Utilisateurs autorisés à joindre des ordinateurs au domaine

Par défaut, tout type d'utilisateur, privilégié ou non, peut joindre un ordinateur au domaine. Cette action provoque la création d'un compte machine dans Active Directory. Si cet ordinateur contient des informations sensibles, il peut devenir un risque de sécurité et il se peut que l'utilisateur qui l'a ajouté détienne encore des privilèges, créant ainsi des portes dérobées. Cette fonctionnalité peut également simplifier l'exploitation de certaines vulnérabilités (CVE-2021-42278 / CVE-2021-42287). Ainsi, il est recommandé de désactiver cette fonctionnalité et de contrôler le parc existant ajouté à l'aide de cette fonctionnalité.
L'indicateur d'attaque Usurpation de sAMAccountName peut détecter les attaques mais il est préférable de corriger le problème.

Assurez-vous qu'il n'est pas possible à tout le monde de joindre des ordinateurs au domaine Active Directory en modifiant la valeur par défaut de l'attribut ms-DS-MachineAccountQuota, tristement célèbre, (également appelé « MachineAccountQuota ») afin d'autoriser uniquement les administrateurs désignés. De plus, certains ordinateurs ont pu avoir été ajoutés au domaine à l'aide de mécanismes non autorisés. Pour ces dernières, il peut être nécessaire de les réinstaller et d'appliquer le fichier maître Windows développé au sein de la société. Bien que ce travail soit potentiellement coûteux en temps, il est important de tenir compte des risques potentiels que posent ces ordinateurs, qui peuvent ne pas être équipés de mesures adaptées de durcissement de la sécurité ou contenir des portes dérobées qui pourraient rendre le domaine vulnérable aux attaques.

Nom: Utilisateurs autorisés à joindre des ordinateurs au domaine

Nom de code: C-USERS-CAN-JOIN-COMPUTERS

Sévérité: Medium

Type: Active Directory Indicator of Exposure

Family: Politique et configuration