Indicateurs d'exposition
| Nom | Description | Niveau de gravité |
|---|---|---|
| Configuration de réplication SYSVOL dangereuse | Vérifie que le mécanisme "File Replication Service" (FRS) a été remplacé par "Distributed File System Replication" (DFS-R). | medium |
| Faiblesses détectées lors de l'analyse des mots de passe des comptes Active Directory | Vérifie l'absence de faiblesses dans les mots de passe susceptibles d'accroître la vulnérabilité des comptes Active Directory. | high |
| Durcissement insuffisant contre les ransomwares | S'assure que les mesures de durcissement pour contrer les ransomwares ont été correctement déployées sur le domaine. | medium |
| Paramétrages dangereux sur des serveurs ADCS | Liste les autorisations dangereuses et les paramètres mal configurés liés à l'Infrastructure de Gestion de Clés (PKI) de Windows. | critical |
| Intégrité des stratégies de groupe | Vérifie que les GPO s'appliquant aux ordinateurs du domaine sont intègres. | high |
| Restrictions d'authentification des utilisateurs avec privilèges | Les utilisateurs avec privilèges peuvent se connecter à des machines moins privilégiées, risquant ainsi de se faire dérober leurs identifiants. | high |
| Configuration non sécurisée du protocole Netlogon | La CVE-2020-1472 ("Zerologon") affecte le protocole Netlogon et permet une élévation de privilèges. | critical |
| Attributs liés au "Credential roaming" non protégés | Des attributs liés au "Credential roaming" non protégés sont accessibles à des utilisateurs non privilégiés, ce qui peut mener à des fuites d'information ou la perte d'accès à des données sensibles. | low |
| Présence d'un potentiel mot de passe en clair | Certains mots de passe semblent lisibles pour les utilisateurs du domaine. | high |
| Privilèges sensibles dangereux | Des privilèges sensibles mal configurés peuvent porter atteinte à la sécurité de l'infrastructure AD. | high |
| Certificats associés aux comptes | S'assure qu'aucun certificat n'est associé à des objets privilégiés. | critical |
| Domaine sans GPO de durcissement | Vérifie que des GPO de durcissement ont été déployées sur le domaine. | medium |
| Groupe Protected Users non utilisé | Des utilisateurs privilégiés ne sont pas présents dans le groupe Protected Users. | high |
| Compte doté d'un mot de passe potentiellement vide | Identifie les comptes utilisateur pouvant avoir un mot de passe vide. | high |
| Utilisateurs autorisés à joindre des machines au domaine | Vérifie que les utilisateurs non privilégiés ne peuvent joindre des machines externes au domaine. | medium |
| Vérifier la date de dernière modification du mot de passe du compte Microsoft Entra SSO | Le mot de passe du compte Microsoft Entra SSO doit être modifié régulièrement. | high |
| Autorisations dangereuses dans le schéma AD | Liste les entrées anormales dans le schéma qui peuvent fournir un mécanisme de persistence. | high |
| Compte Utilisateur utilisant un mot de passe trop ancien | L'utilisation de mots de passe trop ancien favorise le vol d'identité. | medium |
| Vérifier les autorisations liées aux comptes AAD Connect | S'assurer que les autorisations définies sur les comptes AAD Connect sont saines. | critical |
| Contrôleurs de domaine gérés par des utilisateurs mal intentionnés | Certains contrôleurs de domaine peuvent être gérés par des utilisateurs non-administrateurs en raison de droits d'accès dangereux. | critical |
| Stratégies de mots de passe faibles appliquées aux utilisateurs | Certaines stratégies de mots de passe appliquées à des comptes utilisateur spécifiques ne sont pas assez robustes et peuvent faciliter le vol d'informations d'authentification. | critical |
| Vérifier les autorisations sur les objets et les fichiers GPO sensibles | Vérifie que les autorisations sur les objets et les fichiers GPO qui sont liés à des conteneurs sensibles (tels que les OU Contrôleurs de domaine) sont sains. | critical |
| Domaine Active Directory présentant une configuration dangereuse pour des raisons de rétrocompatibilité descendante | L'attribut dSHeuristics peut modifier le comportement de l'infrastructure AD et affecter son niveau de sécurité. | low |
| Domaines avec un niveau fonctionnel obsolète | Un niveau fonctionnel obsolète empêche l'utilisation de fonctionnalités avancées ou d'améliorations récentes. | medium |
| Gestion des comptes d'administration locaux | Vérifie que les comptes d'administration locaux sont gérés de manière centralisée et sécurisée à l'aide de LAPS. | medium |
| Configuration Kerberos appliquée aux comptes utilisateur | Certains comptes utilisent une configuration Kerberos dangereuse. | medium |
| Autorisations à la racine du domaine permettant des attaques comme DCSync | Les autorisations à la racine du domaine permettent des attaques favorisant le vol de secrets d'authentification. | critical |
| Comptes utilisant un contrôle d'accès compatible pré-Windows 2000 | Les comptes qui sont membres du groupe Accès compatible pré-Windows 2000 peuvent contourner des mesures de sécurité spécifiques. | high |
| Présence de comptes désactivés dans les groupes privilégiés | Les comptes inutilisés doivent être supprimés des groupes disposant de privilèges élevés. | low |
| Ordinateurs utilisant un système d'exploitation obsolète | Les systèmes d'exploitation obsolètes ne sont plus supportés par leur éditeur et augmentent grandement la vulnérabilité de l'infrastructure. | high |
| Comptes disposant d'un attribut SID History dangereux | Vérifie les comptes utilisateur et machine utilisant un SID privilégié dans l'attribut SID History. | high |
| Utilisation d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory | Les certificats racines déployés ne doivent pas utiliser d'algorithmes de chiffrement faibles dans la PKI de l'Active Directory. | critical |
| Utilisation récente du compte Administrateur par défaut | Le compte Administrateur intégré a été récemment utilisé. | medium |
| Groupe principal de comptes utilisateur | Vérifie que le groupe principal de comptes utilisateur n'a pas été modifié | critical |
| Délégation Kerberos dangereuse | Vérifie qu'aucune délégation Kerberos dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée, et que les utilisateurs privilégiés sont protégés contre ces délégations. | critical |
| Mots de passe utilisant un algorithme de chiffrement réversible | Vérifie que les utilisateurs n'utilisent pas de mots de passe avec option de stockage réversible. | medium |
| Mots de passe utilisant un chiffrement réversible dans les GPO | Vérifie qu'aucune stratégie de groupe ne contient de mots de passe dans un format réversible. | medium |
| S'assurer de la cohérence de SDProp | Vérifie que l'objet adminSDHolder est dans un état sain. | critical |
| Date de la dernière modification du mot de passe du compte KDC | Le mot de passe du compte KDC doit être modifié régulièrement. | high |
| Membres des groupes d'administration par défaut | Trop de comptes dans les groupes d'administration par défaut | critical |
| Comptes privilégiés utilisant des services Kerberos | Liste les comptes dotés de privilèges élevés ayant un Service Principal Name. | critical |
| Attribut adminCount appliqué à des utilisateurs non administrateurs | Vérifie l'attribut adminCount sur les comptes décommissionnés, menant à des problèmes d'autorisations difficiles à gérer. | medium |
| Comptes dormants | Des comptes dormants inutilisés sont restés activés. | medium |
| Relations d'approbation dangereuses | Des attributs de relations d'approbation mal configurés portent atteinte à la sécurité d'une infrastructure AD. | high |
| Comptes dotés de mots de passe sans date d'expiration | Les comptes utilisant la propriété DONT_EXPIRE_PASSWORD ne sont pas affectés par la stratégie de renouvellement des mots de passe. | medium |
| GPO non liées, désactivées ou orphelines | Utiliser des stratégies de groupe non liées, désactivées ou orphelines peut générer des erreurs d'administration. | low |