Utilisateurs autorisés à joindre des machines au domaine

medium

Description

Par défaut, tout type d'utilisateur, privilégié ou non, peut joindre au domaine une ou plusieurs machines. Cette action provoque la création d'un compte machine dans l'annuaire Active Directory.
Pour peu que la machine en question devienne sensible du point de vue métier, en stockant des informations critiques de la société par exemple, elle devient un élément de sécurité crucial à protéger. Or, par ce biais, l'utilisateur ayant ajouté cette machine conserve potentiellement tous les droits sur cette dernière (porte dérobée ou autre).
Cette fonctionnalité peut également simplifier l'exploitation de certaines vulnérabilités (CVE-2021-42278 / CVE-2021-42287).
Ainsi, il est recommandé de désactiver cette possibilité offerte par Active Directory et de contrôler le parc existant.
L'IOA Usurpation de sAMAccountName est fourni pour alerter dans le cas où un attaquant tenterait d'exploiter ces vulnérabilités, ce qui n'exclut pas la correction de ce problème en premier lieu.

Solution

Il convient de s'assurer que les utilisateurs n'ont pas la possibilité d'ajouter une machine au domaine Active Directory et que cette opération soit réalisée par les seuls administrateurs autorisés.
De plus, certaines machines ont pu avoir été installées auparavant par ce mécanisme. Pour ces dernières, il est conseillé de considérer la réinstallation du poste et l'application de l'image maitre développée au sein de la société. Ce travail est potentiellement coûteux en temps mais permet d'éviter des axes de compromission trop évidents.

Voir aussi

Who can add workstation to the domain

Limite par défaut du nombre de stations de travail qu'un utilisateur peut se joindre au domaine

Détails de l'indicateur

Nom: Utilisateurs autorisés à joindre des machines au domaine

Nom de code: C-USERS-CAN-JOIN-COMPUTERS

Niveau de gravité: Medium

Informations MITRE ATT&CK:

Tactiques: TA0002, TA0042

Techniques: T1585