调查结果(MAC III - 行政敏感)
查找 ID | 严重性 | 标题 | 描述 |
|---|---|---|---|
V-8534 | 高的 | 不同分类级别的 DoD 目录服务之间的互连必须使用经批准可与跨分类信任一起使用的跨域解决方案。 | 如果不使用强大的跨域解决方案,那么它可能允许未经授权访问机密数据。为了支持不同分类级别的资源之间的安全访问,... |
V-8536 | 高的 | 受控接口必须在 DoD 和非 DoD 系统或网络之间运行的 DoD 信息系统之间具有互连。 | AD 信任关系的配置是用于允许一个域中的用户访问另一个域、林或 Kerberos 领域中的资源的步骤之一。当信托被定义... |
V-36435 | 高的 | 必须禁止授予特权帐户。 | 不得信任特权帐户(例如属于任何管理员组的帐户)进行委派。允许信任特权帐户进行委派提供了一种方法... |
V-36432 | 高的 | Domain Admins 组的成员身份必须仅限于仅用于管理 Active Directory 域和域控制器的帐户。 | Domain Admins 组是一个高度特权的组。作为系统管理员的人员必须仅使用具有必要权限级别的帐户登录到 Active Directory 系统...... |
V-36431 | 高的 | Enterprise Admins 组的成员资格必须仅限于仅用于管理 Active Directory 林的帐户。 | Enterprise Admins 组是一个高度特权的组。作为系统管理员的人员必须仅使用具有权限级别的帐户登录到 Active Directory 系统... |
V-8538 | 中等的 | 必须将安全标识符 (SID) 配置为仅使用直接受信任的外部或林信任的身份验证数据。 | 在某些情况下,攻击者或恶意管理员可能会破坏受信任域中的域控制器,从而使用 SID 历史属性 (sIDHistory) 来... |
V-8533 | 中等的 | 对需要知道的信息的访问必须仅限于授权的利益社区。 | 因为信任关系有效地消除了信任域或林中的身份验证级别,所以它们代表了域或林级别的不太严格的访问控制,其中... |
V-8553 | 中等的 | 必须启用复制并将其配置为至少每天发生一次。 | 及时复制可确保目录服务数据在支持相同客户端数据范围的所有服务器之间保持一致。在使用 AD 站点的 AD 实施中,域... |
V-8551 | 中等的 | 域功能级别必须是 Windows 2003 或更高版本。 | 不允许在 DoD 中使用非供应商支持的 AD 版本。供应商不再支持或更新使用 Windows NT 和 Windows 2000 的域控制器。如果 Windows NT 或... |
V-25385 | 中等的 | 必须以所需的频率备份目录数据。 | 未能维护目录数据的当前备份可能会导致难以或不可能从包括硬件故障或恶意损坏在内的事件中恢复。恢复失败... |
V-36438 | 中等的 | 域系统上的本地管理员帐户不得共享相同的密码。 | 域系统上的本地管理员帐户必须使用唯一密码。如果域系统受到威胁,请为域系统上的本地管理员帐户共享相同的密码... |
V-36436 | 中等的 | 只有专门用于管理 Active Directory 的系统才能用于远程管理 Active Directory。 | 只有专门用于管理 Active Directory 的域系统才能用于远程管理 Active Directory。专门用于管理 Active Directory 的域系统将有助于... |
V-36437 | 中等的 | 必须阻止用于远程管理 Active Directory 的专用系统访问 Internet。 | 用于管理 Active Directory 的系统提供对域的高特权区域的访问。这种具有 Internet 访问权限的系统可能会受到无数攻击并危及域...... |
V-36434 | 中等的 | 管理员必须拥有专门用于管理域工作站的单独帐户。 | 作为系统管理员的人员必须仅使用具有必要最低权限级别的帐户登录域系统。只有系统管理员帐户专门用于... |
V-36433 | 中等的 | 管理员必须拥有专门用于管理域成员服务器的单独帐户。 | 作为系统管理员的人员必须仅使用具有必要最低权限级别的帐户登录域系统。只有系统管理员帐户专门用于... |
V-25840 | 中等的 | 目录服务还原模式 (DSRM) 密码必须至少每年更改一次。 | 这是一个非常强大的密码,应该定期更改。此密码对每个 DC 都是唯一的,用于在重新启动到服务器恢复模式时登录到 DC。和... |
V-8522 | 中等的 | 必须使用 V** 来保护目录网络流量,以实现跨越飞地边界的目录服务实施。 | AD的正常运行需要使用IP网口和协议来支持查询、复制、用户认证、资源授权等服务。至少,LDAP 或 LDAPS... |
V-8523 | 中等的 | 如果在 AD 实施中使用 V**,则必须通过网络入侵检测系统 (IDS) 对流量进行检查。 | 为了提供数据机密性,V** 被配置为对正在传输的数据进行加密。虽然这可以保护数据,但某些实现不允许通过... |
V-8524 | 中等的 | 当域支持 MAC I 或 II 域时,目录服务必须由多个目录服务器支持。 | 在 AD 架构中,多个域控制器通过冗余提供可用性。如果一个 AD 域或其中的服务器被指定为 MAC I 或 II,并且该域仅受... |
V-8548 | 中等的 | 特权组中的成员帐户数量不得过多。 | 以下 Windows 安全组中的成员身份为 AD 功能分配了高权限级别:域管理员、企业管理员、架构管理员、组策略创建者所有者和传入... |
V-8549 | 中等的 | 必须从所有高特权组中删除不属于同一组织或不受相同安全策略约束的外部目录中的帐户。 | 某些默认目录组中的成员资格分配了访问目录的高权限级别。在 AD 中,以下组的成员身份可启用相对于 AD 的高权限和... |
V-8540 | 中等的 | 必须在传出林信任上启用选择性身份验证。 | 可以使用选择性身份验证选项配置出站 AD 林信任。启用此选项通过要求显式授权(通过... |
V-8547 | 中等的 | 必须从 Pre-Windows 2000 Compatible Access 组中删除所有人和匿名登录组。 | Pre-Windows 2000 Compatible Access 组的创建是为了允许 Windows NT 域与 AD 域互操作,方法是允许未经身份验证的访问某些 AD 数据。默认权限... |
V-25997 | 中等的 | 只读域控制器 (RODC) 体系结构和配置必须符合目录服务要求。 | RODC 角色为从内部网络到 DMZ 的选定信息提供单向复制方法。如果没有正确配置以使风险足迹最小化,则... |
V-8530 | 低的 | 必须记录每个跨目录身份验证配置。 | AD 外部、林和领域信任配置旨在将资源访问扩展到更广泛的用户(其他目录中的用户)。如果授权的特定基线文件... |
V-25841 | 低的 | 域控制器所在的域和/或林的安全漏洞审查必须至少每年进行一次。 | AD 域控制器受域控制器所在域和林的安全配置所创建的 AD 环境的影响。对AD的适当审查... |
V-8521 | 低的 | 具有委派权限的用户帐户必须从 Windows 内置管理组中删除或从帐户中删除委派权限。 | 在 AD 中,可以委派帐户和其他 AD 对象所有权和管理任务。(这通常是为帮助台或其他用户支持人员完成的。)这样做是为了避免需要...... |
V-8526 | 低的 | 必须考虑 INFOCON 更改对跨目录身份验证配置的影响并记录程序。 | 当发生需要更改 INFOCON 状态的事件时,可能需要采取措施限制或禁用基于外部目录的某些类型的访问... |
V-8525 | 低的 | AD 实施信息必须添加到站点灾难恢复计划中,包括 AD 林、树和域结构。 | 当发生需要重建多个 AD 域控制器的事件时,了解 AD 层次结构和复制流程至关重要,以便正确的恢复顺序和... |
