Langue :
Lorsqu'un utilisateur se connecte à un ordinateur, ses identifiants sont bien souvent exposés en mémoire et un malware pourrait les voler afin d'usurper l'identité de l'utilisateur. Les utilisateurs avec privilèges peuvent accéder à des données métier sensibles, ils doivent se connecter uniquement sur des ordinateurs de confiance et sécurisés, afin de réduire la probabilité que leur identité soit dérobée. Il existe des mesures techniques pour s'assurer que cette règle ne peut être enfreinte. Cet indicateur d'exposition vérifie que ces mesures sont correctement mises en œuvre.
Pour qu'il soit plus difficile pour les attaquants et les logiciels malveillants de voler les identités avec privilèges et leurs pouvoirs, les utilisateurs avec privilèges ne doivent se connecter qu'à des machines de confiance. Une fois que les utilisateurs à privilèges et les machines de confiance sont identifiés (au travers de la définition d'un "modèle à niveaux"), alors des mesures techniques doivent être mises en oeuvre afin de garantir que les restrictions de connexion des utilisateurs à privilèges sont appliquées au cours des opérations quotidiennes, même en cas d'erreur.
User-Workstations avis d'obsolescence
Droit utilisateur : Interdire l'ouverture de session en tant que tâche (SeDenyBatchLogonRight)
Droit utilisateur : Interdire l'ouverture de session en tant que service (SeDenyServiceLogonRight)
Droit utilisateur : Interdire l'ouverture d'une session locale (SeDenyInteractiveLogonRight)
Droit utilisateur : Interdire l'accès à cet ordinateur à partir du réseau (SeDenyNetworkLogonRight)
Description de l'authentification sélective (introduite par Windows 2003)
Comment l'authentification sélective impacte le comportement des contrôleurs de domaine
Nom: Restrictions d'authentification des utilisateurs avec privilèges
Nom de code: C-ADMIN-RESTRICT-AUTH
Sévérité: High
Benjamin Delpy: Mimikatz
Andrew Robbins (@_wald0), Rohan Vazarkar (@CptJesus), Will Schroeder (@harmj0y): BloodHound