<p>Des attributs de relations d'approbation mal configurés portent atteinte à la sécurité d'une infrastructure AD.</p>


<p>Des attaquants ayant compromis un seul domaine AD peuvent étendre leurs droits sur toute l'infrastructure si les relations entre les forêts et domaines ne sont pas correctement filtrées.</p>


Accès initial

Mouvement latéral

Relation d'approbation

Relations d'approbation dangereuses

La délégation de TGT peut introduire un risque sur les relations d'approbation, en particulier au travers de l'usage de la vulnérabilité dite "printer bug" sur les contrôleurs de domaine (ou tout autre serveur privilégié). Elle devrait être désactivée dès lors que l'authentification sélective ne peut être mise en place.

Délégation de TGT activée explicitement

Délégation de TGT non désactivée

Le filtrage de SID est intéressant pour protéger les relations d'approbation de type forêt ou externe contre les attaques d'injection de SID History.

Filtrage de SID non activé

Des attaquants ayant compromis un domaine Active Directory peuvent rapidement s'étendre à toute l'infrastructure si les relations d'approbation ne sont pas correctement filtrées.

Relation d'approbation dangereuse

L'authentification sélective est l'un des mécanismes pouvant être utilisé pour protéger une relation d'approbation. En particulier, il peut être utilisé pour protéger les contrôleurs de domaine (ou tout autre serveur privilégié) contre la vulnérabilité dite "printer bug".

Authentification sélective non activée

Lorsque le modèle de sécurité de Microsoft lié à l'administration est suivi, l'option PIM Trust (Relation d'approbation PIM) doit être activée. Cependant, cela peut introduire un risque de sécurité lorsqu'elle est activée dans d'autres situations (une forêt de ressource à la place d'une forêt d'administration par exemple). Positionner l'option adéquate afin de fournir cette information à Tenable.ad.

Détections

Relations d'approbation dangereuses

high

Description

Solution

Voir aussi

Détails de l'indicateur