Indicateurs d'exposition
| Nom | Description | Niveau de gravité |
|---|---|---|
| Paramétrages dangereux sur des serveurs WSUS | Liste les paramètres mal configurés liés au service de mise à jour de Windows (WSUS). | critical |
| Configuration de réplication SYSVOL dangereuse | Vérifie que le mécanisme "File Replication Service" (FRS) a été remplacé par "Distributed File System Replication" (DFS-R). | medium |
| Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory | Vérifie l'absence de faiblesses dans les mots de passe susceptibles d'accroître la vulnérabilité des comptes Active Directory. | high |
| Durcissement insuffisant contre les ransomwares | S'assure que les mesures de durcissement pour contrer les ransomwares ont été correctement déployées sur le domaine. | medium |
| Paramétrages dangereux sur des serveurs ADCS | Liste les autorisations dangereuses et les paramètres mal configurés liés à l'Infrastructure de Gestion de Clés (PKI) de Windows. | critical |
| Intégrité des stratégies de groupe | Vérifie que les GPO s'appliquant aux ordinateurs du domaine sont intègres. | high |
| Restrictions d'authentification des utilisateurs avec privilèges | Les utilisateurs avec privilèges peuvent se connecter à des machines moins privilégiées, risquant ainsi de se faire dérober leurs identifiants. | high |
| Configuration non sécurisée du protocole Netlogon | La CVE-2020-1472 ("Zerologon") affecte le protocole Netlogon et permet une élévation de privilèges. | critical |
| Attributs liés au « Credential Roaming » non protégés | Des attributs liés au "Credential roaming" non protégés sont accessibles à des utilisateurs non privilégiés, ce qui peut mener à des fuites d'information ou la perte d'accès à des données sensibles. | low |
| Présence d'un potentiel mot de passe en clair | Certains mots de passe semblent lisibles pour les utilisateurs du domaine. | high |
| Privilèges sensibles dangereux | Des privilèges sensibles mal configurés peuvent porter atteinte à la sécurité de l'infrastructure AD. | high |
| Certificats associés aux comptes | S'assure qu'aucun certificat n'est associé à des objets privilégiés. | critical |
| Domaine sans GPO de durcissement | Vérifie que des GPO de durcissement ont été déployées sur le domaine. | medium |
| Groupe Protected Users non utilisé | Des utilisateurs privilégiés ne sont pas présents dans le groupe Protected Users. | high |
| Compte doté d'un mot de passe potentiellement vide | Identifie les comptes utilisateur pouvant avoir un mot de passe vide. | high |
| Utilisateurs autorisés à joindre des ordinateurs au domaine | Vérifie que les utilisateurs non privilégiés ne peuvent joindre des ordinateurs externes au domaine. | medium |
| Vérifier la date de dernière modification du mot de passe du compte Microsoft Entra SSO | Le mot de passe du compte Microsoft Entra SSO doit être modifié régulièrement. | high |
| Autorisations dangereuses dans le schéma AD | Liste les entrées anormales dans le schéma qui peuvent fournir un mécanisme de persistence. | high |
| Compte Utilisateur utilisant un mot de passe trop ancien | L'utilisation de mots de passe trop ancien favorise le vol d'identité. | medium |
| Vérifier les autorisations liées aux comptes Microsoft Entra Connect | S'assurer que les autorisations définies sur les comptes Microsoft Entra Connect sont saines. | critical |
| Contrôleurs de domaine gérés par des utilisateurs mal intentionnés | Certains contrôleurs de domaine peuvent être gérés par des utilisateurs non-administrateurs en raison de droits d'accès dangereux. | critical |
| Stratégies de mots de passe faibles appliquées aux utilisateurs | Certaines stratégies de mots de passe appliquées à des comptes utilisateur spécifiques ne sont pas assez robustes et peuvent faciliter le vol d'informations d'authentification. | critical |
| Vérifier les autorisations sur les objets et les fichiers GPO sensibles | Vérifie que les autorisations sur les objets et les fichiers GPO qui sont liés à des conteneurs sensibles (tels que les OU Contrôleurs de domaine) sont sains. | critical |
| Domaine Active Directory présentant une configuration dangereuse pour des raisons de rétrocompatibilité descendante | L'attribut dsHeuristics peut modifier le comportement d'AD mais certains champs sont sensibles et posent un risque de sécurité. | low |
| Domaines avec un niveau fonctionnel obsolète | Un niveau fonctionnel obsolète empêche l'utilisation de fonctionnalités avancées ou d'améliorations récentes. | medium |
| Gestion des comptes d'administration locaux | Vérifie que les comptes d'administration locaux sont gérés de manière centralisée et sécurisée à l'aide de LAPS. | medium |
| Configuration Kerberos appliquée aux comptes utilisateur | Certains comptes utilisent une configuration Kerberos dangereuse. | medium |
| Autorisations à la racine du domaine permettant des attaques comme DCSync | Recherche des autorisations laxistes à la racine du domaine qui permettent des attaques favorisant le vol de secrets d'authentification. | critical |
| Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 | Les comptes qui sont membres du groupe Accès compatible pré-Windows 2000 peuvent contourner des mesures de sécurité spécifiques. | high |
| Présence de comptes désactivés dans les groupes privilégiés | Les comptes inutilisés doivent être supprimés des groupes disposant de privilèges élevés. | low |
| Ordinateurs exécutant un système d'exploitation obsolète | Les systèmes d'exploitation obsolètes ne sont plus supportés par leur éditeur et augmentent grandement la vulnérabilité de l'infrastructure. | high |
| Comptes disposant d'un attribut SID History dangereux | Vérifie les comptes utilisateur et machine utilisant un SID privilégié dans l'attribut SID History. | high |
| Utilisation d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory | Les certificats racines déployés ne doivent pas utiliser d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory. | critical |
| Utilisation récente du compte Administrateur par défaut | Le compte Administrateur intégré a été récemment utilisé. | medium |
| Groupe principal de comptes utilisateur | Vérifie que le groupe principal de comptes utilisateur n'a pas été modifié | critical |
| Délégation Kerberos dangereuse | Vérifie qu'aucune délégation Kerberos dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée, et que les utilisateurs privilégiés sont protégés contre ces délégations. | critical |
| Mots de passe utilisant un algorithme de chiffrement réversible | Vérifie que les utilisateurs n'utilisent pas de mots de passe avec option de stockage réversible. | medium |
| Mots de passe utilisant un chiffrement réversible dans les GPO | Vérifie qu'aucune stratégie de groupe ne contient de mots de passe dans un format réversible. | medium |
| S'assurer de la cohérence de SDProp | Vérifie que l'objet adminSDHolder est dans un état sain. | critical |
| Date de la dernière modification du mot de passe du compte KDC | Le mot de passe du compte KDC doit être modifié régulièrement. | high |
| Membres des groupes d'administration par défaut | Trop de comptes dans les groupes d'administration par défaut | critical |
| Comptes privilégiés utilisant des services Kerberos | Liste les comptes dotés de privilèges élevés ayant un Service Principal Name. | critical |
| Attribut AdminCount appliqué à des utilisateurs non administrateurs | Vérifie l'attribut adminCount sur les comptes décommissionnés, menant à des problèmes d'autorisations difficiles à gérer. | medium |
| Comptes dormants | Des comptes dormants inutilisés sont restés activés. | medium |
| Relations d'approbation dangereuses | Des attributs de relations d'approbation mal configurés portent atteinte à la sécurité d'une infrastructure AD. | high |
| Comptes dotés de mots de passe sans date d'expiration | Les comptes utilisant la propriété DONT_EXPIRE_PASSWORD ne sont pas affectés par la stratégie de renouvellement des mots de passe. | medium |
| GPO non liées, désactivées ou orphelines | Utiliser des stratégies de groupe non liées, désactivées ou orphelines peut générer des erreurs d'administration. | low |
| Nombre d'administrateurs élevé | Les administrateurs disposent de privilèges élevés et peuvent présenter des risques de sécurité lorsqu'ils sont nombreux, car cela augmente la surface d'attaque. C'est aussi le signe que le principe du moindre privilège n'est pas respecté. | High |
| Authentification MFA manquante pour un compte privilégié | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. | High |
| Compte Entra privilégié synchronisé avec AD (hybride) | Les comptes hybrides (synchronisés à partir d'Active Directory) qui ont des rôles privilégiés dans Entra ID présentent un risque pour la sécurité, car ils permettent aux attaquants qui compromettent AD de pivoter vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ». | High |