Findings & règles de sécurité

Tous les DC sont supportés

Aucun contrôleur de domaine n'exécute un OS hors support.

krbtgt renouvelé récemment

Le mot de passe du compte krbtgt a été renouvelé il y a moins de 40 jours, limitant le risque de Golden Ticket.

SMBv1 désactivé

Le protocole SMBv1, vulnérable, est désactivé sur tous les contrôleurs.

Filtrage actif

L'approbation de forêt applique le filtrage SID et la sélectivité d'authentification.

Schema Admins vide

Le groupe Schema Admins ne contient aucun membre permanent.

Corbeille activée

La corbeille Active Directory est activée : récupération possible des objets supprimés.

1 GPO exposée (cpassword)

Une GPO contient un mot de passe chiffré (cpassword) lisible par tout utilisateur authentifié dans SYSVOL.

7 objets en délégation non contrainte

Des comptes (hors DC) sont autorisés pour la délégation non contrainte : un attaquant peut y capturer des TGT privilégiés.

1 approbation sans filtrage SID

Une relation d'approbation externe n'applique pas le filtrage des SID : risque d'élévation via l'injection de SID History.

4 contrôleurs concernés

Les contrôleurs n'imposent pas la signature LDAP : exposition au relais NTLM et aux attaques man-in-the-middle.

1 compte de service privilégié

Un compte de service (à SPN, kerberoastable) est membre de Domain Admins : un Kerberoasting réussi donne un accès Tier 0.

56 machines hors support

Des machines exécutent un système d'exploitation hors support (Windows 7/8.1, Server 2008R2/2012R2) ne recevant plus de correctifs.

7 membres de Domain Admins

Le groupe Domain Admins compte 7 membres. Trop d'administrateurs permanents augmente le risque de compromission.

28 comptes kerberoastables

Des comptes à SPN avec un mot de passe ancien sont vulnérables au Kerberoasting (extraction et cassage hors-ligne).

39 comptes inactifs > 90 j

Des comptes activés n'ont pas ouvert de session depuis plus de 90 jours. Ils élargissent inutilement la surface d'attaque.

12 comptes sans pré-auth

Des comptes ont la pré-authentification Kerberos désactivée : leur hash peut être obtenu sans authentification.

8 comptes avec SID History

Des comptes conservent un attribut sIDHistory issu de migrations, potentiellement exploitable.

4 comptes en chiffrement réversible

Des comptes stockent leur mot de passe avec un chiffrement réversible (équivalent à du clair).

134 machines sans LAPS

Des machines n'ont pas de mot de passe administrateur local géré par LAPS, facilitant les déplacements latéraux.

15 admins non protégés

Des comptes à privilèges ne sont pas membres du groupe Protected Users, qui durcit l'authentification.

Longueur min. = 8 caractères

La longueur minimale du mot de passe est de 8 caractères, en deçà des recommandations (≥ 12-14).

84 comptes concernés

Des comptes ont l'attribut DONT_EXPIRE_PASSWORD : le mot de passe n'est jamais renouvelé.

Quota = 10

Tout utilisateur authentifié peut joindre jusqu'à 10 machines au domaine (valeur par défaut), exploitable (ex. RBCD).

44 ordinateurs inactifs

Des objets ordinateur ne se sont pas authentifiés depuis plus de 90 jours.

Forêt : 2012 R2

Le niveau fonctionnel de la forêt est Windows Server 2012 R2, bloquant des fonctions de sécurité récentes.

7 comptes en DES

Des comptes n'autorisent que le chiffrement DES, cassable, pour Kerberos.