Indicateurs d'exposition
| Nom | Description | Sévérité | Type |
|---|---|---|---|
| Groupe principal de comptes utilisateur | Vérifie que le groupe principal de comptes utilisateur n'a pas été modifié | critical | |
| Délégation Kerberos dangereuse | Vérifie qu'aucune délégation Kerberos dangereuse (non contrainte, transition de protocole, etc.) n'est autorisée, et que les utilisateurs privilégiés sont protégés contre ces délégations. | critical | |
| Mots de passe utilisant un algorithme de chiffrement réversible | Vérifie que les utilisateurs n'utilisent pas de mots de passe avec option de stockage réversible. | medium | |
| Mots de passe utilisant un chiffrement réversible dans les GPO | Vérifie qu'aucune stratégie de groupe ne contient de mots de passe dans un format réversible. | medium | |
| S'assurer de la cohérence de SDProp | Vérifie que l'objet AdminSDHolder est dans un état sain. | critical | |
| Date de la dernière modification du mot de passe du compte KRBTGT | Le mot de passe du compte KDC doit être modifié régulièrement. | high | |
| Membres des groupes d'administration par défaut | Trop de comptes dans les groupes d'administration par défaut | critical | |
| Comptes privilégiés utilisant des services Kerberos | Liste les comptes dotés de privilèges élevés ayant un Service Principal Name. | critical | |
| Attribut AdminCount appliqué à des utilisateurs non administrateurs | Vérifie l'attribut adminCount sur les comptes décommissionnés, menant à des problèmes d'autorisations difficiles à gérer. | medium | |
| Comptes dormants | Des comptes dormants inutilisés sont restés activés. | medium | |
| Relations d'approbation dangereuses | Des attributs de relations d'approbation mal configurés portent atteinte à la sécurité d'une infrastructure AD. | high | |
| Comptes dotés de mots de passe sans date d'expiration | Les comptes utilisant la propriété DONT_EXPIRE_PASSWORD ne sont pas affectés par la stratégie de renouvellement des mots de passe. | medium | |
| GPO non liées, désactivées ou orphelines | Les GPO utilisées ou désactivées freinent les performances d'Active Directory et le calcul RSoP, et peuvent créer de la confusion au niveau de la stratégie de sécurité. Les réactiver par erreur peut affaiblir les stratégies existantes. | low | |
| Groupe vide | Les groupes vides peuvent créer de la confusion, compromettre la sécurité et nuire à l'utilisation optimale des ressources. Il est généralement recommandé d'établir un but clair pour les groupes et de s'assurer qu'ils contiennent les membres concernés. | LOW | |
| Appareils jamais utilisés | Les comptes d'appareils précréés et jamais utilisés doivent être évités, car ils reflètent de mauvaises pratiques d'hygiène et peuvent potentiellement poser des risques de sécurité. | LOW | |
| Workflow de consentement de l'administrateur pour les applications non configurées | Dans Entra ID, le workflow de consentement de l'administrateur permet aux utilisateurs non-administrateurs de demander des autorisations d'application via un processus d'approbation structuré. Si le workflow n'est pas configuré, les utilisateurs qui tentent d'accéder aux applications peuvent rencontrer des erreurs sans possibilité de demander un consentement. | MEDIUM | |
| Compte Entra privilégié synchronisé avec AD (hybride) | Les comptes hybrides (synchronisés à partir d'Active Directory) qui ont des rôles privilégiés dans Entra ID présentent un risque pour la sécurité, car ils permettent aux attaquants qui compromettent AD de pivoter vers Entra ID. Dans Entra ID, les comptes privilégiés doivent être des comptes « cloud seulement ». | HIGH | |
| Utilisateurs à risque sans application | Bloquez les utilisateurs à risque pour éviter les accès non autorisés et les failles potentielles. Les bonnes pratiques de sécurité recommandent d'utiliser des stratégies d'accès conditionnel pour empêcher les comptes vulnérables de s'authentifier auprès d'Entra ID. | MEDIUM | |
| Une stratégie d'accès conditionnel désactive l'évaluation continue des accès | L'évaluation continue des accès est une fonctionnalité de sécurité Entra ID qui permet de réagir rapidement aux modifications de stratégie de sécurité ou aux mises à jour de statut des utilisateurs. Il est donc important de ne pas la désactiver. | MEDIUM | |
| Non-concordance des certificats de signature de fédération | Microsoft Entra ID permet de déléguer l'authentification à un autre fournisseur via la fédération. Toutefois, les attaquants disposant de privilèges élevés peuvent exploiter cette fonction en ajoutant un certificat de signature de jeton malveillant, ce qui permet la persistance et l'élévation des privilèges. | HIGH | |
| Nombre d'administrateurs élevé | Les administrateurs disposent de privilèges élevés et peuvent présenter des risques de sécurité lorsqu'ils sont nombreux, car cela augmente la surface d'attaque. C'est aussi le signe que le principe du moindre privilège n'est pas respecté. | HIGH | |
| Période de validité inhabituelle du certificat de signature de fédération | Une période de validité anormalement élevée pour un certificat de signature de fédération est suspecte, car elle pourrait indiquer qu'un attaquant a obtenu des privilèges élevés dans Entra ID et a créé une porte dérobée via le mécanisme d'approbation de la fédération. | MEDIUM | |
| Appareils gérés non requis pour l'authentification | Exigez des appareils gérés pour empêcher les accès non autorisés et les failles potentielles. Les bonnes pratiques de sécurité recommandent d'utiliser des stratégies d'accès conditionnel pour bloquer l'authentification auprès d'Entra ID à partir d'appareils non gérés. | MEDIUM | |
| Autorisations d'application dangereuses affectant le tenant | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra. | HIGH | |
| Consentement non restreint des utilisateurs pour les applications | Entra ID permet aux utilisateurs de donner leur consentement autonome pour l'accès d'applications externes aux données de l'organisation, ce qui pourrait être exploité par des attaquants lors d'attaques « octroi de consentement illicite ». Empêchez cela en restreignant l'accès aux éditeurs vérifiés ou en exigeant l'approbation de l'administrateur. | MEDIUM | |
| Utilisateurs dormants avec privilèges | Les utilisateurs dormants avec privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque. | MEDIUM | |
| Autorisations d'application dangereuses affectant les données | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer elles-mêmes des actions sur les services Microsoft (appelées « autorisations d'application »). Certaines autorisations peuvent introduire un risque pour les données des utilisateurs stockées par ces services. | MEDIUM | |
| Groupe dynamique doté d'une règle exploitable | Les attaquants peuvent exploiter les groupes dynamiques dans Microsoft Entra ID en manipulant des attributs d'auto-modification, leur permettant ainsi de s'ajouter en tant que membres d'un groupe. Cette manipulation permet une élévation de privilèges et un accès non autorisé à des ressources sensibles liées aux groupes. | MEDIUM | |
| Paramètres de sécurité par défaut Entra non activés | Les paramètres de sécurité par défaut Entra ID sont des paramètres préconfigurés et recommandés par Microsoft pour améliorer la protection des tenants. | MEDIUM | |
| Afficher du contexte supplémentaire dans les notifications de Microsoft Authenticator | Pour une meilleure visibilité, activez les notifications de Microsoft Authenticator afin d'afficher du contexte supplémentaire, comme le nom de l'application et la localisation. Cela aide les utilisateurs à identifier et à refuser les demandes d'authentification MFA ou sans mot de passe potentiellement malveillantes, atténuant ainsi le risque d'attaques par demande d'authentification répétée. | MEDIUM | |
| Comptes invités non restreints | Par défaut, bien que les utilisateurs invités disposent d'un accès limité à Entra ID afin de réduire leur visibilité auprès du tenant, il est également possible d'améliorer la sécurité et la confidentialité en renforçant davantage ces restrictions. | MEDIUM | |
| Application permettant l'authentification multi-tenant | Les applications Entra, qui permettent l'authentification multi-tenant, peuvent fournir un accès non autorisé à des utilisateurs malveillants si cette configuration n'a pas été activée en toute connaissance de cause et sans mettre en œuvre des contrôles d'autorisation adéquats dans le code de l'application. | LOW | |
| Authentification MFA non requise pour les connexions à risque | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'exiger une authentification MFA pour les connexions risquées, par exemple lorsque la demande d'authentification pourrait ne pas provenir du propriétaire légitime de l'identité. | HIGH | |
| Utilisateurs autorisés à joindre des appareils | Lorsque tous les utilisateurs sont autorisés à joindre des appareils non restreints au tenant Entra, des attaquants peuvent installer des appareils malveillants dans le système d'identité de l'organisation et obtenir un point d'accès pour le compromettre davantage. | LOW | |
| Utilisateurs dormants sans privilèges | Les utilisateurs dormants sans privilèges posent des risques de sécurité, car des attaquants peuvent les exploiter pour obtenir des accès non autorisés. En l'absence de surveillance et de désactivation régulières, ces utilisateurs obsolètes créent des points d'entrée potentiels pour des activités malveillantes en étendant la surface d'attaque. | LOW | |
| Authentification MFA manquante pour un compte privilégié | L'authentification MFA, ou multifacteur, protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes privilégiés. Les comptes pour lesquels aucune méthode MFA n'a été enregistrée ne peuvent pas en bénéficier. | HIGH | |
| Utilisateurs sans privilèges jamais utilisés | Les comptes utilisateur sans privilèges qui n'ont jamais été utilisés peuvent être compromis, car ils échappent généralement à la détection effectuée par les mesures défensives. De plus, leurs mots de passe par défaut potentiels en font des cibles de choix pour les attaquants. | LOW | |
| Stratégie de nommage des comptes avec privilèges | Une convention de nommage pour les utilisateurs avec privilèges dans Entra ID est indispensable pour la sécurité, la normalisation et la conformité aux audits. En outre, elle facilite l'administration. | LOW | |
| Groupe à membre unique | Il est déconseillé de créer un groupe avec un seul membre, car cela introduit de la redondance et de la complexité. Cette pratique complique inutilement la gestion en ajoutant des niveaux et diminue l'efficacité prévue des groupes pour la rationalisation du contrôle et de la gestion des accès. | LOW | |
| Migration des méthodes d'authentification non terminée | La migration vers la stratégie « Méthodes d'authentification » permet de rationaliser et de moderniser la gestion des authentifications dans Microsoft Entra ID. Cette transition simplifie l'administration, améliore la sécurité et permet de prendre en charge les dernières méthodes d'authentification. Pour éviter les perturbations causées par l'obsolescence des stratégies héritées, terminez votre migration d'ici septembre 2025. | MEDIUM | |
| Compte Entra privilégié avec accès aux services M365 | Vous devez disposer de comptes Entra distincts pour les tâches d'administration : un compte standard pour un usage quotidien et un compte privilégié, limité spécifiquement aux activités d'administration. Cette approche réduit la surface d'attaque du compte privilégié. | MEDIUM | |
| Autorisations déléguées dangereuses affectant le tenant | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer des actions sur les services Microsoft pour le compte des utilisateurs (appelées « autorisations déléguées »). Certaines autorisations peuvent constituer une grave menace pour l'ensemble du tenant Microsoft Entra. | HIGH | |
| Appareils gérés non requis pour l'inscription à la MFA | Le fait d'exiger des appareils gérés pour l'inscription à la MFA rend plus difficile l'enregistrement d'une MFA malveillante, en cas de vol d'informations d'authentification, si les attaquants n'ont pas également accès à un appareil géré. | MEDIUM | |
| Expiration de mots de passe imposée | Imposer l'expiration de mots de passe dans les domaines Microsoft Entra ID peut compromettre la sécurité en incitant les utilisateurs à changer fréquemment de mot de passe, ce qui peut les inciter à créer des mots de passe faibles ou prévisibles ou à les réemployer, réduisant ainsi la protection globale du compte. | LOW | |
| Protection par mot de passe non activée pour les environnements sur site | La protection des mots de passe de Microsoft Entra est une fonctionnalité de sécurité qui empêche les utilisateurs de définir des mots de passe faciles à deviner, afin de renforcer la sécurité globale des mots de passe dans une organisation. | MEDIUM | |
| Autorisations déléguées dangereuses affectant les données | Microsoft expose des API dans Entra ID pour permettre à des applications tierces d'effectuer des actions sur les services Microsoft pour le compte des utilisateurs (appelées « autorisations déléguées »). Certaines autorisations peuvent introduire un risque pour les données des utilisateurs stockées par ces services. | MEDIUM | |
| Capacité des comptes standards à enregistrer des applications | Par défaut, n'importe quel utilisateur d'Entra peut enregistrer des applications au sein du tenant. Bien que cette fonctionnalité soit pratique et ne constitue pas une vulnérabilité de sécurité immédiate, elle présente certains risques. Par conséquent, conformément aux bonnes pratiques, Tenable recommande de désactiver cette fonctionnalité. | LOW | |
| Comptes invités disposant d'un accès identique aux comptes normaux | Il est déconseillé de configurer Entra ID pour considérer les invités comme des utilisateurs standards, car cela pourrait permettre à des invités malveillants d'effectuer une reconnaissance complète des ressources du tenant. | HIGH | |
| Authentification héritée non bloquée | Les méthodes d'authentification héritées ne prennent pas en charge l'authentification multifacteur (MFA), ce qui permet aux attaquants de continuer à lancer des attaques par force brute, par envoi massif d'identifiants et par pulvérisation de mot de passe. | MEDIUM | |
| Compte désactivé assigné à un rôle privilégié | Surveiller les attributions à des rôles privilégiés est crucial pour assurer une gestion saine des comptes. | LOW |