Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.
Supprimer des comptes Active Directory obsolètes (préversion)
Description
Cette recommandation répertorie tous les comptes d’utilisateur dans Active Directory qui sont obsolètes, ce qui signifie qu’ils ne se sont pas connectés du tout au cours des 90 derniers jours.
Comptes exclus :
- Comptes de service
- Comptes désactivés ou supprimés.
Impact sur les utilisateurs
Les comptes obsolètes posent un risque pour la sécurité, car ils fournissent des cibles potentielles aux attaquants sans être activement surveillés. Les comptes obsolètes compromis peuvent être utilisés pour obtenir un accès non autorisé, se déplacer latéralement dans l’environnement ou remonter des privilèges. Les supprimer ou les désactiver réduit l’exposition inutile et renforce la posture de sécurité globale.
Mise en œuvre
Passez en revue les entités exposées pour identifier les comptes d’utilisateur obsolètes qui ne se sont pas connectés au cours des 90 derniers jours.
Désactivez le compte s’il est confirmé qu’il est inutilisé ou supprimez-le entièrement conformément à votre stratégie de rétention.
Désactivez et supprimez les comptes d’utilisateur sans connexion pendant 90 jours après une période de surveillance.
Supprimez les comptes des anciens employés afin d’empêcher tout accès non autorisé.
Microsoft Entra ID des comptes d’utilisateur privilégiés qui sont également privilégiés dans Active Directory (préversion)
Description
Cette recommandation répertorie tous les comptes d’utilisateur qui ont des rôles privilégiés dans Microsoft Entra ID (par exemple, administrateur général) et qui sont également membres de groupes Active Directory à privilèges élevés (par exemple, administrateurs de domaine, administrateurs d’entreprise). Ces comptes à double privilège augmentent considérablement la surface d’attaque du organization.
Remarque
Les invités, les identités externes et les comptes non synchronisés avec Microsoft Entra ID sont exclus de ce rapport. Seuls les comptes activés et disposant de privilèges dans l’ID Entra et Active Directory sont inclus.
Impact sur les utilisateurs
Les comptes dotés de privilèges dans Microsoft Entra ID et Active Directory peuvent être exploités par des attaquants pour obtenir un contrôle total sur les environnements cloud et locaux. La compromission d’un compte unique peut permettre le déplacement latéral, l’escalade de privilèges et l’accès à des ressources sensibles dans des environnements hybrides. Les comptes à double privilège sont des cibles à valeur élevée et peuvent accélérer les attaques s’ils ne sont pas correctement gérés.
Mise en œuvre
Passez en revue la liste des entités exposées pour identifier les comptes disposant d’un accès privilégié dans l’ID Entra et Active Directory.
Corrigez le compte en réduisant les privilèges dans un ou les deux environnements pour appliquer le privilège minimum. Conservez uniquement les privilèges doubles si nécessaire et la justification du document.
Envisagez de séparer les rôles cloud et locaux entre différents comptes ou d’implémenter l’accès juste-à-temps pour réduire l’exposition permanente.
Utilisez Microsoft Entra Privileged Identity Management (PIM) pour appliquer des flux de travail d’approbation et limiter l’accès permanent pour les comptes qui doivent conserver des privilèges élevés.
Par exemple :
Un utilisateur qui est administrateur général dans Microsoft Entra ID et un Administration de domaine dans Active Directory doit avoir l’un des rôles réduit ou remplacé par un accès administratif délégué.
Si des privilèges doubles sont requis pour les opérations critiques, activez l’authentification multifacteur, surveillez les connexions de près et examinez régulièrement les appartenances.
Identifier les comptes de service dans les groupes privilégiés
Description
Répertorie les comptes de service Active Directory au sein de votre environnement qui sont membres de groupes privilégiés, y compris l’appartenance directe et imbriquée.
Impact sur les utilisateurs
Les comptes de service ont souvent des informations d’identification de longue durée et sont utilisés par les applications, les scripts ou les tâches automatisées. Lorsque ces comptes sont membres de groupes à privilèges élevés (par exemple, administrateurs de domaine ou administrateurs d’entreprise), ils augmentent la surface d’attaque du organization. La compromission de l’un de ces comptes peut accorder à un attaquant un accès administratif étendu aux systèmes et données critiques. En outre, étant donné que les comptes de service ne sont pas liés à un utilisateur spécifique et manquent souvent de surveillance interactive, les activités malveillantes effectuées sous ces comptes peuvent passer inaperçues, ce qui retarde la détection et la réponse.
Mise en œuvre
Passez en revue les entités exposées pour identifier les comptes de service Active Directory qui sont membres de groupes privilégiés, tels que les administrateurs de domaine, les administrateurs d’entreprise ou les administrateurs.
Supprimez le compte du groupe privilégié si un accès élevé n’est pas requis, ou désactivez le compte s’il n’est pas utilisé.
Par exemple :
Compte de service inutilisé ou désactivé :
Désactivez le compte dans Active Directory après avoir confirmé l’absence de connexions ou de dépendances récentes.
Surveiller pendant une courte période (7 à 14 jours). S’il est inactif, supprimez-le en fonction de votre stratégie.
Compte de service actif sans avoir besoin de droits d’administrateur :
Supprimez-le du groupe privilégié tel qu’il est exposé dans le rapport.
Accordez uniquement l’accès minimal requis par le biais d’autorisations déléguées ou de groupes de sécurité étendus.
Remplacez les comptes hérités :
- Migrez des comptes de service vers des comptes de service administrés de groupe (gMSA) pour une rotation automatique des mots de passe et une exposition réduite des informations d’identification.
Comptes qui doivent rester privilégiés
Limitez l’emplacement où ils peuvent se connecter à l’aide de la propriété Se connecter à .
Limitez les connexions interactives via stratégie de groupe et activez l’audit ciblé pour leur activité.
Exiger la propriété, la documentation et la révision périodique de l’appartenance privilégiée.
Rechercher des comptes dans des groupes d’opérateurs intégrés
Description
Répertorie les comptes Active Directory (utilisateurs, comptes de service et groupes) qui sont membres de groupes d’opérateurs intégrés tels que les opérateurs de serveur, les opérateurs de sauvegarde, les opérateurs d’impression ou les opérateurs de compte, y compris l’appartenance directe et indirecte. Ces groupes accordent des privilèges élevés qui peuvent être utilisés pour compromettre les contrôleurs de domaine ou les serveurs sensibles.
Impact sur les utilisateurs
Les groupes d’opérateurs offrent un contrôle étendu sur les serveurs, les fichiers et les opérations système. Les membres de ces groupes peuvent effectuer des actions administratives telles que l’arrêt des services critiques, la modification de fichiers ou la restauration de données, qui peuvent être exploitées pour augmenter les privilèges ou gagner en persistance. Étant donné que ces groupes sont rarement nécessaires dans les environnements modernes, y laisser des comptes inutilement augmente le risque d’abus de privilèges ou de mouvement latéral.
Mise en œuvre
Passez en revue la liste des entités exposées pour identifier les comptes AD qui sont membres de l’un des groupes d’opérateurs intégrés (par exemple, opérateurs de serveur, opérateurs de sauvegarde, opérateurs d’impression et opérateurs de compte).
Supprimez le compte du groupe d’opérateurs si l’accès élevé n’est pas requis, ou désactivez le compte s’il n’est pas utilisé.
Par exemple :
Supprimez l’appartenance ou désactivez le compte de service ou d’administrateur ajouté aux opérateurs de sauvegarde pour un processus de sauvegarde hérité qui ne s’exécute plus.
Si un compte effectue toujours des tâches opérationnelles mais ne nécessite pas de droits d’opérateur étendus, déléguez uniquement les autorisations spécifiques dont il a besoin (par exemple, la restauration de fichiers ou la gestion de l’impression sur un seul serveur).
Si l’appartenance à un groupe d’opérateurs est essentielle pour une fonction administrative spécifique, surveillez le compte, limitez-le aux hôtes requis et examinez-le régulièrement pour confirmer la nécessité continue.
Comptes avec un ID de groupe principal autre que par défaut
Description
Cette recommandation répertorie tous les ordinateurs et tous les comptes d’utilisateurs dont l’attribut primaryGroupId (PGID) n’est pas la valeur par défaut pour les utilisateurs de domaine et les ordinateurs dans Active Directory.
Impact sur les utilisateurs
L’attribut primaryGroupId d’un compte d’utilisateur ou d’ordinateur accorde l’appartenance implicite à un groupe. L’appartenance via cet attribut n’apparaît pas dans la liste des membres du groupe dans certaines interfaces. Cet attribut peut être utilisé comme tentative de masquer l’appartenance au groupe. Il peut s’agir d’un moyen furtif pour un attaquant de remonter des privilèges sans déclencher un audit normal pour les modifications d’appartenance au groupe.
Mise en œuvre
Passez en revue la liste des entités exposées pour découvrir lequel de vos comptes a un primaryGroupId suspect.
Effectuez les actions appropriées sur ces comptes en réinitialisant leur attribut à leurs valeurs par défaut ou en ajoutant le membre au groupe approprié :
Comptes d’utilisateur : 513 (utilisateurs du domaine) ou 514 (invités du domaine) ;
Comptes d’ordinateur : 515 (ordinateurs de domaine) ;
Comptes de contrôleur de domaine : 516 (contrôleurs de domaine) ;
Comptes de contrôleur de domaine (RODC) en lecture seule : 521 (contrôleurs de domaine en lecture seule).
Supprimer les droits d’accès sur les comptes suspects avec l’autorisation SDHolder Administration
Description
Le fait d’avoir des comptes non sensibles avec Administration autorisations SDHolder (titulaire de de descripteur de sécurité) peut avoir des implications importantes en matière de sécurité, notamment :
- Menant à une escalade de privilèges non autorisée, où les attaquants peuvent exploiter ces comptes pour obtenir un accès administratif et compromettre des systèmes ou des données sensibles
- L’augmentation de la surface d’attaque, rendant plus difficile le suivi et l’atténuation des incidents de sécurité, ce qui expose potentiellement les organization à des risques plus importants.
Mise en œuvre
Passez en revue l’action recommandée dans https://security.microsoft.com/securescore?viewid=actionspour Supprimer les droits d’accès sur les comptes suspects avec l’autorisation SDHolder Administration.
Par exemple :
Passez en revue la liste des entités exposées pour découvrir lequel de vos comptes non sensibles a l’autorisation SDHolder Administration.
Prenez les mesures appropriées sur ces entités en supprimant leurs droits d’accès privilégié. Par exemple :
- Utilisez l’outil De modification ADSI pour vous connecter à votre contrôleur de domaine.
- Accédez au conteneur CN=System>CN=AdminSDHolder et ouvrez les propriétés du conteneur CN=AdminSDHolder .
- Sélectionnez l’onglet >SécuritéAvancé, puis supprimez toutes les entités non sensibles. Il s’agit des entités marquées comme exposées dans l’évaluation de la sécurité.
Pour plus d’informations, consultez la documentation relative aux interfaces de service Active Directory et à la modification ADSI
Pour obtenir le score complet, corrigez toutes les entités exposées.
Modifier le mot de passe du compte krbtgt
Description
Cette recommandation répertorie tout compte krbtgt au sein de votre environnement dont le mot de passe a été défini pour la dernière fois il y a plus de 180 jours.
Impact sur les utilisateurs
Le compte krbtgt dans Active Directory est un compte intégré utilisé par le service d’authentification Kerberos. Il chiffre et signe tous les tickets Kerberos, ce qui permet une authentification sécurisée au sein du domaine. Le compte ne peut pas être supprimé, et sa sécurisation est essentielle, car la compromission pourrait permettre aux attaquants de falsifier des tickets d’authentification.
Si le mot de passe du compte KRBTGT est compromis, un attaquant peut utiliser son hachage pour générer des tickets d’authentification Kerberos valides, ce qui lui permet d’effectuer des attaques Golden Ticket et d’accéder à n’importe quelle ressource dans le domaine AD. Étant donné que Kerberos s’appuie sur le mot de passe KRBTGT pour signer tous les tickets, il est essentiel de surveiller de près et de modifier régulièrement ce mot de passe pour atténuer le risque de telles attaques.
Mise en œuvre
Passez en revue la liste des entités exposées pour découvrir lequel de vos comptes krbtgt a un ancien mot de passe.
Prenez les mesures appropriées sur ces comptes en réinitialisant leur mot de passe deux fois pour invalider l’attaque Golden Ticket.
Remarque
Le compte Kerberos krbtgt dans tous les domaines Active Directory prend en charge le stockage de clés dans tous les centres de distribution de clés (KDC) Kerberos. Pour renouveler les clés Kerberos pour le chiffrement TGT, modifiez régulièrement le mot de passe du compte krbtgt .
Nous vous recommandons de réinitialiser le mot de passe deux fois, en attendant au moins 10 heures entre les réinitialisations. Ce processus invalide les tickets Kerberos existants pour empêcher les attaques Golden Ticket.
Pour connaître la procédure officielle et prise en charge, consultez Réinitialiser le mot de passe krbtgt.
Modifier le mot de passe du compte local avec des informations d’identification potentiellement divulguées (préversion)
Description
Ce rapport répertorie les utilisateurs dont les informations d’identification valides ont été divulguées. Lorsque les cybercriminels compromettent les mots de passe valides des utilisateurs légitimes, les criminels partagent souvent ces informations d’identification. Pour ce faire, ils sont affichés publiquement sur le dark web ou coller des sites ou en commercialisant ou en vendant les informations d’identification sur le marché noir. Le service d’informations d’identification divulguées de Microsoft acquiert des paires nom d’utilisateur/mot de passe en surveillant les sites web publics et les sites web sombres et en travaillant avec les équipes de sécurité des chercheurs chargés de l’application de la loi chez Microsoft Autres sources approuvées.
Impact sur les utilisateurs
Lorsque le service acquiert des informations d’identification utilisateur à partir du dark web, les sites de collage ou les sources ci-dessus, un compte avec des informations d’identification compromises peut être exploité par des acteurs malveillants pour obtenir un accès non autorisé.
Mise en œuvre
- Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actionspour Modifier le mot de passe pour les comptes avec des informations d’identification potentiellement divulguées.
- Passez en revue la liste des entités exposées pour découvrir les mots de passe de votre compte qui ont été divulgués.
- Effectuez les actions appropriées sur ces entités en supprimant le compte de service :
- Ouvrez la console Utilisateurs et ordinateurs Active Directory (ADUC) et connectez-vous avec un compte d’administrateur.
- Accédez à l’unité d’organisation (UO) où se trouve le compte d’utilisateur.
- Recherchez et sélectionnez le compte d’utilisateur qui a besoin d’une modification de mot de passe.
- Cliquez avec le bouton droit sur le compte d’utilisateur, sélectionnez Réinitialiser le mot de passe, entrez le nouveau mot de passe et confirmez-le.
Modifier le mot de passe du compte d’administrateur de domaine intégré
Description
Cette recommandation répertorie tous les comptes d’administrateur de domaine intégrés au sein de votre environnement dont le mot de passe a été défini pour la dernière fois il y a plus de 180 jours.
Impact sur les utilisateurs
Le compte d’administrateur de domaine intégré est un compte AD hautement privilégié par défaut avec un contrôle total sur le domaine. Il ne peut pas être supprimé, dispose d’un accès illimité et est essentiel pour la gestion des ressources du domaine.
La mise à jour régulière du mot de passe du compte Administrateur intégré est essentielle en raison de ses privilèges élevés, qui en font une cible privilégiée pour les attaquants. En cas de compromission, il peut accorder un contrôle non autorisé sur le domaine. Étant donné que ce compte est souvent inutilisé et que son mot de passe peut ne pas être mis à jour fréquemment, des modifications régulières réduisent l’exposition et renforcent la sécurité.
Mise en œuvre
Passez en revue la liste des entités exposées pour découvrir lequel de vos comptes d’administrateur de domaine intégrés a un ancien mot de passe.
Prenez les mesures appropriées sur ces comptes en réinitialisant leur mot de passe.
Par exemple :
Entités dormantes dans des groupes sensibles
Description
Microsoft Defender pour Identity détecte si des utilisateurs particuliers sont sensibles et fournissent des attributs qui apparaissent s’ils sont inactifs, désactivés ou arrivés à expiration.
Toutefois, les comptes sensibles peuvent également devenir inactifs s’ils ne sont pas utilisés pendant une période de 180 jours. Les entités sensibles dormantes sont des cibles qui permettent aux acteurs malveillants d’obtenir un accès sensible à vos organization.
Pour plus d’informations, consultez Balises d’entité Defender pour Identity dans Microsoft Defender XDR.
Impact sur les utilisateurs
Les organisations qui ne parviennent pas à sécuriser leurs comptes d’utilisateur dormants laissent la porte ouverte à leurs données sensibles en toute sécurité.
Les acteurs malveillants, tout comme les voleurs, cherchent souvent le moyen le plus simple et le plus silencieux dans n’importe quel environnement. Un chemin simple et silencieux dans votre organization consiste à passer par des comptes d’utilisateur et de service sensibles qui ne sont plus utilisés.
Peu importe si la cause est la rotation des employés ou une mauvaise gestion des ressources. Si vous ignorez cette étape, les entités les plus sensibles de votre organization sont vulnérables et exposées.
Mise en œuvre
Passez en revue l’action recommandée à l’adresse https://security.microsoft.com/securescore?viewid=actions pour découvrir quels comptes sensibles sont dormants.
Prenez les mesures appropriées sur ces comptes d’utilisateur en supprimant leurs droits d’accès privilégié ou en supprimant le compte.
Supprimer des comptes non administrateurs avec des autorisations DCSync
Description
Les comptes disposant de l’autorisation DCSync peuvent lancer la réplication de domaine. Les attaquants peuvent potentiellement exploiter la réplication de domaine pour obtenir un accès non autorisé, manipuler des données de domaine ou compromettre l’intégrité et la disponibilité de votre environnement Active Directory.
Il est essentiel de gérer et de restreindre soigneusement l’appartenance à ce groupe pour garantir la sécurité et l’intégrité de votre processus de réplication de domaine.
Mise en œuvre
Passez en revue l’action recommandée dans https://security.microsoft.com/securescore?viewid=actionspour Supprimer les comptes non-administrateurs avec des autorisations DCSync.
Passez en revue cette liste d’entités exposées pour découvrir lequel de vos comptes dispose d’autorisations DCSync et qui sont également des administrateurs non de domaine.
Prenez les mesures appropriées sur ces entités en supprimant leurs droits d’accès privilégié.
Pour obtenir le score maximal, corrigez toutes les entités exposées.
Vous pouvez accéder à Utilisateurs et ordinateurs Active Directory en vous connectant à votre contrôleur de domaine. Pour supprimer les autorisations DCSync d’un compte non administrateur :
Ouvrez Utilisateurs et ordinateurs Active Directory.
Activez fonctionnalités avancées. Cela est nécessaire pour afficher l’onglet Sécurité sur les objets de domaine.
Ouvrez Propriétés du domaine, sélectionnez votre nom de domaine (par exemple, contoso.local), puis sélectionnez Propriétés.
Sélectionnez l’onglet Sécurité.
Sélectionnez l’utilisateur ou le groupe cible, puis sélectionnez l’utilisateur ou le compte de service non administrateur qui ne doit pas disposer de ces autorisations.
Désactivez la case à cocher Autorisations de réplication. Faites défiler la liste « Autorisations pour [Utilisateur] » décochez les autorisations suivantes si elles sont sélectionnées :
- Réplication des modifications de répertoire
- La réplication du répertoire change tout
Sélectionnez Apply (Appliquer), puis OK.
Vérifier que les comptes privilégiés ne sont pas délégués
Description
Cette recommandation répertorie tous les comptes privilégiés qui n’ont pas le paramètre « non délégué » activé, en mettant en évidence ceux qui sont potentiellement exposés aux risques liés à la délégation. Les comptes privilégiés sont des comptes qui sont membres d’un groupe privilégié, comme les administrateurs de domaine, les administrateurs de schéma, etc.
Impact sur les utilisateurs
Si l’indicateur sensible est désactivé, les attaquants peuvent exploiter la délégation Kerberos pour abuser des informations d’identification de compte privilégié, ce qui entraîne un accès non autorisé, un mouvement latéral et d’éventuelles violations de la sécurité à l’échelle du réseau. La définition de l’indicateur sensible sur les comptes d’utilisateur privilégiés empêche les utilisateurs d’accéder au compte et de manipuler les paramètres système.
Pour les comptes d’appareil, il est important de les définir sur « non délégués » pour empêcher leur utilisation dans un scénario de délégation, ce qui garantit que les informations d’identification sur cet ordinateur ne peuvent pas être transférées pour accéder à d’autres services.
Mise en œuvre
Passez en revue la liste des entités exposées pour découvrir lequel de vos comptes privilégiés n’a pas l’indicateur de configuration « ce compte est sensible et ne peut pas être délégué ».
Prenez les mesures appropriées sur ces comptes :
Pour les comptes d’utilisateur : en définissant les indicateurs de contrôle du compte sur « ce compte est sensible et ne peut pas être délégué ». Sous l’onglet Compte, sélectionnez la zone case activée de cet indicateur dans la section Options du compte. Cela empêche les utilisateurs d’accéder au compte et de manipuler les paramètres système.
Pour les comptes d’appareil :
L’approche la plus sûre consiste à utiliser un script PowerShell pour configurer l’appareil afin d’empêcher son utilisation dans n’importe quel scénario de délégation, ce qui garantit que les informations d’identification sur cet ordinateur ne peuvent pas être transférées pour accéder à d’autres services.$name = "ComputerA" Get-ADComputer -Identity $name | Set-ADAccountControl -AccountNotDelegated:$trueUne autre option consiste à définir l’attribut
UserAccountControlNOT_DELEGATED = 0x100000sur sous l’onglet Éditeur d’attributs pour l’appareil exposé.Par exemple :
Entités exposant les informations d’identification en texte clair
Description
Cette évaluation de la sécurité surveille votre trafic pour toutes les entités qui exposent des informations d’identification en texte clair et vous avertit des risques d’exposition actuels (entités les plus impactées) dans votre organization avec une correction suggérée.
Impact sur les utilisateurs
Les entités qui exposent des informations d’identification en texte clair sont risquées non seulement pour l’entité exposée en question, mais aussi pour l’ensemble de votre organization.
Le risque accru est dû au fait que le trafic non sécurisé, tel que la liaison simple LDAP, est très susceptible d’être intercepté par des attaques d’attaquant dans le milieu. Ces types d’attaques entraînent des activités malveillantes, y compris l’exposition des informations d’identification, dans lesquelles un attaquant peut tirer parti des informations d’identification à des fins malveillantes.
Mise en œuvre
Passez en revue l’action recommandée à l’adresse https://security.microsoft.com/securescore?viewid=actions.
Recherchez pourquoi ces entités utilisent LDAP en texte clair.
Corrigez les problèmes et arrêtez l’exposition.
Après avoir confirmé la correction, nous vous recommandons d’exiger la signature LDAP au niveau du contrôleur de domaine. Pour en savoir plus sur la signature de serveur LDAP, consultez Configuration requise pour la signature du serveur LDAP du contrôleur de domaine.
Remarque
Cette évaluation est mise à jour en quasi-temps réel. Les rapports affichent les entités affectées des 30 derniers jours. Après ce délai, les entités qui ne sont plus affectées sont supprimées de la liste des entités exposées.
Utilisation de Microsoft LAPS
Description
La « solution de mot de passe d’administrateur local » (LAPS) de Microsoft assure la gestion des mots de passe de compte d’administrateur local pour les ordinateurs joints à un domaine. Les mots de passe sont aléatoires et stockés dans Active Directory (AD), protégés par des listes de contrôle d’accès, de sorte que seuls les utilisateurs éligibles peuvent les lire ou demander sa réinitialisation.
Cette évaluation de la sécurité prend en charge microsoft LAPS et Windows LAPS hérités.
Impact sur les utilisateurs
LAPS fournit une solution au problème d’utilisation d’un compte local commun avec un mot de passe identique sur chaque ordinateur d’un domaine. LAPS résout ce problème en définissant un mot de passe aléatoire différent et pivoté pour le compte d’administrateur local commun sur chaque ordinateur du domaine.
LAPS simplifie la gestion des mots de passe tout en aidant les clients à implémenter des défenses plus recommandées contre les cyberattaques. En particulier, la solution atténue le risque d’escalade latérale qui se produit lorsque les clients utilisent la même combinaison de compte local d’administration et de mot de passe sur leurs ordinateurs. LAPS stocke le mot de passe du compte d’administrateur local de chaque ordinateur dans AD, sécurisé dans un attribut confidentiel dans l’objet AD correspondant de l’ordinateur. L’ordinateur peut mettre à jour ses propres données de mot de passe dans AD, et les administrateurs de domaine peuvent accorder l’accès en lecture aux utilisateurs ou groupes autorisés, tels que les administrateurs du support technique de station de travail.
Remarque
Dans certains cas, Microsoft Entra machines jointes hybrides peuvent toujours apparaître dans l’évaluation de la posture de sécurité, même si LAPS est configuré dans Microsoft Entra ID. Cela peut être dû à la façon dont la stratégie est appliquée ou à la façon dont l’appareil signale son état. Si cela se produit, nous vous suggérons d’examiner la configuration LAPS dans Microsoft Entra ID pour vérifier que tout est configuré comme prévu. Vous trouverez plus d’informations ici.
Mise en œuvre
Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir quels domaines ont certains (ou tous) appareils Windows compatibles qui ne sont pas protégés par LAPS ou dont le mot de passe managé LAPS n’a pas été modifié au cours des 60 derniers jours.
Pour les domaines partiellement protégés, sélectionnez la ligne appropriée pour afficher la liste des appareils non protégés par LAPS dans ce domaine.
Prenez les mesures appropriées sur ces appareils en téléchargeant, en installant et en configurant ou en dépannant Microsoft LAPS ou Windows LAPS.
Supprimer les mots de passe détectables dans les attributs de compte Active Directory (préversion)
Description
Certains attributs de texte libre sont souvent négligés pendant le renforcement, mais sont lisibles par tout utilisateur authentifié dans le domaine. Lorsque des informations d’identification ou des indices sont stockés par erreur dans ces attributs, les attaquants peuvent en abuser pour se déplacer latéralement dans l’environnement ou faire remonter des privilèges.
Les attaquants recherchent des chemins à faible friction pour étendre l’accès. Les mots de passe exposés dans ces attributs représentent une victoire facile pour les raisons suivantes :
Les attributs ne sont pas limités à l’accès.
Ils ne sont pas surveillés par défaut.
Ils fournissent des attaquants de contexte pouvant exploiter le mouvement latéral et l’escalade des privilèges.
La suppression des informations d’identification exposées de ces attributs réduit le risque de compromission de l’identité et renforce la posture de sécurité de votre organization.
Remarque
Les résultats peuvent inclure des faux positifs. Validez toujours les résultats avant d’entreprendre une action.
Microsoft Defender pour Identity détecte l’exposition potentielle des informations d’identification dans Active Directory en analysant les attributs de texte libre couramment utilisés. Cela inclut la recherche de formats de mot de passe courants, d’indicateurs, 'description''info'de , et 'adminComment' de champs, ainsi que d’autres indices contextuels susceptibles de suggérer la présence d’une mauvaise utilisation des informations d’identification.
Cette recommandation utilise l’analyse basée sur GenAI des attributs Active Directory pour détecter :
Mots de passe en texte clair ou variantes. Par exemple, '
Password=Summer2025!'Modèles d’informations d’identification, indicateurs de réinitialisation ou informations de compte sensibles.
Autres indicateurs suggérant une mauvaise utilisation opérationnelle des champs d’annuaire.
Les correspondances détectées sont exposées dans le degré de sécurité et le rapport d’évaluation de la sécurité à des fins de révision et de correction.
Mise en œuvre
Pour répondre à cette évaluation de la sécurité, procédez comme suit :
Passez en revue l’action recommandée dans https://security.microsoft.com/securescore?viewid=actions Supprimer les mots de passe détectables dans les attributs de compte Active Directory.
Passez en revue les entrées exposées dans le rapport de sécurité. Identifiez tout contenu de champ qui inclut :
Effacer les mots de passe
Réinitialiser les instructions ou les indices d’informations d’identification
Informations sensibles sur l’entreprise ou le système
Supprimez les informations sensibles des champs d’attribut répertoriés à l’aide des outils de gestion d’annuaire standard (par exemple, PowerShell ou ADSI Edit).
Supprimez complètement les informations sensibles. Ne masquez pas simplement la valeur. L’obfuscation partielle (par exemple, P@ssw***) peut toujours offrir des indices utiles aux attaquants.
Supprimer les comptes de service obsolètes (préversion)
Description
Cette recommandation répertorie les comptes de service Active Directory détectés comme obsolètes au cours des 90 derniers jours.
Impact sur les utilisateurs
Les comptes de service inutilisés créent des risques de sécurité importants, car certains d’entre eux peuvent avoir des privilèges élevés. Si des attaquants y accèdent, le résultat peut entraîner des dommages importants. Les comptes de service obsolètes peuvent conserver des autorisations élevées ou héritées. Lorsqu’ils sont compromis, ils fournissent aux attaquants des points d’entrée discrets dans les systèmes critiques, accordant un accès beaucoup plus important qu’un compte d’utilisateur standard.
Cette exposition crée plusieurs risques :
Accès non autorisé aux applications et données sensibles.
Mouvement latéral sur le réseau sans détection.
Mise en œuvre
Pour utiliser efficacement cette évaluation de la sécurité, procédez comme suit :
Passez en revue l’action recommandée dans https://security.microsoft.com/securescore?viewid=actions pour Supprimer le compte de service obsolète.
Passez en revue la liste des entités exposées pour découvrir quels comptes de service sont obsolètes et n’ont effectué aucune activité de connexion au cours des 90 derniers jours.
Effectuez les actions appropriées sur ces entités en supprimant le compte de service. Par exemple :
Désactivez le compte : Empêchez toute utilisation en désactivant le compte identifié comme exposé.
Surveiller l’impact : Attendez plusieurs semaines et surveillez les problèmes opérationnels, tels que les interruptions de service ou les erreurs.
Supprimez le compte : Si aucun problème n’est observé, supprimez le compte et supprimez entièrement son accès.
Chemins de mouvement latéral les plus risqués (LMP)
Description
Microsoft Defender pour Identity surveille en permanence votre environnement pour identifier les comptes sensibles avec les chemins de mouvement latéral les plus risqués qui exposent un risque de sécurité, et crée des rapports sur ces comptes pour vous aider à gérer votre environnement. Les chemins d’accès sont considérés comme risqués s’ils ont au moins trois comptes non sensibles qui peuvent exposer le compte sensible au vol d’informations d’identification par des acteurs malveillants.
Pour plus d’informations sur les chemins de mouvement latéral, consultez :
- Comprendre et examiner les chemins de mouvement latéral (LPM) avec Microsoft Defender pour Identity
- MITRE ATT&mouvement latéral CK
Impact sur les utilisateurs
Les organisations qui ne parviennent pas à sécuriser leurs comptes sensibles laissent la porte déverrouillée pour les acteurs malveillants.
Les acteurs malveillants, tout comme les voleurs, cherchent souvent le moyen le plus simple et le plus silencieux dans n’importe quel environnement. Les comptes sensibles avec des chemins de mouvement latéral à risque sont des fenêtres d’opportunités pour les attaquants et peuvent exposer des risques.
Par exemple, les chemins les plus risqués sont plus facilement visibles par les attaquants et, s’ils sont compromis, peuvent donner à un attaquant l’accès aux entités les plus sensibles de votre organization.
Mise en œuvre
Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir lequel de vos comptes sensibles a des LPM à risque.
Prenez les mesures appropriées :
- Supprimez l’entité du groupe comme spécifié dans la recommandation.
- Supprimez les autorisations d’administrateur local pour l’entité de l’appareil spécifié dans la recommandation.
Délégation Kerberos non sécurisée
Description
La délégation Kerberos est un paramètre de délégation qui permet aux applications de demander des informations d’identification d’accès à l’utilisateur final pour accéder aux ressources pour le compte de l’utilisateur d’origine.
Impact sur les utilisateurs
La délégation Kerberos non sécurisée permet à une entité d’emprunter l’identité de n’importe quel autre service choisi. Par exemple, imaginez que vous disposez d’un site web IIS et que le compte du pool d’applications est configuré avec une délégation sans contrainte. L’authentification Windows est également activée sur le site web IIS, ce qui autorise l’authentification Kerberos native, et le site utilise une SQL Server principale pour les données d’entreprise. Avec votre compte Domain Administration, vous accédez au site web IIS et vous vous authentifiez auprès de celui-ci. Le site web, qui utilise une délégation sans contrainte, peut obtenir un ticket de service d’un contrôleur de domaine vers le service SQL et le faire en votre nom.
Le principal problème avec la délégation Kerberos est que vous devez faire confiance à l’application pour toujours faire la bonne chose. Les acteurs malveillants peuvent à la place forcer l’application à faire la mauvaise chose. Si vous êtes connecté en tant qu’administrateur de domaine, le site peut créer un ticket pour les autres services qu’il souhaite, agissant en tant qu’administrateur de domaine. Par exemple, le site peut choisir un contrôleur de domaine et apporter des modifications au groupe d’administrateurs d’entreprise . De même, le site pourrait acquérir le hachage du compte KRBTGT ou télécharger un fichier intéressant à partir de votre service des ressources humaines. Le risque est clair et les possibilités de délégation non sécurisée sont presque infinies.
Voici une description du risque posé par les différents types de délégation :
- Délégation sans contrainte : tout service peut être utilisé de manière abusive si l’une de ses entrées de délégation est sensible.
- Délégation contrainte : les entités contraintes peuvent être abusées si l’une de leurs entrées de délégation est sensible.
- Délégation contrainte basée sur les ressources (RBCD) : les entités contraintes basées sur les ressources peuvent être abusées si l’entité elle-même est sensible.
Mise en œuvre
Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir quelles entités non-contrôleur de domaine sont configurées pour la délégation Kerberos non sécurisée.
Prenez les mesures appropriées sur ces utilisateurs à risque, par exemple en supprimant leur attribut sans contrainte ou en le remplaçant par une délégation contrainte plus sécurisée.
Utilisez la correction appropriée à votre type de délégation.
Désactivez la délégation ou utilisez l’un des types de délégation Kerberos contrainte (KCD) suivants :
Délégation sans contrainte
Sélectionnez N’approuver cet ordinateur que pour la délégation aux services spécifiés.
Spécifiez les services auxquels ce compte peut présenter des informations d’identification déléguées.
Délégation contrainte
Limite les services que ce compte peut emprunter l’identité.
Passez en revue les utilisateurs sensibles répertoriés dans les recommandations et supprimez-les des services auxquels le compte affecté peut présenter des informations d’identification déléguées.
Délégation contrainte basée sur les ressources (RBCD)
La délégation contrainte basée sur les ressources limite les entités qui peuvent emprunter l’identité de ce compte. Le KCD basé sur les ressources est configuré à l’aide de PowerShell.
Vous pouvez utiliser les applets de commande Set-ADComputer ou Set-ADUser , selon que le compte d’emprunt d’identité est un compte d’ordinateur ou un compte d’utilisateur/service.
Passez en revue les utilisateurs sensibles répertoriés dans les recommandations et supprimez-les de la ressource. Pour plus d’informations sur la configuration de RBCD, consultez Configurer la délégation Kerberos contrainte (KCD) dans Microsoft Entra Domain Services.
Attributs d’historique SID non sécurisés
Description
L’historique des SID est un attribut qui prend en charge les scénarios de migration. Chaque compte d’utilisateur a un identificateur de sécurité (SID) associé qui est utilisé pour suivre le principal de sécurité et l’accès dont dispose le compte lors de la connexion aux ressources. L’historique des SID permet de cloner efficacement l’accès d’un autre compte et est utile pour garantir que les utilisateurs conservent l’accès lorsqu’ils sont déplacés (migrés) d’un domaine vers un autre.
L’évaluation vérifie les comptes avec des attributs d’historique sid qui Microsoft Defender pour Identity les profils à risque.
Impact sur les utilisateurs
Les organisations qui ne parviennent pas à sécuriser les attributs de leur compte laissent la porte ouverte pour les acteurs malveillants.
Les acteurs malveillants, tout comme les voleurs, cherchent souvent le moyen le plus simple et le plus silencieux dans n’importe quel environnement. Les comptes configurés avec un attribut d’historique SID non sécurisé sont des fenêtres d’opportunités pour les attaquants et peuvent exposer des risques.
Par exemple, un compte non sensible dans un domaine peut contenir le SID Enterprise Administration dans son historique SID à partir d’un autre domaine de la forêt Active Directory, ce qui « élève » l’accès du compte d’utilisateur à un domaine effectif Administration dans tous les domaines de la forêt. Si vous avez une approbation de forêt sans filtrage SID activé (également appelé quarantaine), il est possible d’injecter un SID à partir d’une autre forêt et il sera ajouté au jeton utilisateur une fois authentifié et utilisé pour les évaluations d’accès.
Mise en œuvre
Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir lequel de vos comptes a un attribut d’historique SID non sécurisé.
Effectuez les actions appropriées pour supprimer l’attribut d’historique SID des comptes à l’aide de PowerShell en procédant comme suit :
Identifiez le SID dans l’attribut SIDHistory sur le compte.
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistorySupprimez l’attribut SIDHistory à l’aide du SID identifié précédemment.
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
Attributs de compte non sécurisés
Description
Microsoft Defender pour Identity surveille en permanence votre environnement pour identifier les comptes avec des valeurs d’attribut qui exposent un risque de sécurité, et crée des rapports sur ces comptes pour vous aider à protéger votre environnement.
Impact sur les utilisateurs
Les organisations qui ne parviennent pas à sécuriser les attributs de leur compte laissent la porte ouverte pour les acteurs malveillants.
Les acteurs malveillants, tout comme les voleurs, cherchent souvent le moyen le plus simple et le plus silencieux dans n’importe quel environnement. Les comptes configurés avec des attributs non sécurisés sont des fenêtres d’opportunité pour les attaquants et peuvent exposer des risques.
Par exemple, si l’attribut PasswordNotRequired est activé, un attaquant peut facilement accéder au compte. Cela est particulièrement risqué si le compte dispose d’un accès privilégié à d’autres ressources.
Mise en œuvre
Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir lequel de vos comptes a des attributs non sécurisés.
Prenez les mesures appropriées sur ces comptes d’utilisateur en modifiant ou en supprimant les attributs appropriés.
Utilisez la correction appropriée à l’attribut approprié, comme décrit dans le tableau suivant :
| Action recommandée | Assainissement | Reason |
|---|---|---|
| Supprimer Ne nécessite pas la pré-authentification Kerberos | Supprimer ce paramètre des propriétés de compte dans Active Directory (AD) | La suppression de ce paramètre nécessite une pré-authentification Kerberos pour le compte, ce qui améliore la sécurité. |
| Supprimer le mot de passe du Magasin à l’aide du chiffrement réversible | Supprimer ce paramètre des propriétés de compte dans AD | La suppression de ce paramètre empêche le déchiffrement facile du mot de passe du compte. |
| Supprimer le mot de passe non requis | Supprimer ce paramètre des propriétés de compte dans AD | La suppression de ce paramètre nécessite l’utilisation d’un mot de passe avec le compte et empêche l’accès non autorisé aux ressources. |
| Supprimer le mot de passe stocké avec un chiffrement faible | Réinitialiser le mot de passe du compte | La modification du mot de passe du compte permet d’utiliser des algorithmes de chiffrement plus forts pour sa protection. |
| Activer la prise en charge du chiffrement AES Kerberos | Activer les fonctionnalités AES sur les propriétés du compte dans AD | L’activation de AES128_CTS_HMAC_SHA1_96 ou de AES256_CTS_HMAC_SHA1_96 sur le compte permet d’empêcher l’utilisation de chiffrements plus faibles pour l’authentification Kerberos. |
| Supprimer Utiliser les types de chiffrement DES Kerberos pour ce compte | Supprimer ce paramètre des propriétés de compte dans AD | La suppression de ce paramètre permet d’utiliser des algorithmes de chiffrement plus forts pour le mot de passe du compte. |
| Supprimer un nom de principal de service (SPN) | Supprimer ce paramètre des propriétés de compte dans AD | Lorsqu’un compte d’utilisateur est configuré avec un spN défini, cela signifie que le compte a été associé à un ou plusieurs noms de principal du service. Cela se produit généralement lorsqu’un service est installé ou inscrit pour s’exécuter sous un compte d’utilisateur spécifique, et que le SPN est créé pour identifier de manière unique l’espace de travail de service pour l’authentification Kerberos. Cette recommandation s’affichait uniquement pour les comptes sensibles. |
| Réinitialiser le mot de passe en tant que carte à puce Le paramètre obligatoire a été supprimé | Réinitialiser le mot de passe du compte | La modification du mot de passe du compte après la suppression de l’indicateur de contrôle d’utilisateur obligatoire de carte à puce garantit qu’il a été défini dans les stratégies de sécurité actuelles. Cela permet d’éviter l’exposition potentielle des mots de passe créés lorsque l’application de la carte à puce était toujours active. |
Utilisez l’indicateur UserAccountControl (UAC) pour manipuler les profils de compte d’utilisateur. Pour plus d’informations, reportez-vous aux rubriques suivantes :