Indicateurs d'exposition
| Nom | Description | Sévérité | Type |
|---|---|---|---|
| Autorisations dMSA dangereuses BadSuccessor | BadSuccessor est une faille d'élévation de privilèges Active Directory dans Windows Server 2025 qui exploite les dMSA et permet aux attaquants de manipuler les liens de comptes et, potentiellement, de compromettre le domaine. | critical | |
| Groupe non essentiel | Vérifie qu'aucun groupe n'est vide ou ne contient qu'un seul membre. | low | |
| Autorisations Exchange sensibles | Identifiez les autorisations potentiellement laxistes qui impactent les ressources Exchange ou sont attribuées à des groupes Exchange. | critical | |
| Serveurs Exchange non pris en charge ou obsolètes | Détecte les serveurs Exchange obsolètes que Microsoft ne prend plus en charge, ainsi que ceux qui ne disposent pas des dernières mises à jour cumulées. | high | |
| Paramétrages dangereux sur Exchange | Répertorie les mauvaises configurations qui impactent les ressources Exchange ou les objets sous-jacents du schéma Active Directory. | high | |
| Informations Entra ID hybrides | Collecte des informations telles que les utilisateurs et les ordinateurs hybrides auprès de l'environnement Active Directory sur site, au sujet des ressources synchronisées avec Microsoft Entra ID. | low | |
| Membres de groupes Exchange | Comptes inhabituels dans des groupes Exchange sensibles | high | |
| Mauvaises configurations des comptes de service | Affiche les mauvaises configurations potentielles des comptes de service du domaine. | medium | |
| Principaux de sécurité en conflit | Vérifie qu'aucun utilisateur, ordinateur ou groupe n'est dupliqué (en conflit). | low | |
| Shadow Credentials | Détecte les portes dérobées et les mauvaises configurations de Shadow Credentials dans la fonctionnalité « Windows Hello Entreprise » et les identifiants de clé associés. | high | |
| Compte invité activé | Vérifie que le compte invité intégré est désactivé. | low | |
| Paramétrages dangereux sur des comptes de service administrés | Garantit que les comptes de service administrés (MSAs) sont déployés et correctement configurés. | high | |
| Comptes utilisateurs AD privilégiés synchronisés avec Microsoft Entra ID | Vérifie que les comptes utilisateurs privilégiés Active Directory ne sont pas synchronisés avec Microsoft Entra ID. | high | |
| Configuration de silo d'authentification privilégié | Un guide étape par étape sur la configuration d'un silo d'authentification pour les comptes privilégiés (Tier-0). | high | |
| Mises à jour non sécurisées de zones DNS dynamiques autorisées | Vérifie que la configuration du serveur DNS interdit les mises à jour de zones DNS dynamiques non sécurisées. | high | |
| Paramétrages dangereux sur des serveurs WSUS | Liste les paramètres mal configurés liés au service de mise à jour de Windows (WSUS). | critical | |
| Intégrité des Property Sets | Vérifie l'intégrité des property sets et valide les autorisations positionnées | medium | |
| Configuration de réplication SYSVOL dangereuse | Vérifie que le mécanisme "File Replication Service" (FRS) a été remplacé par "Distributed File System Replication" (DFS-R). | medium | |
| Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory | Vérifie l'absence de faiblesses dans les mots de passe susceptibles d'accroître la vulnérabilité des comptes Active Directory. | high | |
| Durcissement insuffisant contre les ransomwares | S'assure que les mesures de durcissement pour contrer les ransomwares ont été correctement déployées sur le domaine. | medium | |
| Paramétrages dangereux sur des serveurs ADCS | Liste les autorisations dangereuses et les paramètres mal configurés liés à l'infrastructure à clés publiques (PKI) de Active Directory Certificate Services (AD CS). | critical | |
| Intégrité des stratégies de groupe | Vérifie que les GPO s'appliquant aux ordinateurs du domaine sont intègres. | high | |
| Restrictions d'authentification des utilisateurs avec privilèges | Les utilisateurs avec privilèges peuvent se connecter à des machines moins privilégiées, risquant ainsi de se faire dérober leurs identifiants. | high | |
| Configuration non sécurisée du protocole Netlogon | La CVE-2020-1472 ("Zerologon") affecte le protocole Netlogon et permet une élévation de privilèges. | critical | |
| Attributs liés au « Credential Roaming » non protégés | Des attributs liés au "Credential roaming" non protégés sont accessibles à des utilisateurs non privilégiés, ce qui peut mener à des fuites d'information ou la perte d'accès à des données sensibles. | low | |
| Présence d'un potentiel mot de passe en clair | Certains mots de passe semblent lisibles pour les utilisateurs du domaine. | high | |
| Privilèges sensibles dangereux | Des privilèges sensibles mal configurés peuvent porter atteinte à la sécurité de l'infrastructure AD. | high | |
| Certificats associés aux comptes | S'assure qu'aucun mappage de certificat faible n'est assigné à des objets. | critical | |
| Domaine sans GPO de durcissement | Vérifie que des GPO de durcissement ont été déployées sur le domaine. | medium | |
| Groupe Protected Users non utilisé | Des utilisateurs privilégiés ne sont pas présents dans le groupe Protected Users. | high | |
| Compte doté d'un mot de passe potentiellement vide | Identifie les comptes utilisateur pouvant avoir un mot de passe vide. | high | |
| Utilisateurs autorisés à joindre des ordinateurs au domaine | Vérifie que les utilisateurs sans privilèges ne peuvent joindre des ordinateurs externes au domaine. | medium | |
| Vérifier la date de dernière modification du mot de passe du compte Microsoft Entra SSO | Le mot de passe du compte Microsoft Entra SSO doit être modifié régulièrement. | high | |
| Autorisations dangereuses dans le schéma AD | Liste les entrées anormales dans le schéma qui peuvent fournir un mécanisme de persistence. | high | |
| Comptes utilisateurs utilisant un mot de passe trop ancien | Vérifie que des mises à jour ont lieu régulièrement sur les mots de passe de comptes actifs dans Active Directory afin de réduire les vols d'identités. | medium | |
| Vérifier les autorisations liées aux comptes Microsoft Entra Connect | S'assure que les autorisations définies sur les comptes Microsoft Entra Connect sont saines. | critical | |
| Contrôleurs de domaine gérés par des utilisateurs mal intentionnés | Certains contrôleurs de domaine peuvent être gérés par des utilisateurs non-administrateurs en raison de droits d'accès dangereux. | critical | |
| Stratégies de mots de passe faibles appliquées aux utilisateurs | Certaines stratégies de mots de passe appliquées à des comptes utilisateur spécifiques ne sont pas assez robustes et peuvent faciliter le vol d'informations d'authentification. | critical | |
| Vérifier les autorisations sur les objets et les fichiers GPO sensibles | Vérifie que les autorisations sur les objets et les fichiers GPO qui sont liés à des conteneurs sensibles (tels que les OU Contrôleurs de domaine) sont sains. | critical | |
| Domaine Active Directory présentant une configuration dangereuse pour des raisons de rétrocompatibilité descendante | L'attribut dsHeuristics peut modifier le comportement d'AD mais certains champs sont sensibles et posent un risque de sécurité. | low | |
| Domaines avec un niveau fonctionnel obsolète | Un niveau fonctionnel obsolète empêche l'utilisation de fonctionnalités avancées ou d'améliorations récentes. | medium | |
| Gestion des comptes d'administration locaux | Vérifie que les comptes d'administration locaux sont gérés de manière centralisée et sécurisée à l'aide de LAPS. | medium | |
| Configuration Kerberos appliquée aux comptes utilisateur | Certains comptes utilisent une configuration Kerberos dangereuse. | medium | |
| Autorisations à la racine du domaine permettant des attaques comme DCSync | Recherche des autorisations laxistes à la racine du domaine qui permettent des attaques favorisant le vol de secrets d'authentification. | critical | |
| Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 | Les comptes qui sont membres du groupe Accès compatible pré-Windows 2000 peuvent contourner des mesures de sécurité spécifiques. | high | |
| Présence de comptes désactivés dans les groupes privilégiés | Les comptes inutilisés doivent être supprimés des groupes disposant de privilèges élevés. | low | |
| Ordinateurs exécutant un système d'exploitation obsolète | Les systèmes d'exploitation obsolètes ne sont plus supportés par leur éditeur et augmentent grandement la vulnérabilité de l'infrastructure. | high | |
| Comptes disposant d'un attribut SID History dangereux | Vérifie les comptes utilisateur et machine utilisant un SID privilégié dans l'attribut SID history. | high | |
| Utilisation d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory | Les certificats racines déployés ne doivent pas utiliser d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory. | critical | |
| Utilisation récente du compte Administrateur par défaut | Le compte Administrateur intégré a été récemment utilisé. | medium |