AD-SupervisionRapport d'audit (PDF)
Domaine acme.corp · 2 356 objets analysés · dernier scan le 15 juin 2026
A-GPPPassword — Mot de passe dans une GPP (SYSVOL)20 pts · Critique
Une GPO contient un mot de passe chiffré (cpassword) lisible par tout utilisateur authentifié dans SYSVOL.
→ Supprimer les préférences GPP contenant des mots de passe ; réinitialiser les comptes exposés.
T-SIDFiltering — Approbation sans filtrage SID20 pts · Élevé
Une relation d'approbation externe n'applique pas le filtrage des SID : risque d'élévation via l'injection de SID History.
→ Activer le filtrage SID (quarantine) sur les approbations externes.
P-Delegation — Délégation Kerberos non contrainte20 pts · Critique
Des comptes (hors DC) sont autorisés pour la délégation non contrainte : un attaquant peut y capturer des TGT privilégiés.
→ Remplacer par de la délégation contrainte (S4U2Proxy) et marquer les comptes sensibles « Account is sensitive ».
A-LDAPSigning — Signature LDAP non requise15 pts · Élevé
Les contrôleurs n'imposent pas la signature LDAP : exposition au relais NTLM et aux attaques man-in-the-middle.
→ Imposer la signature LDAP et le channel binding via GPO sur les DC.
P-SvcInDA — Compte de service dans Domain Admins15 pts · Élevé
Un compte de service (à SPN, kerberoastable) est membre de Domain Admins : un Kerberoasting réussi donne un accès Tier 0.
→ Sortir le compte de service des groupes privilégiés ; appliquer le principe de moindre privilège.
S-OS-Obsolete — Postes sur OS obsolète15 pts · Élevé
Des machines exécutent un système d'exploitation hors support (Windows 7/8.1, Server 2008R2/2012R2) ne recevant plus de correctifs.
→ Planifier la migration ou l'isolement réseau des systèmes hors support.
P-AdminNum — Population d'administrateurs élevée12 pts · Élevé
Le groupe Domain Admins compte 7 membres. Trop d'administrateurs permanents augmente le risque de compromission.
→ Réduire à 2-4 comptes dédiés ; recourir à l'administration juste-à-temps (JIT/PAM).
A-Kerberoast — Comptes kerberoastables12 pts · Élevé
Des comptes à SPN avec un mot de passe ancien sont vulnérables au Kerberoasting (extraction et cassage hors-ligne).
→ Utiliser des gMSA (mots de passe de 120 caractères) pour les comptes de service à SPN.
S-Inactive-User — Comptes utilisateurs inactifs12 pts · Élevé
Des comptes activés n'ont pas ouvert de session depuis plus de 90 jours. Ils élargissent inutilement la surface d'attaque.
→ Désactiver puis supprimer les comptes inactifs ; mettre en place une revue trimestrielle.
A-ASREPRoast — Comptes AS-REP roastables10 pts · Élevé
Des comptes ont la pré-authentification Kerberos désactivée : leur hash peut être obtenu sans authentification.
→ Réactiver la pré-authentification Kerberos sur ces comptes.
T-SIDHistory — Comptes avec SID History10 pts · Moyen
Des comptes conservent un attribut sIDHistory issu de migrations, potentiellement exploitable.
→ Purger les sIDHistory après validation des migrations terminées.
A-Reversible — Chiffrement réversible des mots de passe8 pts · Moyen
Des comptes stockent leur mot de passe avec un chiffrement réversible (équivalent à du clair).
→ Retirer l'option « Store password using reversible encryption » et réinitialiser les mots de passe.
P-Protected — Administrateurs hors « Protected Users »8 pts · Moyen
Des comptes à privilèges ne sont pas membres du groupe Protected Users, qui durcit l'authentification.
→ Ajouter les comptes Tier 0 au groupe Protected Users (après tests de compatibilité).
P-LAPS — LAPS non déployé partout8 pts · Moyen
Des machines n'ont pas de mot de passe administrateur local géré par LAPS, facilitant les déplacements latéraux.
→ Déployer Windows LAPS sur l'ensemble du parc via GPO.
S-PwdNeverExpires — Mots de passe sans expiration8 pts · Moyen
Des comptes ont l'attribut DONT_EXPIRE_PASSWORD : le mot de passe n'est jamais renouvelé.
→ Retirer l'indicateur sur les comptes nominatifs ; utiliser des gMSA pour les services.
A-PwPolicyWeak — Politique de mot de passe faible8 pts · Moyen
La longueur minimale du mot de passe est de 8 caractères, en deçà des recommandations (≥ 12-14).
→ Porter la longueur minimale à 14 caractères et déployer une stratégie d'interdiction de mots de passe courants.
A-MachineQuota — ms-DS-MachineAccountQuota par défaut8 pts · Moyen
Tout utilisateur authentifié peut joindre jusqu'à 10 machines au domaine (valeur par défaut), exploitable (ex. RBCD).
→ Positionner ms-DS-MachineAccountQuota à 0 et déléguer la jonction à une équipe dédiée.
S-Inactive-Computer — Ordinateurs inactifs6 pts · Faible
Des objets ordinateur ne se sont pas authentifiés depuis plus de 90 jours.
→ Nettoyer les objets ordinateur obsolètes après vérification.
A-FunctionalLevel — Niveau fonctionnel de forêt ancien5 pts · Faible
Le niveau fonctionnel de la forêt est Windows Server 2012 R2, bloquant des fonctions de sécurité récentes.
→ Relever le niveau fonctionnel après mise à niveau des DC.
S-DesEnabled — Comptes limités au chiffrement DES4 pts · Faible
Des comptes n'autorisent que le chiffrement DES, cassable, pour Kerberos.
→ Retirer l'option « Use Kerberos DES encryption types » de ces comptes.