ANSSI
Nous allons traiter les règles de l’ANSSI pour obtenir un Active Directory protégé au niveau trois
Configuration ADSI
Pour réaliser les différentes protections demandées nous devons configuré l’éditeur ADSI.
Pour cela, rendez-vous dans le gestionnaire de serveur.
Appuyer sur “Outils” (1)
Sélectionner “Modification ADSI” (2)
Appuyer sur “Action” (1)
Puis “Connexion” (2)
Par defaut cela choisi “Contexte d’attribution de noms par défaut”, nous allons le laisser dans un premier temps.
Appuyer sur “OK”
Nous allons maintenant rajouter d’autres partitions.
Re-appuyer sur “Action” (1)
Puis “Connexion” (2)
Sélectionner “Configuration” (1)
Appuyer sur “OK” (2)
Re-appuyer sur “Action” (1)
Puis “Connexion” (2)
Sélectionner “Schéma” (1)
Appuyer sur “OK” (2)
Règles de l’ANSSI
1-2 Chemins de contrôle dangereux vers la racine des naming contexts
Nous allons remettre par défaut les permissions d’accès au naming context.
Dans l’outil “Modification ADSI” (1)
Aller dans “Contexte d’attribution de noms par défaut” (2)
Faire un clique droit sur “DC=EPITAF,DC=local” (3)
Sélectionner “Propriétés” (4)
Aller dans l’onglet “Sécurité” (1)
Appuyer sur “Avancé” (2)
Appuyer sur “Paramètres par défaut” (1)
Appuyer sur “OK” (2)
1-2 Permissions dangereuses sur l’objet adminSDHolder
Nous allons remettre par défaut les permissions d’accès a l’objet adminSDHolder.
Aller dans “Contexte d’attribution de noms par défaut” > “DC=EPITAF,DC=local” > “CN=System” (1,2)
Faire un clique droit sur “AdminSDHolder” (1)
Sélectionner “Propriétés” (2)
Aller dans l’onglet “Sécurité” (1)
Appuyer sur “Avancé” (2)
Appuyer sur “Paramètres par défaut” (1)
Appuyer sur “OK” (2)
Appuyer sur “OK”
1-2 Chemins de contrôle dangereux vers les contrôleurs de domaine
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” (1)
Aller dans “Users” (2)
Cliquer sur “Admins du domaine” (3)
Aller dans l’onglet “Membres” (4)
Nous pouvons voir que seules et tous les comptes et ordinateurs privilégiés sont membres de ce groupe (5)
1-2 Chemins de contrôle dangereux vers les clés DPAPI
Aller dans “Modification ADSI” > “Contexte d’attribution de noms par défaut” > “DC=EPITAF,DC=local” > “CN=System” (1,2) Nous pouvons voir les quatres clés DPAPI (3)
Faire un clique droit sur une des quatres clés (1)
Appuyer sur “Propriétés” (2)
Descender dans l’éditeur d’attributs (1)
Vous pouvez voir que le date “whenChanged” est égale à “whenCrated” (2), si vous avez donc suivit notre installation les clés n’ont pas été modifiées.
Vous pouvez répété l’étape avec les quatres clés, vous trouverez la même chose.
1-2 Chemins de contrôle dangereux vers les clés gMSA
Aller dans “Modification ADSI” > “Contexte d’attribution de noms par défaut” > “DC=EPITAF,DC=local” > “CN=Managed Service Accounts” (1,2) Faire un clique droit et appuyer sur “Propriétés” (3)
Descender dans l’éditeur d’attributs (1)
Vous pouvez voir que le date “whenChanged” est égale à “whenCrated” (2), si vous avez donc suivit notre installation les clés n’ont pas été modifiées.
Et normalement vous n’avez même pas de clés gMSA.
1-2 Chemins de contrôle dangereux vers les paramètres DFSR du SYSVOL
Aller dans “Modification ADSI” > “Contexte d’attribution de noms par défaut” > “DC=EPITAF,DC=local” > “CN=System” (1,2)
Faire un clique droit sur “CN=DFSR-GlobalSettings” (3)
Appuyer sur “Propriétés” (4)
Descender dans l’éditeur d’attributs (1)
Vous pouvez voir que le date “whenChanged” est égale à “whenCrated” (2), si vous avez donc suivit notre installation les paramètres DFSRdu SYSVOL n’ont pas été modifiées.
Nous n’avons pas activé le module DFSR.
1-2 Chemins de contrôle dangereux vers les objets du schéma
Les permissions des schémas ont été modifiés avec l’installation de LAPS. Les nouvelles permissions ajoutés ne sont pas dangereuses et n’appartienent que à l’ordinateur DC01.
1 Chemins de contrôle dangereux vers les serveurs MicrosoftDNS
Pour retirer la permissions d’ecriture au groupe DnsAdmins, aller dans “Modification ADSI” > “Contexte d’attribution de noms par défaut” > “DC=EPITAF,DC=local” > “CN=System” (1,2)
Faire un clique droit sur “CN=MicrosoftDNS” (3)
Appuyer sur “Propriétés” (4)
Aller dans l’onglet “Sécurité” (1)
Sélectionner “DnsAdmins (EPITAF\DnsAdmins) (2)
Décocher “Écrire” (3)
Appuyer sur “OK” (4)
1 Chemins de contrôle dangereux vers les GPO s’appliquant aux membres des groupes privilégiés
Aller dans “Modification ADSI” > “Contexte d’attribution de noms par défaut” > “DC=EPITAF,DC=local” > “CN=System” (1)
Faire un clique droit sur “CN=Policies” (2)
Appuyer sur “Propriétés” (3)
Aller dans l’onglet “Sécurité” (1)
Sélectionner les utilisateurs ou groupes dont vous voulez voir les permissions (2)
Vous pouvez voir les différents droits qui lui sont accordées (3)
Dans ce cas précis par exemple nous pouvons voir que les “Utilisateurs authentifiés” n’ont accès que à la lecture. Si vous avez suivit notre installation normalement toutes les permissions sont bien configurées.
1-2 Chemins de contrôle dangereux vers des membres de groupes privilégiés
Aller dans “Modification ADSI” > “Contexte d’attribution de noms par défaut” > “DC=EPITAF,DC=local” > “OU=Paris” > “OU=Administrateurs” > “OU=ComptesAdmins” (1,2)
Faire un clique droit sur “CN=MyAdmin” (3)
Appuyer sur “Propriétés” (4)
Aller dans l’onglet “Sécurité” (1)
Sélectionner les utilisateurs ou groupes dont vous voulez voir les permissions (2)
Vous pouvez voir les différents droits qui lui sont accordées (3)
Dans ce cas précis par exemple nous pouvons voir que les “Utilisateurs authentifiés” n’ont accès que à la lecture. Si vous avez suivit notre installation normalement toutes les permissions sont bien configurées.
1 Nombre important de membres des groupes privilégiés
Nous n’avons pas plus de 50 comptes privilégiés.
1 Contrôleurs de domaine incohérents
Aller dans “Modification ADSI” > “Contexte d’attribution de noms par défaut” > “DC=EPITAF,DC=local” > “OU=Domain Controllers” (1,2)
Faire un clique droit sur “CN=DC01” (3)
Appuyer sur “Propriétés” (4)
Descendez dans l’éditeur d’attributs jusqu’à “userAccountControl” (1)
vous pouvez voir qu’il contient bien “SERVER_TRUST_ACCOUNT” (2)
Aller dans “Modification ADSI” > “Configuration” > “CN=Configuration” > “CN=Sites” > “CN=Default-First-Site-Name” > “Cn=Servers” (1)
Faire un clique droit sur “CN=DC01” qui est bien de type server (2)
Appuyer sur “Propriétés” (3)
Vous pouvez voir dans “serverReference” les attributs demandés.
Au même endroit, appuyer sur “CN=DC01” (1)
Vous pouvez voir qu’il a bien un fils “CN=NTDS Settings” de type nTSDSA (2)
1 Délégation d’authentification contrainte vers un service d’un contrôleur de domaine
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” (1)
Aller dans “Domain Controllers” (2)
Faire un clique droit sur “DC01” (3)
Appuyer sur “Propriétés” (4)
Aller dans l’onglet “Délégation” (1)
Cocher “Ne pas approuver cet ordinateur pour la délégation” (2)
Appuyer sur “OK” (3)
1 Délégation d’authentification contrainte avec transition de protocole vers un service d’un contrôleur de domaine
La solution est présente au point d’avant.
1 Délégation contrainte basée sur les ressources, sur des contrôleurs de domaine
Aller dans un PowerShell et taper la commande :
Set-ADComputer DC01 -PrincipalsAllowedToDelegateToAccount $Null
1 Comptes privilégiés sans pré-authentification Kerberos
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” (1)
Aller dans “Paris” > “Administrateurs” > “ComptesAdmins” (2)
Cliquer sur “MyAdmin” (3)
Aller dans l’onglet “Compte” (4)
Descendez dans “Options de compte” (5)
Vous pouvez voir que “La pré-authentification Kerberos n’est pas nécéssaire” n’est pas coché (6)
Si jamais il est coché il faut le décoché mais si vous avez suivit notre instalaltion il ne doit pas l’être.
1 Comptes privilégiés avec SPN
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” (1)
Aller dans “Paris” > “Administrateurs” > “ComptesAdmins” (2)
Cliquer sur “MyAdmin” (3)
Aller dans l’onglet “Éditeurs d’attributs” (4)
Descendez dans “Attributs” (5)
Vous pouvez voir que “servicePrincipalName” n’est pas défini (6)
1 Comptes privilégiés dont le mot de passe n’expire jamais
Aller dans “EPITAF.local” > “Paris” > “Administrateur” > “ComptesAdmins” (1)
Appuyer sur “MyAdmin” (2)
Aller dans l’onglet “Compte” (3)
Dans “Options de compte” vous pouvez voir que “Le mot de passe n’expire jamais” n’est pas coché (4)
1 Comptes privilégiés dont le mot de passe est inchangé depuis plus de 3 ans
Aller dans l’outil “Gestion de stratégie de groupe”
Faire un clique droit sur “Objets de stratégie de groupe” (1)
Appuyer sur “Nouveau” (2)
Entrer “Admins password renewal - GPO” (1)
Appuyer sur “OK” (2)
Faire un clique droit sur “Admins password renewal - GPO” (1)
Appuyer sur “Modifier” (2)
Aller dans “Configuration ordinateur” > “Stratégies” > “Paramètres Windows” > “Paramètres de sécurité” > “Stratégie de comptes” > “Stratégie de mot de passe” (1,2,3,4,5,6)
Appuyer sur “Durée de vie maximale du mot de passe” (7)
Cocher “Définir ce paramètre de stragtégie” (1)
Metter “365” (2)
Appuyer sur “OK” (3)
Appuyer sur “OK” (1)
Faire un clique droit sur “Administrateurs” (1)
Appuyer sur “Lier un objet de stratégie de groupe existant” (2)
Sélectionner “Admins password renewal - GPO” (1)
Appuyer sur “OK” (2)
1 Contrôleurs de domaine dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 45 jours
Dans votre menu windows (1) rechercher “éditeur du registre” (2)
Appuyer sur l’application (3)
Entrer le chemin “Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters” (1)
On peut voir que “DisablePasswordChange” Ã la valeur 0 (2)
On peut voir que “MaximumPasswordAge” Ã la valeur 30 (3)
1 Contrôleurs de domaines inactifs
Nous n’avons pas de contrôleurs de domaine inactifs.
1 Chemins de contrôle dangereux vers les conteneurs de certificats
Aller dans “Modification ADSI” > “Configuration” > “CN=Configuration” > “CN=Services” (1,2,3)
Cliquer sur “CN=Public Key Services” (4)
Descender dans l’éditeur d’attributs, vous pouvez voir que le date “whenChanged” est égale à “whenCrated” (2), si vous avez donc suivit notre installation les permissions n’ont donc pas été modifiées.
12 Chemins de contrôle dangereux vers les modèles de certificats
Aller dans “Modification ADSI” > “Configuration” > “CN=Configuration” > “CN=Services” > “CN=Public Key Services” (1,2,3,4)
Cliquer sur “CN=Certificate Templates” (5)
Appuyer sur “Propriétés” (6)
Descender dans l’éditeur d’attributs, vous pouvez voir que le date “whenChanged” est égale à “whenCrated” (2), si vous avez donc suivit notre installation les permissions n’ont donc pas été modifiées.
1 Comptes avec un PrimaryGroupID inférieur à 1000
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” > “EPITAF.local” > “Paris” > “Utilisateurs” > “ComptesUtilisateurs” (1,2,3,4)
Cliquer sur “Hugo OGUH” (5)
Aller dans l’onglet “Éditeur d’attributs” (1) Vous pouvez voir que l’attribut “primaryGroupID” vaut 513 (donc < 1000)
Aller dans “OrdinateursUtilisateurs” (1)
Cliquer sur “PC01” (5)
Aller dans l’onglet “Éditeur d’attributs” (1) Vous pouvez voir que l’attribut “primaryGroupID” vaut 515 (donc < 1000)
Aller dans “Administrateurs” > “OrdinateursAdmins” (1,2)
Cliquer sur “ADM01” (3)
Aller dans l’onglet “Éditeur d’attributs” (1) Vous pouvez voir que l’attribut “primaryGroupID” vaut 515 (donc < 1000)
Aller dans “Domain Controllers” (1)
Cliquer sur “DC01” (2)
Aller dans l’onglet “Éditeur d’attributs” (1) Vous pouvez voir que l’attribut “primaryGroupID” vaut 516 (donc < 1000)
1-2-3 Certificats faibles ou vulnérables
Nous n’avons pas activé le module qui gère les certificats dans l’AD, nous n’avons donc pas de nouveaux certificats qui pourraient être dangereux pour l’AD.
1 Comptes membres du groupe DnsAdmins
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” > “EPITAF.local” > “Users” (1,2)
Cliquer sur “DnsAdmins” (3)
Dans l’onglet “Membres” (4)
On peut voir qu’il n’y a pas de membres (5)
1-3 Zones DNS mal configurées
Entrer la commande pour récuperer le nom des zones :
Get-DnsServerZone
Vous pouvez voir que la valeur est bien à deux avec:
dnscmd DC01 /ZoneInfo _msdcs.EPITAF.local AllowUpdate
dnscmd DC01 /ZoneInfo EPITAF AllowUpdate
dnscmd DC01 /ZoneInfo EPITAF.local AllowUpdate
1-2 Paramètres dSHeuristics dangereux
Aller dans “Modification ADSI” > “Configuration” > “CN=Configuration” > “CN=Services” > “CN=Windows NT” (1,2,3,4) Faire un clique droit sur “CN=Directory Service” (5) Appuyer sur “Propriétés” (6)
Descender dans l’éditeur d’attributs, vous pouvez voir que “dSHeuristics” (1) n’est pas défini.
Descender dans l’éditeur d’attributs, vous pouvez voir que le date “whenChanged” est égale à “whenCrated” (1), si vous avez donc suivit notre installation les permissions n’ont donc pas été modifiées.
1 Relations d’approbation sortante de type domaine non filtré
Nous n’avons qu’un seul domaine.
1 Relations d’approbation sortantes de type forêt avec sID History activé
Nous n’avons qu’une seule forêt.
1 Nombre important de comptes actifs inutilisés
Nous n’avons pas de comptes inactifs.
2 Comptes membres de groupes privilégiés avec une mauvaise politique de mot de passe
La condition de renouvellement à déjà été setup. Nous devons maintenant ajouter la politique de longueur d’un mot de passe.
Aller dans “Configuration ordinateur” > “Stratégies” > “Paramètres Windows” > “Paramètres de sécurité” > “Stratégie de comptes” > “Stratégie de mot de passe” Cliquer sur “Longueur minimale du mot de passe”
Cocher “Définir ce paramètre de stratégie” (1)
Metter “8” (2)
Appuyer sur “OK” (3)
2 Délégation d’authentification non contrainte
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” > “EPITAF.local” > “Paris” > “Administrateurs” > “OrdinateursAdmins” (1,2)
Cliquer sur “ADM01” (3)
Aller dans l’onglet “Délégation” (4)
“Ne pas approuver cet ordinateur pour la délégation” est déjà coché (5)
Vous pouvez faire la même chose avec “PC01” dans “OrdinateursUtilisateurs” vous verrez la même chose.
Aller dans “ComptesAdmins” (1)
Cliquer sur “MyAdmin” (2)
On peut voir que l’attribut “userAccountControl” contient “NOT_DELEGATED” (3)
Aller dans “ComptesUtilisateurs” (1)
Cliquer sur “Hugo OGUH” (2)
Aller dans l’onglet “Éditeur d’attributs” (4)
On peut voir que l’attribut “userAccountControl” ne contient pas “TRUSTED_FOR_DELEGATION” (3)
2 Comptes sans pré-authentification Kerberos
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” (1)
Aller dans “Paris” > “Utilisateurs” > “ComptesUtilisateurs” (2)
Cliquer sur “Hugo OGUH” (3)
Aller dans l’onglet “Compte” (4)
Descendez dans “Options de compte” (5)
Vous pouvez voir que “La pré-authentification Kerberos n’est pas nécéssaire” n’est pas coché (6)
2 Comptes utilisateurs avec un chiffrement Kerberos faible
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” (1)
Aller dans “Paris” > “Utilisateurs” > “ComptesUtilisateurs” (2)
Cliquer sur “Hugo OGUH” (3)
Aller dans l’onglet “Compte” (4)
Descendez dans “Options de compte” (5)
Vous pouvez voir que “Utiliser uniquement les tyupes de chiffrement DES via Kerberos pour ce compte” n’est pas coché (6)
Vous pouvez faire la même chose avec “MyAdmin” dans “Administrateurs” > “ComptesAdministrateurs” vous verrez la même chose.
2 Comptes dont le mot de passe n’expire jamais
Nous avons vu plutôt que les comptes privilégiés ne possédaient pas cette propriété. Nous allons maintenant le voir pour un compte utilisateurs.
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” > “Paris” > “Utilisateurs” > “ComptesUtilisateurs” (1,2,3,4)
Cliquer sur “Hugo OGUH” (5)
Aller dans l’onglet “Compte” (1)
Vous pouvez voir que “Le mot de passe n’expire jamais” n’est pas coché (6)
2 Serveurs dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 90 jours
Aller dans l’outil “éditeur du registre” (1)
Entrer le chemin “Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters” (2
On peut voir que “DisablePasswordChange” Ã la valeur 0 (3)
On peut voir que “MaximumPasswordAge” Ã la valeur 30 (4)
2 Utilisation de NTFRS pour la réplication du SYSVOL
Ni le module DFSR ni le module NTFSR n’est installé dans notre Active Directory
2 Mauvaises versions de l’Active Directory
Dans la recherche Windows chercher “propos” (1)
Cliquer sur “À propos de votre PC” (2)
Descender (1)
Vous pouvez voir que la version est “1809” donc supérieur à 1709.
2 Le groupe “Pre-Windows 2000 Compatible Access” contient “Anonymous”
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” > “Builtin” (1,2)
Cliquer sur “Accès compatible pré-Windows 2000” (3)
Aller dans l’onglet “Membres” (4)
Vous pouvez voir que il n’y a pas “Anonymous” (5)
2 Mot de passe du compte krbtgt inchangé depuis plus d’un an
Le compte “krbtgt” existe depuis moins d’un an.
2 Comptes ou groupes privilégiés présents dans les attributs de révélation des RODC
Nous n’avons pas de contrôleurs de domaine en lecture seule.
2 Comptes ou groupes ayant un historique de SID d’apparence non conforme
Si vous avez suivit notre installation, tous les SIDHistory sont conformes. Pour les voir voici différentes commandes :
$Array=@()
Get-ADUser -Filter * -properties sIDHistory | foreach {
$Name = $_.Name
$sIDHistory = $_.sIDHistory
$Array += New-Object psobject -Property @{
Name=$Name
sIDHistory=$sIDHistory}
}
$Array
$Array=@()
Get-ADGroup -Filter * -properties sIDHistory | foreach {
$Name = $_.Name
$sIDHistory = $_.sIDHistory
$Array += New-Object psobject -Property @{
Name=$Name
sIDHistory=$sIDHistory}
}
$Array
2 Comptes de trust dont le mot de passe est inchangé depuis plus d’un an
Nous n’avons pas de comptes de plus d’un an.
3 Serveurs dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 45 jours
Aller dans l’outil “éditeur du registre” (1)
Entrer le chemin “Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters” (2
On peut voir que “DisablePasswordChange” Ã la valeur 0 (3)
On peut voir que “MaximumPasswordAge” Ã la valeur 30 (4)
3 Serveurs inactifs
Nous n’avons qu’un seul serveur et il est actif.
3 Comptes avec un PrimaryGroupID modifié
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” > “EPITAF.local” > “Paris” > “Utilisateurs” > “ComptesUtilisateurs” (1,2,3,4)
Cliquer sur “Hugo OGUH” (5)
Aller dans l’onglet “Éditeur d’attributs” (1) Vous pouvez voir que l’attribut “primaryGroupID” vaut 513 (donc < 1000)
Aller dans “OrdinateursUtilisateurs” (1)
Cliquer sur “PC01” (5)
Aller dans l’onglet “Éditeur d’attributs” (1) Vous pouvez voir que l’attribut “primaryGroupID” vaut 515 (donc < 1000)
Aller dans “Administrateurs” > “OrdinateursAdmins” (1,2)
Cliquer sur “ADM01” (3)
Aller dans l’onglet “Éditeur d’attributs” (1)
Vous pouvez voir que l’attribut “primaryGroupID” vaut 515 (donc < 1000)
Aller dans “Domain Controllers” (1)
Cliquer sur “DC01” (2)
Aller dans l’onglet “Éditeur d’attributs” (1)
Vous pouvez voir que l’attribut “primaryGroupID” vaut 516 (donc < 1000)
3 Comptes ou groupes membres de “Pre-Windows 2000 Compatible Access”
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” > “Builtin” (1,2)
Cliquer sur “Accès compatible pré-Windows 2000” (3)
Aller dans l’onglet “Membres” (4)
Vous pouvez voir que il y a que “Utilisateurs authentifiés” (5)
3 Objets ayant un propriétaire inadapté
Si vous avez suivit notre installation, tous les propriétaires sont conformes.
Pour les voir voici différentes commandes :
$Array=@()
Get-ADGroup -Filter * -properties ntsecuritydecriptor | foreach {
$Name = $_.Name
$Owner = $_.ntsecuritydecriptor.owner
$Array += New-Object psobject -Property @{
Name=$Name
Owner=$Owner}
}
$Array
$Array=@()
Get-ADUser -Filter * -properties ntsecuritydecriptor | foreach {
$Name = $_.Name
$Owner = $_.ntsecuritydecriptor.owner
$Array += New-Object psobject -Property @{
Name=$Name
Owner=$Owner}
}
$Array
$Array=@()
Get-ADComputer -Filter * -properties ntsecuritydecriptor | foreach {
$Name = $_.Name
$Owner = $_.ntsecuritydecriptor.owner
$Array += New-Object psobject -Property @{
Name=$Name
Owner=$Owner}
}
$Array
$Array=@()
Get-ADorganizationalUnit -Filter * -properties ntsecuritydecriptor | foreach {
$Name = $_.Name
$Owner = $_.ntsecuritydecriptor.owner
$Array += New-Object psobject -Property @{
Name=$Name
Owner=$Owner}
}
$Array
Get-GPO -All | Select DisplayName, Owner
3 Comptes privilégiés non membres du groupe Protected Users
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” > “EPITAF.local” > “Paris” > “Administrateurs” > “ComptesAdmins” (1,2,3,4)
Cliquer sur “MyAdmin” (4)
Aller dans l’onglet “Membre de” (1)
Cliquer sur “Ajouter” (2)
Entrer “Protected Users” (1) en cliquant sur “Vérifier les noms” cela devrait vous le souligner.
Appuyer sur “OK” (2)
Vous pouvez voir l’ajout (1)
Appuyer sur “OK” (2)
3 Comptes ayant leur mot de passe stocké de manière réversible
Aller dans “EPITAF.local” > “Paris” > “Utilisateurs” > “ComptesUtilisateurs” (1,2,3,4) Appuyer sur “Hugo OGUH” (5)
Aller dans l’onglet “Compte” (1) Dans “Options de compte” vous pouvez voir que “Enregistrer le mot de passe en utilisant un chiffrement réversible” n’est pas coché (2)
3 Configuration dangereuse des contrôleurs de domaine en lecture seule (RODC) (neverReveal)
Nous n’avons pas de contrôleurs de domaine en lecture seule.
3 Comptes ou groupes privilégiés présents dans les attributs de révélation des RODC
Nous n’avons pas de contrôleurs de domaine en lecture seule.
3 Configuration dangereuse des groupes de réplication pour les contrôleurs de domaine en lecture seule (RODC) (allow)
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” (1)
Aller dans “Users” (2)
Cliquer sur “Groupe de réplication de mot de passe RODC autorisée” (3)
Aller dans l’onglet “Membres” (4)
On peut voir qu’il n’y a déjà pas de membres (5)
3 Configuration dangereuse des groupes de réplication pour les contrôleurs de domaine en lecture seule (RODC) (denied)
Aller dans l’outil “Utilisateurs et ordinateurs Active Directory” (1)
Aller dans “Users” (2)
Cliquer sur “Groupe de réplication de mot de passe RODC refusée” (3)
Aller dans l’onglet “Membres” (4)
On peut voir qu’il y bien les membres requis (5)
3 Comptes ou groupes ayant un historique de SID
Si vous avez suivit notre installation, tous les SIDHistory sont vides. Pour les voir voici différentes commandes :
$Array=@()
Get-ADUser -Filter * -properties sIDHistory | foreach {
$Name = $_.Name
$sIDHistory = $_.sIDHistory
$Array += New-Object psobject -Property @{
Name=$Name
sIDHistory=$sIDHistory}
}
$Array
$Array=@()
Get-ADGroup -Filter * -properties sIDHistory | foreach {
$Name = $_.Name
$sIDHistory = $_.sIDHistory
$Array += New-Object psobject -Property @{
Name=$Name
sIDHistory=$sIDHistory}
}
$Array
3 Relations d’approbation entrante avec délégation
Nous n’avons qu’un seul domaine et une seule fôret.