Voici un récapitulatif des onze catégories d'analyse de l'outil AD Rating®
Sommaire :
Seuls les ACL sur les objets LDAP et GPO font partie des points de contrôle de l'AD Rating.
Les ACL sur les fichiers individuels de chaque serveur ne sont pas pris en compte dans les points de contrôle de l'AD Rating.
Voici la liste des 11 catégories d'analyse, avec actuellement 172 points de contrôle :
Contrôleurs de domaine : 31 points de contrôle
Les tests sur les contrôleurs de domaines analysent la configuration et les bonnes pratiques mises en place sur les contrôleurs de domaine (DCs). Ils concernent notamment les mises à jour des DCs, les services exposés, les configurations de signature des flux et la configuration TLS/SSL des services.
Configuration du domaine : 17 points de contrôle
Ces tests analysent la configuration et les bonnes pratiques mises en place sur le domaine Active Directory. Ils concernent notamment les droits d'accès sur les enregistrements DNS, les droits de création de comptes machines, et diverses configurations de services et de fonctionnalités Active Directory.
PKI et certificats : 22 points de contrôle
Ces tests analysent la configuration et les bonnes pratiques mises en place sur l'infrastructure à clés publiques (PKI) du domaine Active Directory (ADCS). Ils concernent notamment les droits d'accès sur les modèles de certificat, la configuration des modèles de certificats, la configuration des services d'inscription de certificats, et les algorithmes cryptographiques utilisés dans les certificats racines.
Relations d'approbation : 10 points de contrôle
Ces tests analysent la configuration et les bonnes pratiques mises en place au niveau des relations d'approbation avec d'autres domaines Active Directory. Ils concernent notamment les algorithmes cryptographiques utilisés lors des échanges avec les domaines tiers, et l'étanchéité entre les différents domaines Active Directory.
Gestion des comptes privilégiés : 13 points de contrôle
Ces tests analysent la configuration et les bonnes pratiques mises en place sur les comptes disposant de privilèges élevés sur le domaine (comptes administrateurs ou assimilés). Ils concernent notamment la gestion des mots de passe de ces comptes, et la mise en place de configurations permettant de protéger ces comptes contre une éventuelle compromission.
Gestion des comptes utilisateurs : 11 points de contrôle
Ces tests analysent la configuration et les bonnes pratiques mises en place sur les comptes utilisateurs et les comptes machine du domaine. Ils concernent notamment la gestion des mots de passe de ces comptes, et la mise en place de configurations permettant de protéger ces comptes contre une éventuelle compromission.
Droits d'accès et délégations : 21 points de contrôle
Ces tests analysent la configuration et les bonnes pratiques mises en place au niveau des droits d'accès et les privilèges attribués aux utilisateurs et groupes du domaine. Ils visent à identifier des privilèges attribués aux utilisateurs leur permettant d'effectuer des actions privilégiées sur le domaine, ou de compromettre des ressources du domaine.
GPO : 19 points de contrôle
Ces tests analysent la configuration et les bonnes pratiques mises en place à travers les stratégies de groupe (GPO). Ils visent à identifier des GPO désactivant des fonctionnalités de sécurité, activant des fonctionnalités vulnérables, ou divulguant des données sensibles comme les mots de passe.
Mises à niveau OS : 13 points de contrôle
Ces tests analysent les systèmes d'exploitation employés par les machines du domaine et l'application des mises à jour. Ils visent à identifier l'utilisation de systèmes d'exploitation obsolètes et les retards de mise à jour système.
Maintenance : 13 points de contrôle
Ces tests analysent la configuration générale et les bonnes pratiques mises en place au niveau du domaine. Ils visent à identifier d'éventuels problèmes de maintenance d'un domaine Active Directory.
Chemins d'attaque : 2 points de contrôle
Ces tests analysent la configuration du domaine et les droits d'accès attribués aux utilisateurs et groupes, afin d'identifier de potentiels scénarios permettant à des utilisateurs simples de compromettre des éléments clés du domaine.
