Utilisateurs autorisés à joindre des ordinateurs au domaine

Par défaut, tout type d'utilisateur, privilégié ou non, peut joindre un ordinateur au domaine. Cette action provoque la création d'un compte machine dans Active Directory. Si cet ordinateur contient des informations sensibles, il peut devenir un risque de sécurité et il se peut que l'utilisateur qui l'a ajouté détienne encore des privilèges, créant ainsi des portes dérobées. Cette fonctionnalité peut également simplifier l'exploitation de certaines vulnérabilités (CVE-2021-42278 / CVE-2021-42287). Ainsi, il est recommandé de désactiver cette fonctionnalité et de contrôler le parc existant ajouté à l'aide de cette fonctionnalité.
L'indicateur d'attaque « Usurpation de sAMAccountName » peut détecter les attaques mais il est préférable de corriger le problème.

Pour garantir la sécurité, il convient de s'assurer que les utilisateurs n'ont pas la possibilité d'ajouter un ordinateur au domaine Active Directory et que cette opération est réalisée par les seuls administrateurs autorisés. De plus, certains ordinateurs ont pu avoir été ajoutés au domaine à l'aide de mécanismes non autorisés. Pour ces dernières, il peut être nécessaire de les réinstaller et d'appliquer le fichier maître Windows développé au sein de la société. Bien que ce travail soit potentiellement coûteux en temps, il est important de tenir compte des risques potentiels que posent ces ordinateurs, qui peuvent ne pas être équipés de mesures adaptées de durcissement de la sécurité ou contenir des portes dérobées qui pourraient rendre le domaine vulnérable aux attaques.

Nom: Utilisateurs autorisés à joindre des ordinateurs au domaine

Nom de code: C-USERS-CAN-JOIN-COMPUTERS

Niveau de gravité: Medium