Langue :
Par défaut, tout type d'utilisateur, privilégié ou non, peut joindre un ordinateur au domaine. Cette action provoque la création d'un compte machine dans Active Directory. Si cet ordinateur contient des informations sensibles, il peut devenir un risque de sécurité et il se peut que l'utilisateur qui l'a ajouté détienne encore des privilèges, créant ainsi des portes dérobées. Cette fonctionnalité peut également simplifier l'exploitation de certaines vulnérabilités (CVE-2021-42278 / CVE-2021-42287). Ainsi, il est recommandé de désactiver cette fonctionnalité et de contrôler le parc existant ajouté à l'aide de cette fonctionnalité.
L'indicateur d'attaque Usurpation de sAMAccountName peut détecter les attaques mais il est préférable de corriger le problème.
Assurez-vous qu'il n'est pas possible à tout le monde de joindre des ordinateurs au domaine Active Directory en modifiant la valeur par défaut de l'attribut ms-DS-MachineAccountQuota, tristement célèbre, (également appelé « MachineAccountQuota ») afin d'autoriser uniquement les administrateurs désignés. De plus, certains ordinateurs ont pu avoir été ajoutés au domaine à l'aide de mécanismes non autorisés. Pour ces dernières, il peut être nécessaire de les réinstaller et d'appliquer le fichier maître Windows développé au sein de la société. Bien que ce travail soit potentiellement coûteux en temps, il est important de tenir compte des risques potentiels que posent ces ordinateurs, qui peuvent ne pas être équipés de mesures adaptées de durcissement de la sécurité ou contenir des portes dérobées qui pourraient rendre le domaine vulnérable aux attaques.
Who can add workstation to the domain
Limite par défaut du nombre de stations de travail qu'un utilisateur peut se joindre au domaine
Nom: Utilisateurs autorisés à joindre des ordinateurs au domaine
Nom de code: C-USERS-CAN-JOIN-COMPUTERS
Sévérité: Medium
Type: Active Directory Indicator of Exposure
Family: Politique et configuration