Utilisateurs autorisés à joindre des machines au domaine

Par défaut, tout type d'utilisateur, privilégié ou non, peut joindre au domaine une ou plusieurs machines. Cette action provoque la création d'un compte machine dans l'annuaire Active Directory.
Pour peu que la machine en question devienne sensible du point de vue métier, en stockant des informations critiques de la société par exemple, elle devient un élément de sécurité crucial à protéger. Or, par ce biais, l'utilisateur ayant ajouté cette machine conserve potentiellement tous les droits sur cette dernière (porte dérobée ou autre).
Cette fonctionnalité peut également simplifier l'exploitation de certaines vulnérabilités (CVE-2021-42278 / CVE-2021-42287).
Ainsi, il est recommandé de désactiver cette possibilité offerte par Active Directory et de contrôler le parc existant.
L'IOA Usurpation de sAMAccountName est fourni pour alerter dans le cas où un attaquant tenterait d'exploiter ces vulnérabilités, ce qui n'exclut pas la correction de ce problème en premier lieu.

Il convient de s'assurer que les utilisateurs n'ont pas la possibilité d'ajouter une machine au domaine Active Directory et que cette opération soit réalisée par les seuls administrateurs autorisés.
De plus, certaines machines ont pu avoir été installées auparavant par ce mécanisme. Pour ces dernières, il est conseillé de considérer la réinstallation du poste et l'application de l'image maitre développée au sein de la société. Ce travail est potentiellement coûteux en temps mais permet d'éviter des axes de compromission trop évidents.

Nom: Utilisateurs autorisés à joindre des machines au domaine

Nom de code: C-USERS-CAN-JOIN-COMPUTERS

Niveau de gravité: Medium