體改善因應做法:
1. 識別與定義特權容器
首先,需要明確指出哪些 AD 物件被視為「特權... 益利 周
10:15 專案資訊 #1086 (Resolved-解决): Dangerous Permission over MicrosoftDNS server objects
已限定 非授權人員 無法操作
!clipboard-202511281016-lsjyf.png!
 益利 周
10:08 專案資訊 #1087 (Resolved-解决): Dangerous Permission over Domain Controllers Group
1. 識別與稽核「Domain Controllers」群組權限
確認哪些帳戶或群組目前擁有修改「Domain Controllers」群組的權限。
2. 移除不必要帳戶的修改權限
實施嚴格的最小權限原則:
在「Domain ... 益利 周
10:00 專案資訊 #1088 (Resolved-解决): Dangerous Permission over adminSDHolder
adminSDHolder 物件是 Active Directory 中保護高權限帳戶的關鍵安全機制。它就像一個「權限範本」,每小時會將其自身的 ACL (存取控制列表) 強制複製到所有受保護的管理員群組(如 Domain Admin... 益利 周
09:36 專案資訊 #1089 (Resolved-解决): Dangerous Permission over DNSAdmins Group
核心改善目標是:限制 DNSAdmins 群組的成員資格,並移除該群組在網域控制站上的本地管理權限,確保其權限僅限於管理 DNS 服務本身。
以下是具體的改善因應做法:
1. 限制 DNSAdmins 群組成員資格
最直接的緩解... 益利 周
09:14 專案資訊 #1083 (Resolved-解决): Overly Permissive Non-Privileged Accounts
特殊管理權限群組 只授予相關管理人員之管理帳號
!clipboard-202511280914-t8w4i.png!
 益利 周

2025-11-27

18:40 專案資訊 #1082 (Resolved-解决): Privileged acccount outside from 'Protected Users' group
已建立 'Protected Users' group
!clipboard-202511271841-6qrxy.png!
指定 受保護帳戶
!clipboard-202511271841-lsqiq.png!
 益利 周
18:29 專案資訊 #1081 (Resolved-解决): Privileged acccount outside from 'Protected Users' group
已建立 Protected Users
!clipboard-202511271828-xuhea.png!
並指定 群組成員 受保護
!clipboard-202511271829-fglbo.png!
 益利 周
18:21 專案資訊 #1080 (Resolved-解决): Presence of user principals in Schema Admins group
1.清空 Schema Admins 群組成員資格
!clipboard-202511271821-z15p2.png!
群組中無成員 益利 周
18:17 專案資訊 #1079 (Resolved-解决): Non-restricted Domain Join with Excessive Machine Account Quota
已設定相關授權人員 才可操作
!clipboard-202511271816-0nkak.png!
一般人員帳號 無權限 益利 周
18:01 專案資訊 #1078 (Resolved-解决): Dangerous Permission over Domain Context Root
為管理人員 另開立管理帳號,並只授權於管理帳號相關權限.
!clipboard-202511271801-z6uay.png!
員工帳號 回歸一般使用.無管理權限 益利 周
17:55 專案資訊 #1077 (Resolved-解决): Krbtgt Password Unchanged for over 1 year
Krbtgt 帳號 已進行多次密碼變更 最後一次變更是在 2025/11/24 下午 08:01:04
!clipboard-202511271755-pgocl.png!
 益利 周
17:50 專案資訊 #1076 (Resolved-解决): SMB version 1 in use on Domain Controller
在Domain Controller中 已關閉 SMB 1.0
!clipboard-202511271750-jnyq1.png!
 益利 周
17:45 專案資訊 #1075 (Resolved-解决): ADCS Web Enrollment Enabled for high-privileged accounts
1.在 AD CS 伺服器上啟用擴充保護以進行驗證 (EPA)
!clipboard-202511271729-zjpzs.png!
2.在 AD CS 伺服器上停用 NTLM
!clipboard-202511271734-m... 益利 周
17:21 專案資訊 #1074 (Resolved-解决): Use of ""Pre-Windows 2000 Compatible Access
於 Pre-Windows 2000 Compatible Access 群組中
移除 "Anonymous Logon"
!clipboard-202511271719-cigab.png!
名單中已無 Anonym... 益利 周
17:12 專案資訊 #1073 (Resolved-解决): SMB NULL Session Authentication allowed on Domain Controllers
1.透過群組原則 (GPO) 停用 NULL 工作階段
2.套用至 網域控制站
!clipboard-202511271712-72kpp.png!
 益利 周
16:56 專案資訊 #1072 (Resolved-解决): Privileged Accounts with Never Expiring Passwords
修改AD帳號屬性,取消 永不過期 帳號
!clipboard-202511271655-0srip.png!
 益利 周
16:44 專案資訊 #1071 (Resolved-解决): Sensitive Data Stored in Domain Controller’s Network Shares
1.刪除無需授權認證資料夾.
2.分享資料夾 均需相關權限 方能存取.
 益利 周
13:49 專案資訊 #1066 (Resolved-解决): Domain Admin Vulnerable to Kerberoasting Attack
1.新增 一般使用者 Domain User 授予 SPN
2.移除 Domain Admin 網域管理員帳戶的 SPN
!clipboard-202511271337-vwsq1.png!
3.變更 網域管理員帳戶 密碼
4... 益利 周

2025-11-25

11:46 專案資訊 #1144 (New-新增): 2026年-Cybersecurity-Report
Joy Liao
 

匯出至 Atom