Indicateurs d'exposition
| Nom | Description | Sévérité |
|---|---|---|
| Durcissement Insuffisant Contre les Rançongiciels | S'assurer que les mesures de durcissement pour contrer les rançongiciels ont été correctement déployées sur le domaine. | medium |
| Paramétrages Dangereux sur des Serveurs ADCS | Liste les permissions dangereuses et les paramètres mal configurés liés à l'Infrastructure de Gestion de Clés (IGC / PKI) de Windows. | critical |
| Intégrité des Stratégies de Groupe | Vérifie que les GPO s'appliquant aux ordinateurs du domaine sont intègres. | high |
| Restrictions d'authentification des utilisateurs à privilèges | Les utilisateurs à privilèges peuvent se connecter à des machines moins privilégiées, risquant ainsi de se faire dérober leurs informations d'identification. | high |
| Configuration non sécurisée du protocole Netlogon | La CVE-2020-1472 ("Zerologon") affecte le protocole Netlogon et permet une élévation de privilèges. | critical |
| Attributs Liés au "Credential roaming" Non Protégés | Des attributs liés au "Credential roaming" non protégés sont accessibles à des utilisateurs non privilégiés, ce qui peut mener à des fuites d'information ou la perte d'accès à des données sensibles. | low |
| Présence d'un potentiel mot de passe en clair | Certains mots de passe semblent lisibles pour les utilisateurs du domaine | high |
| Privilèges Sensibles Dangereux | Des privilèges sensibles mal configurés peuvent porter atteinte à la sécurité de l'infrastructure AD. | high |
| Certificats Associés aux Comptes | S'assurer qu'aucun certificat n'est associé à des objets privilégiés. | critical |
| Domaine sans GPO de durcissement | Vérifie que des GPO de Durcissement ont été Déployée sur le Domaine. | medium |
| Groupe Protected Users non Utilisé | Des utilisateurs privilégiés ne sont pas présents dans le groupe Protected Users. | high |
| Compte Doté d'un Mot de Passe Potentiellement Vide | Vérifier l'absence de compte utilisateur pouvant avoir un mot de passe vide. | high |
| Utilisateurs autorisés à joindre des machines au domaine | Vérifier que les utilisateurs non privilégiés ne peuvent joindre de machine externe au domaine. | medium |
| Vérifier la Date de Dernière Modification du Mot de Passe du Compte AAD SSO | Le mot de passe du compte AAD SSO doit être modifié régulièrement. | high |
| Permissions Dangereuses dans le Schéma AD | Liste les entrées anormales dans le schéma qui peuvent donner un moyen de persistence. | high |
| Compte Utilisateur Utilisant un Mot de Passe Trop Ancien | L'utilisation de mots de passe trop ancien favorise le vol d'identité. | medium |
| Vérifier les permissions liées aux comptes AAD Connect | S'assurer que les permissions positionnées sur les comptes AAD Connect sont saines. | critical |
| Contrôleurs de domaine gérés par des utilisateurs mal intentionnés | Certains contrôleurs de domaine peuvent être gérés par des utilisateurs non-administrateurs en raison de droits d'accès dangereux. | critical |
| Politiques de mots de passe faibles appliquées aux utilisateurs | Certaines politiques de mots de passe appliquées à des comptes utilisateurs spécifiques ne sont pas assez robustes et peuvent faciliter le vol d'informations d'authentification. | critical |
| Vérifier les permissions sur les objets et les fichiers GPO sensibles | Vérifier que les permissions sur les objets et les fichiers GPO qui sont liés à des conteneurs sensibles (tels que les OU Contrôleurs de domaine) sont sains | critical |
| Domaine Active Directory Présentant une Configuration Dangereuse pour des Raisons de Rétrocompatibilité Descendante | L'attribut dSHeuristics peut modifier le comportement de l'infrastructure AD et affecter son niveau de sécurité. | low |
| Domaines avec un niveau fonctionnel obsolète | Un niveau fonctionnel obsolète empêche l'utilisation de fonctionnalités avancées ou d'améliorations récentes | medium |
| Gestion des comptes d’administration locaux | Vérifier que les comptes d’administration locaux sont gérés de manière centralisée et sécurisée à l’aide de LAPS | medium |
| Configuration Kerberos appliquée aux comptes utilisateurs | Certains comptes utilisent une configuration Kerberos dangereuse | medium |
| Permissions à la Racine du Domaine Permettant des Attaques comme DCSync | Les permissions à la racine du domaine permettent des attaques favorisant le vol de secrets d'authentification. | critical |
| Comptes Utilisant un Contrôle d'Accès Compatible Pré-Windows 2000 | Les comptes qui sont membres du groupe Accès compatible pré-Windows 2000 peuvent contourner des mesures de sécurité spécifiques. | high |
| Présence de comptes désactivés dans les groupes privilégiés | Les comptes inutilisés doivent être supprimés dans les groupes disposant de privilèges élevés | low |
| Ordinateurs Utilisant un Système d'Exploitation Obsolète | Les systèmes d'exploitation obsolètes ne sont plus supportés par leur éditeur et augmentent grandement la vulnérabilité de l'infrastructure. | high |
| Comptes Disposant d'un Attribut SID History Dangereux | Vérifier les comptes utilisateurs et machines utilisant un SID privilégié dans l'attribut SID History. | high |
| Utilisation d'Algorithmes de Chiffrement Faibles dans la PKI de l'Active Directory | Les certificats racines déployés ne doivent pas utiliser d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory. | critical |
| Utilisation récente du compte d’administration par défaut | Le compte d’administration prédéfini a été récemment utilisé | medium |
| Groupe principal de comptes utilisateurs | Vérifier que le groupe principal de comptes utilisateurs n'a pas été modifié | critical |
| Délégation Kerberos Dangereuse | Vérifier qu'aucune délégation Kerberos dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée, et que les utilisateurs privilégiés sont protégés contre ces délégations. | critical |
| Mots de passe utilisant un algorithme de chiffrement réversible | Vérifier que les utilisateurs n’utilisent pas de mots de passe avec option de stockage réversible | medium |
| Mots de Passe Utilisant un Chiffrement Réversible dans les GPOs | Vérifier qu'aucune stratégie de groupe ne contient des mots de passe dans un format réversible. | medium |
| S'assurer de la Cohérence de SDProp | Vérifier que l'objet adminSDHolder est dans un état sain. | critical |
| Date de la dernière modification du mot de passe du compte KDC | Le mot de passe du compte KDC doit être modifié régulièrement | high |
| Membres des groupes d’administration par défaut | Trop de comptes dans les groupes d’administration par défaut | critical |
| Comptes Privilégiés Utilisant des Services Kerberos | Liste les comptes dotés de privilèges élevés ayant un Service Principal Name. | critical |
| Attribut adminCount Appliqué à des Utilisateurs non-Administrateurs | Des comptes d'administration décommissionnés n'acceptent pas l'héritage de délégation de droits. | medium |
| Comptes Dormants | Des comptes dormants inutilisés sont restés activés. | medium |
| Relations d’approbation dangereuses | Des attributs de relations d'approbation mal configurés portent atteinte à la sécurité d’une infrastructure AD. | high |
| Comptes Dotés de Mots de Passe Sans Date d'Expiration | Les comptes utilisant la propriété | medium |
| GPO non Liées, Désactivées ou Orphelines | Utiliser des stratégies de groupe non liées, désactivées ou orphelines peut générer des erreurs d'administration. | low |