Indicateurs d'exposition
| Nom | Description | Sévérité | Type |
|---|---|---|---|
| Utilisation récente du compte Administrateur par défaut | Le compte Administrateur intégré a été récemment utilisé. | medium | |
| Groupe principal de comptes utilisateur | Vérifie que le groupe principal de comptes utilisateur n'a pas été modifié | critical | |
| Délégation Kerberos dangereuse | Vérifie qu'aucune délégation Kerberos dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée, et que les utilisateurs privilégiés sont protégés contre ces délégations. | critical | |
| Mots de passe utilisant un algorithme de chiffrement réversible | Vérifie que les utilisateurs n'utilisent pas de mots de passe avec option de stockage réversible. | medium | |
| Mots de passe utilisant un chiffrement réversible dans les GPO | Vérifie qu'aucune stratégie de groupe ne contient de mots de passe dans un format réversible. | medium | |
| S'assurer de la cohérence de SDProp | Vérifie que l'objet AdminSDHolder est dans un état sain. | critical | |
| Date de la dernière modification du mot de passe du compte KRBTGT | Le mot de passe du compte KDC doit être modifié régulièrement. | high | |
| Membres des groupes d'administration par défaut | Trop de comptes dans les groupes d'administration par défaut | critical | |
| Comptes privilégiés utilisant des services Kerberos | Détecte les comptes dotés de privilèges élevés ayant l'attribut Nom de principal de service (SPN), nuisible à leur sécurité. | critical | |
| Attribut AdminCount appliqué à des utilisateurs non administrateurs | Vérifie l'attribut adminCount sur les comptes décommissionnés, menant à des problèmes d'autorisations difficiles à gérer. | medium | |
| Comptes dormants | Des comptes dormants inutilisés sont restés activés. | medium | |
| Relations d'approbation dangereuses | Des attributs de relations d'approbation mal configurés portent atteinte à la sécurité d'une infrastructure AD. | high | |
| Comptes dotés de mots de passe sans date d'expiration | Les comptes utilisant la propriété DONT_EXPIRE_PASSWORD ne sont pas affectés par la stratégie de renouvellement des mots de passe. | medium | |
| GPO non liées, désactivées ou orphelines | Les GPO utilisées ou désactivées freinent les performances d'Active Directory et le calcul RSoP, et peuvent créer de la confusion au niveau de la stratégie de sécurité. Les réactiver par erreur peut affaiblir les stratégies existantes. | low | |
| Autorisations d'application dangereuses affectant les données | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent introduire un risque pour les données des utilisateurs stockées par ces services. | MEDIUM | |
| Groupe dynamique doté d'une règle exploitable | Les attaquants peuvent exploiter les groupes dynamiques dans Microsoft Entra ID en manipulant des attributs d'auto-modification, leur permettant ainsi de s'ajouter en tant que membres d'un groupe. Cette manipulation permet une élévation de privilèges et un accès non autorisé à des ressources sensibles liées aux groupes. | MEDIUM | |
| Groupe vide | Les groupes vides peuvent créer de la confusion, compromettre la sécurité et nuire à l'utilisation optimale des ressources. Il est généralement recommandé d'établir un but clair pour les groupes et de s'assurer qu'ils contiennent les membres concernés. | LOW | |
| Liste de domaines fédérés | La configuration malveillante de domaines fédérés constitue une menace courante, utilisée par les attaquants comme porte dérobée d'authentification vers le tenant Entra ID. La vérification des domaines fédérés existants et nouvellement ajoutés est essentielle pour garantir la fiabilité et la légitimité de leurs configurations. Cet indicateur d'exposition fournit une liste complète des domaines fédérés et de leurs attributs pertinents, afin de vous aider à prendre des décisions éclairées concernant leur statut de sécurité. | LOW | |
| Porte dérobée de domaine fédéré connue | Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant leur propre domaine fédéré malveillant, ce qui permet la persistance et l'élévation des privilèges. | CRITICAL | |
| Expiration de mots de passe imposée | Imposer l'expiration de mots de passe dans les domaines Microsoft Entra ID peut compromettre la sécurité en incitant les utilisateurs à changer fréquemment de mot de passe, ce qui peut les inciter à créer des mots de passe faibles ou prévisibles ou à les réemployer, réduisant ainsi la protection globale du compte. | LOW | |
| Stratégie de nommage des comptes avec privilèges | Une convention de nommage pour les utilisateurs avec privilèges dans Entra ID est indispensable pour la sécurité, la normalisation et la conformité aux audits. En outre, elle facilite l'administration. | LOW | |
| Compte Entra privilégié synchronisé avec AD (hybride) | Les comptes hybrides (synchronisés à partir d'Active Directory) qui ont des rôles privilégiés dans Entra ID présentent un risque pour la sécurité, car ils permettent aux attaquants qui compromettent AD de pivoter vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ». | HIGH | |
| Consentement non restreint des utilisateurs pour les applications | Entra ID permet aux utilisateurs de donner leur consentement autonome pour l'accès d'applications externes aux données de l'organisation, ce qui pourrait être exploité par des attaquants lors d'attaques « octroi de consentement illicite ». Empêchez cela en restreignant l'accès aux éditeurs vérifiés ou en exigeant l'approbation de l'administrateur. | MEDIUM | |
| Domaines non vérifiés | Vous devez confirmer la propriété de tous les domaines personnalisés dans Entra ID. Les domaines non vérifiés ne doivent être conservés que temporairement : vous devez soit les vérifier, soit les supprimer, afin de maintenir une liste de domaines ordonnée et de faciliter des vérifications efficaces. | LOW | |
| Autorisations déléguées dangereuses affectant les données | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer des actions sur les services Microsoft pour le compte des utilisateurs (appelées « autorisations déléguées »). Certaines autorisations peuvent introduire un risque pour les données des utilisateurs stockées par ces services. | MEDIUM | |
| Paramètres de sécurité par défaut Entra non activés | Les paramètres de sécurité par défaut Entra ID sont des paramètres préconfigurés et recommandés par Microsoft pour améliorer la protection des tenants. | MEDIUM | |
| Comptes invités disposant d'un accès identique aux comptes normaux | Il est déconseillé de configurer Entra ID pour considérer les invités comme des utilisateurs standards, car cela pourrait permettre à des invités malveillants d'effectuer une reconnaissance complète des ressources du tenant. | HIGH | |
| Appareils gérés non requis pour l'inscription à la MFA | Le fait d'exiger des appareils gérés pour l'inscription à la MFA rend plus difficile l'enregistrement d'une MFA malveillante, en cas de vol d'informations d'authentification, si les attaquants n'ont pas également accès à un appareil géré. | MEDIUM | |
| Authentification MFA non requise pour les connexions à risque | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'exiger une authentification MFA pour les connexions risquées, par exemple lorsque la demande d'authentification pourrait ne pas provenir du propriétaire légitime de l'identité. | HIGH | |
| Authentification MFA manquante pour un compte non privilégié | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, même pour les comptes non privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. | MEDIUM | |
| Utilisateurs avec privilèges jamais utilisés | Les comptes utilisateur avec privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut potentiels en font des cibles de choix pour les attaquants. | MEDIUM | |
| Compte Entra privilégié avec accès aux services M365 | Vous devez disposer de comptes Entra distincts pour les tâches d'administration : un compte standard pour un usage quotidien et un compte privilégié, limité spécifiquement aux activités d'administration. Cette approche réduit la surface d'attaque du compte privilégié. | MEDIUM | |
| Utilisateurs à risque sans application | Bloquez les utilisateurs à risque pour éviter les accès non autorisés et les failles potentielles. Les bonnes pratiques de sécurité recommandent d'utiliser des stratégies d'accès conditionnel pour empêcher les comptes vulnérables de s'authentifier auprès d'Entra ID. | MEDIUM | |
| Comptes invités non restreints | Par défaut, bien que les utilisateurs invités disposent d'un accès limité à Entra ID afin de réduire leur visibilité auprès du tenant, il est également possible d'améliorer la sécurité et la confidentialité en renforçant davantage ces restrictions. | MEDIUM | |
| Période de validité inhabituelle du certificat de signature de fédération | Une période de validité anormalement élevée pour un certificat de signature de fédération est suspecte, car elle pourrait indiquer qu'un attaquant a obtenu des privilèges élevés dans Entra ID et a créé une porte dérobée via le mécanisme d'approbation de la fédération. | MEDIUM | |
| Capacité des comptes standards à enregistrer des applications | Par défaut, n'importe quel utilisateur d'Entra peut enregistrer des applications au sein du tenant. Bien que cette fonctionnalité soit pratique et ne constitue pas une vulnérabilité de sécurité immédiate, elle présente certains risques. Par conséquent, conformément aux bonnes pratiques, Tenable recommande de désactiver cette fonctionnalité. | LOW | |
| Application permettant l'authentification multi-tenant | Les applications Entra, qui permettent l'authentification multi-tenant, peuvent fournir un accès non autorisé à des utilisateurs malveillants si cette configuration n'a pas été activée en toute connaissance de cause et sans mettre en œuvre des contrôles d'autorisation adéquats dans le code de l'application. | LOW | |
| Une stratégie d'accès conditionnel désactive l'évaluation continue des accès | L'évaluation continue des accès est une fonctionnalité de sécurité Entra ID qui permet de réagir rapidement aux modifications de stratégie de sécurité ou aux mises à jour de statut des utilisateurs. Il est donc important de ne pas la désactiver. | MEDIUM | |
| Protection par mot de passe non activée pour les environnements sur site | La protection des mots de passe de Microsoft Entra est une fonctionnalité de sécurité qui empêche les utilisateurs de définir des mots de passe faciles à deviner, afin de renforcer la sécurité globale des mots de passe dans une organisation. | MEDIUM | |
| Groupe M365 public | Les groupes Microsoft 365 stockés dans Entra ID sont publics ou privés. Les groupes publics posent un risque de sécurité, car n'importe quel utilisateur du tenant peut les rejoindre et accéder à leurs données (chats/fichiers des équipes, e-mails, etc.). | MEDIUM | |
| Afficher du contexte supplémentaire dans les notifications de Microsoft Authenticator | Pour une meilleure visibilité, activez les notifications de Microsoft Authenticator afin d'afficher du contexte supplémentaire, comme le nom de l'application et la localisation. Cela aide les utilisateurs à identifier et à refuser les demandes d'authentification MFA ou sans mot de passe potentiellement malveillantes, atténuant ainsi le risque d'attaques par demande d'authentification répétée. | MEDIUM | |
| Attribution du rôle « Synchronisation AD » suspecte | Microsoft a conçu deux rôles Entra ID intégrés masqués pour la synchronisation Active Directory. Ils sont destinés exclusivement aux comptes de service Entra Connect ou Cloud Sync. Ces rôles possèdent des autorisations privilégiées implicites, que des acteurs malveillants pourraient exploiter pour lancer des attaques invisibles. | HIGH | |
| Appareils dormants | Les appareils dormants posent des risques de sécurité tels que des configurations obsolètes et des vulnérabilités non corrigées. En l'absence de surveillance et de mises à jour régulières, ces appareils obsolètes deviennent des cibles potentielles d'exploitation, compromettant ainsi l'intégrité des tenants et la confidentialité des données. | LOW | |
| Non-concordance des certificats de signature de fédération | Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant un certificat de signature de jeton malveillant, ce qui permet la persistance et l'élévation des privilèges. | HIGH | |
| Principal de service propriétaire (ou interne) avec identifiants | Les principaux de service propriétaires (ou internes) disposent de puissantes autorisations, mais ils sont négligés parce qu'ils sont cachés, nombreux et détenus par Microsoft. Les attaquants y ajoutent des identifiants pour exploiter discrètement leurs autorisations à des fins d'élévation de privilèges et de persistance. | HIGH | |
| Authentification héritée non bloquée | Les méthodes d'authentification héritées ne prennent pas en charge l'authentification multifacteur (MFA), ce qui permet aux attaquants de continuer à lancer des attaques par force brute, par envoi massif d'identifiants et par pulvérisation de mot de passe. | MEDIUM | |
| Appareils gérés non requis pour l'authentification | Exigez des appareils gérés pour empêcher les accès non autorisés et les failles potentielles. Les bonnes pratiques de sécurité recommandent d'utiliser des stratégies d'accès conditionnel pour bloquer l'authentification auprès d'Entra ID à partir d'appareils non gérés. | MEDIUM | |
| Appareils jamais utilisés | Les comptes d'appareils précréés et jamais utilisés doivent être évités, car ils reflètent de mauvaises pratiques d'hygiène et peuvent potentiellement poser des risques de sécurité. | LOW | |
| Groupe à membre unique | Il est déconseillé de créer un groupe avec un seul membre, car cela introduit de la redondance et de la complexité. Cette pratique complique inutilement la gestion en ajoutant des niveaux et diminue l'efficacité prévue des groupes pour la rationalisation du contrôle et de la gestion des accès. | LOW | |
| Fonction de passe d'accès temporaire (TAP) activée | La fonctionnalité TAP (Passe d'accès temporaire) est une méthode d'authentification temporaire qui utilise un mot de passe limité dans le temps ou à usage limité. Bien qu'il s'agisse d'une fonctionnalité légitime, il est plus sûr de la désactiver afin de réduire la surface d'attaque si votre organisation n'en a pas besoin. | LOW |