Findings & règles de sécurité
20 écarts ouverts · 26 règles évaluées
Tous les DC sont supportés
Aucun contrôleur de domaine n'exécute un OS hors support.
Maintenir les DC sur une version supportée (Server 2016+).
krbtgt renouvelé récemment
Le mot de passe du compte krbtgt a été renouvelé il y a moins de 40 jours, limitant le risque de Golden Ticket.
Renouveler krbtgt deux fois par an (double rotation espacée).
SMBv1 désactivé
Le protocole SMBv1, vulnérable, est désactivé sur tous les contrôleurs.
Aucune action — maintenir SMBv1 désactivé sur tout le parc.
Filtrage actif
L'approbation de forêt applique le filtrage SID et la sélectivité d'authentification.
Aucune action requise.
Schema Admins vide
Le groupe Schema Admins ne contient aucun membre permanent.
Conserver ce groupe vide hors opérations de modification de schéma.
Corbeille activée
La corbeille Active Directory est activée : récupération possible des objets supprimés.
Aucune action — bonne pratique respectée.
1 GPO exposée (cpassword)
Une GPO contient un mot de passe chiffré (cpassword) lisible par tout utilisateur authentifié dans SYSVOL.
Supprimer les préférences GPP contenant des mots de passe ; réinitialiser les comptes exposés.
7 objets en délégation non contrainte
Des comptes (hors DC) sont autorisés pour la délégation non contrainte : un attaquant peut y capturer des TGT privilégiés.
Remplacer par de la délégation contrainte (S4U2Proxy) et marquer les comptes sensibles « Account is sensitive ».
1 approbation sans filtrage SID
Une relation d'approbation externe n'applique pas le filtrage des SID : risque d'élévation via l'injection de SID History.
Activer le filtrage SID (quarantine) sur les approbations externes.
4 contrôleurs concernés
Les contrôleurs n'imposent pas la signature LDAP : exposition au relais NTLM et aux attaques man-in-the-middle.
Imposer la signature LDAP et le channel binding via GPO sur les DC.
1 compte de service privilégié
Un compte de service (à SPN, kerberoastable) est membre de Domain Admins : un Kerberoasting réussi donne un accès Tier 0.
Sortir le compte de service des groupes privilégiés ; appliquer le principe de moindre privilège.
56 machines hors support
Des machines exécutent un système d'exploitation hors support (Windows 7/8.1, Server 2008R2/2012R2) ne recevant plus de correctifs.
Planifier la migration ou l'isolement réseau des systèmes hors support.
7 membres de Domain Admins
Le groupe Domain Admins compte 7 membres. Trop d'administrateurs permanents augmente le risque de compromission.
Réduire à 2-4 comptes dédiés ; recourir à l'administration juste-à-temps (JIT/PAM).
28 comptes kerberoastables
Des comptes à SPN avec un mot de passe ancien sont vulnérables au Kerberoasting (extraction et cassage hors-ligne).
Utiliser des gMSA (mots de passe de 120 caractères) pour les comptes de service à SPN.
39 comptes inactifs > 90 j
Des comptes activés n'ont pas ouvert de session depuis plus de 90 jours. Ils élargissent inutilement la surface d'attaque.
Désactiver puis supprimer les comptes inactifs ; mettre en place une revue trimestrielle.
12 comptes sans pré-auth
Des comptes ont la pré-authentification Kerberos désactivée : leur hash peut être obtenu sans authentification.
Réactiver la pré-authentification Kerberos sur ces comptes.
8 comptes avec SID History
Des comptes conservent un attribut sIDHistory issu de migrations, potentiellement exploitable.
Purger les sIDHistory après validation des migrations terminées.
4 comptes en chiffrement réversible
Des comptes stockent leur mot de passe avec un chiffrement réversible (équivalent à du clair).
Retirer l'option « Store password using reversible encryption » et réinitialiser les mots de passe.
134 machines sans LAPS
Des machines n'ont pas de mot de passe administrateur local géré par LAPS, facilitant les déplacements latéraux.
Déployer Windows LAPS sur l'ensemble du parc via GPO.
15 admins non protégés
Des comptes à privilèges ne sont pas membres du groupe Protected Users, qui durcit l'authentification.
Ajouter les comptes Tier 0 au groupe Protected Users (après tests de compatibilité).
Longueur min. = 8 caractères
La longueur minimale du mot de passe est de 8 caractères, en deçà des recommandations (≥ 12-14).
Porter la longueur minimale à 14 caractères et déployer une stratégie d'interdiction de mots de passe courants.
84 comptes concernés
Des comptes ont l'attribut DONT_EXPIRE_PASSWORD : le mot de passe n'est jamais renouvelé.
Retirer l'indicateur sur les comptes nominatifs ; utiliser des gMSA pour les services.
Quota = 10
Tout utilisateur authentifié peut joindre jusqu'à 10 machines au domaine (valeur par défaut), exploitable (ex. RBCD).
Positionner ms-DS-MachineAccountQuota à 0 et déléguer la jonction à une équipe dédiée.
44 ordinateurs inactifs
Des objets ordinateur ne se sont pas authentifiés depuis plus de 90 jours.
Nettoyer les objets ordinateur obsolètes après vérification.
Forêt : 2012 R2
Le niveau fonctionnel de la forêt est Windows Server 2012 R2, bloquant des fonctions de sécurité récentes.
Relever le niveau fonctionnel après mise à niveau des DC.
7 comptes en DES
Des comptes n'autorisent que le chiffrement DES, cassable, pour Kerberos.
Retirer l'option « Use Kerberos DES encryption types » de ces comptes.