Nom | Description | Niveau de gravité |
---|---|---|
Configuration de réplication SYSVOL dangereuse | Vérifie que le mécanisme "File Replication Service" (FRS) a été remplacé par "Distributed File System Replication" (DFS-R). | medium |
Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory | Vérifie l'absence de faiblesses dans les mots de passe susceptibles d'accroître la vulnérabilité des comptes Active Directory. | high |
Durcissement insuffisant contre les ransomwares | S'assure que les mesures de durcissement pour contrer les ransomwares ont été correctement déployées sur le domaine. | medium |
Paramétrages dangereux sur des serveurs ADCS | Liste les autorisations dangereuses et les paramètres mal configurés liés à l'Infrastructure de Gestion de Clés (PKI) de Windows. | critical |
Intégrité des stratégies de groupe | Vérifie que les GPO s'appliquant aux ordinateurs du domaine sont intègres. | high |
Restrictions d'authentification des utilisateurs avec privilèges | Les utilisateurs avec privilèges peuvent se connecter à des machines moins privilégiées, risquant ainsi de se faire dérober leurs identifiants. | high |
Configuration non sécurisée du protocole Netlogon | La CVE-2020-1472 ("Zerologon") affecte le protocole Netlogon et permet une élévation de privilèges. | critical |
Attributs liés au "Credential roaming" non protégés | Des attributs liés au "Credential roaming" non protégés sont accessibles à des utilisateurs non privilégiés, ce qui peut mener à des fuites d'information ou la perte d'accès à des données sensibles. | low |
Présence d'un potentiel mot de passe en clair | Certains mots de passe semblent lisibles pour les utilisateurs du domaine. | high |
Privilèges sensibles dangereux | Des privilèges sensibles mal configurés peuvent porter atteinte à la sécurité de l'infrastructure AD. | high |
Certificats associés aux comptes | S'assure qu'aucun certificat n'est associé à des objets privilégiés. | critical |
Domaine sans GPO de durcissement | Vérifie que des GPO de durcissement ont été déployées sur le domaine. | medium |
Groupe Protected Users non utilisé | Des utilisateurs privilégiés ne sont pas présents dans le groupe Protected Users. | high |
Compte doté d'un mot de passe potentiellement vide | Identifie les comptes utilisateur pouvant avoir un mot de passe vide. | high |
Utilisateurs autorisés à joindre des machines au domaine | Vérifie que les utilisateurs non privilégiés ne peuvent joindre des machines externes au domaine. | medium |
Vérifier la date de dernière modification du mot de passe du compte Microsoft Entra SSO | Le mot de passe du compte Microsoft Entra SSO doit être modifié régulièrement. | high |
Autorisations dangereuses dans le schéma AD | Liste les entrées anormales dans le schéma qui peuvent fournir un mécanisme de persistence. | high |
Compte Utilisateur utilisant un mot de passe trop ancien | L'utilisation de mots de passe trop ancien favorise le vol d'identité. | medium |
Vérifier les autorisations liées aux comptes AAD Connect | S'assurer que les autorisations définies sur les comptes AAD Connect sont saines. | critical |
Contrôleurs de domaine gérés par des utilisateurs mal intentionnés | Certains contrôleurs de domaine peuvent être gérés par des utilisateurs non-administrateurs en raison de droits d'accès dangereux. | critical |
Stratégies de mots de passe faibles appliquées aux utilisateurs | Certaines stratégies de mots de passe appliquées à des comptes utilisateur spécifiques ne sont pas assez robustes et peuvent faciliter le vol d'informations d'authentification. | critical |
Vérifier les autorisations sur les objets et les fichiers GPO sensibles | Vérifie que les autorisations sur les objets et les fichiers GPO qui sont liés à des conteneurs sensibles (tels que les OU Contrôleurs de domaine) sont sains. | critical |
Domaine Active Directory présentant une configuration dangereuse pour des raisons de rétrocompatibilité descendante | L'attribut dSHeuristics peut modifier le comportement de l'infrastructure AD et affecter son niveau de sécurité. | low |
Domaines avec un niveau fonctionnel obsolète | Un niveau fonctionnel obsolète empêche l'utilisation de fonctionnalités avancées ou d'améliorations récentes. | medium |
Gestion des comptes d'administration locaux | Vérifie que les comptes d'administration locaux sont gérés de manière centralisée et sécurisée à l'aide de LAPS. | medium |
Configuration Kerberos appliquée aux comptes utilisateur | Certains comptes utilisent une configuration Kerberos dangereuse. | medium |
Autorisations à la racine du domaine permettant des attaques comme DCSync | Les autorisations à la racine du domaine permettent des attaques favorisant le vol de secrets d'authentification. | critical |
Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 | Les comptes qui sont membres du groupe Accès compatible pré-Windows 2000 peuvent contourner des mesures de sécurité spécifiques. | high |
Présence de comptes désactivés dans les groupes privilégiés | Les comptes inutilisés doivent être supprimés des groupes disposant de privilèges élevés. | low |
Ordinateurs utilisant un système d'exploitation obsolète | Les systèmes d'exploitation obsolètes ne sont plus supportés par leur éditeur et augmentent grandement la vulnérabilité de l'infrastructure. | high |
Comptes disposant d'un attribut SID History dangereux | Vérifie les comptes utilisateur et machine utilisant un SID privilégié dans l'attribut SID History. | high |
Utilisation d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory | Les certificats racines déployés ne doivent pas utiliser d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory. | critical |
Utilisation récente du compte Administrateur par défaut | Le compte Administrateur intégré a été récemment utilisé. | medium |
Groupe principal de comptes utilisateur | Vérifie que le groupe principal de comptes utilisateur n'a pas été modifié | critical |
Délégation Kerberos dangereuse | Vérifie qu'aucune délégation Kerberos dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée, et que les utilisateurs privilégiés sont protégés contre ces délégations. | critical |
Mots de passe utilisant un algorithme de chiffrement réversible | Vérifie que les utilisateurs n'utilisent pas de mots de passe avec option de stockage réversible. | medium |
Mots de passe utilisant un chiffrement réversible dans les GPO | Vérifie qu'aucune stratégie de groupe ne contient de mots de passe dans un format réversible. | medium |
S'assurer de la cohérence de SDProp | Vérifie que l'objet adminSDHolder est dans un état sain. | critical |
Date de la dernière modification du mot de passe du compte KDC | Le mot de passe du compte KDC doit être modifié régulièrement. | high |
Membres des groupes d'administration par défaut | Trop de comptes dans les groupes d'administration par défaut | critical |
Comptes privilégiés utilisant des services Kerberos | Liste les comptes dotés de privilèges élevés ayant un Service Principal Name. | critical |
Attribut adminCount appliqué à des utilisateurs non administrateurs | Vérifie l'attribut adminCount sur les comptes décommissionnés, menant à des problèmes d'autorisations difficiles à gérer. | medium |
Comptes dormants | Des comptes dormants inutilisés sont restés activés. | medium |
Relations d'approbation dangereuses | Des attributs de relations d'approbation mal configurés portent atteinte à la sécurité d'une infrastructure AD. | high |
Comptes dotés de mots de passe sans date d'expiration | Les comptes utilisant la propriété DONT_EXPIRE_PASSWORD ne sont pas affectés par la stratégie de renouvellement des mots de passe. | medium |
GPO non liées, désactivées ou orphelines | Utiliser des stratégies de groupe non liées, désactivées ou orphelines peut générer des erreurs d'administration. | low |