Indicateurs d'exposition
| Nom | Description | Sévérité | Type |
|---|---|---|---|
| Groupe principal de comptes utilisateur | Vérifie que le groupe principal de comptes utilisateur n'a pas été modifié | critical | |
| Délégation Kerberos dangereuse | Vérifie qu'aucune délégation Kerberos dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée, et que les utilisateurs privilégiés sont protégés contre ces délégations. | critical | |
| Mots de passe utilisant un algorithme de chiffrement réversible | Vérifie que les utilisateurs n'utilisent pas de mots de passe avec option de stockage réversible. | medium | |
| Mots de passe utilisant un chiffrement réversible dans les GPO | Vérifie qu'aucune stratégie de groupe ne contient de mots de passe dans un format réversible. | medium | |
| S'assurer de la cohérence de SDProp | Vérifie que l'objet AdminSDHolder est dans un état sain. | critical | |
| Date de la dernière modification du mot de passe du compte KRBTGT | Le mot de passe du compte KDC doit être modifié régulièrement. | high | |
| Membres des groupes d'administration par défaut | Trop de comptes dans les groupes d'administration par défaut | critical | |
| Comptes privilégiés utilisant des services Kerberos | Liste les comptes dotés de privilèges élevés ayant un Service Principal Name. | critical | |
| Attribut AdminCount appliqué à des utilisateurs non administrateurs | Vérifie l'attribut adminCount sur les comptes décommissionnés, menant à des problèmes d'autorisations difficiles à gérer. | medium | |
| Comptes dormants | Des comptes dormants inutilisés sont restés activés. | medium | |
| Relations d'approbation dangereuses | Des attributs de relations d'approbation mal configurés portent atteinte à la sécurité d'une infrastructure AD. | high | |
| Comptes dotés de mots de passe sans date d'expiration | Les comptes utilisant la propriété DONT_EXPIRE_PASSWORD ne sont pas affectés par la stratégie de renouvellement des mots de passe. | medium | |
| GPO non liées, désactivées ou orphelines | Les GPO utilisées ou désactivées freinent les performances d'Active Directory et le calcul RSoP, et peuvent créer de la confusion au niveau de la stratégie de sécurité. Les réactiver par erreur peut affaiblir les stratégies existantes. | low | |
| Stratégie de mot de passe faible – Longueur minimale | Une stratégie de mot de passe avec une longueur minimale faible autorise les utilisateurs à créer des mots de passe courts et faciles à deviner, augmentant ainsi le risque de compromission. | HIGH | |
| Stratégie de mot de passe faible – Historique de mots de passe | Une stratégie de mot de passe avec historique contenant un faible nombre de mots de passe autorise les utilisateurs à réemployer des mots de passe potentiellement compromis. | MEDIUM | |
| Appareils jamais utilisés | Les comptes d'appareils précréés et jamais utilisés doivent être évités, car ils reflètent de mauvaises pratiques d'hygiène et peuvent potentiellement poser des risques de sécurité. | LOW | |
| Groupe Entra vide | Les groupes vides peuvent créer de la confusion, compromettre la sécurité et nuire à l'utilisation optimale des ressources. Il est généralement recommandé d'établir un but clair pour les groupes et de s'assurer qu'ils contiennent les membres concernés. | LOW | |
| Workflow de consentement de l'administrateur pour les applications non configurées | Dans Entra ID, le workflow de consentement de l'administrateur permet aux utilisateurs non-administrateurs de demander des autorisations d'application via un processus d'approbation structuré. Si le workflow n'est pas configuré, les utilisateurs qui tentent d'accéder aux applications peuvent rencontrer des erreurs sans possibilité de demander un consentement. | MEDIUM | |
| Compte Entra privilégié synchronisé avec AD (hybride) | Les comptes hybrides (synchronisés à partir d'Active Directory) qui ont des rôles privilégiés dans Entra ID présentent un risque pour la sécurité, car ils permettent aux attaquants qui compromettent AD de pivoter vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ». | HIGH | |
| Utilisateurs à risque sans application | Bloquez les utilisateurs à risque pour éviter les accès non autorisés et les failles potentielles. Les bonnes pratiques de sécurité recommandent d'utiliser des stratégies d'accès conditionnel pour empêcher les comptes vulnérables de s'authentifier auprès d'Entra ID. | MEDIUM | |
| Une stratégie d'accès conditionnel désactive l'évaluation continue des accès | L'évaluation continue des accès est une fonctionnalité de sécurité Entra ID qui permet de réagir rapidement aux modifications de stratégie de sécurité ou aux mises à jour de statut des utilisateurs. Il est donc important de ne pas la désactiver. | MEDIUM | |
| Utilisateurs dormants avec privilèges | Les utilisateurs dormants avec privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque. | MEDIUM | |
| Non-concordance des certificats de signature de fédération | Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant un certificat de signature de jeton malveillant, ce qui permet la persistance et l'élévation des privilèges. | HIGH | |
| Appareils gérés non requis pour l'authentification | Exigez des appareils gérés pour empêcher les accès non autorisés et les failles potentielles. Les bonnes pratiques de sécurité recommandent d'utiliser des stratégies d'accès conditionnel pour bloquer l'authentification auprès d'Entra ID à partir d'appareils non gérés. | MEDIUM | |
| Consentement non restreint des utilisateurs pour les applications | Entra ID permet aux utilisateurs de donner leur consentement autonome pour l'accès d'applications externes aux données de l'organisation, ce qui pourrait être exploité par des attaquants lors d'attaques « octroi de consentement illicite ». Empêchez cela en restreignant l'accès aux éditeurs vérifiés ou en exigeant l'approbation de l'administrateur. | MEDIUM | |
| Stratégie de mot de passe faible – Mots de passe courants | Une stratégie de mot de passe qui autorise les mots de passe courants augmente le risque de compromission, car les utilisateurs peuvent choisir des identifiants faibles et faciles à deviner. | HIGH | |
| Période de validité inhabituelle du certificat de signature de fédération | Une période de validité anormalement élevée pour un certificat de signature de fédération est suspecte, car elle pourrait indiquer qu'un attaquant a obtenu des privilèges élevés dans Entra ID et a créé une porte dérobée via le mécanisme d'approbation de la fédération. | MEDIUM | |
| Nombre d'administrateurs élevé | Les administrateurs disposent de privilèges élevés et peuvent présenter des risques de sécurité lorsqu'ils sont nombreux, car cela augmente la surface d'attaque. C'est aussi le signe que le principe du moindre privilège n'est pas respecté. | HIGH | |
| Autorisations d'application dangereuses affectant le tenant | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra. | HIGH | |
| Utilisateurs dormants sans privilèges | Les utilisateurs dormants sans privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque. | LOW | |
| Authentification MFA non requise pour les connexions à risque | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'exiger une authentification MFA pour les connexions risquées, par exemple lorsque la demande d'authentification pourrait ne pas provenir du propriétaire légitime de l'identité. | HIGH | |
| Authentification MFA manquante pour un compte privilégié | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. | HIGH | |
| Utilisateurs sans privilèges jamais utilisés | Les comptes utilisateur sans privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut en font des cibles de choix pour les attaquants. | LOW | |
| Compte Entra privilégié avec accès aux services M365 | Vous devez disposer de comptes Entra distincts pour les tâches d'administration : un compte standard pour un usage quotidien et un compte privilégié, limité spécifiquement aux activités d'administration. Cette approche réduit la surface d'attaque du compte privilégié. | MEDIUM | |
| Utilisateurs autorisés à joindre des appareils | Lorsque tous les utilisateurs sont autorisés à joindre des appareils non restreints au tenant Entra, des attaquants peuvent installer des appareils malveillants dans le système d'identité de l'organisation et obtenir un point d'accès pour le compromettre davantage. | LOW | |
| Stratégie de mot de passe faible – Seuil de verrouillage | Une stratégie de mot de passe avec un seuil de verrouillage élevé peut permettre à des attaquants de mener des attaques par force brute avant que cela ne déclenche le verrouillage du compte. | HIGH | |
| Stratégie de nommage des comptes avec privilèges | Une convention de nommage pour les utilisateurs avec privilèges dans Entra ID est indispensable pour la sécurité, la normalisation et la conformité aux audits. En outre, elle facilite l'administration. | LOW | |
| Groupe Entra à membre unique | Il est déconseillé de créer un groupe avec un seul membre, car cela introduit de la redondance et de la complexité. Cette pratique complique inutilement la gestion en ajoutant des niveaux et diminue l'efficacité prévue des groupes pour la rationalisation du contrôle et de la gestion des accès. | LOW | |
| Migration des méthodes d'authentification non terminée | La migration vers la stratégie « Méthodes d'authentification » permet de rationaliser et de moderniser la gestion des authentifications dans Microsoft Entra ID. Cette transition simplifie l'administration, améliore la sécurité et permet de prendre en charge les dernières méthodes d'authentification. Pour éviter les perturbations causées par l'obsolescence des stratégies héritées, terminez votre migration d'ici septembre 2025. | MEDIUM | |
| Autorisations d'application dangereuses affectant les données | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent introduire un risque pour les données des utilisateurs stockées par ces services. | MEDIUM | |
| Groupe dynamique doté d'une règle exploitable | Les attaquants peuvent exploiter les groupes dynamiques dans Microsoft Entra ID en manipulant des attributs d'auto-modification, leur permettant ainsi de s'ajouter en tant que membres d'un groupe. Cette manipulation permet une élévation de privilèges et un accès non autorisé à des ressources sensibles liées aux groupes. | MEDIUM | |
| Paramètres de sécurité par défaut Entra non activés | Les paramètres de sécurité par défaut Entra ID sont des paramètres préconfigurés et recommandés par Microsoft pour améliorer la protection des tenants. | MEDIUM | |
| Afficher du contexte supplémentaire dans les notifications de Microsoft Authenticator | Pour une meilleure visibilité, activez les notifications de Microsoft Authenticator afin d'afficher du contexte supplémentaire, comme le nom de l'application et la localisation. Cela aide les utilisateurs à identifier et à refuser les demandes d'authentification MFA ou sans mot de passe potentiellement malveillantes, atténuant ainsi le risque d'attaques par demande d'authentification répétée. | MEDIUM | |
| Comptes invités non restreints | Par défaut, bien que les utilisateurs invités disposent d'un accès limité à Entra ID afin de réduire leur visibilité auprès du tenant, il est également possible d'améliorer la sécurité et la confidentialité en renforçant davantage ces restrictions. | MEDIUM | |
| Application permettant l'authentification multi-tenant | Les applications Entra, qui permettent l'authentification multi-tenant, peuvent fournir un accès non autorisé à des utilisateurs malveillants si cette configuration n'a pas été activée en toute connaissance de cause et sans mettre en œuvre des contrôles d'autorisation adéquats dans le code de l'application. | LOW | |
| Utilisateurs avec jeton d'API | Les utilisateurs disposant d'un jeton d'API peuvent l'utiliser pour effectuer des actions en leur nom via l'API Okta. Un jeton illégitime peut conduire à un accès non autorisé ou à l'exposition de données. | LOW | |
| Capacité des comptes standards à enregistrer des applications | Par défaut, n'importe quel utilisateur d'Entra peut enregistrer des applications au sein du tenant. Bien que cette fonctionnalité soit pratique et ne constitue pas une vulnérabilité de sécurité immédiate, elle présente certains risques. Par conséquent, conformément aux bonnes pratiques, Tenable recommande de désactiver cette fonctionnalité. | LOW | |
| Autorisations déléguées dangereuses affectant les données | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer des actions sur les services Microsoft pour le compte des utilisateurs (appelées « autorisations déléguées »). Certaines autorisations peuvent introduire un risque pour les données des utilisateurs stockées par ces services. | MEDIUM | |
| Autorisations déléguées dangereuses affectant le tenant | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer des actions sur les services Microsoft pour le compte des utilisateurs (appelées « autorisations déléguées »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra. | HIGH | |
| Comptes invités disposant d'un accès identique aux comptes normaux | Il est déconseillé de configurer Entra ID pour considérer les invités comme des utilisateurs standards, car cela pourrait permettre à des invités malveillants d'effectuer une reconnaissance complète des ressources du tenant. | HIGH |