PingCastle Health Check rules

Stale Objects	Privileged accounts	Trusts	Anomalies
Inactive user or computer	Account take over	Old trust protocol	Audit
Network topography	ACL Check	SID Filtering	Backup
Object configuration	Admin control	SIDHistory	Certificate take over
Obsolete OS	Control paths	Trust impermeability	Golden ticket
Old authentication protocols	Delegation Check	Trust inactive	Local group vulnerability
Provisioning	Irreversible change	Trust with Azure	Network sniffing
Replication	Privilege control		Pass-the-credential
Vulnerability management	Read-Only Domain Controllers		Password retrieval
			Reconnaissance
			Temporary admins
			Weak password

Each line represents a rule. Click on a rule to expand it and show the details of it.

Inactive user or computer

By reusing existing objects, whose credentials may be the same among all objects or stored on configuration files or in memory, a third party can take them over.

Title (fr-FR): Inactive user or computer

Description (fr-FR): En réutilisant des objets existants, dont les informations d'identification peuvent être les mêmes parmi tous les objets ou stockées dans des fichiers de configuration ou en mémoire, un tiers peut les reprendre.

Title (de-DE): Inactive user or computer

Description (de-DE): Durch die Wiederverwendung vorhandener Objekte, deren Anmeldeinformationen für alle Objekte gleich oder in Konfigurationsdateien oder im Arbeitsspeicher gespeichert sein können, kann ein Dritter sie übernehmen.

Title (es-ES): Inactive user or computer

Description (es-ES): Al reutilizar objetos existentes, cuyas credenciales pueden ser las mismas entre todos los objetos o estar almacenadas en archivos de configuración o en la memoria, un tercero puede hacerse cargo de ellos.

Check if all computers are using regular password change practices.

Rule ID:

S-PwdLastSet-45

Description:

The purpose is to ensure that the regular change of computer account passwords is active

Technical Explanation:

By default, all computers automatically change their AD password every 30 days.
Changing regularly secrets like passwords ensures that they are not used in side channel attacks.
Also with the default possibility to create up to 10 computers accounts, these accounts may be seen as a backdoor.

This audit program considers this as an anomaly between 45 days and 90 days.
Also this rule is the companion for the rule S-PwdLastSet-90

Advised Solution:

Some security agencies report the absence of password change as an indicator of compromise.

If it is not the case, check the following registry keys:
* HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange: must be set to 0 or inexistent;
* HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge: must be set to 30.

For Linux systems, the password change may not be enabled by default - solutions exist, see the link in documentation, like a daily cron job to run msktutil --auto-update.

Title:

Vérifiez si tous les ordinateurs utilisent des pratiques de changement de mot de passe régulières.

Description:

Le but est de s'assurer que le changement régulier des mots de passe des comptes d'ordinateurs est actif

Technical Explanation:

Par défaut, tous les ordinateurs changent automatiquement leur mot de passe AD tous les 30 jours.
Changer régulièrement les secrets comme les mots de passe garantit qu'ils ne sont pas utilisés dans des attaques par canal auxiliaire.
De plus, avec la possibilité par défaut de créer jusqu'à 10 comptes d'ordinateurs, ces comptes peuvent être considérés comme une porte dérobée.

Ce programme d'audit considère cela comme une anomalie entre 45 jours et 90 jours.
Cette règle est également le compagnon de la règle S-PwdLastSet-90

Advised Solution:

Certaines agences de sécurité signalent l'absence de changement de mot de passe comme un indicateur de compromission.

Si ce n'est pas le cas, vérifiez les clés de registre suivantes :
* HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange : doit être défini sur 0 ou inexistant ;
* HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge : doit être défini sur 30.

Pour les systèmes Linux, le changement de mot de passe peut ne pas être activé par défaut - des solutions existent, voir le lien dans la documentation, comme un travail cron quotidien pour exécuter msktutil --auto-update.

Title:

Überprüfen Sie, ob alle Computer regelmäßige Verfahren zum Ändern von Kennwörtern verwenden.

Description:

Der Zweck besteht darin, sicherzustellen, dass die regelmäßige Änderung der Passwörter von Computerkonten aktiv ist

Technical Explanation:

Standardmäßig ändern alle Computer automatisch alle 30 Tage ihr AD-Passwort.
Das regelmäßige Ändern von Geheimnissen wie Passwörtern stellt sicher, dass sie nicht für Seitenkanalangriffe verwendet werden.
Auch mit der standardmäßigen Möglichkeit, bis zu 10 Computerkonten zu erstellen, können diese Konten als Hintertür angesehen werden.

Dieses Auditprogramm betrachtet dies als Anomalie zwischen 45 und 90 Tagen.
Auch diese Regel ist der Begleiter für die Regel S-PwdLastSet-90

Advised Solution:

Einige Sicherheitsbehörden melden das Fehlen einer Passwortänderung als Indikator für eine Kompromittierung.

Wenn dies nicht der Fall ist, überprüfen Sie die folgenden Registrierungsschlüssel:
* HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange: muss auf 0 gesetzt oder nicht vorhanden sein;
* HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge: muss auf 30 gesetzt werden.

Bei Linux-Systemen ist die Kennwortänderung möglicherweise nicht standardmäßig aktiviert. Es gibt Lösungen, siehe den Link in der Dokumentation, z. B. einen täglichen Cron-Job zum Ausführen von msktutil --auto-update.

Title:

Compruebe si todas las computadoras están utilizando prácticas regulares de cambio de contraseña.

Description:

El propósito es garantizar que el cambio regular de contraseñas de cuentas de computadora esté activo

Technical Explanation:

De manera predeterminada, todas las computadoras cambian automáticamente su contraseña de AD cada 30 días.
Cambiar regularmente secretos como contraseñas garantiza que no se utilicen en ataques de canal lateral.
Además, con la posibilidad predeterminada de crear hasta 10 cuentas de computadoras, estas cuentas pueden verse como una puerta trasera.

Este programa de auditoría considera esto como una anomalía entre 45 días y 90 días.
Además, esta regla es la compañera de la regla S-PwdLastSet-90

Advised Solution:

Algunas agencias de seguridad informan la ausencia de cambio de contraseña como un indicador de compromiso.

Si no es el caso, verifique las siguientes claves de registro:
* HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange: debe establecerse en 0 o no existir;
* HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge: debe establecerse en 30.

Para los sistemas Linux, es posible que el cambio de contraseña no esté habilitado de forma predeterminada; existen soluciones, consulte el enlace en la documentación, como un trabajo cron diario para ejecutar msktutil --auto-update.

Introduced in:

2.9.0.0

Points:

5 points if present

Documentation:

https://support.microsoft.com/en-us/help/154501/how-to-disable-automatic-machine-account-password-changes
https://access.redhat.com/discusiones/1283873
[FR]ANSSI - Servers with passwords unchanged for more than 45 days (vuln3_password_change_server_no_change_45)3
[US]STIG V-63653 - The computer account password must not be prevented from being reset.
[US]STIG V-3373 - The maximum age for machine account passwords is not set to requirements.
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Check if all computers have changed their passwords in the last 3 months.

Rule ID:

S-PwdLastSet-90

Description:

The purpose is to ensure that all computer accounts have their password changed in the last 3 months

Technical Explanation:

By default, all computers automatically change their AD password every 30 days.
Changing regularly secrets like passwords ensures that they are not used in side channel attacks.
Also with the default possibility to create up to 10 computers accounts, these accounts may be seen as a backdoor.

This audit program considers this as an anomaly starting with 90 days.
Also this rule is the companion for the rule S-PwdLastSet-45 which does the same between 45 and 90 days

Advised Solution:

Title:

Vérifiez si tous les ordinateurs ont changé leurs mots de passe au cours des 3 derniers mois.

Description:

Le but est de s'assurer que tous les comptes d'ordinateurs ont changé leur mot de passe au cours des 3 derniers mois

Technical Explanation:

Par défaut, tous les ordinateurs changent automatiquement leur mot de passe AD tous les 30 jours.
Changer régulièrement les secrets comme les mots de passe garantit qu'ils ne sont pas utilisés dans des attaques par canal auxiliaire.
De plus, avec la possibilité par défaut de créer jusqu'à 10 comptes d'ordinateurs, ces comptes peuvent être considérés comme une porte dérobée.

Ce programme d'audit considère cela comme une anomalie à partir de 90 jours.
Cette règle est également le compagnon de la règle S-PwdLastSet-45 qui fait la même chose entre 45 et 90 jours

Advised Solution:

Title:

Überprüfen Sie, ob alle Computer ihre Passwörter in den letzten 3 Monaten geändert haben.

Description:

Der Zweck besteht darin, sicherzustellen, dass alle Computerkonten ihre Passwörter in den letzten 3 Monaten geändert haben

Technical Explanation:

Standardmäßig ändern alle Computer automatisch alle 30 Tage ihr AD-Passwort.
Das regelmäßige Ändern von Geheimnissen wie Passwörtern stellt sicher, dass sie nicht für Seitenkanalangriffe verwendet werden.
Auch mit der standardmäßigen Möglichkeit, bis zu 10 Computerkonten zu erstellen, können diese Konten als Hintertür angesehen werden.

Dieses Auditprogramm betrachtet dies ab 90 Tagen als Anomalie.
Außerdem ist diese Regel der Begleiter für die Regel S-PwdLastSet-45, die dasselbe zwischen 45 und 90 Tagen tut

Advised Solution:

Title:

Compruebe si todas las computadoras han cambiado sus contraseñas en los últimos 3 meses.

Description:

El propósito es asegurar que todas las cuentas de computadora tengan su contraseña cambiada en los últimos 3 meses

Technical Explanation:

De manera predeterminada, todas las computadoras cambian automáticamente su contraseña de AD cada 30 días.
Cambiar regularmente secretos como contraseñas garantiza que no se utilicen en ataques de canal lateral.
Además, con la posibilidad predeterminada de crear hasta 10 cuentas de computadoras, estas cuentas pueden verse como una puerta trasera.

Este programa de auditoría considera esto como una anomalía a partir de los 90 días.
Además, esta regla es la compañera de la regla S-PwdLastSet-45, que hace lo mismo entre 45 y 90 días.

Advised Solution:

Introduced in:

2.9.0.0

Points:

15 points if present

Documentation:

https://support.microsoft.com/en-us/help/154501/how-to-disable-automatic-machine-account-password-changes
https://access.redhat.com/discusiones/1283873
[US]STIG V-3373 - The maximum age for machine account passwords is not set to requirements.
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Servers with passwords unchanged for more than 90 days (vuln2_password_change_server_no_change_90)2
[US]STIG V-63653 - The computer account password must not be prevented from being reset.

Check if all DC are active.

Rule ID:

S-DC-Inactive

Description:

The purpose is to ensure that every DC is active.

Technical Explanation:

Domain Controllers are user accounts with powerful privileges.
While an active Domain Controller changes its password every 30 days, an inactive account can be involved in a domain compromise.
Indeed, another account, which has rights over this object, may reset the password of this account without being noticed.

Advised Solution:

You have to demote the DC object using the procedure referenced in the documentation section.

Title:

Vérifiez si tous les DC sont actifs.

Description:

Le but est de s'assurer que chaque DC est actif.

Technical Explanation:

Les contrôleurs de domaine sont des comptes d'utilisateurs dotés de privilèges puissants.
Alors qu'un contrôleur de domaine actif change son mot de passe tous les 30 jours, un compte inactif peut être impliqué dans une compromission de domaine.
En effet, un autre compte, qui a des droits sur cet objet, peut réinitialiser le mot de passe de ce compte sans se faire remarquer.

Advised Solution:

Vous devez rétrograder l'objet DC en utilisant la procédure référencée dans la section documentation.

Title:

Überprüfen Sie, ob alle DC aktiv sind.

Description:

Der Zweck besteht darin, sicherzustellen, dass jeder DC aktiv ist.

Technical Explanation:

Domänencontroller sind Benutzerkonten mit mächtigen Privilegien.
Während ein aktiver Domänencontroller sein Passwort alle 30 Tage ändert, kann ein inaktives Konto in eine Domänenkompromittierung verwickelt sein.
Tatsächlich kann ein anderes Konto, das Rechte an diesem Objekt hat, das Passwort dieses Kontos unbemerkt zurücksetzen.

Advised Solution:

Sie müssen das DC-Objekt mithilfe des Verfahrens herabstufen, auf das im Dokumentationsabschnitt verwiesen wird.

Title:

Compruebe si todos los DC están activos.

Description:

El propósito es garantizar que todos los DC estén activos.

Technical Explanation:

Los controladores de dominio son cuentas de usuario con poderosos privilegios.
Mientras que un controlador de dominio activo cambia su contraseña cada 30 días, una cuenta inactiva puede verse involucrada en un compromiso de dominio.
De hecho, otra cuenta, que tenga derechos sobre este objeto, puede restablecer la contraseña de esta cuenta sin ser notada.

Advised Solution:

Debe degradar el objeto DC mediante el procedimiento al que se hace referencia en la sección de documentación.

Introduced in:

2.9.0.0

Points:

5 points per discovery

Documentation:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/demoting-domain-controllers-and-domains--level-200-
[MITRE]Mitre Att&ck - Mitigation - User Account Management
[FR]ANSSI - Inactive domain controllers (vuln1_password_change_inactive_dc)1
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R45 [paragraph.3.6.6.2]

Check if all DC are using regular password change practices.

Rule ID:

S-PwdLastSet-DC

Description:

The purpose is to ensure that the regular change of computer account is active on Domain Controllers.

Technical Explanation:

By default, each computers automatically change its password every 30 days. This is the same case for domain controllers.
Changing regularly secrets like passwords ensures that they are not used in side channel attacks.
For exemple, using DCSync to export the hash of a domain controller password, then reusing it in a silver attack to create Kerberos tickets.

This audit program considers this as an anomaly after 45 days.

Advised Solution:

Title:

Vérifiez si tous les DC utilisent des pratiques régulières de changement de mot de passe.

Description:

Le but est de s'assurer que le changement régulier de compte d'ordinateur est actif sur les contrôleurs de domaine.

Technical Explanation:

Par défaut, chaque ordinateur change automatiquement son mot de passe tous les 30 jours. C'est le même cas pour les contrôleurs de domaine.
Changer régulièrement les secrets comme les mots de passe garantit qu'ils ne sont pas utilisés dans des attaques par canal auxiliaire.
Par exemple, utiliser DCSync pour exporter le hachage d'un mot de passe de contrôleur de domaine, puis le réutiliser dans une attaque argentée pour créer des tickets Kerberos.

Ce programme d'audit considère cela comme une anomalie après 45 jours.

Advised Solution:

Title:

Überprüfen Sie, ob alle DC regelmäßige Verfahren zum Ändern von Passwörtern verwenden.

Description:

Damit soll sichergestellt werden, dass der regelmäßige Wechsel des Computerkontos auf Domänencontrollern aktiv ist.

Technical Explanation:

Standardmäßig ändert jeder Computer sein Passwort automatisch alle 30 Tage. Dies gilt auch für Domänencontroller.
Das regelmäßige Ändern von Geheimnissen wie Passwörtern stellt sicher, dass sie nicht für Seitenkanalangriffe verwendet werden.
Verwenden Sie beispielsweise DCSync, um den Hash eines Domänencontrollerkennworts zu exportieren, und verwenden Sie ihn dann in einem Silberangriff zum Erstellen von Kerberos-Tickets.

Dieses Auditprogramm betrachtet dies nach 45 Tagen als Anomalie.

Advised Solution:

Title:

Verifique si todos los DC están utilizando prácticas regulares de cambio de contraseña.

Description:

El propósito es garantizar que el cambio regular de cuenta de computadora esté activo en los controladores de dominio.

Technical Explanation:

De manera predeterminada, cada computadora cambia automáticamente su contraseña cada 30 días. Este es el mismo caso para los controladores de dominio.
Cambiar regularmente secretos como contraseñas garantiza que no se utilicen en ataques de canal lateral.
Por ejemplo, usar DCSync para exportar el hash de una contraseña de controlador de dominio y luego reutilizarlo en un ataque plateado para crear vales de Kerberos.

Este programa de auditoría considera esto como una anomalía después de 45 días.

Advised Solution:

Introduced in:

2.9.0.0

Points:

5 points per discovery

Documentation:

https://support.microsoft.com/en-us/help/154501/how-to-disable-automatic-machine-account-password-changes
[US]STIG V-63653 - The computer account password must not be prevented from being reset.
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Domain controllers with passwords unchanged for more than 45 days (vuln1_password_change_dc_no_change)1
[US]STIG V-3373 - The maximum age for machine account passwords is not set to requirements.

Inactive account check

Rule ID:

S-Inactive

Description:

The purpose is to ensure that there are as few inactive accounts as possible within the domain. Stale user accounts are a significant security issue, as former employees and external attackers could use those accounts to attack the organization.

Technical Explanation:

Inactive accounts often stay in the network because of weaknesses in the decommissioning process. These stale computer accounts can be used as backdoors and therefore represents a possible security breach.

Advised Solution:

To mitigate the risk, you should monitor the number of inactive accounts and reduce it as much as possible. A list of all inactive accounts is obtainable through the command: Search-ADAccount –AccountInActive –UsersOnly –TimeSpan 180:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName.

Title:

Contrôle de compte inactif

Description:

Le but est de s'assurer qu'il y a aussi peu de comptes inactifs que possible dans le domaine. Les comptes d'utilisateurs périmés constituent un problème de sécurité important, car d'anciens employés et des attaquants externes pourraient utiliser ces comptes pour attaquer l'organisation.

Technical Explanation:

Les comptes inactifs restent souvent dans le réseau en raison de faiblesses dans le processus de démantèlement. Ces comptes informatiques obsolètes peuvent être utilisés comme des portes dérobées et représentent donc une possible faille de sécurité.

Advised Solution:

Pour atténuer le risque, vous devez surveiller le nombre de comptes inactifs et le réduire autant que possible. Une liste de tous les comptes inactifs peut être obtenue via la commande : Search-ADAccount –AccountInActive –UsersOnly –TimeSpan 180:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName.

Title:

Überprüfung auf inaktives Konto

Description:

Der Zweck besteht darin, sicherzustellen, dass es innerhalb der Domäne so wenig inaktive Konten wie möglich gibt. Veraltete Benutzerkonten sind ein erhebliches Sicherheitsproblem, da ehemalige Mitarbeiter und externe Angreifer diese Konten verwenden könnten, um die Organisation anzugreifen.

Technical Explanation:

Inaktive Konten verbleiben oft aufgrund von Schwachstellen im Stilllegungsprozess im Netzwerk. Diese veralteten Computerkonten können als Hintertüren verwendet werden und stellen daher eine mögliche Sicherheitslücke dar.

Advised Solution:

Um das Risiko zu mindern, sollten Sie die Anzahl der inaktiven Konten überwachen und so weit wie möglich reduzieren. Eine Liste aller inaktiven Konten erhalten Sie über den folgenden Befehl: Search-ADAccount –AccountInActive –UsersOnly –TimeSpan 180:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName.

Title:

Comprobación de cuenta inactiva

Description:

El propósito es garantizar que haya la menor cantidad posible de cuentas inactivas dentro del dominio. Las cuentas de usuario obsoletas son un problema de seguridad importante, ya que los ex empleados y los atacantes externos podrían usar esas cuentas para atacar a la organización.

Technical Explanation:

Las cuentas inactivas a menudo permanecen en la red debido a debilidades en el proceso de desmantelamiento. Estas cuentas de computadora obsoletas se pueden usar como puertas traseras y, por lo tanto, representan una posible brecha de seguridad.

Advised Solution:

Para mitigar el riesgo, debe monitorear la cantidad de cuentas inactivas y reducirlas tanto como sea posible. Se puede obtener una lista de todas las cuentas inactivas mediante el comando: Search-ADAccount –AccountInActive –UsersOnly –TimeSpan 180:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Habilitado –eq $Verdadero} | Seleccione Nombre de objeto, SamAccountName, DistinguishedName.

Points:

10 points if the occurence is greater than or equals than 25

Documentation:

[FR]ANSSI - Dormant accounts (vuln1_user_accounts_dormant)1
[MITRE]Mitre Att&ck - Mitigation - User Account Management
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R45 [paragraph.3.6.6.2]

Inactive computer check

Rule ID:

S-C-Inactive

Description:

The purpose is to ensure that there are as few inactive computers as possible within the domain.

Technical Explanation:

Inactive computers often stay in the network because of weaknesses in the decommissioning process. These stale computer accounts can be used as backdoors and therefore represents a possible security breach.

Advised Solution:

To mitigate the risk, you should monitor the number of inactive accounts and reduce it as much as possible. A list of all inactive accounts is obtainable through the command: Search-ADAccount –AccountInActive –ComputersOnly –TimeSpan 180:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName.

Title:

Vérification de l'ordinateur inactif

Description:

L'objectif est de s'assurer qu'il y a aussi peu d'ordinateurs inactifs que possible dans le domaine.

Technical Explanation:

Les ordinateurs inactifs restent souvent dans le réseau en raison de faiblesses dans le processus de mise hors service. Ces comptes informatiques obsolètes peuvent être utilisés comme des portes dérobées et représentent donc une possible faille de sécurité.

Advised Solution:

Pour atténuer le risque, vous devez surveiller le nombre de comptes inactifs et le réduire autant que possible. Une liste de tous les comptes inactifs est disponible via la commande : Search-ADAccount –AccountInActive –ComputersOnly –TimeSpan 180:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName.

Title:

Überprüfung des inaktiven Computers

Description:

Damit soll sichergestellt werden, dass innerhalb der Domäne so wenig inaktive Computer wie möglich vorhanden sind.

Technical Explanation:

Inaktive Computer bleiben oft aufgrund von Schwachstellen im Außerbetriebnahmeprozess im Netzwerk. Diese veralteten Computerkonten können als Hintertüren verwendet werden und stellen daher eine mögliche Sicherheitslücke dar.

Advised Solution:

Um das Risiko zu mindern, sollten Sie die Anzahl der inaktiven Konten überwachen und so weit wie möglich reduzieren. Eine Liste aller inaktiven Konten erhalten Sie über den folgenden Befehl: Search-ADAccount –AccountInActive –ComputersOnly –TimeSpan 180:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Enabled –eq $True} | Select-Object Name, SamAccountName, DistinguishedName.

Title:

Comprobación de equipo inactivo

Description:

El objetivo es garantizar que haya la menor cantidad posible de equipos inactivos dentro del dominio.

Technical Explanation:

Las computadoras inactivas a menudo permanecen en la red debido a las debilidades en el proceso de desmantelamiento. Estas cuentas de computadora obsoletas se pueden usar como puertas traseras y, por lo tanto, representan una posible brecha de seguridad.

Advised Solution:

Para mitigar el riesgo, debe monitorear la cantidad de cuentas inactivas y reducirlas tanto como sea posible. Se puede obtener una lista de todas las cuentas inactivas mediante el comando: Search-ADAccount –AccountInActive –ComputersOnly –TimeSpan 180:00:00:00 –ResultPageSize 2000 –ResultSetSize $null | ?{$_.Habilitado –eq $Verdadero} | Seleccione Nombre de objeto, SamAccountName, DistinguishedName.

Points:

30 points if the occurence is greater than or equals than 30
then 10 points if the occurence is greater than or equals than 20
then 5 points if the occurence is greater than or equals than 15

Documentation:

[MITRE]Mitre Att&ck - Mitigation - User Account Management
[FR]ANSSI - Inactive servers (vuln3_password_change_inactive_servers)3
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R45 [paragraph.3.6.6.2]

Network topography

It is important to have a database of all the assets and control the physical security of the server. If one server is compromised physically, all the secrets of the domain can be exposed.

Title (fr-FR): Network topography

Description (fr-FR): Il est important d'avoir une base de données de tous les actifs et de contrôler la sécurité physique du serveur. Si un serveur est physiquement compromis, tous les secrets du domaine peuvent être exposés.

Title (de-DE): Network topography

Description (de-DE): Es ist wichtig, eine Datenbank mit allen Assets zu haben und die physische Sicherheit des Servers zu kontrollieren. Wenn ein Server physisch kompromittiert wird, können alle Geheimnisse der Domäne offengelegt werden.

Title (es-ES): Network topography

Description (es-ES): Es importante tener una base de datos de todos los activos y controlar la seguridad física del servidor. Si un servidor se ve comprometido físicamente, todos los secretos del dominio pueden quedar expuestos.

Check for completeness of network declaration

Rule ID:

S-DC-SubnetMissing

Description:

The purpose is to ensure that the minimum set of subnet(s) has been configured in the domain

Technical Explanation:

When multiple sites are created in a domain, networks should be declared in the domain in order to optimize processes such as DC attribution. In addition, PingCastle can collect the information to be able to build a network map. This rule has been triggered because at least one domain controller has an IP address which was not found in subnet declaration. These IP addresses have been collected by querying the DC FQDN IP address in both IPv6 and IPv4 format.

Advised Solution:

Locate the IP address which was found as not being part of declared subnet, then add this subnet to the "Active Directory Sites" tool. If you have found IPv6 addresses and it was not expected, you should disable the IPv6 protocol on the network card.

Title:

Vérifier l'exhaustivité de la déclaration de réseau

Description:

Le but est de s'assurer que l'ensemble minimum de sous-réseau(x) a été configuré dans le domaine

Technical Explanation:

Lorsque plusieurs sites sont créés dans un domaine, les réseaux doivent être déclarés dans le domaine afin d'optimiser les processus tels que l'attribution DC. De plus, PingCastle peut collecter les informations pour pouvoir construire une carte du réseau. Cette règle a été déclenchée car au moins un contrôleur de domaine a une adresse IP qui n'a pas été trouvée dans la déclaration de sous-réseau. Ces adresses IP ont été collectées en interrogeant l'adresse IP DC FQDN aux formats IPv6 et IPv4.

Advised Solution:

Localisez l'adresse IP qui a été trouvée comme ne faisant pas partie du sous-réseau déclaré, puis ajoutez ce sous-réseau à l'outil "Active Directory Sites". Si vous avez trouvé des adresses IPv6 et que cela n'était pas prévu, vous devez désactiver le protocole IPv6 sur la carte réseau.

Title:

Prüfen Sie die Vollständigkeit der Netzwerkdeklaration

Description:

Der Zweck besteht darin, sicherzustellen, dass die Mindestmenge an Subnetzen in der Domäne konfiguriert wurde

Technical Explanation:

Wenn mehrere Sites in einer Domäne erstellt werden, sollten Netzwerke in der Domäne deklariert werden, um Prozesse wie die DC-Attribution zu optimieren. Darüber hinaus kann PingCastle die Informationen sammeln, um eine Netzwerkkarte erstellen zu können. Diese Regel wurde ausgelöst, weil mindestens ein Domänencontroller eine IP-Adresse hat, die nicht in der Subnetzdeklaration gefunden wurde. Diese IP-Adressen wurden erfasst, indem die DC-FQDN-IP-Adresse sowohl im IPv6- als auch im IPv4-Format abgefragt wurde.

Advised Solution:

Suchen Sie die IP-Adresse, die nicht Teil des deklarierten Subnetzes ist, und fügen Sie dieses Subnetz dann dem Tool „Active Directory Sites“ hinzu. Wenn Sie IPv6-Adressen gefunden haben und es nicht erwartet wurde, sollten Sie das IPv6-Protokoll auf der Netzwerkkarte deaktivieren.

Title:

Comprobar la integridad de la declaración de red

Description:

El propósito es garantizar que se haya configurado el conjunto mínimo de subredes en el dominio

Technical Explanation:

Cuando se crean varios sitios en un dominio, las redes deben declararse en el dominio para optimizar procesos como la atribución de DC. Además, PingCastle puede recopilar la información para poder construir un mapa de red. Esta regla se activó porque al menos un controlador de dominio tiene una dirección IP que no se encontró en la declaración de subred. Estas direcciones IP se recopilaron consultando la dirección IP FQDN de DC en formato IPv6 e IPv4.

Advised Solution:

Localice la dirección IP que se encontró que no formaba parte de la subred declarada, luego agregue esta subred a la herramienta "Sitios de Active Directory". Si ha encontrado direcciones IPv6 y no las esperaba, debe deshabilitar el protocolo IPv6 en la tarjeta de red.

Introduced in:

2.5.0.0

Points:

5 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Object configuration

By abusing a misconfiguration, an attacker can gain the control of the domain.

Title (fr-FR): Object configuration

Description (fr-FR): En abusant d'une mauvaise configuration, un attaquant peut prendre le contrôle du domaine.

Title (de-DE): Object configuration

Description (de-DE): Durch den Missbrauch einer Fehlkonfiguration kann ein Angreifer die Kontrolle über die Domäne erlangen.

Title (es-ES): Object configuration

Description (es-ES): Al abusar de una configuración incorrecta, un atacante puede obtener el control del dominio.

Check for hidden group membership for computer accounts

Rule ID:

S-C-PrimaryGroup

Description:

The purpose is to check for unusual value in the primarygroupid attribute used to store group membership

Technical Explanation:

In Active Directory, group membership is stored on the "members" attribute and on the "primarygroupid" attribute.
The default primary group value is "Domain Users" for the users, "Domain Computers" for the computers and "Domain Controllers" for the domain controllers.
The primarygroupid contains the RID (last digits of a SID) of the group targeted. It can be used to store hidden membership as this attribute is not often analyzed.
This rule can also be triggered if one domain controller is not in the default container (named "Domain Controllers" and located at the root), which is not a recommended practice.

Advised Solution:

Title:

Vérifier l'appartenance à un groupe masqué pour les comptes d'ordinateur

Description:

Le but est de vérifier la valeur inhabituelle dans l'attribut primarygroupid utilisé pour stocker l'appartenance au groupe

Technical Explanation:

Dans Active Directory, l'appartenance au groupe est stockée sur l'attribut "members" et sur l'attribut "primarygroupid".
La valeur par défaut du groupe principal est "Domain Users" pour les utilisateurs, "Domain Computers" pour les ordinateurs et "Domain Controllers" pour les contrôleurs de domaine.
Le primarygroupid contient le RID (derniers chiffres d'un SID) du groupe ciblé. Il peut être utilisé pour stocker l'appartenance masquée car cet attribut n'est pas souvent analysé.
Cette règle peut également être déclenchée si un contrôleur de domaine ne se trouve pas dans le conteneur par défaut (nommé "Domain Controllers" et situé à la racine), ce qui n'est pas une pratique recommandée.

Advised Solution:

Title:

Suchen Sie nach versteckten Gruppenmitgliedschaften für Computerkonten

Description:

Der Zweck besteht darin, das Attribut primarygroupid, das zum Speichern der Gruppenmitgliedschaft verwendet wird, auf ungewöhnliche Werte zu prüfen

Technical Explanation:

In Active Directory wird die Gruppenmitgliedschaft im Attribut „members“ und im Attribut „primarygroupid“ gespeichert.
Der Standardwert der primären Gruppe ist „Domänenbenutzer“ für die Benutzer, „Domänencomputer“ für die Computer und „Domänencontroller“ für die Domänencontroller.
Die primarygroupid enthält die RID (letzte Ziffern einer SID) der Zielgruppe. Es kann verwendet werden, um versteckte Mitgliedschaften zu speichern, da dieses Attribut nicht oft analysiert wird.
Diese Regel kann auch ausgelöst werden, wenn sich ein Domänencontroller nicht im Standardcontainer befindet (mit dem Namen „Domänencontroller“ und im Stammverzeichnis), was nicht empfohlen wird.

Advised Solution:

Title:

Comprobar la pertenencia a grupos ocultos para cuentas de ordenador

Description:

El propósito es verificar si hay un valor inusual en el atributo primarygroupid utilizado para almacenar la membresía del grupo

Technical Explanation:

En Active Directory, la pertenencia a grupos se almacena en el atributo "miembros" y en el atributo "primarygroupid".
El valor del grupo principal predeterminado es "Usuarios de dominio" para los usuarios, "Equipos de dominio" para los equipos y "Controladores de dominio" para los controladores de dominio.
El ID de grupo primario contiene el RID (últimos dígitos de un SID) del grupo de destino. Se puede utilizar para almacenar miembros ocultos, ya que este atributo no se analiza con frecuencia.
Esta regla también se puede activar si un controlador de dominio no está en el contenedor predeterminado (llamado "Controladores de dominio" y ubicado en la raíz), lo cual no es una práctica recomendada.

Advised Solution:

Points:

15 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Accounts with modified PrimaryGroupID (vuln3_primary_group_id_nochange)3

Check for hidden group membership for user accounts

Rule ID:

S-PrimaryGroup

Description:

The purpose is to check for unusual values in the primarygroupid attribute used to store group memberships

Technical Explanation:

In Active Directory, group membership is stored on the "members" attribute and on the "primarygroupid" attribute. The default primary group value is "Domain Users" for the users, "Domain Computers" for the computers and "Domain Controllers" for the domain controllers. The primarygroupid contains the RID (last digits of a SID) of the group targeted. It can be used to store hidden membership as this attribute is not often analyzed.

Advised Solution:

Unless strongly justified, change the primary group id to its default: 513 or 514 for users, 516 or 521 for domain controllers, 514 or 515 for computers. The primary group can be edited in a friendly manner by editing the account with the "Active Directory Users and Computers" and after selecting the "Member Of" tab, "set primary group".
You can use the following script to list Users with a primary group id different from domain users:
Get-ADUser -Filter * -Properties PrimaryGroup | Where-Object { $_.PrimaryGroup -ne (Get-ADGroup -Identity "Domain Users").DistinguishedName } | Select-Object UserPrincipalName,PrimaryGroup

Title:

Vérifier l'appartenance à un groupe masqué pour les comptes d'utilisateurs

Description:

Le but est de vérifier les valeurs inhabituelles dans l'attribut primarygroupid utilisé pour stocker les appartenances aux groupes

Technical Explanation:

Advised Solution:

Sauf si fortement justifié, remplacez l'ID de groupe principal par sa valeur par défaut : 513 ou 514 pour les utilisateurs, 516 ou 521 pour les contrôleurs de domaine, 514 ou 515 pour les ordinateurs. Le groupe principal peut être modifié de manière conviviale en modifiant le compte avec les "Utilisateurs et ordinateurs Active Directory" et après avoir sélectionné l'onglet "Membre de", "Définir le groupe principal".
Vous pouvez utiliser le script suivant pour répertorier les utilisateurs avec un ID de groupe principal différent des utilisateurs du domaine :
Get-ADUser -Filter * -Properties PrimaryGroup | Where-Object { $_.PrimaryGroup -ne (Get-ADGroup -Identity "Domain Users").DistinguishedName } | Select-Object UserPrincipalName,PrimaryGroup

Title:

Suchen Sie nach versteckten Gruppenmitgliedschaften für Benutzerkonten

Description:

Der Zweck besteht darin, das Attribut primarygroupid, das zum Speichern von Gruppenmitgliedschaften verwendet wird, auf ungewöhnliche Werte zu prüfen

Technical Explanation:

In Active Directory wird die Gruppenmitgliedschaft im Attribut „members“ und im Attribut „primarygroupid“ gespeichert. Der Standardwert der primären Gruppe ist „Domänenbenutzer“ für die Benutzer, „Domänencomputer“ für die Computer und „Domänencontroller“ für die Domänencontroller. Die primarygroupid enthält die RID (letzte Ziffern einer SID) der Zielgruppe. Es kann verwendet werden, um versteckte Mitgliedschaften zu speichern, da dieses Attribut nicht oft analysiert wird.

Advised Solution:

Ändern Sie die primäre Gruppen-ID auf den Standardwert, es sei denn, dies ist stark begründet: 513 oder 514 für Benutzer, 516 oder 521 für Domänencontroller, 514 oder 515 für Computer. Die Primärgruppe lässt sich benutzerfreundlich bearbeiten, indem man das Konto mit den „Active Directory Benutzer und Computer“ bearbeitet und nach Auswahl des Reiters „Mitglied von“ „Primärgruppe festlegen“.
Sie können das folgende Skript verwenden, um Benutzer mit einer primären Gruppen-ID aufzulisten, die sich von Domänenbenutzern unterscheidet:
Get-ADUser -Filter * -Properties PrimaryGroup | Where-Object { $_.PrimaryGroup -ne (Get-ADGroup -Identity "Domain Users").DistinguishedName } | Select-Object UserPrincipalName,PrimaryGroup

Title:

Comprobar la pertenencia a grupos ocultos para las cuentas de usuario

Description:

El propósito es buscar valores inusuales en el atributo primarygroupid utilizado para almacenar membresías de grupos

Technical Explanation:

En Active Directory, la pertenencia a grupos se almacena en el atributo "miembros" y en el atributo "primarygroupid". El valor del grupo principal predeterminado es "Usuarios de dominio" para los usuarios, "Equipos de dominio" para los equipos y "Controladores de dominio" para los controladores de dominio. El ID de grupo primario contiene el RID (últimos dígitos de un SID) del grupo de destino. Se puede utilizar para almacenar miembros ocultos, ya que este atributo no se analiza con frecuencia.

Advised Solution:

A menos que esté muy justificado, cambie el ID de grupo principal a su valor predeterminado: 513 o 514 para usuarios, 516 o 521 para controladores de dominio, 514 o 515 para equipos. El grupo principal se puede editar de manera amigable editando la cuenta con "Usuarios y equipos de Active Directory" y luego de seleccionar la pestaña "Miembro de", "establecer grupo principal".
Puede usar la siguiente secuencia de comandos para enumerar los usuarios con una identificación de grupo principal diferente de los usuarios del dominio:
Get-ADUser -Filter * -Properties PrimaryGroup | Where-Object { $_.PrimaryGroup -ne (Get-ADGroup -Identity "Domain Users").DistinguishedName } | Seleccionar-Objeto UserPrincipalName,PrimaryGroup

Points:

15 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Accounts with modified PrimaryGroupID (vuln3_primary_group_id_nochange)3

Check for reversible password used for user accounts

Rule ID:

S-Reversible

Description:

The purpose is to verify if there are user accounts currently running with a reversible password

Technical Explanation:

It is possible that domains have accounts with an encryption that can be reversed. In this case, it means that the password is actually stored in clear text in the supplementalCredential attribute of the account and that it can be retrieved using a DCSync attack

Advised Solution:

To remove this risk, there should be no account(s) with reversible encryption. You should remove them by removing the flag "Store password using reversible encryption" on all accounts, so that the cleartext password is removed at the next password change. You can get a list of all the possibly compromised accounts running the following PowerShell command: get-adobject -ldapfilter "(userAccountControl:1.2.840.113556.1.4.803:=128)" -properties useraccountcontrol

Title:

Vérifier le mot de passe réversible utilisé pour les comptes d'utilisateurs

Description:

Le but est de vérifier s'il existe des comptes d'utilisateurs en cours d'exécution avec un mot de passe réversible

Technical Explanation:

Il est possible que les domaines aient des comptes avec un cryptage qui peut être inversé. Dans ce cas, cela signifie que le mot de passe est effectivement stocké en texte clair dans l'attribut supplementalCredential du compte et qu'il peut être récupéré à l'aide d'une attaque DCSync

Advised Solution:

Pour supprimer ce risque, aucun compte ne doit être doté d'un chiffrement réversible. Vous devez les supprimer en supprimant le drapeau "Enregistrer le mot de passe à l'aide d'un cryptage réversible" sur tous les comptes, afin que le mot de passe en clair soit supprimé lors du prochain changement de mot de passe. Vous pouvez obtenir une liste de tous les comptes potentiellement compromis en exécutant la commande PowerShell suivante : get-adobject -ldapfilter "(userAccountControl:1.2.840.113556.1.4.803:=128)" -properties useraccountcontrol

Title:

Suchen Sie nach umkehrbaren Passwörtern, die für Benutzerkonten verwendet werden

Description:

Der Zweck besteht darin, zu überprüfen, ob derzeit Benutzerkonten mit einem umkehrbaren Kennwort ausgeführt werden

Technical Explanation:

Es ist möglich, dass Domänen Konten mit einer rückgängig zu machenden Verschlüsselung haben. In diesem Fall bedeutet dies, dass das Passwort tatsächlich im Klartext im Attribut supplementalCredential des Kontos gespeichert ist und mithilfe eines DCSync-Angriffs abgerufen werden kann

Advised Solution:

Um dieses Risiko zu beseitigen, sollten keine Konten mit umkehrbarer Verschlüsselung vorhanden sein. Diese sollten Sie entfernen, indem Sie bei allen Accounts das Flag „Passwort mit umkehrbarer Verschlüsselung speichern“ entfernen, damit das Klartextpasswort bei der nächsten Passwortänderung entfernt wird. Sie können eine Liste aller möglicherweise kompromittierten Konten abrufen, indem Sie den folgenden PowerShell-Befehl ausführen: get-adobject -ldapfilter "(userAccountControl:1.2.840.113556.1.4.803:=128)" -properties useraccountcontrol

Title:

Verifique la contraseña reversible utilizada para las cuentas de usuario

Description:

El propósito es verificar si hay cuentas de usuario que se ejecutan actualmente con una contraseña reversible

Technical Explanation:

Es posible que los dominios tengan cuentas con un cifrado que se puede revertir. En este caso, significa que la contraseña se almacena en texto sin cifrar en el atributo supplementalCredential de la cuenta y que se puede recuperar mediante un ataque DCSync.

Advised Solution:

Para eliminar este riesgo, no debe haber cuentas con cifrado reversible. Debe eliminarlos eliminando la marca "Almacenar contraseña usando cifrado reversible" en todas las cuentas, de modo que la contraseña de texto sin cifrar se elimine en el próximo cambio de contraseña. Puede obtener una lista de todas las cuentas posiblemente comprometidas ejecutando el siguiente comando de PowerShell: get-adobject -ldapfilter "(userAccountControl:1.2.840.113556.1.4.803:=128)" -properties useraccountcontrol

Points:

5 points if present

Documentation:

[FR]ANSSI - Accounts with passwords stored using reversible encryption (vuln3_reversible_password)3
[MITRE]T1110.002 Brute Force: Password Cracking

Check for reversible passwords used for computer accounts

Rule ID:

S-C-Reversible

Description:

The purpose is to verify if there are accounts currently running with a reversible password

Technical Explanation:

Advised Solution:

To remove this risk, there should be no account(s) with reversible encryption for the password. You should remove them by removing the flag "Store password using reversible encryption" on all accounts, so that the cleartext password is removed at the next password change. You can get a list of all the possibly compromised accounts running the following PowerShell command: get-adobject -ldapfilter "(userAccountControl:1.2.840.113556.1.4.803:=128)" -properties useraccountcontrol

Title:

Vérifier les mots de passe réversibles utilisés pour les comptes d'ordinateur

Description:

Le but est de vérifier s'il existe des comptes en cours d'exécution avec un mot de passe réversible

Technical Explanation:

Advised Solution:

Pour supprimer ce risque, il ne doit y avoir aucun compte avec un cryptage réversible pour le mot de passe. Vous devez les supprimer en supprimant le drapeau "Enregistrer le mot de passe à l'aide d'un cryptage réversible" sur tous les comptes, afin que le mot de passe en clair soit supprimé lors du prochain changement de mot de passe. Vous pouvez obtenir une liste de tous les comptes potentiellement compromis en exécutant la commande PowerShell suivante : get-adobject -ldapfilter "(userAccountControl:1.2.840.113556.1.4.803:=128)" -properties useraccountcontrol

Title:

Suchen Sie nach umkehrbaren Kennwörtern, die für Computerkonten verwendet werden

Description:

Der Zweck besteht darin, zu überprüfen, ob derzeit Konten mit einem umkehrbaren Passwort ausgeführt werden

Technical Explanation:

Advised Solution:

Um dieses Risiko zu beseitigen, sollten keine Konten mit umkehrbarer Verschlüsselung für das Passwort vorhanden sein. Diese sollten Sie entfernen, indem Sie bei allen Accounts das Flag „Passwort mit umkehrbarer Verschlüsselung speichern“ entfernen, damit das Klartextpasswort bei der nächsten Passwortänderung entfernt wird. Sie können eine Liste aller möglicherweise kompromittierten Konten abrufen, indem Sie den folgenden PowerShell-Befehl ausführen: get-adobject -ldapfilter "(userAccountControl:1.2.840.113556.1.4.803:=128)" -properties useraccountcontrol

Title:

Verifique las contraseñas reversibles utilizadas para cuentas de computadora

Description:

El propósito es verificar si hay cuentas que se ejecutan actualmente con una contraseña reversible

Technical Explanation:

Advised Solution:

Para eliminar este riesgo, no debe haber cuentas con cifrado reversible para la contraseña. Debe eliminarlos eliminando la marca "Almacenar contraseña usando cifrado reversible" en todas las cuentas, de modo que la contraseña de texto sin cifrar se elimine en el próximo cambio de contraseña. Puede obtener una lista de todas las cuentas posiblemente comprometidas ejecutando el siguiente comando de PowerShell: get-adobject -ldapfilter "(userAccountControl:1.2.840.113556.1.4.803:=128)" -properties useraccountcontrol

Points:

5 points if present

Documentation:

[MITRE]T1110.002 Brute Force: Password Cracking
[FR]ANSSI - Accounts with passwords stored using reversible encryption (vuln3_reversible_password)3

Check if all accounts require Kerberos pre-authentication

Rule ID:

S-NoPreAuth

Description:

The purpose is to ensure that all accounts require Kerberos pre-authentication

Technical Explanation:

Without Kerberos pre-authentication, an attacker can request Kerberos data from the domain controller and use this data to crack the account password. You can find which accounts don't require Kerberos pre-authentication with the PowerShell command: Get-ADObject -LDAPFilter "(userAccountControl:1.2.840.113556.1.4.803:=4194304)"

Advised Solution:

Edit the property of the involved accounts and select the Account tab. Uncheck "Do not require Kerberos preauthentication". For computers, which don't have the Account tab, you have to manually edit the attribute useraccountcontrol. Subtract 4194304 the value of the attribute.

Title:

Vérifier si tous les comptes nécessitent une pré-authentification Kerberos

Description:

L'objectif est de s'assurer que tous les comptes nécessitent une pré-authentification Kerberos

Technical Explanation:

Sans pré-authentification Kerberos, un attaquant peut demander des données Kerberos au contrôleur de domaine et utiliser ces données pour déchiffrer le mot de passe du compte. Vous pouvez trouver les comptes qui ne nécessitent pas de pré-authentification Kerberos avec la commande PowerShell : Get-ADObject -LDAPFilter "(userAccountControl:1.2.840.113556.1.4.803:=4194304)"

Advised Solution:

Modifiez la propriété des comptes concernés et sélectionnez l'onglet Compte. Décochez "Ne pas exiger la pré-authentification Kerberos". Pour les ordinateurs qui n'ont pas l'onglet Compte, vous devez modifier manuellement l'attribut useraccountcontrol. Soustrayez 4194304 la valeur de l'attribut.

Title:

Überprüfen Sie, ob alle Konten eine Kerberos-Vorauthentifizierung erfordern

Description:

Damit soll sichergestellt werden, dass alle Konten eine Kerberos-Vorauthentifizierung erfordern

Technical Explanation:

Ohne Kerberos-Vorauthentifizierung kann ein Angreifer Kerberos-Daten vom Domänencontroller anfordern und diese Daten verwenden, um das Kontokennwort zu knacken. Welche Konten keine Kerberos-Vorauthentifizierung erfordern, können Sie mit dem PowerShell-Befehl ermitteln: Get-ADObject -LDAPFilter "(userAccountControl:1.2.840.113556.1.4.803:=4194304)"

Advised Solution:

Bearbeiten Sie die Eigenschaft der beteiligten Konten und wählen Sie die Registerkarte Konto. Deaktivieren Sie „Keine Kerberos-Vorauthentifizierung erforderlich“. Für Computer, die nicht über die Registerkarte Konto verfügen, müssen Sie das Attribut useraccountcontrol manuell bearbeiten. Subtrahieren Sie 4194304 vom Wert des Attributs.

Title:

Compruebe si todas las cuentas requieren autenticación previa de Kerberos

Description:

El propósito es garantizar que todas las cuentas requieran la autenticación previa de Kerberos.

Technical Explanation:

Sin la autenticación previa de Kerberos, un atacante puede solicitar datos de Kerberos del controlador de dominio y usar estos datos para descifrar la contraseña de la cuenta. Puede encontrar qué cuentas no requieren autenticación previa de Kerberos con el comando de PowerShell: Get-ADObject -LDAPFilter "(userAccountControl:1.2.840.113556.1.4.803:=4194304)"

Advised Solution:

Edite la propiedad de las cuentas involucradas y seleccione la pestaña Cuenta. Desmarque "No requerir autenticación previa de Kerberos". Para las computadoras, que no tienen la pestaña Cuenta, debe editar manualmente el atributo useraccountcontrol. Resta 4194304 el valor del atributo.

Points:

5 points if present

Documentation:

http://www.harmj0y.net/blog/activedirectory/roasting-as-reps/
[MITRE]T1558.004 Steal or Forge Kerberos Tickets: AS-REP Roasting
[FR]ANSSI - Kerberos pre-authentication disabled (vuln2_kerberos_properties_preauth)2

Check if all admin accounts require Kerberos pre-authentication

Rule ID:

S-NoPreAuthAdmin

Description:

The purpose is to ensure that all admin accounts require Kerberos pre-authentication

Technical Explanation:

Without Kerberos pre-authentication, an attacker can request Kerberos data from the domain controller and use this data to brute-force the account password. You can search accounts using the LDAP query (userAccountControl:1.2.840.113556.1.4.803:=4194304)

Advised Solution:

Title:

Vérifiez si tous les comptes administrateur nécessitent une pré-authentification Kerberos

Description:

Le but est de s'assurer que tous les comptes d'administrateur nécessitent une pré-authentification Kerberos

Technical Explanation:

Sans pré-authentification Kerberos, un attaquant peut demander des données Kerberos au contrôleur de domaine et utiliser ces données pour forcer brutalement le mot de passe du compte. Vous pouvez rechercher des comptes à l'aide de la requête LDAP (userAccountControl:1.2.840.113556.1.4.803:=4194304)

Advised Solution:

Title:

Überprüfen Sie, ob alle Administratorkonten eine Kerberos-Vorauthentifizierung erfordern

Description:

Damit soll sichergestellt werden, dass alle Administratorkonten eine Kerberos-Vorauthentifizierung erfordern

Technical Explanation:

Ohne Kerberos-Vorauthentifizierung kann ein Angreifer Kerberos-Daten vom Domänencontroller anfordern und diese Daten verwenden, um das Kontokennwort brutal zu erzwingen. Sie können Konten mit der LDAP-Abfrage (userAccountControl:1.2.840.113556.1.4.803:=4194304) suchen

Advised Solution:

Title:

Compruebe si todas las cuentas de administrador requieren autenticación previa de Kerberos

Description:

El propósito es garantizar que todas las cuentas de administrador requieran autenticación previa de Kerberos.

Technical Explanation:

Sin la autenticación previa de Kerberos, un atacante puede solicitar datos de Kerberos del controlador de dominio y usar estos datos para forzar la contraseña de la cuenta. Puede buscar cuentas utilizando la consulta LDAP (userAccountControl:1.2.840.113556.1.4.803:=4194304)

Advised Solution:

Introduced in:

2.9.0.0

Points:

5 points per discovery

Documentation:

Check that every account requires a password

Rule ID:

S-PwdNotRequired

Description:

The purpose is to ensure that every account requires a password

Technical Explanation:

An account can be set without a password if it has the flag "PASSWD_NOTREQD" set as "True" in the "useraccountcontrol" attribute. This represents a high security risk as the account is not protected at all without a password

Advised Solution:

The best solution to solve the problem is to change the "useraccountcontrol" attribute of all the accounts that have it and that are not used in trusts. If the flag is removed while there is no password set, you will have an error. You can use this to detect accounts without any passwords. Do note that you can manually check all the accounts that need to be worked on using the following PowerShell command: get-adobject -ldapfilter "(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=32))" -properties useraccountcontrol

Title:

Vérifiez que chaque compte nécessite un mot de passe

Description:

Le but est de s'assurer que chaque compte nécessite un mot de passe

Technical Explanation:

Un compte peut être défini sans mot de passe si l'indicateur "PASSWD_NOTREQD" est défini sur "True" dans l'attribut "useraccountcontrol". Cela représente un risque de sécurité élevé car le compte n'est pas du tout protégé sans mot de passe

Advised Solution:

La meilleure solution pour résoudre le problème est de modifier l'attribut "useraccountcontrol" de tous les comptes qui en disposent et qui ne sont pas utilisés dans les trusts. Si l'indicateur est supprimé alors qu'aucun mot de passe n'est défini, vous aurez une erreur. Vous pouvez l'utiliser pour détecter les comptes sans mot de passe. Notez que vous pouvez vérifier manuellement tous les comptes sur lesquels vous devez travailler à l'aide de la commande PowerShell suivante : get-adobject -ldapfilter "(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556. 1.4.803:=32))" -propriétés useraccountcontrol

Title:

Stellen Sie sicher, dass für jedes Konto ein Passwort erforderlich ist

Description:

Damit soll sichergestellt werden, dass für jedes Konto ein Passwort erforderlich ist

Technical Explanation:

Ein Account kann ohne Passwort eingerichtet werden, wenn im Attribut „useraccountcontrol“ das Flag „PASSWD_NOTREQD“ auf „True“ gesetzt ist. Dies stellt ein hohes Sicherheitsrisiko dar, da der Account ohne Passwort überhaupt nicht geschützt ist

Advised Solution:

Die beste Lösung, um das Problem zu lösen, besteht darin, das Attribut "useraccountcontrol" aller Konten zu ändern, die es haben und die nicht in Trusts verwendet werden. Wenn das Flag entfernt wird, während kein Kennwort festgelegt ist, erhalten Sie einen Fehler. Sie können dies verwenden, um Konten ohne Passwörter zu erkennen. Beachten Sie, dass Sie alle Konten, an denen gearbeitet werden muss, mit dem folgenden PowerShell-Befehl manuell überprüfen können: get-adobject -ldapfilter "(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556. 1.4.803:=32))" -Eigenschaften Benutzerkontosteuerung

Title:

Verifique que cada cuenta requiera una contraseña

Description:

El propósito es garantizar que cada cuenta requiera una contraseña.

Technical Explanation:

Se puede configurar una cuenta sin contraseña si tiene el indicador "PASSWD_NOTREQD" configurado como "Verdadero" en el atributo "useraccountcontrol". Esto representa un alto riesgo de seguridad ya que la cuenta no está protegida en absoluto sin una contraseña.

Advised Solution:

La mejor solución para solucionar el problema es cambiar el atributo "useraccountcontrol" de todas las cuentas que lo tengan y que no se utilicen en fideicomisos. Si se elimina la bandera mientras no hay una contraseña configurada, tendrá un error. Puede usar esto para detectar cuentas sin contraseñas. Tenga en cuenta que puede verificar manualmente todas las cuentas en las que se debe trabajar con el siguiente comando de PowerShell: get-adobject -ldapfilter "(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556. 1.4.803:=32))" -propiedades control de cuenta de usuario

Points:

15 points if present

Documentation:

https://docs.microsoft.com/troubleshoot/windows-server/identity/useraccountcontrol-manipulate-account-properties
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R36 [subsection.3.6]

Check that there is no account with never-expiring passwords

Rule ID:

S-PwdNeverExpires

Description:

The purpose is to ensure that every account has a password which is compliant with password expiration policies

Technical Explanation:

Some accounts have passwords which never expire. Should an attacker compromise one of these accounts, he would be able to maintain long-term access to the Active Directory domain.

We have noted that some Linux servers, domain joined, are configured with a password which never expires.
This is a misconfiguration because a password change can be configured. It was however not the default on some plateform.
See one of the link below for more information.

Advised Solution:

In order to make Active Directory enforce periodic password change, accounts must not have the "Password never expires" flag set in the "Account" tab of the user properties. Their passwords should then be rolled immediately.
For services accounts, Windows provide the "managed service accounts" and "group managed service accounts" features to facilite the automatic change of passwords.
Please note that there is a document in the section below which references solutions for service accounts of well known products.
Also Linux servers should be configured with automatic machine account change.

Title:

Vérifiez qu'il n'y a pas de compte avec des mots de passe qui n'expirent jamais

Description:

L'objectif est de garantir que chaque compte dispose d'un mot de passe conforme aux politiques d'expiration des mots de passe.

Technical Explanation:

Certains comptes ont des mots de passe qui n'expirent jamais. Si un attaquant compromettait l'un de ces comptes, il serait en mesure de maintenir un accès à long terme au domaine Active Directory.

Nous avons remarqué que certains serveurs Linux, joints à un domaine, sont configurés avec un mot de passe qui n'expire jamais.
Il s'agit d'une mauvaise configuration car un changement de mot de passe peut être configuré. Ce n'était cependant pas la valeur par défaut sur certaines plateformes.
Voir l'un des liens ci-dessous pour plus d'informations.

Advised Solution:

Pour qu'Active Directory applique un changement de mot de passe périodique, les comptes ne doivent pas avoir l'indicateur "Le mot de passe n'expire jamais" défini dans l'onglet "Compte" des propriétés de l'utilisateur. Leurs mots de passe doivent alors être roulés immédiatement.
Pour les comptes de services, Windows fournit les fonctionnalités "comptes de services gérés" et "comptes de services gérés de groupe" pour faciliter le changement automatique des mots de passe.
Veuillez noter qu'il existe un document dans la section ci-dessous qui fait référence à des solutions pour les comptes de service de produits bien connus.
Les serveurs Linux doivent également être configurés avec un changement automatique de compte de machine.

Title:

Stellen Sie sicher, dass kein Konto mit nie ablaufenden Passwörtern vorhanden ist

Description:

Damit soll sichergestellt werden, dass jedes Konto über ein Passwort verfügt, das den Richtlinien für den Ablauf von Passwörtern entspricht

Technical Explanation:

Einige Konten haben Passwörter, die niemals ablaufen. Sollte ein Angreifer eines dieser Konten kompromittieren, wäre er in der Lage, langfristig Zugriff auf die Active Directory-Domäne zu erhalten.

Wir haben festgestellt, dass einige Linux-Server, die einer Domäne beigetreten sind, mit einem Kennwort konfiguriert sind, das niemals abläuft.
Dies ist eine Fehlkonfiguration, da eine Kennwortänderung konfiguriert werden kann. Es war jedoch nicht die Standardeinstellung auf einigen Plattformen.
Weitere Informationen finden Sie unter einem der folgenden Links.

Advised Solution:

Damit Active Directory regelmäßige Kennwortänderungen erzwingt, darf für Konten das Flag „Kennwort läuft nie ab“ auf der Registerkarte „Konto“ der Benutzereigenschaften nicht gesetzt sein. Ihre Passwörter sollten dann sofort gerollt werden.
Für Dienstkonten stellt Windows die Funktionen „verwaltete Dienstkonten“ und „gruppenverwaltete Dienstkonten“ bereit, um die automatische Änderung von Kennwörtern zu erleichtern.
Bitte beachten Sie, dass es im Abschnitt unten ein Dokument gibt, das auf Lösungen für Dienstkonten bekannter Produkte verweist.
Auch Linux-Server sollten mit automatischem Maschinenkontowechsel konfiguriert werden.

Title:

Verifique que no haya ninguna cuenta con contraseñas que nunca caduquen

Description:

El propósito es garantizar que cada cuenta tenga una contraseña que cumpla con las políticas de caducidad de contraseñas.

Technical Explanation:

Algunas cuentas tienen contraseñas que nunca caducan. Si un atacante pusiera en peligro una de estas cuentas, podría mantener el acceso a largo plazo al dominio de Active Directory.

Hemos notado que algunos servidores Linux, unidos a un dominio, están configurados con una contraseña que nunca caduca.
Esta es una configuración incorrecta porque se puede configurar un cambio de contraseña. Sin embargo, no era el predeterminado en algunas plataformas.
Consulte uno de los enlaces a continuación para obtener más información.

Advised Solution:

Para que Active Directory imponga cambios periódicos de contraseña, las cuentas no deben tener el indicador "La contraseña nunca caduca" establecido en la pestaña "Cuenta" de las propiedades del usuario. Sus contraseñas entonces deben cambiarse inmediatamente.
Para las cuentas de servicios, Windows proporciona las características de "cuentas de servicios administradas" y "cuentas de servicios administradas por grupos" para facilitar el cambio automático de contraseñas.
Tenga en cuenta que hay un documento en la sección a continuación que hace referencia a soluciones para cuentas de servicio de productos conocidos.
Además, los servidores Linux deben configurarse con cambio automático de cuenta de máquina.

Introduced in:

2.9.0.0

Points:

1 points if present

Documentation:

https://adsecurity.org/?p=4115
https://access.redhat.com/discusiones/1283873
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Accounts with never-expiring passwords (vuln2_dont_expire)2

Ensure that clients support Kerberos armoring when the domain functional level is at least Windows Server 2012

Rule ID:

S-KerberosArmoring

Description:

The purpose is to ensure that clients support Kerberos armoring when domain functional level is at least Windows Server 2012

Technical Explanation:

Kerberos Armoring is an optimization of the Kerberos protocol. It avoids the pre-authentication steps thus prohibiting pre-authentication attacks;
It is supported only starting Windows Server 2012 DC and Windows 8 workstations.
If Kerberos armoring is requested for other operating systems (such as Windows 7 or Linux), the Kerberos authentication protocol may refuse to work.

Advised Solution:

To enable Kerberos armoring for client, edit the GPO and go to Computer Configuration > Administrative Templates > System > Kerberos
then enable the policy "Kerberos client support for claims, compound authentication and Kerberos armoring".

Title:

Assurez-vous que les clients prennent en charge le blindage Kerberos lorsque le niveau fonctionnel du domaine est au moins Windows Server 2012

Description:

L'objectif est de garantir que les clients prennent en charge le blindage Kerberos lorsque le niveau fonctionnel du domaine est au moins Windows Server 2012

Technical Explanation:

Kerberos Armoring est une optimisation du protocole Kerberos. Il évite les étapes de pré-authentification interdisant ainsi les attaques de pré-authentification ;
Il est pris en charge uniquement à partir des postes de travail Windows Server 2012 DC et Windows 8.
Si le blindage Kerberos est demandé pour d'autres systèmes d'exploitation (tels que Windows 7 ou Linux), le protocole d'authentification Kerberos peut refuser de fonctionner.

Advised Solution:

Pour activer le blindage Kerberos pour le client, modifiez le GPO et accédez à Configuration ordinateur > Modèles d'administration > Système > Kerberos
puis activez la stratégie "Prise en charge du client Kerberos pour les revendications, l'authentification composée et le blindage Kerberos".

Title:

Stellen Sie sicher, dass Clients Kerberos Armoring unterstützen, wenn die Domänenfunktionsebene mindestens Windows Server 2012 ist

Description:

Damit soll sichergestellt werden, dass Clients Kerberos Armoring unterstützen, wenn die Domänenfunktionsebene mindestens Windows Server 2012 ist

Technical Explanation:

Kerberos Armoring ist eine Optimierung des Kerberos-Protokolls. Es vermeidet die Vorauthentifizierungsschritte und verbietet somit Vorauthentifizierungsangriffe;
Es wird nur beim Starten von Windows Server 2012 DC- und Windows 8-Workstations unterstützt.
Wenn für andere Betriebssysteme (z. B. Windows 7 oder Linux) Kerberos Armoring angefordert wird, funktioniert das Kerberos-Authentifizierungsprotokoll möglicherweise nicht.

Advised Solution:

Um die Kerberos-Armierung für den Client zu aktivieren, bearbeiten Sie das Gruppenrichtlinienobjekt und gehen Sie zu Computerkonfiguration > Administrative Vorlagen > System > Kerberos
Aktivieren Sie dann die Richtlinie "Kerberos-Clientunterstützung für Ansprüche, zusammengesetzte Authentifizierung und Kerberos-Panzerung".

Title:

Asegúrese de que los clientes admitan la protección de Kerberos cuando el nivel funcional del dominio sea al menos Windows Server 2012

Description:

El propósito es garantizar que los clientes admitan la protección de Kerberos cuando el nivel funcional del dominio es al menos Windows Server 2012.

Technical Explanation:

Kerberos Armoring es una optimización del protocolo Kerberos. Evita los pasos de autenticación previa, por lo que prohíbe los ataques de autenticación previa;
Solo se admite iniciar Windows Server 2012 DC y estaciones de trabajo con Windows 8.
Si se solicita la protección de Kerberos para otros sistemas operativos (como Windows 7 o Linux), el protocolo de autenticación de Kerberos puede negarse a funcionar.

Advised Solution:

Para habilitar la protección de Kerberos para el cliente, edite el GPO y vaya a Configuración de la computadora > Plantillas administrativas > Sistema > Kerberos
luego habilite la política "Soporte de cliente de Kerberos para reclamos, autenticación compuesta y blindaje de Kerberos".

Introduced in:

2.11.1.0

Points:

Informative rule (0 point)

Documentation:

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831747(v=ws.11)
https://pupuweb.com/resuelto-cómo-habilitar-kerberos-armoring-eap-fast-ad/
[MITRE]T1558 Steal or Forge Kerberos Tickets

Ensure that DC supports Kerberos armoring when functional level is at least Windows Server 2012

Rule ID:

S-KerberosArmoringDC

Description:

The purpose is to ensure that DC supports Kerberos armoring when functional level is at least Windows Server 2012

Technical Explanation:

Kerberos Armoring is an optimization of the Kerberos protocol. It avoids the pre-authentication steps and thereby prevents pre-authentication attacks.
It is supported only starting Windows Server 2012 DC and Windows 8 workstations.
If Kerberos Armoring is requested for other operating systems (such as Windows 7 or Linux), the Kerberos authentication protocol may refuse to work.

Advised Solution:

To enable Kerberos armoring for domain controllers, edit the GPO and go to Computer Configuration > Administrative Templates > System > KDC
then enable the policy "KDC support for claims, compound authentication and Kerberos armoring".
The policy should be set to at least "Supported".

The safest settings is "Fail authentication requests when Kerberos armoring is not available" but it should be enabled only if the clients support Kerberos armoring.

Title:

Assurez-vous que DC prend en charge le blindage Kerberos lorsque le niveau fonctionnel est au moins Windows Server 2012

Description:

Le but est de s'assurer que DC prend en charge le blindage Kerberos lorsque le niveau fonctionnel est au moins Windows Server 2012

Technical Explanation:

Kerberos Armoring est une optimisation du protocole Kerberos. Il évite les étapes de pré-authentification et empêche ainsi les attaques de pré-authentification.
Il est pris en charge uniquement à partir des postes de travail Windows Server 2012 DC et Windows 8.
Si Kerberos Armoring est demandé pour d'autres systèmes d'exploitation (tels que Windows 7 ou Linux), le protocole d'authentification Kerberos peut refuser de fonctionner.

Advised Solution:

Pour activer le blindage Kerberos pour les contrôleurs de domaine, modifiez le GPO et accédez à Configuration ordinateur > Modèles d'administration > Système > KDC
puis activez la stratégie "Prise en charge du KDC pour les revendications, l'authentification composée et le blindage Kerberos".
La règle doit être au moins définie sur "Prise en charge".

Le paramètre le plus sûr est "Échec des demandes d'authentification lorsque le blindage Kerberos n'est pas disponible", mais il ne doit être activé que si les clients prennent en charge le blindage Kerberos.

Title:

Stellen Sie sicher, dass DC Kerberos Armoring unterstützt, wenn die Funktionsebene mindestens Windows Server 2012 ist

Description:

Der Zweck besteht darin, sicherzustellen, dass DC Kerberos Armoring unterstützt, wenn die Funktionsebene mindestens Windows Server 2012 ist

Technical Explanation:

Kerberos Armoring ist eine Optimierung des Kerberos-Protokolls. Es vermeidet die Vorauthentifizierungsschritte und verhindert dadurch Vorauthentifizierungsangriffe.
Es wird nur beim Starten von Windows Server 2012 DC- und Windows 8-Workstations unterstützt.
Wenn Kerberos Armoring für andere Betriebssysteme (z. B. Windows 7 oder Linux) angefordert wird, funktioniert das Kerberos-Authentifizierungsprotokoll möglicherweise nicht.

Advised Solution:

Um die Kerberos-Armierung für Domänencontroller zu aktivieren, bearbeiten Sie das Gruppenrichtlinienobjekt und gehen Sie zu Computerkonfiguration > Administrative Vorlagen > System > KDC
Aktivieren Sie dann die Richtlinie „KDC-Unterstützung für Ansprüche, zusammengesetzte Authentifizierung und Kerberos-Armierung“.
Die Richtlinie sollte mindestens auf "Unterstützt" eingestellt sein.

Die sicherste Einstellung ist „Authentifizierungsanfragen fehlschlagen, wenn Kerberos Armoring nicht verfügbar ist“, aber sie sollte nur aktiviert werden, wenn die Clients Kerberos Armoring unterstützen.

Title:

Asegúrese de que DC admita la protección de Kerberos cuando el nivel funcional sea al menos Windows Server 2012

Description:

El propósito es garantizar que DC sea compatible con la armadura de Kerberos cuando el nivel funcional sea al menos Windows Server 2012.

Technical Explanation:

Kerberos Armoring es una optimización del protocolo Kerberos. Evita los pasos de autenticación previa y, por lo tanto, previene los ataques de autenticación previa.
Solo se admite iniciar Windows Server 2012 DC y estaciones de trabajo con Windows 8.
Si se solicita Kerberos Armoring para otros sistemas operativos (como Windows 7 o Linux), el protocolo de autenticación Kerberos puede negarse a funcionar.

Advised Solution:

Para habilitar la protección de Kerberos para los controladores de dominio, edite el GPO y vaya a Configuración de la computadora > Plantillas administrativas > Sistema > KDC
luego habilite la política "Soporte de KDC para reclamos, autenticación compuesta y blindaje de Kerberos".
La política debe establecerse al menos en "Compatible".

La configuración más segura es "Solicitudes de autenticación fallidas cuando el blindaje de Kerberos no está disponible", pero debe habilitarse solo si los clientes admiten el blindaje de Kerberos.

Introduced in:

2.11.1.0

Points:

Informative rule (0 point)

Documentation:

Search for Java schema extension RFC 2713

Rule ID:

S-JavaSchema

Description:

The purpose is to ensure that there is no Java schema extension

Technical Explanation:

The Log4shell vulnerability abused the fact that log4j could load objects via a special string containing JNDI load instructions.
This load instruction refers to many protocols such as CORBA, DNS, ... but also LDAP.
This rule checks if the RFC 2713 schema extension, which allows the representation of Java objects in the AD, has been applied.
More precisely it checks if the schema contains the Java attributes javacodebase, javafactory, javaclassname, javaremotelocation or javaserializeddata.

If the attributes have been found in the schema, the program reports if one of these attributes have been found on enabled user accounts.

Advised Solution:

Unfortuntaly there can be legit cases to use these Java attributes, that's why this rule is set to "informative" only.
The recommended way to deal with this situation, is to either make sure that no objects are using these attributes, or to set the value com.sun.jndi.ldap.object.trustURLCodebase to "false" in ALL your Java code.
PingCastle is displaying the active users having these Java attributes set in the Detail section.

If you want to disable the Java extension you can proceed by setting each Java attributes to defunct.
See the following procedure on how to disable existing schema attributes: https://docs.microsoft.com/en-us/windows/win32/ad/disabling-existing-classes-and-attributes

Title:

Rechercher l'extension de schéma Java RFC 2713

Description:

Le but est de s'assurer qu'il n'y a pas d'extension de schéma Java

Technical Explanation:

La vulnérabilité Log4shell a abusé du fait que log4j pouvait charger des objets via une chaîne spéciale contenant des instructions de chargement JNDI.
Cette instruction de chargement fait référence à de nombreux protocoles tels que CORBA, DNS, ... mais aussi LDAP.
Cette règle vérifie si l'extension de schéma RFC 2713, qui permet la représentation d'objets Java dans l'AD, a été appliquée.
Plus précisément, il vérifie si le schéma contient les attributs Java javacodebase, javafactory, javaclassname, javaremotelocation ou javaserializeddata.

Si les attributs ont été trouvés dans le schéma, le programme signale si l'un de ces attributs a été trouvé sur les comptes d'utilisateurs activés.

Advised Solution:

Malheureusement, il peut y avoir des cas légitimes d'utilisation de ces attributs Java, c'est pourquoi cette règle est définie sur "informatif" uniquement.
La méthode recommandée pour gérer cette situation consiste soit à s'assurer qu'aucun objet n'utilise ces attributs, soit à définir la valeur com.sun.jndi.ldap.object.trustURLCodebase sur "false" dans TOUT votre code Java.
PingCastle affiche les utilisateurs actifs ayant ces attributs Java définis dans la section Détail.

Si vous souhaitez désactiver l'extension Java, vous pouvez continuer en définissant chaque attribut Java sur défunt.
Consultez la procédure suivante pour savoir comment désactiver les attributs de schéma existants : https://docs.microsoft.com/en-us/windows/win32/ad/disabling-existing-classes-and-attributes

Title:

Suchen Sie nach der Java-Schemaerweiterung RFC 2713

Description:

Damit soll sichergestellt werden, dass keine Java-Schemaerweiterung vorhanden ist

Technical Explanation:

Die Log4shell-Schwachstelle missbrauchte die Tatsache, dass log4j Objekte über eine spezielle Zeichenfolge laden konnte, die JNDI-Ladeanweisungen enthielt.
Diese Ladeanweisung bezieht sich auf viele Protokolle wie CORBA, DNS, ... aber auch LDAP.
Diese Regel prüft, ob die Schemaerweiterung RFC 2713, die die Darstellung von Java-Objekten im AD erlaubt, angewendet wurde.
Genauer gesagt prüft es, ob das Schema die Java-Attribute javacodebase, javafactory, javaclassname, javaremotelocation oder javaserializeddata enthält.

Wenn die Attribute im Schema gefunden wurden, meldet das Programm, ob eines dieser Attribute bei aktivierten Benutzerkonten gefunden wurde.

Advised Solution:

Leider kann es legitime Fälle geben, diese Java-Attribute zu verwenden, deshalb ist diese Regel nur auf "informativ" gesetzt.
Um mit dieser Situation umzugehen, sollten Sie entweder sicherstellen, dass keine Objekte diese Attribute verwenden, oder den Wert com.sun.jndi.ldap.object.trustURLCodebase in Ihrem GESAMTEN Java-Code auf „false“ setzen.
PingCastle zeigt die aktiven Benutzer an, die diese Java-Attribute im Abschnitt „Details“ festgelegt haben.

Wenn Sie die Java-Erweiterung deaktivieren möchten, können Sie fortfahren, indem Sie alle Java-Attribute auf deaktiviert setzen.
Informationen zum Deaktivieren vorhandener Schemaattribute finden Sie im folgenden Verfahren: https://docs.microsoft.com/en-us/windows/win32/ad/disabling-existing-classes-and-attributes

Title:

Busque la extensión de esquema Java RFC 2713

Description:

El propósito es garantizar que no haya una extensión de esquema Java

Technical Explanation:

La vulnerabilidad de Log4shell abusó del hecho de que log4j podía cargar objetos a través de una cadena especial que contenía instrucciones de carga JNDI.
Esta instrucción de carga se refiere a muchos protocolos como CORBA, DNS, ... pero también a LDAP.
Esta regla comprueba si se ha aplicado la extensión de esquema RFC 2713, que permite la representación de objetos Java en el AD.
Más precisamente, comprueba si el esquema contiene los atributos Java javacodebase, javafactory, javaclassname, javaremotelocation o javaserializeddata.

Si los atributos se han encontrado en el esquema, el programa informa si alguno de estos atributos se ha encontrado en las cuentas de usuario habilitadas.

Advised Solution:

Desafortunadamente, puede haber casos legítimos para usar estos atributos de Java, es por eso que esta regla se establece solo como "informativa".
La forma recomendada de lidiar con esta situación es asegurarse de que ningún objeto esté usando estos atributos o establecer el valor com.sun.jndi.ldap.object.trustURLCodebase en "falso" en TODO su código Java.
PingCastle muestra los usuarios activos que tienen estos atributos de Java establecidos en la sección Detalle.

Si desea deshabilitar la extensión de Java, puede continuar configurando cada atributo de Java para que desaparezca.
Consulte el siguiente procedimiento sobre cómo deshabilitar los atributos de esquema existentes: https://docs.microsoft.com/en-us/windows/win32/ad/disabling-existing-classes-and-attributes

Introduced in:

2.10.1.0

Points:

Informative rule (0 point)

Documentation:

https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE.pdf
https://datatracker.ietf.org/doc/html/rfc2713
https://docs.oracle.com/cd/E19424-01/820-4813/6ng8jv82s/index.html
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

SIDHistory check

Rule ID:

S-SIDHistory

Description:

The purpose is to ensure that a migration has been completed correctly and that the SIDHistory attribute has been cleared out from user and computer accounts. This attribute is indeed set when migrating a user or a computer from one domain to another

Technical Explanation:

The SIDHistory attribute is useful when doing a migration because it allows to keep the reference to the former account. On the other hand, once the migration is over, it is mandatory that this attribute is removed to evaluate the permissions in regards with the new account and not the former one.

Advised Solution:

To solve the security issue, you should remove all the SIDHistory attributes. To do so, you can list the objects having a SIDHistory attribute using the command: get-ADObject -ldapfilter "(sidhistory=*)" -properties sidhistory.
Each security descriptor of the domain, including file shares for example, should be reviewed to be rewritten with the new SID of the account. Then, the attribute can be removed of these accounts using the migration tool or a PowerShell snippet Remove-SIDHistory once the migration is completed.

Please note that once the SID History has been removed, it cannot be added back again without doing a real migration. Possibly hacking tools such as mimikatz could be used to undo a deletion with for example the lsadump::dcshadow attack.

To remove the SIDHistory from a user account, run:
Get-ADUser USERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
For a group, run:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
For all users in a OU:
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Vérification de l'historique SIDH

Description:

L'objectif est de s'assurer qu'une migration a été effectuée correctement et que l'attribut SIDHistory a été effacé des comptes d'utilisateurs et d'ordinateurs. Cet attribut est en effet défini lors de la migration d'un utilisateur ou d'un ordinateur d'un domaine vers un autre

Technical Explanation:

L'attribut SIDHistory est utile lors d'une migration car il permet de conserver la référence à l'ancien compte. En revanche, une fois la migration terminée, il est obligatoire de supprimer cet attribut pour évaluer les permissions en regard du nouveau compte et non de l'ancien.

Advised Solution:

Pour résoudre le problème de sécurité, vous devez supprimer tous les attributs SIDHistory. Pour cela, vous pouvez lister les objets ayant un attribut SIDHistory à l'aide de la commande : get-ADObject -ldapfilter "(sidhistory=*)" -properties sidhistory.
Chaque descripteur de sécurité du domaine, y compris les partages de fichiers par exemple, doit être revu pour être réécrit avec le nouveau SID du compte. Ensuite, l'attribut peut être supprimé de ces comptes à l'aide de l'outil de migration ou d'un extrait PowerShell Remove-SIDHistory une fois la migration terminée.

Veuillez noter qu'une fois l'historique SID supprimé, il ne peut pas être rajouté sans effectuer une véritable migration. Des outils de piratage tels que mimikatz pourraient éventuellement être utilisés pour annuler une suppression avec par exemple l'attaque lsadump::dcshadow.

Pour supprimer SIDHistory d'un compte utilisateur, exécutez :
Get-ADUser USERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Pour un groupe, exécutez :
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Pour tous les utilisateurs d'une unité d'organisation :
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

SIDHistory-Check

Description:

Damit soll sichergestellt werden, dass eine Migration korrekt abgeschlossen und das SIDHistory-Attribut aus Benutzer- und Computerkonten gelöscht wurde. Dieses Attribut wird tatsächlich gesetzt, wenn ein Benutzer oder ein Computer von einer Domäne in eine andere migriert wird

Technical Explanation:

Das SIDHistory-Attribut ist nützlich, wenn Sie eine Migration durchführen, da es ermöglicht, den Verweis auf das frühere Konto beizubehalten. Andererseits ist es nach Abschluss der Migration zwingend erforderlich, dass dieses Attribut entfernt wird, um die Berechtigungen in Bezug auf das neue Konto und nicht das vorherige Konto auszuwerten.

Advised Solution:

Um das Sicherheitsproblem zu lösen, sollten Sie alle SIDHistory-Attribute entfernen. Dazu können Sie die Objekte mit einem SIDHistory-Attribut mit dem folgenden Befehl auflisten: get-ADObject -ldapfilter "(sidhistory=*)" -properties sidhistory.
Jede Sicherheitsbeschreibung der Domäne, einschließlich beispielsweise Dateifreigaben, sollte überprüft werden, um mit der neuen SID des Kontos neu geschrieben zu werden. Anschließend kann das Attribut von diesen Konten mit dem Migrationstool oder einem PowerShell-Snippet Remove-SIDHistory entfernt werden, sobald die Migration abgeschlossen ist.

Bitte beachten Sie, dass der einmal entfernte SID-Verlauf nicht wieder hinzugefügt werden kann, ohne eine echte Migration durchzuführen. Möglicherweise könnten Hacker-Tools wie mimikatz verwendet werden, um eine Löschung beispielsweise mit dem lsadump::dcshadow-Angriff rückgängig zu machen.

Um die SIDHistory von einem Benutzerkonto zu entfernen, führen Sie Folgendes aus:
Get-ADUser BENUTZERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Führen Sie für eine Gruppe Folgendes aus:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Für alle Benutzer in einer OU:
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Comprobación del historial SID

Description:

El propósito es garantizar que una migración se haya completado correctamente y que el atributo SIDHistory se haya borrado de las cuentas de usuario y computadora. De hecho, este atributo se establece al migrar un usuario o una computadora de un dominio a otro

Technical Explanation:

El atributo SIDHistory es útil a la hora de realizar una migración porque permite mantener la referencia a la cuenta anterior. Por otro lado, una vez finalizada la migración, es obligatorio que se elimine este atributo para evaluar los permisos con respecto a la nueva cuenta y no a la anterior.

Advised Solution:

Para resolver el problema de seguridad, debe eliminar todos los atributos de SIDHistory. Para hacerlo, puede listar los objetos que tienen un atributo SIDHistory usando el comando: get-ADObject -ldapfilter "(sidhistory=*)" -properties sidhistory.
Cada descriptor de seguridad del dominio, incluidos los recursos compartidos de archivos, por ejemplo, debe revisarse para reescribirse con el nuevo SID de la cuenta. Luego, el atributo se puede eliminar de estas cuentas mediante la herramienta de migración o un fragmento de código de PowerShell Remove-SIDHistory una vez que se complete la migración.

Tenga en cuenta que una vez que se eliminó el historial de SID, no se puede volver a agregar sin realizar una migración real. Posiblemente se podrían usar herramientas de piratería como mimikatz para deshacer una eliminación con, por ejemplo, el ataque lsadump::dcshadow.

Para eliminar SIDHistory de una cuenta de usuario, ejecute:
Get-ADUser NOMBRE DE USUARIO -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Para un grupo, ejecute:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Para todos los usuarios en una unidad organizativa:
Get-ADUser -SearchBase "OU=Cuentas,DC=midominio,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Points:

5 points per discovery with a minimal of 15 points

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[MITRE]T1134.005 Access Token Manipulation: SID-History Injection
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R15 [paragraph.3.3.1.5]

Obsolete OS

Operating systems have a life-cycle where its manufacturer provides patches. If the operating system is not supported anymore, vulnerabilities are not fixed anymore.

Title (fr-FR): Obsolete OS

Description (fr-FR): Les systèmes d'exploitation ont un cycle de vie où son fabricant fournit des correctifs. Si le système d'exploitation n'est plus pris en charge, les vulnérabilités ne sont plus corrigées.

Title (de-DE): Obsolete OS

Description (de-DE): Betriebssysteme haben einen Lebenszyklus, in dem der Hersteller Patches bereitstellt. Wenn das Betriebssystem nicht mehr unterstützt wird, werden Schwachstellen nicht mehr behoben.

Title (es-ES): Obsolete OS

Description (es-ES): Los sistemas operativos tienen un ciclo de vida en el que su fabricante proporciona parches. Si el sistema operativo ya no es compatible, las vulnerabilidades ya no se corrigen.

Ensure that the functional level of the domain and the forest are up to date to use the latest security features

Rule ID:

S-FunctionalLevel4

Description:

The purpose is checking the functional level of the domain and the forest, and ensure it is set to the latest secure version

Technical Explanation:

Each functional level brings new security features:
* functional level Windows Server 2003: brings forest trusts and read-only domain controller (RODC) support;
* functional level Windows Server 2008: brings support for modern cryptographic algorithms such as AES and DFS for SYSVOL share replication;
* functional level Windows Server 2008R2: brings support for Active Directory Recycle Bin (protects objects against accidental deletion);
* functional level Windows Server 2012: brings advanced Kerberos features, such as compound authentication and claims support;
* functional level Windows Server 2012R2: brings numerous new security features such as authentication policies, authentication policy silos and the Protected users group;
* functional level Windows Server 2016 / 2019 / 2022: brings an upgraded smart card logon security and Privileged Identity Management (PIM) trust relationships between forests.

Advised Solution:

You have to raise the functional level of the domain or the forest (see the details to know if the domain and/or forest is concerned).
The recommended level is the functional level 7 (Windows Server 2016 / 2019 / 2022)

To upgrade the functional level, a requirement is that all domain controllers are running the right version.
Also, functional level needs to be upgraded level by level.

Title:

Assurez-vous que le niveau fonctionnel du domaine et de la forêt sont à jour pour utiliser les dernières fonctionnalités de sécurité

Description:

L'objectif est de vérifier le niveau fonctionnel du domaine et de la forêt, et de s'assurer qu'il est défini sur la dernière version sécurisée

Technical Explanation:

Chaque niveau fonctionnel apporte de nouvelles fonctionnalités de sécurité :
* Windows Server 2003 au niveau fonctionnel : apporte la prise en charge des approbations de forêt et du contrôleur de domaine en lecture seule (RODC) ;
* niveau fonctionnel Windows Server 2008 : prend en charge les algorithmes cryptographiques modernes tels que AES et DFS pour la réplication de partage SYSVOL ;
* niveau fonctionnel Windows Server 2008R2 : prend en charge la corbeille Active Directory (protège les objets contre la suppression accidentelle) ;
* niveau fonctionnel Windows Server 2012 : apporte des fonctionnalités avancées de Kerberos, telles que l'authentification composée et la prise en charge des revendications ;
* niveau fonctionnel Windows Server 2012R2 : apporte de nombreuses nouvelles fonctionnalités de sécurité telles que les politiques d'authentification, les silos de politiques d'authentification et le groupe d'utilisateurs protégés ;
* niveau fonctionnel Windows Server 2016 / 2019 / 2022 : apporte une sécurité de connexion par carte à puce améliorée et des relations de confiance Privileged Identity Management (PIM) entre les forêts.

Advised Solution:

Il faut remonter le niveau fonctionnel du domaine ou de la forêt (voir le détail pour savoir si le domaine et/ou la forêt est concerné).
Le niveau recommandé est le niveau fonctionnel 7 (Windows Server 2016 / 2019 / 2022)

Pour mettre à niveau le niveau fonctionnel, une exigence est que tous les contrôleurs de domaine exécutent la bonne version.
En outre, le niveau fonctionnel doit être mis à niveau niveau par niveau.

Title:

Stellen Sie sicher, dass die Funktionsebene der Domäne und der Gesamtstruktur auf dem neuesten Stand sind, um die neuesten Sicherheitsfunktionen zu verwenden

Description:

Der Zweck besteht darin, die Funktionsebene der Domäne und der Gesamtstruktur zu überprüfen und sicherzustellen, dass sie auf die neueste sichere Version eingestellt ist

Technical Explanation:

Jede Funktionsebene bringt neue Sicherheitsfunktionen:
* Funktionsebene Windows Server 2003: bringt Gesamtstruktur-Vertrauensstellungen und Unterstützung für schreibgeschützte Domänencontroller (RODC);
* Funktionsebene Windows Server 2008: bringt Unterstützung für moderne kryptografische Algorithmen wie AES und DFS für die Replikation von SYSVOL-Freigaben;
* Funktionsebene Windows Server 2008R2: bringt Unterstützung für Active Directory Papierkorb (schützt Objekte vor versehentlichem Löschen);
* Funktionsebene Windows Server 2012: bringt erweiterte Kerberos-Features wie zusammengesetzte Authentifizierung und Anspruchsunterstützung;
* Funktionsebene Windows Server 2012R2: bringt zahlreiche neue Sicherheitsfunktionen wie Authentifizierungsrichtlinien, Authentifizierungsrichtliniensilos und die Gruppe der geschützten Benutzer;
* Funktionsebene Windows Server 2016 / 2019 / 2022: bringt eine verbesserte Smartcard-Anmeldesicherheit und Privileged Identity Management (PIM)-Vertrauensbeziehungen zwischen Gesamtstrukturen.

Advised Solution:

Sie müssen die Funktionsebene der Domäne oder des Waldes erhöhen (sehen Sie die Details, um zu erfahren, ob die Domäne und/oder der Wald betroffen sind).
Die empfohlene Ebene ist die Funktionsebene 7 (Windows Server 2016 / 2019 / 2022)

Voraussetzung für das Upgrade der Funktionsebene ist, dass auf allen Domänencontrollern die richtige Version ausgeführt wird.
Außerdem muss die Funktionsebene Ebene für Ebene aktualisiert werden.

Title:

Asegúrese de que el nivel funcional del dominio y el bosque estén actualizados para usar las funciones de seguridad más recientes

Description:

El propósito es verificar el nivel funcional del dominio y el bosque, y asegurarse de que esté configurado con la última versión segura.

Technical Explanation:

Cada nivel funcional trae nuevas características de seguridad:
* Windows Server 2003 de nivel funcional: brinda compatibilidad con bosques y controlador de dominio de solo lectura (RODC);
* nivel funcional Windows Server 2008: brinda soporte para algoritmos criptográficos modernos como AES y DFS para la replicación compartida de SYSVOL;
* nivel funcional Windows Server 2008R2: brinda soporte para la papelera de reciclaje de Active Directory (protege los objetos contra la eliminación accidental);
* Windows Server 2012 de nivel funcional: ofrece funciones avanzadas de Kerberos, como autenticación compuesta y compatibilidad con notificaciones;
* nivel funcional Windows Server 2012R2: trae numerosas funciones de seguridad nuevas, como políticas de autenticación, silos de políticas de autenticación y el grupo de usuarios protegidos;
* Nivel funcional Windows Server 2016/2019/2022: trae una seguridad de inicio de sesión de tarjeta inteligente mejorada y relaciones de confianza de administración de identidad privilegiada (PIM) entre bosques.

Advised Solution:

Hay que subir el nivel funcional del dominio o del bosque (ver los detalles para saber si se trata del dominio y/o del bosque).
El nivel recomendado es el nivel funcional 7 (Windows Server 2016/2019/2022)

Para actualizar el nivel funcional, un requisito es que todos los controladores de dominio estén ejecutando la versión correcta.
Además, el nivel funcional debe actualizarse nivel por nivel.

Introduced in:

2.11.2.0

Points:

Informative rule (0 point)

Documentation:

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-function-levels
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/identifying-your-funcional-level-upgrade
https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/raise-active-directory-domain-forest-funcional-levels
[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI - Insufficient forest and domains functional levels (vuln3_vuln_functional_level)3

Ensure that the functional level of the domain and the forest are up to date to use the latest security features

Rule ID:

S-FunctionalLevel3

Description:

The purpose is checking the functional level of the domain and the forest, and ensure it is set to the latest secure version

Technical Explanation:

Advised Solution:

Title:

Assurez-vous que le niveau fonctionnel du domaine et de la forêt sont à jour pour utiliser les dernières fonctionnalités de sécurité

Description:

L'objectif est de vérifier le niveau fonctionnel du domaine et de la forêt, et de s'assurer qu'il est défini sur la dernière version sécurisée

Technical Explanation:

Advised Solution:

Title:

Stellen Sie sicher, dass die Funktionsebene der Domäne und der Gesamtstruktur auf dem neuesten Stand sind, um die neuesten Sicherheitsfunktionen zu verwenden

Description:

Der Zweck besteht darin, die Funktionsebene der Domäne und der Gesamtstruktur zu überprüfen und sicherzustellen, dass sie auf die neueste sichere Version eingestellt ist

Technical Explanation:

Advised Solution:

Title:

Asegúrese de que el nivel funcional del dominio y el bosque estén actualizados para usar las funciones de seguridad más recientes

Description:

El propósito es verificar el nivel funcional del dominio y el bosque, y asegurarse de que esté configurado con la última versión segura.

Technical Explanation:

Advised Solution:

Introduced in:

2.11.2.0

Points:

Informative rule (0 point)

Documentation:

Ensure that the functional level of the domain and the forest are up to date to use the latest security features

Rule ID:

S-FunctionalLevel1

Description:

The purpose is checking the functional level of the domain and the forest, and ensure it is set to the latest secure version

Technical Explanation:

Each functional level brings new security features:
* functional level Windows Server 2003: brings forest trusts and read-only domain controller (RODC) support;
* functional level Windows Server 2008: brings support for modern cryptographic algorithms such as AES and DFS for SYSVOL shared replication;
* functional level Windows Server 2008R2: brings support for Active Directory Recycle Bin (protects objects against accidental deletion);
* functional level Windows Server 2012: brings advanced Kerberos features, such as compound authentication and claims support;
* functional level Windows Server 2012R2: brings numerous new security features such as authentication policies, authentication policy silos and the Protected users group;
* functional level Windows Server 2016 / 2019 / 2022: brings an upgraded smart card logon security and Privileged Identity Management (PIM) trust relationships between forests.

Advised Solution:

Title:

Assurez-vous que le niveau fonctionnel du domaine et de la forêt sont à jour pour utiliser les dernières fonctionnalités de sécurité

Description:

L'objectif est de vérifier le niveau fonctionnel du domaine et de la forêt, et de s'assurer qu'il est défini sur la dernière version sécurisée

Technical Explanation:

Chaque niveau fonctionnel apporte de nouvelles fonctionnalités de sécurité :
* Windows Server 2003 au niveau fonctionnel : apporte la prise en charge des approbations de forêt et du contrôleur de domaine en lecture seule (RODC) ;
* niveau fonctionnel Windows Server 2008 : prend en charge les algorithmes cryptographiques modernes tels que AES et DFS pour la réplication partagée SYSVOL ;
* niveau fonctionnel Windows Server 2008R2 : prend en charge la corbeille Active Directory (protège les objets contre la suppression accidentelle) ;
* niveau fonctionnel Windows Server 2012 : apporte des fonctionnalités avancées de Kerberos, telles que l'authentification composée et la prise en charge des revendications ;
* niveau fonctionnel Windows Server 2012R2 : apporte de nombreuses nouvelles fonctionnalités de sécurité telles que les politiques d'authentification, les silos de politiques d'authentification et le groupe d'utilisateurs protégés ;
* niveau fonctionnel Windows Server 2016 / 2019 / 2022 : apporte une sécurité de connexion par carte à puce améliorée et des relations de confiance Privileged Identity Management (PIM) entre les forêts.

Advised Solution:

Title:

Stellen Sie sicher, dass die Funktionsebene der Domäne und der Gesamtstruktur auf dem neuesten Stand sind, um die neuesten Sicherheitsfunktionen zu verwenden

Description:

Der Zweck besteht darin, die Funktionsebene der Domäne und der Gesamtstruktur zu überprüfen und sicherzustellen, dass sie auf die neueste sichere Version eingestellt ist

Technical Explanation:

Jede Funktionsebene bringt neue Sicherheitsfunktionen:
* Funktionsebene Windows Server 2003: bringt Gesamtstruktur-Vertrauensstellungen und Unterstützung für schreibgeschützte Domänencontroller (RODC);
* Funktionsebene Windows Server 2008: bringt Unterstützung für moderne kryptografische Algorithmen wie AES und DFS für die gemeinsame SYSVOL-Replikation;
* Funktionsebene Windows Server 2008R2: bringt Unterstützung für Active Directory Papierkorb (schützt Objekte vor versehentlichem Löschen);
* Funktionsebene Windows Server 2012: bringt erweiterte Kerberos-Features wie zusammengesetzte Authentifizierung und Anspruchsunterstützung;
* Funktionsebene Windows Server 2012R2: bringt zahlreiche neue Sicherheitsfunktionen wie Authentifizierungsrichtlinien, Authentifizierungsrichtliniensilos und die Gruppe der geschützten Benutzer;
* Funktionsebene Windows Server 2016 / 2019 / 2022: bringt eine verbesserte Smartcard-Anmeldesicherheit und Privileged Identity Management (PIM)-Vertrauensbeziehungen zwischen Gesamtstrukturen.

Advised Solution:

Title:

Asegúrese de que el nivel funcional del dominio y el bosque estén actualizados para usar las funciones de seguridad más recientes

Description:

El propósito es verificar el nivel funcional del dominio y el bosque, y asegurarse de que esté configurado con la última versión segura.

Technical Explanation:

Advised Solution:

Introduced in:

2.11.2.0

Points:

5 points if present

Documentation:

Obsolete Domain Controller (Windows 2000)

Rule ID:

S-DC-2000

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows 2000 as Domain Controller within the domain

Technical Explanation:

The OS Windows 2000 as a DC is vulnerable to many publicly known exploits such as MS17-010 or MS14-068 and it can no longer be patched. A domain running this OS version should be considered compromised

Advised Solution:

To resolve this security risk, the only way is to decommission DC running Windows 2000 OS, in order to use new versions that are more secured and that are still being patched regarding new security threats

Title:

Contrôleur de domaine obsolète (Windows 2000)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows 2000 en tant que contrôleur de domaine dans le domaine

Technical Explanation:

Le système d'exploitation Windows 2000 en tant que contrôleur de domaine est vulnérable à de nombreux exploits connus du public tels que MS17-010 ou MS14-068 et il ne peut plus être corrigé. Un domaine exécutant cette version du système d'exploitation doit être considéré comme compromis

Advised Solution:

Pour résoudre ce risque de sécurité, le seul moyen est de mettre hors service le DC exécutant le système d'exploitation Windows 2000, afin d'utiliser de nouvelles versions plus sécurisées et qui font toujours l'objet de correctifs concernant les nouvelles menaces de sécurité.

Title:

Veralteter Domänencontroller (Windows 2000)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows 2000 nicht als Domänencontroller innerhalb der Domäne verwendet wird

Technical Explanation:

Das Betriebssystem Windows 2000 als DC ist anfällig für viele öffentlich bekannte Exploits wie MS17-010 oder MS14-068 und kann nicht mehr gepatcht werden. Eine Domäne, auf der diese Betriebssystemversion ausgeführt wird, sollte als kompromittiert betrachtet werden

Advised Solution:

Um dieses Sicherheitsrisiko zu beheben, besteht die einzige Möglichkeit darin, DC mit dem Betriebssystem Windows 2000 außer Betrieb zu nehmen, um neue Versionen zu verwenden, die sicherer sind und die noch hinsichtlich neuer Sicherheitsbedrohungen gepatcht werden

Title:

Controlador de dominio obsoleto (Windows 2000)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows 2000 como controlador de dominio dentro del dominio.

Technical Explanation:

El sistema operativo Windows 2000 como controlador de dominio es vulnerable a muchos exploits conocidos públicamente, como MS17-010 o MS14-068, y ya no se puede parchear. Un dominio que ejecuta esta versión del sistema operativo debe considerarse comprometido

Advised Solution:

Para resolver este riesgo de seguridad, la única forma es desmantelar DC que ejecuta el sistema operativo Windows 2000, para poder usar nuevas versiones que sean más seguras y que aún se estén parcheando con respecto a las nuevas amenazas de seguridad.

Points:

40 points if present

Documentation:

[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R12 [subsection.3.1]
[US]STIG V-8551 - The domain functional level must be at a Windows Server version still supported by Microsoft.
[MITRE]Mitre Att&ck - Mitigation - Update Software

Obsolete Domain Controller (Windows Server 2003)

Rule ID:

S-DC-2003

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows Server 2003 as Domain Controller within the domain

Technical Explanation:

The OS Windows Server 2003 as a DC is vulnerable to many publicly known exploits such as MS14-068 and it is very complicated to patch it at this date. A domain running this OS version should be considered compromised

Advised Solution:

To resolve this security risk, the only way is to decommission DC running Windows Server 2003 OS, in order to use new versions that are more secured and that are still being patched regarding new security threats

Title:

Contrôleur de domaine obsolète (Windows Server 2003)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows Server 2003 en tant que contrôleur de domaine dans le domaine

Technical Explanation:

L'OS Windows Server 2003 en tant que DC est vulnérable à de nombreux exploits publiquement connus tels que MS14-068 et il est très compliqué de le patcher à ce jour. Un domaine exécutant cette version du système d'exploitation doit être considéré comme compromis

Advised Solution:

Pour résoudre ce risque de sécurité, le seul moyen est de mettre hors service le DC exécutant le système d'exploitation Windows Server 2003, afin d'utiliser de nouvelles versions plus sécurisées et qui font toujours l'objet de correctifs concernant les nouvelles menaces de sécurité.

Title:

Veralteter Domänencontroller (Windows Server 2003)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows Server 2003 nicht als Domänencontroller innerhalb der Domäne verwendet wird

Technical Explanation:

Das Betriebssystem Windows Server 2003 als DC ist anfällig für viele öffentlich bekannte Exploits wie MS14-068 und es ist derzeit sehr kompliziert, es zu patchen. Eine Domäne, auf der diese Betriebssystemversion ausgeführt wird, sollte als kompromittiert betrachtet werden

Advised Solution:

Um dieses Sicherheitsrisiko zu beheben, besteht die einzige Möglichkeit darin, DC mit dem Betriebssystem Windows Server 2003 außer Betrieb zu nehmen, um neue Versionen zu verwenden, die sicherer sind und die noch hinsichtlich neuer Sicherheitsbedrohungen gepatcht werden

Title:

Controlador de dominio obsoleto (Windows Server 2003)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows Server 2003 como controlador de dominio dentro del dominio.

Technical Explanation:

El sistema operativo Windows Server 2003 como controlador de dominio es vulnerable a muchos exploits conocidos públicamente, como MS14-068, y es muy complicado parchearlo en la actualidad. Un dominio que ejecuta esta versión del sistema operativo debe considerarse comprometido

Advised Solution:

Para resolver este riesgo de seguridad, la única forma es desmantelar DC que ejecuta el sistema operativo Windows Server 2003, para usar nuevas versiones que son más seguras y que aún se están parcheando con respecto a las nuevas amenazas de seguridad.

Points:

20 points if present

Documentation:

[US]STIG V-8551 - The domain functional level must be at a Windows Server version still supported by Microsoft.
[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R12 [subsection.3.1]

Obsolete Domain Controller (Windows Server 2008)

Rule ID:

S-DC-2008

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows Server 2008 as Domain Controller within the domain

Technical Explanation:

The OS Windows Server 2008 is not supported anymore by Microsoft (except when migrated to Azure, until January 9, 2024) and any vulnerability found will not be patched.

Advised Solution:

To resolve this security risk, the only way is to decommission DCs running Windows Server 2008 OS, in order to use new versions that are more secure and that are still being patched regarding new security threats

Title:

Contrôleur de domaine obsolète (Windows Server 2008)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows Server 2008 en tant que contrôleur de domaine dans le domaine

Technical Explanation:

L'OS Windows Server 2008 n'est plus supporté par Microsoft (sauf lors de la migration vers Azure, jusqu'au 9 janvier 2024) et toute vulnérabilité trouvée ne sera pas corrigée.

Advised Solution:

Pour résoudre ce risque de sécurité, le seul moyen est de mettre hors service les contrôleurs de domaine exécutant le système d'exploitation Windows Server 2008, afin d'utiliser de nouvelles versions plus sécurisées et qui font toujours l'objet de correctifs concernant les nouvelles menaces de sécurité.

Title:

Veralteter Domänencontroller (Windows Server 2008)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows Server 2008 nicht als Domänencontroller innerhalb der Domäne verwendet wird

Technical Explanation:

Das Betriebssystem Windows Server 2008 wird von Microsoft nicht mehr unterstützt (außer bei Migration zu Azure bis zum 9. Januar 2024) und alle gefundenen Schwachstellen werden nicht gepatcht.

Advised Solution:

Um dieses Sicherheitsrisiko zu beheben, besteht die einzige Möglichkeit darin, DCs mit dem Betriebssystem Windows Server 2008 außer Betrieb zu nehmen, um neue Versionen zu verwenden, die sicherer sind und die noch hinsichtlich neuer Sicherheitsbedrohungen gepatcht werden

Title:

Controlador de dominio obsoleto (Windows Server 2008)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows Server 2008 como controlador de dominio dentro del dominio.

Technical Explanation:

Microsoft ya no admite el sistema operativo Windows Server 2008 (excepto cuando se migre a Azure, hasta el 9 de enero de 2024) y cualquier vulnerabilidad encontrada no se reparará.

Advised Solution:

Para resolver este riesgo de seguridad, la única forma es desmantelar los DC que ejecutan el sistema operativo Windows Server 2008, para poder usar nuevas versiones que son más seguras y que aún se están parcheando con respecto a las nuevas amenazas de seguridad.

Points:

5 points if present

Documentation:

https://support.microsoft.com/en-us/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2
[MITRE]Mitre Att&ck - Mitigation - Update Software
[US]STIG V-8551 - The domain functional level must be at a Windows Server version still supported by Microsoft.
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R12 [subsection.3.1]

Obsolete OS (Windows 10 or Windows 11)

Rule ID:

S-OS-W10

Description:

The purpose is to ensure that there is no use of non-supported version of Windows 10 or Windows 11 within the domain

Technical Explanation:

Some versions of Windows 10 and Windows 11 OS are no longer supported, and may be vulnerable to exploits that are not patched anymore.

Advised Solution:

In order to solve this security issue, you should upgrade all the Windows 10 or Windows 11 to a more recent version.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
You can replace -Filter * with -Filter {OperatingSystem -Like "Windows 1*"}

Title:

Système d'exploitation obsolète (Windows 10 ou Windows 11)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation de version non prise en charge de Windows 10 ou Windows 11 dans le domaine

Technical Explanation:

Certaines versions des systèmes d'exploitation Windows 10 et Windows 11 ne sont plus prises en charge et peuvent être vulnérables aux exploits qui ne sont plus corrigés.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les Windows 10 ou Windows 11 vers une version plus récente.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter * -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto
Vous pouvez remplacer -Filter * par -Filter {OperatingSystem -Like "Windows 1*"}

Title:

Veraltetes Betriebssystem (Windows 10 oder Windows 11)

Description:

Damit soll sichergestellt werden, dass innerhalb der Domäne keine nicht unterstützte Version von Windows 10 oder Windows 11 verwendet wird

Technical Explanation:

Einige Versionen von Windows 10 und Windows 11 OS werden nicht mehr unterstützt und sind möglicherweise anfällig für Exploits, die nicht mehr gepatcht werden.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Windows 10 oder Windows 11 auf eine neuere Version aktualisieren.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
Sie können -Filter * durch -Filter {OperatingSystem -Like "Windows 1*"} ersetzen

Title:

Sistema operativo obsoleto (Windows 10 o Windows 11)

Description:

El propósito es garantizar que no se use una versión no compatible de Windows 10 o Windows 11 dentro del dominio.

Technical Explanation:

Algunas versiones del sistema operativo Windows 10 y Windows 11 ya no son compatibles y pueden ser vulnerables a vulnerabilidades que ya no están parcheadas.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todo Windows 10 o Windows 11 a una versión más reciente.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter * -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto
Puede reemplazar -Filter * con -Filter {OperatingSystem -Like "Windows 1*"}

Introduced in:

2.9.3.0

Points:

15 points if the occurence is greater than or equals than 15
then 10 points if the occurence is greater than or equals than 6
then 5 points if present

Documentation:

https://docs.microsoft.com/en-us/windows/release-health/release-information
[FR]ANSSI CERTFR-2005-INF-003
[MITRE]Mitre Att&ck - Mitigation - Update Software

Obsolete OS (Windows 2000)

Rule ID:

S-OS-2000

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows 2000 for the workstations within the domain

Technical Explanation:

The Windows 2000 OS is no longer supported, as it is vulnerable to many publicly known exploits: Administrator's credentials can be captured, security protocols are weak, etc.

Advised Solution:

In order to solve this security issue, you should upgrade all the workstations to a more recent version of Windows, starting from Windows 10.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter { operatingsystem -like "*Server 2000*" } -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto

Title:

Système d'exploitation obsolète (Windows 2000)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows 2000 pour les postes de travail du domaine

Technical Explanation:

Le système d'exploitation Windows 2000 n'est plus pris en charge, car il est vulnérable à de nombreux exploits publiquement connus : les informations d'identification de l'administrateur peuvent être capturées, les protocoles de sécurité sont faibles, etc.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les postes de travail vers une version plus récente de Windows, à partir de Windows 10.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter { operatingsystem -like "*Server 2000*" } -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto

Title:

Veraltetes Betriebssystem (Windows 2000)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows 2000 für die Arbeitsstationen innerhalb der Domäne nicht verwendet wird

Technical Explanation:

Das Betriebssystem Windows 2000 wird nicht mehr unterstützt, da es für viele öffentlich bekannte Exploits anfällig ist: Anmeldeinformationen des Administrators können erfasst werden, Sicherheitsprotokolle sind schwach usw.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Arbeitsstationen auf eine neuere Windows-Version aktualisieren, beginnend mit Windows 10.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter { operatingsystem -like "*Server 2000*" } -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto

Title:

Sistema operativo obsoleto (Windows 2000)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows 2000 para las estaciones de trabajo dentro del dominio.

Technical Explanation:

El sistema operativo Windows 2000 ya no es compatible, ya que es vulnerable a muchos exploits conocidos públicamente: se pueden capturar las credenciales del administrador, los protocolos de seguridad son débiles, etc.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todas las estaciones de trabajo a una versión más reciente de Windows, a partir de Windows 10.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter { operatingsystem -like "*Server 2000*" } -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto

Points:

40 points if present

Documentation:

[FR]ANSSI CERTFR-2005-INF-003
[MITRE]Mitre Att&ck - Mitigation - Update Software

Obsolete OS (Windows 7)

Rule ID:

S-OS-Win7

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows 7 for the workstations within the domain

Technical Explanation:

The Windows 7 OS is no longer supported, as it is vulnerable to many publicly known exploits: Administrator's credentials can be captured, security protocols are weak, etc.
PingCastle is trying to guess if Extended Security Support (ESU) has been purchased from Microsoft. Based on the documentation referenced below, the program checks if the script Activate-ProductOnline.ps1 is present.
If the script is detected, Windows 7 is considered as supported and this rule is not triggered.

Advised Solution:

In order to solve this security issue, you should upgrade all the workstations to a more recent version of Windows, starting from Windows 10.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
You can replace -Filter * with -Filter {OperatingSystem -Like "Windows Server*"}

Title:

Système d'exploitation obsolète (Windows 7)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows 7 pour les postes de travail du domaine

Technical Explanation:

Le système d'exploitation Windows 7 n'est plus pris en charge, car il est vulnérable à de nombreux exploits connus du public : les informations d'identification de l'administrateur peuvent être capturées, les protocoles de sécurité sont faibles, etc.
PingCastle essaie de deviner si le support de sécurité étendu (ESU) a été acheté auprès de Microsoft. Sur la base de la documentation référencée ci-dessous, le programme vérifie si le script Activate-ProductOnline.ps1 est présent.
Si le script est détecté, Windows 7 est considéré comme supporté et cette règle n'est pas déclenchée.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les postes de travail vers une version plus récente de Windows, à partir de Windows 10.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter * -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto
Vous pouvez remplacer -Filter * par -Filter {OperatingSystem -Like "Windows Server*"}

Title:

Veraltetes Betriebssystem (Windows 7)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows 7 für die Arbeitsstationen innerhalb der Domäne nicht verwendet wird

Technical Explanation:

Das Betriebssystem Windows 7 wird nicht mehr unterstützt, da es für viele öffentlich bekannte Exploits anfällig ist: Anmeldeinformationen des Administrators können erfasst werden, Sicherheitsprotokolle sind schwach usw.
PingCastle versucht zu erraten, ob Extended Security Support (ESU) von Microsoft erworben wurde. Basierend auf der unten referenzierten Dokumentation prüft das Programm, ob das Skript Activate-ProductOnline.ps1 vorhanden ist.
Wenn das Skript erkannt wird, gilt Windows 7 als unterstützt und diese Regel wird nicht ausgelöst.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Arbeitsstationen auf eine neuere Windows-Version aktualisieren, beginnend mit Windows 10.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
Sie können -Filter * durch -Filter {OperatingSystem -Like "Windows Server*"} ersetzen

Title:

Sistema operativo obsoleto (Windows 7)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows 7 para las estaciones de trabajo dentro del dominio.

Technical Explanation:

El sistema operativo Windows 7 ya no es compatible, ya que es vulnerable a muchos exploits conocidos públicamente: se pueden capturar las credenciales del administrador, los protocolos de seguridad son débiles, etc.
PingCastle está tratando de adivinar si el soporte de seguridad extendido (ESU) se compró a Microsoft. Según la documentación a la que se hace referencia a continuación, el programa verifica si el script Activate-ProductOnline.ps1 está presente.
Si se detecta el script, Windows 7 se considera compatible y esta regla no se activa.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todas las estaciones de trabajo a una versión más reciente de Windows, a partir de Windows 10.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter * -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto
Puede reemplazar -Filter * con -Filter {OperatingSystem -Like "Windows Server*"}

Introduced in:

2.9.0.0

Points:

5 points if the occurence is greater than or equals than 15
then 2 points if the occurence is greater than or equals than 6
then 1 points if present

Documentation:

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/activate-windows-7-esus-on-multiple-devices-with-a-mak/ba-p/1167196
[FR]ANSSI CERTFR-2005-INF-003
[MITRE]Mitre Att&ck - Mitigation - Update Software

Obsolete OS (Windows 8)

Rule ID:

S-OS-Win8

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows 8 for the workstations within the domain

Technical Explanation:

The Windows 8 OS is no longer supported, as it is vulnerable to many publicly known exploits: Administrator's credentials can be captured, security protocols are weak, etc.

Advised Solution:

In order to solve this security issue, you should upgrade all the workstations to a more recent version of Windows, starting from Windows 10.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
You can replace -Filter * with -Filter {OperatingSystem -Like "Windows Server*"}

Title:

Système d'exploitation obsolète (Windows 8)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows 8 pour les postes de travail du domaine

Technical Explanation:

Le système d'exploitation Windows 8 n'est plus pris en charge, car il est vulnérable à de nombreux exploits publiquement connus : les informations d'identification de l'administrateur peuvent être capturées, les protocoles de sécurité sont faibles, etc.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les postes de travail vers une version plus récente de Windows, à partir de Windows 10.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter * -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto
Vous pouvez remplacer -Filter * par -Filter {OperatingSystem -Like "Windows Server*"}

Title:

Veraltetes Betriebssystem (Windows 8)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows 8 für die Arbeitsstationen innerhalb der Domäne nicht verwendet wird

Technical Explanation:

Das Betriebssystem Windows 8 wird nicht mehr unterstützt, da es für viele öffentlich bekannte Exploits anfällig ist: Anmeldeinformationen des Administrators können erfasst werden, Sicherheitsprotokolle sind schwach usw.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Arbeitsstationen auf eine neuere Windows-Version aktualisieren, beginnend mit Windows 10.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
Sie können -Filter * durch -Filter {OperatingSystem -Like "Windows Server*"} ersetzen

Title:

Sistema operativo obsoleto (Windows 8)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows 8 para las estaciones de trabajo dentro del dominio.

Technical Explanation:

El sistema operativo Windows 8 ya no es compatible, ya que es vulnerable a muchos exploits conocidos públicamente: se pueden capturar las credenciales del administrador, los protocolos de seguridad son débiles, etc.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todas las estaciones de trabajo a una versión más reciente de Windows, a partir de Windows 10.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter * -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto
Puede reemplazar -Filter * con -Filter {OperatingSystem -Like "Windows Server*"}

Introduced in:

2.10.1.0

Points:

5 points if the occurence is greater than or equals than 15
then 2 points if the occurence is greater than or equals than 6
then 1 points if present

Documentation:

[FR]ANSSI CERTFR-2005-INF-003
[MITRE]Mitre Att&ck - Mitigation - Update Software

Obsolete OS (Windows NT)

Rule ID:

S-OS-NT

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows NT for the workstations within the domain

Technical Explanation:

The Windows NT OS is no longer supported, as it is vulnerable to many publicly known exploits: Administrator's credentials can be captured, security protocols are weak, etc.

Advised Solution:

In order to solve this security issue, you should upgrade all the workstations to a more recent version of Windows, starting from Windows 10.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter { operatingsystem -like "* NT *" } -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto

Title:

Système d'exploitation obsolète (Windows NT)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows NT pour les postes de travail du domaine

Technical Explanation:

Le système d'exploitation Windows NT n'est plus pris en charge, car il est vulnérable à de nombreux exploits connus du public : les informations d'identification de l'administrateur peuvent être capturées, les protocoles de sécurité sont faibles, etc.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les postes de travail vers une version plus récente de Windows, à partir de Windows 10.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter { operatingsystem -like "* NT *" } -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto

Title:

Veraltetes Betriebssystem (Windows NT)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows NT für die Arbeitsstationen innerhalb der Domäne nicht verwendet wird

Technical Explanation:

Das Windows NT-Betriebssystem wird nicht mehr unterstützt, da es für viele öffentlich bekannte Exploits anfällig ist: Anmeldeinformationen des Administrators können erfasst werden, Sicherheitsprotokolle sind schwach usw.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Arbeitsstationen auf eine neuere Windows-Version aktualisieren, beginnend mit Windows 10.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter { operatingsystem -like "* NT *" } -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto

Title:

SO obsoleto (Windows NT)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows NT para las estaciones de trabajo dentro del dominio.

Technical Explanation:

El sistema operativo Windows NT ya no es compatible, ya que es vulnerable a muchos exploits conocidos públicamente: se pueden capturar las credenciales del administrador, los protocolos de seguridad son débiles, etc.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todas las estaciones de trabajo a una versión más reciente de Windows, a partir de Windows 10.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter { operatingsystem -like "* NT *" } -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto

Points:

60 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI CERTFR-2005-INF-003

Obsolete OS (Windows Server 2003)

Rule ID:

S-OS-2003

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows Server 2003 for the workstations within the domain

Technical Explanation:

The Windows Server 2003 OS is no longer supported, as it is vulnerable to many publicly known exploits: Administrator's credentials can be captured, security protocols are weak, etc.

Advised Solution:

In order to solve this security issue, you should upgrade all the workstations to a more recent version of Windows, starting from Windows 10.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter { operatingsystem -like "*Server 2003*" } -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto

Title:

Système d'exploitation obsolète (Windows Server 2003)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows Server 2003 pour les postes de travail du domaine

Technical Explanation:

Le système d'exploitation Windows Server 2003 n'est plus pris en charge, car il est vulnérable à de nombreux exploits publiquement connus : les informations d'identification de l'administrateur peuvent être capturées, les protocoles de sécurité sont faibles, etc.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les postes de travail vers une version plus récente de Windows, à partir de Windows 10.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter { operatingsystem -like "*Server 2003*" } -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto

Title:

Veraltetes Betriebssystem (Windows Server 2003)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows Server 2003 für die Arbeitsstationen innerhalb der Domäne nicht verwendet wird

Technical Explanation:

Das Betriebssystem Windows Server 2003 wird nicht mehr unterstützt, da es für viele öffentlich bekannte Exploits anfällig ist: Anmeldeinformationen des Administrators können erfasst werden, Sicherheitsprotokolle sind schwach usw.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Arbeitsstationen auf eine neuere Windows-Version aktualisieren, beginnend mit Windows 10.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter { operatingsystem -like "*Server 2003*" } -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto

Title:

Sistema operativo obsoleto (Windows Server 2003)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows Server 2003 para las estaciones de trabajo dentro del dominio.

Technical Explanation:

El sistema operativo Windows Server 2003 ya no es compatible, ya que es vulnerable a muchos exploits conocidos públicamente: se pueden capturar las credenciales del administrador, los protocolos de seguridad son débiles, etc.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todas las estaciones de trabajo a una versión más reciente de Windows, a partir de Windows 10.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter { operatingsystem -like "*Server 2003*" } -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto

Points:

30 points if the occurence is greater than or equals than 15
then 25 points if the occurence is greater than or equals than 6
then 20 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI CERTFR-2005-INF-003

Obsolete OS (Windows Server 2008)

Rule ID:

S-OS-2008

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows Server 2008 for the workstations within the domain

Technical Explanation:

The Windows Server 2008 OS is no longer supported, as it is vulnerable to many publicly known exploits: Administrator's credentials can be captured, security protocols are weak, etc.

Advised Solution:

In order to solve this security issue, you should upgrade all the servers to a more recent version of Windows, starting from Windows Server 2012.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
You can replace -Filter * with -Filter {OperatingSystem -Like "Windows Server*"}

Title:

Système d'exploitation obsolète (Windows Server 2008)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows Server 2008 pour les postes de travail du domaine

Technical Explanation:

Le système d'exploitation Windows Server 2008 n'est plus pris en charge, car il est vulnérable à de nombreux exploits publiquement connus : les informations d'identification de l'administrateur peuvent être capturées, les protocoles de sécurité sont faibles, etc.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les serveurs vers une version plus récente de Windows, à partir de Windows Server 2012.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter * -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto
Vous pouvez remplacer -Filter * par -Filter {OperatingSystem -Like "Windows Server*"}

Title:

Veraltetes Betriebssystem (Windows Server 2008)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows Server 2008 für die Arbeitsstationen innerhalb der Domäne nicht verwendet wird

Technical Explanation:

Das Betriebssystem Windows Server 2008 wird nicht mehr unterstützt, da es für viele öffentlich bekannte Exploits anfällig ist: Anmeldeinformationen des Administrators können erfasst werden, Sicherheitsprotokolle sind schwach usw.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Server auf eine neuere Version von Windows aktualisieren, beginnend mit Windows Server 2012.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
Sie können -Filter * durch -Filter {OperatingSystem -Like "Windows Server*"} ersetzen

Title:

Sistema operativo obsoleto (Windows Server 2008)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows Server 2008 para las estaciones de trabajo dentro del dominio.

Technical Explanation:

El sistema operativo Windows Server 2008 ya no es compatible, ya que es vulnerable a muchos exploits conocidos públicamente: se pueden capturar las credenciales del administrador, los protocolos de seguridad son débiles, etc.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todos los servidores a una versión más reciente de Windows, a partir de Windows Server 2012.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter * -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto
Puede reemplazar -Filter * con -Filter {OperatingSystem -Like "Windows Server*"}

Points:

15 points if the occurence is greater than or equals than 15
then 10 points if the occurence is greater than or equals than 6
then 5 points if present

Documentation:

https://support.microsoft.com/en-us/help/4456235/end-of-support-for-windows-server-2008-and-windows-server-2008-r2
[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI CERTFR-2005-INF-003

Obsolete OS (Windows Vista)

Rule ID:

S-OS-Vista

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows Vista for the workstations within the domain

Technical Explanation:

The Windows Vista OS is no longer supported, as it is vulnerable to many publicly known exploits: Administrator's credentials can be captured, security protocols are weak, etc.

Advised Solution:

In order to solve this security issue, you should upgrade all the workstations to a more recent version of Windows, starting from Windows 10.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
You can replace -Filter * with -Filter {OperatingSystem -Like "Windows Server*"}

Title:

Système d'exploitation obsolète (Windows Vista)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation Windows Vista obsolète et vulnérable pour les postes de travail du domaine

Technical Explanation:

Le système d'exploitation Windows Vista n'est plus pris en charge, car il est vulnérable à de nombreux exploits connus du public : les informations d'identification de l'administrateur peuvent être capturées, les protocoles de sécurité sont faibles, etc.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les postes de travail vers une version plus récente de Windows, à partir de Windows 10.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter * -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto
Vous pouvez remplacer -Filter * par -Filter {OperatingSystem -Like "Windows Server*"}

Title:

Veraltetes Betriebssystem (Windows Vista)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows Vista nicht für die Arbeitsstationen innerhalb der Domäne verwendet wird

Technical Explanation:

Das Betriebssystem Windows Vista wird nicht mehr unterstützt, da es für viele öffentlich bekannte Exploits anfällig ist: Anmeldeinformationen des Administrators können erfasst werden, Sicherheitsprotokolle sind schwach usw.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Arbeitsstationen auf eine neuere Windows-Version aktualisieren, beginnend mit Windows 10.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter * -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto
Sie können -Filter * durch -Filter {OperatingSystem -Like "Windows Server*"} ersetzen

Title:

Sistema operativo obsoleto (Windows Vista)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows Vista para las estaciones de trabajo dentro del dominio.

Technical Explanation:

El sistema operativo Windows Vista ya no es compatible, ya que es vulnerable a muchos exploits conocidos públicamente: se pueden capturar las credenciales del administrador, los protocolos de seguridad son débiles, etc.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todas las estaciones de trabajo a una versión más reciente de Windows, a partir de Windows 10.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter * -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto
Puede reemplazar -Filter * con -Filter {OperatingSystem -Like "Windows Server*"}

Introduced in:

2.8.0.0

Points:

20 points if the occurence is greater than or equals than 15
then 15 points if the occurence is greater than or equals than 6
then 10 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI CERTFR-2005-INF-003

Obsolete OS (Windows XP)

Rule ID:

S-OS-XP

Description:

The purpose is to ensure that there is no use of the obsolete and vulnerable OS Windows XP for the workstations within the domain

Technical Explanation:

The Windows XP OS is no longer supported, as it is vulnerable to many publicly known exploits: Administrator's credentials can be captured, security protocols are weak, etc.

Advised Solution:

In order to solve this security issue, you should upgrade all the workstations to a more recent version of Windows, starting from Windows 10.
Use PingCastle.exe and select export on the main menu. Then choose to export computers. PingCastle will produce a list of all your computers with the OS version in a csv file. You can then use Excel to filter them.
Do note that you can get the full details regarding the OS used with the following PowerShell command: Get-ADComputer -Filter { operatingsystem -like "*Windows XP*" } -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto

Title:

Système d'exploitation obsolète (Windows XP)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation du système d'exploitation obsolète et vulnérable Windows XP pour les postes de travail du domaine

Technical Explanation:

Le système d'exploitation Windows XP n'est plus pris en charge, car il est vulnérable à de nombreux exploits connus du public : les informations d'identification de l'administrateur peuvent être capturées, les protocoles de sécurité sont faibles, etc.

Advised Solution:

Afin de résoudre ce problème de sécurité, vous devez mettre à niveau tous les postes de travail vers une version plus récente de Windows, à partir de Windows 10.
Utilisez PingCastle.exe et sélectionnez Exporter dans le menu principal. Ensuite, choisissez d'exporter des ordinateurs. PingCastle produira une liste de tous vos ordinateurs avec la version du système d'exploitation dans un fichier csv. Vous pouvez ensuite utiliser Excel pour les filtrer.
Notez que vous pouvez obtenir tous les détails concernant le système d'exploitation utilisé avec la commande PowerShell suivante : Get-ADComputer -Filter { operatingsystem -like "*Windows XP*" } -Property * | Format-Nom de la table, OperatingSystem, OperatingSystemServicePack, OperatingSystemVersion -Wrap -Auto

Title:

Veraltetes Betriebssystem (Windows XP)

Description:

Damit soll sichergestellt werden, dass das veraltete und anfällige Betriebssystem Windows XP für die Arbeitsstationen innerhalb der Domäne nicht verwendet wird

Technical Explanation:

Das Betriebssystem Windows XP wird nicht mehr unterstützt, da es für viele öffentlich bekannte Exploits anfällig ist: Anmeldeinformationen des Administrators können erfasst werden, Sicherheitsprotokolle sind schwach usw.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie alle Arbeitsstationen auf eine neuere Windows-Version aktualisieren, beginnend mit Windows 10.
Verwenden Sie PingCastle.exe und wählen Sie Export im Hauptmenü. Wählen Sie dann Computer exportieren. PingCastle erstellt eine Liste aller Ihrer Computer mit der Betriebssystemversion in einer CSV-Datei. Sie können sie dann mit Excel filtern.
Beachten Sie, dass Sie die vollständigen Details zum verwendeten Betriebssystem mit dem folgenden PowerShell-Befehl abrufen können: Get-ADComputer -Filter { operatingsystem -like "*Windows XP*" } -Property * | Format-Table Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion -Wrap -Auto

Title:

SO obsoleto (Windows XP)

Description:

El propósito es garantizar que no se utilice el sistema operativo obsoleto y vulnerable Windows XP para las estaciones de trabajo dentro del dominio.

Technical Explanation:

El sistema operativo Windows XP ya no es compatible, ya que es vulnerable a muchos exploits conocidos públicamente: se pueden capturar las credenciales del administrador, los protocolos de seguridad son débiles, etc.

Advised Solution:

Para resolver este problema de seguridad, debe actualizar todas las estaciones de trabajo a una versión más reciente de Windows, a partir de Windows 10.
Use PingCastle.exe y seleccione exportar en el menú principal. Luego elija exportar computadoras. PingCastle producirá una lista de todas sus computadoras con la versión del sistema operativo en un archivo csv. Luego puede usar Excel para filtrarlos.
Tenga en cuenta que puede obtener todos los detalles sobre el sistema operativo utilizado con el siguiente comando de PowerShell: Get-ADComputer -Filter { operatingsystem -like "*Windows XP*" } -Property * | Formato-Nombre de la tabla, Sistema operativo, Paquete de servicio del sistema operativo, Versión del sistema operativo - Wrap - Auto

Points:

20 points if the occurence is greater than or equals than 15
then 15 points if the occurence is greater than or equals than 6
then 10 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI CERTFR-2005-INF-003

Old authentication protocols

Cryptography and computer power have evolved during the time and the oldest protocols do not provide the same level of security anymore. They can be broken and used to gain control of the domain.

Title (fr-FR): Old authentication protocols

Description (fr-FR): La cryptographie et la puissance informatique ont évolué au cours du temps et les protocoles les plus anciens n'offrent plus le même niveau de sécurité. Ils peuvent être brisés et utilisés pour prendre le contrôle du domaine.

Title (de-DE): Old authentication protocols

Description (de-DE): Kryptographie und Computerleistung haben sich im Laufe der Zeit weiterentwickelt und die ältesten Protokolle bieten nicht mehr das gleiche Maß an Sicherheit. Sie können gebrochen und verwendet werden, um die Kontrolle über die Domäne zu erlangen.

Title (es-ES): Old authentication protocols

Description (es-ES): La criptografía y el poder de la computadora han evolucionado durante el tiempo y los protocolos más antiguos ya no brindan el mismo nivel de seguridad. Se pueden romper y usar para obtener el control del dominio.

Check the use of Kerberos with weak encryption (DES algorithm)

Rule ID:

S-DesEnabled

Description:

The purpose is to verify that no weak encryption algorithm such as DES is used for accounts.

Technical Explanation:

DES is a very weak algorithm and once assigned to an account, it can be used in Kerberos ticket requests, even though it is easily cracked. If the attacker cracks the Kerberos ticket, they can steal the token and compromise the user account.

Advised Solution:

It is recommended to disable DES as an encryption algorithm in the user configuration dialog or in the "msDSSupportedEncryptionTypes" attribute at LDAP level. It has to be disabled in the property of an account by unchecking the box "Use Kerberos DES encryption for this account". You can also detect which accounts support Kerberos DES encryption by running: Get-ADObject -Filter {UserAccountControl -band 0x200000 -or msDs-supportedEncryptionTypes -band 3}.

Title:

Vérifier l'utilisation de Kerberos avec un cryptage faible (algorithme DES)

Description:

Le but est de vérifier qu'aucun algorithme de chiffrement faible tel que DES n'est utilisé pour les comptes.

Technical Explanation:

DES est un algorithme très faible et une fois attribué à un compte, il peut être utilisé dans les demandes de tickets Kerberos, même s'il est facilement piraté. Si l'attaquant déchiffre le ticket Kerberos, il peut voler le jeton et compromettre le compte utilisateur.

Advised Solution:

Il est recommandé de désactiver DES comme algorithme de chiffrement dans la boîte de dialogue de configuration utilisateur ou dans l'attribut "msDSSupportedEncryptionTypes" au niveau LDAP. Il faut le désactiver dans la propriété d'un compte en décochant la case "Utiliser le chiffrement Kerberos DES pour ce compte". Vous pouvez également détecter quels comptes prennent en charge le chiffrement Kerberos DES en exécutant : Get-ADObject -Filter {UserAccountControl -band 0x200000 -or msDs-supportedEncryptionTypes -band 3}.

Title:

Überprüfen Sie die Verwendung von Kerberos mit schwacher Verschlüsselung (DES-Algorithmus)

Description:

Der Zweck besteht darin, zu überprüfen, dass kein schwacher Verschlüsselungsalgorithmus wie DES für Konten verwendet wird.

Technical Explanation:

DES ist ein sehr schwacher Algorithmus, und sobald er einem Konto zugewiesen wurde, kann er in Kerberos-Ticketanfragen verwendet werden, obwohl er leicht zu knacken ist. Wenn der Angreifer das Kerberos-Ticket knackt, kann er das Token stehlen und das Benutzerkonto kompromittieren.

Advised Solution:

Es wird empfohlen, DES als Verschlüsselungsalgorithmus im Benutzerkonfigurationsdialog oder im Attribut "msDSSupportedEncryptionTypes" auf LDAP-Ebene zu deaktivieren. Sie muss in den Eigenschaften eines Kontos deaktiviert werden, indem das Kontrollkästchen „Kerberos DES-Verschlüsselung für dieses Konto verwenden“ deaktiviert wird. Sie können auch ermitteln, welche Konten die Kerberos-DES-Verschlüsselung unterstützen, indem Sie Folgendes ausführen: Get-ADObject -Filter {UserAccountControl -band 0x200000 -or msDs-supportedEncryptionTypes -band 3}.

Title:

Comprobar el uso de Kerberos con cifrado débil (algoritmo DES)

Description:

El propósito es verificar que no se utilice un algoritmo de encriptación débil como DES para las cuentas.

Technical Explanation:

DES es un algoritmo muy débil y, una vez asignado a una cuenta, se puede utilizar en las solicitudes de tickets de Kerberos, aunque se descifra fácilmente. Si el atacante descifra el ticket de Kerberos, puede robar el token y comprometer la cuenta de usuario.

Advised Solution:

Se recomienda deshabilitar DES como algoritmo de cifrado en el diálogo de configuración del usuario o en el atributo "msDSSupportedEncryptionTypes" a nivel de LDAP. Tiene que estar deshabilitado en la propiedad de una cuenta desmarcando la casilla "Usar encriptación Kerberos DES para esta cuenta". También puede detectar qué cuentas admiten el cifrado Kerberos DES ejecutando: Get-ADObject -Filter {UserAccountControl -band 0x200000 -or msDs-supportedEncryptionTypes -band 3}.

Points:

15 points if present

Documentation:

https://docs.microsoft.com/en-us/archive/blogs/openspecification/msds-supportedencryptiontypes-episode-1-computer-accounts
https://docs.microsoft.com/en-us/services-hub/health/remediation-steps-ad/remove-the-highly-insecure-des-encryption-from-user-accounts
[MITRE]T1558.004 Steal or Forge Kerberos Tickets: AS-REP Roasting
[FR]ANSSI - Use of Kerberos with weak encryption (vuln2_kerberos_properties_deskey)2

DC vulnerability (SMB v1)

Rule ID:

S-SMB-v1

Description:

The purpose is to verify if Domain Controller(s) are vulnerable to the SMB v1 vulnerability

Technical Explanation:

The SMB downgrade attack is used to obtain credentials or executing commands on behalf of a user by using SMB v1 as protocol. Indeed, because SMB v1 supports old authentication protocol, the integrity can be bypassed

Advised Solution:

It is highly recommended by Microsoft to disable SMB v1 whenever it is possible on both client and server-side. Do note that if you are still not following best practices regarding the usage of deprecated OS (Windows 2000, 2003, XP, CE), regarding Network printer using SMBv1 scan2shares functionalities, or regarding software accessing Windows share with a custom implementation relying on SMB v1, you should consider fixing these issues before disabling SMB v1, as it will generate additional errors.

Title:

Vulnérabilité DC (SMB v1)

Description:

Le but est de vérifier si le ou les contrôleurs de domaine sont vulnérables à la vulnérabilité SMB v1

Technical Explanation:

L'attaque de rétrogradation SMB est utilisée pour obtenir des informations d'identification ou exécuter des commandes au nom d'un utilisateur en utilisant SMB v1 comme protocole. En effet, étant donné que SMB v1 prend en charge l'ancien protocole d'authentification, l'intégrité peut être contournée

Advised Solution:

Il est fortement recommandé par Microsoft de désactiver SMB v1 chaque fois que cela est possible côté client et côté serveur. Notez que si vous ne suivez toujours pas les meilleures pratiques concernant l'utilisation d'un système d'exploitation obsolète (Windows 2000, 2003, XP, CE), concernant l'imprimante réseau utilisant les fonctionnalités SMBv1 scan2shares, ou concernant les logiciels accédant au partage Windows avec une implémentation personnalisée reposant sur sur SMB v1, vous devez envisager de résoudre ces problèmes avant de désactiver SMB v1, car cela générera des erreurs supplémentaires.

Title:

DC-Schwachstelle (SMB v1)

Description:

Der Zweck besteht darin, zu überprüfen, ob Domänencontroller für die SMB v1-Schwachstelle anfällig sind

Technical Explanation:

Der SMB-Downgrade-Angriff wird verwendet, um Anmeldeinformationen zu erhalten oder Befehle im Namen eines Benutzers auszuführen, indem SMB v1 als Protokoll verwendet wird. Da SMB v1 das alte Authentifizierungsprotokoll unterstützt, kann die Integrität tatsächlich umgangen werden

Advised Solution:

Es wird von Microsoft dringend empfohlen, SMB v1 zu deaktivieren, wann immer dies sowohl auf der Client- als auch auf der Serverseite möglich ist. Beachten Sie, dass Sie immer noch nicht die Best Practices in Bezug auf die Verwendung veralteter Betriebssysteme (Windows 2000, 2003, XP, CE), in Bezug auf Netzwerkdrucker mit SMBv1-Scan2Shares-Funktionen oder in Bezug auf Software, die auf Windows-Freigaben mit einer benutzerdefinierten Implementierung zugreift, befolgen Bei SMB v1 sollten Sie in Betracht ziehen, diese Probleme zu beheben, bevor Sie SMB v1 deaktivieren, da dadurch zusätzliche Fehler generiert werden.

Title:

Vulnerabilidad de DC (SMB v1)

Description:

El propósito es verificar si los controladores de dominio son vulnerables a la vulnerabilidad SMB v1

Technical Explanation:

El ataque de degradación de SMB se utiliza para obtener credenciales o ejecutar comandos en nombre de un usuario mediante el uso de SMB v1 como protocolo. De hecho, debido a que SMB v1 es compatible con el antiguo protocolo de autenticación, la integridad se puede omitir.

Advised Solution:

Microsoft recomienda enfáticamente deshabilitar SMB v1 siempre que sea posible tanto en el lado del cliente como en el del servidor. Tenga en cuenta que si todavía no sigue las prácticas recomendadas con respecto al uso de sistemas operativos obsoletos (Windows 2000, 2003, XP, CE), con respecto a la impresora de red que usa las funcionalidades SMBv1 scan2shares o con respecto al software que accede a Windows Share con una implementación personalizada que depende en SMB v1, debe considerar solucionar estos problemas antes de deshabilitar SMB v1, ya que generará errores adicionales.

Points:

10 points if present

Documentation:

https://github.com/lgandx/Responder-Windows
https://blogs.technet.microsoft.com/josebda/2015/04/21/the-deprecation-of-smb1-you-should-be-planning-to-deshacerse-de-este-viejo-smb- dialecto
https://docs.microsoft.com/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3
[MITRE]T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay
[FR]ANSSI CERTFR-2017-ACT-019
[FR]ANSSI CERTFR-2016-ACT-039

Ensure that the NTLMv1 and old LM protocols are banned

Rule ID:

S-OldNtlm

Description:

The purpose is to check if NTLMv1 or LM can be used by DC

Technical Explanation:

NTLMv1 is an old protocol which is known to be vulnerable to cryptographic attacks.
It is typically used when a hacker sniffs the network and tries to retrieve NTLM hashes which can then be used to impersonate users.

This attack can be combined with coerced authentication attacks - a hacker forces the DC to connect to a controlled host.
In this case, NTLMv1 can be specified so the hacker can retrieve the NTLM hash of the DC, impersonates it and then take control of the domain.
This attack is still possible with NTLMv2 but this is more difficult.

Windows has default security settings regarding LM/NTLM. Windows XP: Send LM & NTLM responses, Windows Server 2003: Send NTLM response only, Vista/2008: Win7/2008 R2: Send NTLMv2 response only.

However Domain Controllers have relaxed default settings to accept the connection of older operating systems.
That means that by default, NTLMv1 is accepted on domain controllers.
If no GPO defines the LAN Manager Authentication Level, the DC fall back to the non secure default.

Advised Solution:

After an audit of NTLMv1 usage (see the links below), you need to raise the LAN Manager Authentication Level to "Send NTLMv2 response only. Refuse LM & NTLM".
This can be done by editing the policy "Network security: LAN Manager authentication level" which can be accessed in Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
The policy will be applied after a computer reboot.

As an alternative, the well known script Get-NtlmV1LogonEvents.ps1 can be used to search for NTLMv1 logon events.

Beware that you may break software which is not compatible with Ntlmv2 such as very old Linux stacks or very old Windows before Windows Vista.
But please note that Ntlmv2 can be activited on all Windows starting Windows 95 and other operating systems.

Title:

Assurez-vous que les protocoles NTLMv1 et les anciens protocoles LM sont interdits

Description:

Le but est de vérifier si NTLMv1 ou LM peut être utilisé par DC

Technical Explanation:

NTLMv1 est un ancien protocole connu pour être vulnérable aux attaques cryptographiques.
Il est généralement utilisé lorsqu'un pirate renifle le réseau et tente de récupérer des hachages NTLM qui peuvent ensuite être utilisés pour se faire passer pour des utilisateurs.

Cette attaque peut être combinée avec des attaques d'authentification forcée - un pirate force le DC à se connecter à un hôte contrôlé.
Dans ce cas, NTLMv1 peut être spécifié afin que le pirate puisse récupérer le hachage NTLM du DC, se faire passer pour lui puis prendre le contrôle du domaine.
Cette attaque est toujours possible avec NTLMv2 mais c'est plus difficile.

Windows a des paramètres de sécurité par défaut concernant LM/NTLM. Windows XP : envoyer des réponses LM et NTLM, Windows Server 2003 : envoyer une réponse NTLM uniquement, Vista/2008 : Win7/2008 R2 : envoyer une réponse NTLMv2 uniquement.

Cependant, les contrôleurs de domaine ont assoupli les paramètres par défaut pour accepter la connexion d'anciens systèmes d'exploitation.
Cela signifie que par défaut, NTLMv1 est accepté sur les contrôleurs de domaine.
Si aucun GPO ne définit le niveau d'authentification LAN Manager, le contrôleur de domaine revient à la valeur non sécurisée par défaut.

Advised Solution:

Après un audit de l'utilisation de NTLMv1 (voir les liens ci-dessous), vous devez augmenter le niveau d'authentification LAN Manager à "Envoyer uniquement la réponse NTLMv2. Refuser LM & NTLM".
Cela peut être fait en éditant la stratégie "Sécurité réseau : niveau d'authentification LAN Manager" accessible dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Politiques locales\Options de sécurité
La politique sera appliquée après un redémarrage de l'ordinateur.

Comme alternative, le script bien connu Get-NtlmV1LogonEvents.ps1 peut être utilisé pour rechercher des événements de connexion NTLMv1.

Attention, vous risquez de casser des logiciels non compatibles avec Ntlmv2 tels que de très anciennes piles Linux ou de très vieux Windows antérieurs à Windows Vista.
Mais veuillez noter que Ntlmv2 peut être activé sur tous les Windows à partir de Windows 95 et d'autres systèmes d'exploitation.

Title:

Stellen Sie sicher, dass die Protokolle NTLMv1 und alte LM gesperrt sind

Description:

Der Zweck besteht darin, zu prüfen, ob NTLMv1 oder LM von DC verwendet werden können

Technical Explanation:

NTLMv1 ist ein altes Protokoll, das bekanntermaßen anfällig für kryptografische Angriffe ist.
Es wird normalerweise verwendet, wenn ein Hacker das Netzwerk ausspioniert und versucht, NTLM-Hashes abzurufen, die dann verwendet werden können, um sich als Benutzer auszugeben.

Dieser Angriff kann mit erzwungenen Authentifizierungsangriffen kombiniert werden – ein Hacker zwingt den DC, sich mit einem kontrollierten Host zu verbinden.
In diesem Fall kann NTLMv1 angegeben werden, damit der Hacker den NTLM-Hash des DC abrufen, ihn imitieren und dann die Kontrolle über die Domäne übernehmen kann.
Dieser Angriff ist mit NTLMv2 immer noch möglich, aber das ist schwieriger.

Windows hat Standardsicherheitseinstellungen bezüglich LM/NTLM. Windows XP: LM- und NTLM-Antworten senden, Windows Server 2003: Nur NTLM-Antworten senden, Vista/2008: Win7/2008 R2: Nur NTLMv2-Antworten senden.

Domänencontroller haben jedoch gelockerte Standardeinstellungen, um die Verbindung älterer Betriebssysteme zu akzeptieren.
Das bedeutet, dass NTLMv1 standardmäßig auf Domänencontrollern akzeptiert wird.
Wenn kein Gruppenrichtlinienobjekt die LAN Manager-Authentifizierungsebene definiert, fällt der DC auf die nicht sichere Standardeinstellung zurück.

Advised Solution:

Nach einer Prüfung der NTLMv1-Nutzung (siehe die Links unten) müssen Sie die LAN Manager-Authentifizierungsebene auf „Nur NTLMv2-Antwort senden. LM und NTLM ablehnen“ erhöhen.
Dies kann durch Bearbeiten der Richtlinie „Netzwerksicherheit: LAN Manager-Authentifizierungsebene“ erfolgen, auf die unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen zugegriffen werden kann
Die Richtlinie wird nach einem Neustart des Computers angewendet.

Alternativ kann das bekannte Skript Get-NtlmV1LogonEvents.ps1 verwendet werden, um nach NTLMv1-Anmeldeereignissen zu suchen.

Beachten Sie, dass Sie möglicherweise Software beschädigen, die nicht mit Ntlmv2 kompatibel ist, wie z. B. sehr alte Linux-Stacks oder sehr altes Windows vor Windows Vista.
Bitte beachten Sie jedoch, dass Ntlmv2 auf allen Windows ab Windows 95 und anderen Betriebssystemen aktiviert werden kann.

Title:

Asegúrese de que NTLMv1 y los protocolos LM antiguos estén prohibidos

Description:

El propósito es verificar si DC puede usar NTLMv1 o LM

Technical Explanation:

NTLMv1 es un protocolo antiguo que se sabe que es vulnerable a los ataques criptográficos.
Por lo general, se usa cuando un pirata informático rastrea la red e intenta recuperar hashes NTLM que luego se pueden usar para suplantar a los usuarios.

Este ataque se puede combinar con ataques de autenticación forzados: un hacker obliga al DC a conectarse a un host controlado.
En este caso, se puede especificar NTLMv1 para que el pirata informático pueda recuperar el hash NTLM del DC, suplantarlo y luego tomar el control del dominio.
Este ataque todavía es posible con NTLMv2 pero es más difícil.

Windows tiene una configuración de seguridad predeterminada con respecto a LM/NTLM. Windows XP: enviar respuestas LM y NTLM, Windows Server 2003: enviar solo respuestas NTLM, Vista/2008: Win7/2008 R2: enviar solo respuestas NTLMv2.

Sin embargo, los controladores de dominio han relajado la configuración predeterminada para aceptar la conexión de sistemas operativos más antiguos.
Eso significa que, de forma predeterminada, se acepta NTLMv1 en los controladores de dominio.
Si ningún GPO define el nivel de autenticación de LAN Manager, el controlador de dominio recurre al valor predeterminado no seguro.

Advised Solution:

Después de una auditoría del uso de NTLMv1 (consulte los enlaces a continuación), debe elevar el nivel de autenticación de LAN Manager a "Enviar solo respuesta NTLMv2. Rechazar LM y NTLM".
Esto se puede hacer editando la política "Seguridad de red: nivel de autenticación de LAN Manager" a la que se puede acceder en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Políticas locales\Opciones de seguridad
La política se aplicará después de reiniciar la computadora.

Como alternativa, se puede usar el conocido script Get-NtlmV1LogonEvents.ps1 para buscar eventos de inicio de sesión NTLMv1.

Tenga en cuenta que puede dañar el software que no es compatible con Ntlmv2, como pilas de Linux muy antiguas o Windows muy antiguo antes de Windows Vista.
Pero tenga en cuenta que Ntlmv2 se puede activar en todos los sistemas operativos de Windows a partir de Windows 95 y otros.

Introduced in:

2.11.2.0

Points:

15 points if present

Documentation:

https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/audit-domain-controller-ntlmv1
https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain
https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level
https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-security/enable-ntlm-2-authentication
[MITRE]T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R37 [paragraph.3.6.2.1]

Provisioning

It is important to control who can create new objects in the Active Directory. Indeed, its owner may introduce an object in which it has a strong control.

Title (fr-FR): Provisioning

Description (fr-FR): Il est important de contrôler qui peut créer de nouveaux objets dans Active Directory. En effet, son propriétaire peut introduire un objet sur lequel il a un fort contrôle.

Title (de-DE): Provisioning

Description (de-DE): Es ist wichtig zu steuern, wer neue Objekte im Active Directory erstellen darf. Tatsächlich kann sein Eigentümer ein Objekt einführen, über das er eine starke Kontrolle hat.

Title (es-ES): Provisioning

Description (es-ES): Es importante controlar quién puede crear nuevos objetos en Active Directory. De hecho, su propietario puede introducir un objeto sobre el que tiene un fuerte control.

Check if all DC are well registered.

Rule ID:

S-DCRegistration

Description:

The purpose is to ensure that DC are well registered.

Technical Explanation:

To be registered as a domain controller, a computer must be a member of the domain controller group, but also has some specific settings.
The settings are a change of the userAccountControl attribute and a couple of objects in the configuration partition.
This rule is triggered when an inconsistency has been detected between the expected values and the real values.

The user account control value for Read/Write DC is:
SERVER_TRUST_ACCOUNT (0x00002000) | TRUSTED_FOR_DELEGATION (0x00080000) = 0x00082000
The user account control value for Read Only DC is:
PARTIAL_SECRETS_ACCOUNT (0x04000000) | TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION (0x01000000) | WORKSTATION_TRUST_ACCOUNT (0x00001000) = 0x05001000

Advised Solution:

This rule result is either the result of a manual or software based misconfiguration. It can also be the sign of a compromise.
Depending on the anonamly reported, you have to perform the following actions:
- for InvalidUserAccount:
you have to check that the userAccountControl attribute of the AD object is either 0x00082000 for RW DC or 0x05001000 for RODC
- for NoConfiguration:
the DC registration in the Configuration partition is mising. The DC should not be active and need to be demoted.
- for NoNTDS:
the NTDS part of the DC Configuration is missing. Most probably the replication is not working. The DC should be demoted.

Title:

Vérifiez si tous les DC sont bien enregistrés.

Description:

Le but est de s'assurer que les DC sont bien enregistrés.

Technical Explanation:

Pour être enregistré en tant que contrôleur de domaine, un ordinateur doit être membre du groupe de contrôleurs de domaine, mais possède également certains paramètres spécifiques.
Les paramètres sont une modification de l'attribut userAccountControl et quelques objets dans la partition de configuration.
Cette règle est déclenchée lorsqu'une incohérence a été détectée entre les valeurs attendues et les valeurs réelles.

La valeur de contrôle de compte d'utilisateur pour Read/Write DC est :
SERVER_TRUST_ACCOUNT (0x00002000) | TRUSTED_FOR_DELEGATION (0x00080000) = 0x00082000
La valeur de contrôle de compte d'utilisateur pour Read Only DC est :
PARTIAL_SECRETS_ACCOUNT (0x04000000) | TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION (0x01000000) | WORKSTATION_TRUST_ACCOUNT (0x00001000) = 0x05001000

Advised Solution:

Ce résultat de règle est le résultat d'une mauvaise configuration manuelle ou logicielle. Cela peut aussi être le signe d'un compromis.
En fonction de l'anonymat signalé, vous devez effectuer les actions suivantes :
- pour InvalidUserAccount :
vous devez vérifier que l'attribut userAccountControl de l'objet AD est soit 0x00082000 pour RW DC soit 0x05001000 pour RODC
- pour NoConfiguration :
l'enregistrement DC dans la partition de configuration est manquant. Le contrôleur de domaine ne doit pas être actif et doit être rétrogradé.
- pour NonNTDS :
la partie NTDS de la configuration DC est manquante. Très probablement, la réplication ne fonctionne pas. Le DC devrait être rétrogradé.

Title:

Überprüfen Sie, ob alle DC ordnungsgemäß registriert sind.

Description:

Der Zweck besteht darin, sicherzustellen, dass DC gut registriert sind.

Technical Explanation:

Um als Domänencontroller registriert zu werden, muss ein Computer Mitglied der Domänencontrollergruppe sein, hat aber auch einige spezifische Einstellungen.
Die Einstellungen sind eine Änderung des userAccountControl-Attributs und einiger Objekte in der Konfigurationspartition.
Diese Regel wird ausgelöst, wenn eine Inkonsistenz zwischen den erwarteten Werten und den tatsächlichen Werten erkannt wurde.

Der Benutzerkontensteuerungswert für Read/Write DC ist:
SERVER_TRUST_ACCOUNT (0x00002000) | TRUSTED_FOR_DELEGATION (0x00080000) = 0x00082000
Der Wert der Benutzerkontensteuerung für Read Only DC lautet:
PARTIAL_SECRETS_ACCOUNT (0x04000000) | TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION (0x01000000) | WORKSTATION_TRUST_ACCOUNT (0x00001000) = 0x05001000

Advised Solution:

Dieses Regelergebnis ist entweder das Ergebnis einer manuellen oder softwarebasierten Fehlkonfiguration. Es kann auch ein Zeichen für einen Kompromiss sein.
Abhängig von der gemeldeten Anonymität müssen Sie die folgenden Aktionen ausführen:
- für ungültiges Benutzerkonto:
Sie müssen überprüfen, ob das userAccountControl-Attribut des AD-Objekts entweder 0x00082000 für RW DC oder 0x05001000 für RODC ist
- für NoConfiguration:
die DC-Registrierung in der Konfigurationspartition fehlt. Der DC sollte nicht aktiv sein und muss herabgestuft werden.
- für NoNTDS:
der NTDS-Teil der DC-Konfiguration fehlt. Höchstwahrscheinlich funktioniert die Replikation nicht. Der DC sollte degradiert werden.

Title:

Compruebe si todos los DC están bien registrados.

Description:

El propósito es asegurar que los DC estén bien registrados.

Technical Explanation:

Para registrarse como controlador de dominio, una computadora debe ser miembro del grupo de controladores de dominio, pero también debe tener algunas configuraciones específicas.
La configuración es un cambio del atributo userAccountControl y un par de objetos en la partición de configuración.
Esta regla se activa cuando se detecta una inconsistencia entre los valores esperados y los valores reales.

El valor de control de cuenta de usuario para DC de lectura/escritura es:
SERVIDOR_CONFIANZA_CUENTA (0x00002000) | CONFIANZA_PARA_DELEGACIÓN (0x00080000) = 0x00082000
El valor de control de cuenta de usuario para DC de solo lectura es:
CUENTA_SECRETOS_PARCIALES (0x04000000) | DE CONFIANZA_PARA_AUTENTICAR_PARA_DELEGACIÓN (0x01000000) | ESTACIÓN DE TRABAJO_CONFIANZA_CUENTA (0x00001000) = 0x05001000

Advised Solution:

El resultado de esta regla es el resultado de una mala configuración manual o basada en software. También puede ser el signo de un compromiso.
Dependiendo del informe anónimo, debe realizar las siguientes acciones:
- para cuenta de usuario no válida:
debe verificar que el atributo userAccountControl del objeto AD sea 0x00082000 para RW DC o 0x05001000 para RODC
- para Sin Configuración:
falta el registro de DC en la partición de configuración. El DC no debe estar activo y debe ser degradado.
- para NoNTDS:
falta la parte NTDS de la configuración DC. Lo más probable es que la replicación no esté funcionando. El DC debe ser degradado.

Introduced in:

2.9.0.0

Points:

10 points if present

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/9164e4e8-f892-4ca2-8067-059f6f9387a4
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/8ebf2419-1169-4413-88e2-12a5ad499cf5
[FR]ANSSI - Domain controllers in inconsistent state (vuln1_dc_inconsistent_uac)1
[MITRE]T1207 Rogue Domain Controller

Check the process of registration of computers to the domain

Rule ID:

S-ADRegistration

Description:

The purpose is to ensure that basic users cannot register extra computers in the domain

Technical Explanation:

By default, a basic user can register up to 10 computers within the domain. This default configuration represents a security issue as basic users shouldn't be able to create such accounts and this task should be handled by administrators.

Note: this program checks also the GPO for SeMachineAccountPrivilege assignment. This assignment can be used to restrict the impact of the key ms-DS-MachineAccountQuota.

Advised Solution:

To solve the issue, limit the number of extra computers that can be registered by a basic user. It can be reduced by modifying the value of ms-DS-MachineAccountQuota to zero (0). Another solution can be to remove the "Authenticated Users" group in the domain controllers policy altogether. Do note, that if you need to set delegation to an account, so it can add computers to the domain, it can be done through 2 methods: Delegation in the OU or by assigning the SeMachineAccountPrivilege to a special group

Title:

Vérifier le processus d'enregistrement des ordinateurs au domaine

Description:

Le but est de s'assurer que les utilisateurs de base ne peuvent pas enregistrer d'ordinateurs supplémentaires dans le domaine

Technical Explanation:

Par défaut, un utilisateur de base peut enregistrer jusqu'à 10 ordinateurs dans le domaine. Cette configuration par défaut représente un problème de sécurité car les utilisateurs de base ne devraient pas pouvoir créer de tels comptes et cette tâche devrait être gérée par les administrateurs.

Remarque : ce programme vérifie également le GPO pour l'attribution de SeMachineAccountPrivilege. Cette affectation peut être utilisée pour limiter l'impact de la clé ms-DS-MachineAccountQuota.

Advised Solution:

Pour résoudre le problème, limitez le nombre d'ordinateurs supplémentaires pouvant être enregistrés par un utilisateur de base. Il peut être réduit en modifiant la valeur de ms-DS-MachineAccountQuota à zéro (0). Une autre solution peut consister à supprimer complètement le groupe "Utilisateurs authentifiés" dans la stratégie des contrôleurs de domaine. Notez que si vous avez besoin de définir la délégation à un compte, afin qu'il puisse ajouter des ordinateurs au domaine, cela peut être fait par 2 méthodes : Délégation dans l'UO ou en attribuant le SeMachineAccountPrivilege à un spécial groupe

Title:

Überprüfen Sie den Prozess der Registrierung von Computern in der Domäne

Description:

Damit soll sichergestellt werden, dass Basisbenutzer keine zusätzlichen Computer in der Domäne registrieren können

Technical Explanation:

Standardmäßig kann ein einfacher Benutzer bis zu 10 Computer innerhalb der Domäne registrieren. Diese Standardkonfiguration stellt ein Sicherheitsproblem dar, da einfache Benutzer solche Konten nicht erstellen können sollten und diese Aufgabe von Administratoren erledigt werden sollte.

Hinweis: Dieses Programm prüft auch das GPO auf SeMachineAccountPrivilege-Zuweisung. Diese Zuweisung kann verwendet werden, um die Auswirkung des Schlüssels ms-DS-MachineAccountQuota einzuschränken.

Advised Solution:

Um das Problem zu lösen, begrenzen Sie die Anzahl der zusätzlichen Computer, die von einem einfachen Benutzer registriert werden können. Sie kann reduziert werden, indem der Wert von ms-DS-MachineAccountQuota auf Null (0) geändert wird. Eine andere Lösung kann darin bestehen, die Gruppe "Authentifizierte Benutzer" in der Richtlinie für Domänencontroller vollständig zu entfernen. Beachten Sie, dass, wenn Sie die Delegierung für ein Konto festlegen müssen, damit es Computer zur Domäne hinzufügen kann, dies über zwei Methoden erfolgen kann: Delegierung in der OU oder durch Zuweisen des SeMachineAccountPrivilege zu einem speziellen Gruppe

Title:

Consultar el proceso de alta de equipos al dominio

Description:

El propósito es garantizar que los usuarios básicos no puedan registrar computadoras adicionales en el dominio.

Technical Explanation:

De forma predeterminada, un usuario básico puede registrar hasta 10 equipos dentro del dominio. Esta configuración predeterminada representa un problema de seguridad, ya que los usuarios básicos no deberían poder crear dichas cuentas y esta tarea debería estar a cargo de los administradores.

Nota: este programa también verifica el GPO para la asignación de SeMachineAccountPrivilege. Esta asignación se puede utilizar para restringir el impacto de la clave ms-DS-MachineAccountQuota.

Advised Solution:

Para resolver el problema, limite la cantidad de computadoras adicionales que un usuario básico puede registrar. Se puede reducir modificando el valor de ms-DS-MachineAccountQuota a cero (0). Otra solución puede ser eliminar por completo el grupo "Usuarios autenticados" en la política de controladores de dominio. Tenga en cuenta que si necesita configurar la delegación a una cuenta, para que pueda agregar computadoras al dominio, puede hacerlo a través de 2 métodos: Delegación en la unidad organizativa o asignando el SeMachineAccountPrivilege a una cuenta especial grupo

Points:

10 points if present

Documentation:

https://docs.microsoft.com/troubleshoot/windows-server/identity/default-workstation-numbers-join-domain
http://prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/
http://blog.backslasher.net/preventing-users-from-adding-computers-to-a-domain.html
[MITRE]Mitre Att&ck - Mitigation - User Account Management

Vulnerable Schema Class check

Rule ID:

S-ADRegistrationSchema

Description:

The purpose is to ensure that no schema class can be used to create arbitrary objects

Technical Explanation:

The classes added to the schema provide additional object types. If misconfigured, a class can be used to bypass a security restriction.
For the vulnerability PossSuperiorComputer:
A class has the attribute possSuperiors containing the class "computer" and this class inherits from "container".
That means that every computer can request this class to be added.
Once this class has been added, it can be used as a container to create additional users or computers without restrictions.

For the vulnerability PossSuperiorUser:
It is the same vulnerability as PossSuperiorComputer but with the "user" class instead of the "computer" class.

Advised Solution:

For PossSuperiorComputer:
You have to edit the schema to change the value of the attribute possSuperior and remove the "computer" value.
A PowerShell script in the documentation provides a fix.

For PossSuperiorUser:
You have to edit the schema to change the value of the attribute possSuperior and remove the "user" value.
A PowerShell script in the documentation provides a fix.

Also the class msExchStorageGroup is known to have this vulnerability via the CVE-2021-34470.
In this case, the vulnerability is exploitable even if Exchange has been uninstalled.

Title:

Vérification de classe de schéma vulnérable

Description:

Le but est de s'assurer qu'aucune classe de schéma ne peut être utilisée pour créer des objets arbitraires

Technical Explanation:

Les classes ajoutées au schéma fournissent des types d'objet supplémentaires. Si elle est mal configurée, une classe peut être utilisée pour contourner une restriction de sécurité.
Pour la vulnérabilité PossSuperiorComputer :
Une classe possède l'attribut possSuperiors contenant la classe "computer" et cette classe hérite de "container".
Cela signifie que chaque ordinateur peut demander l'ajout de cette classe.
Une fois cette classe ajoutée, elle peut être utilisée comme conteneur pour créer des utilisateurs ou des ordinateurs supplémentaires sans restrictions.

Pour la vulnérabilité PossSuperiorUser :
C'est la même vulnérabilité que PossSuperiorComputer mais avec la classe "user" au lieu de la classe "computer".

Advised Solution:

Pour PossSuperiorComputer :
Vous devez éditer le schéma pour changer la valeur de l'attribut possSuperior et supprimer la valeur "computer".
Un script PowerShell dans la documentation fournit un correctif.

Pour PossSuperiorUser :
Vous devez éditer le schéma pour changer la valeur de l'attribut possSuperior et supprimer la valeur "user".
Un script PowerShell dans la documentation fournit un correctif.

La classe msExchStorageGroup est également connue pour avoir cette vulnérabilité via le CVE-2021-34470.
Dans ce cas, la vulnérabilité est exploitable même si Exchange a été désinstallé.

Title:

Prüfung auf anfällige Schemaklassen

Description:

Der Zweck besteht darin, sicherzustellen, dass keine Schemaklasse verwendet werden kann, um beliebige Objekte zu erstellen

Technical Explanation:

Die dem Schema hinzugefügten Klassen stellen zusätzliche Objekttypen bereit. Bei falscher Konfiguration kann eine Klasse verwendet werden, um eine Sicherheitseinschränkung zu umgehen.
Für die Schwachstelle PossSuperiorComputer:
Eine Klasse hat das Attribut possSuperiors, das die Klasse "Computer" enthält, und diese Klasse erbt von "Container".
Das bedeutet, dass jeder Computer das Hinzufügen dieser Klasse anfordern kann.
Sobald diese Klasse hinzugefügt wurde, kann sie als Container verwendet werden, um weitere Benutzer oder Computer ohne Einschränkungen anzulegen.

Für die Schwachstelle PossSuperiorUser:
Es handelt sich um dieselbe Schwachstelle wie PossSuperiorComputer, jedoch mit der Klasse „Benutzer“ anstelle der Klasse „Computer“.

Advised Solution:

Für PossSuperiorComputer:
Sie müssen das Schema bearbeiten, um den Wert des Attributs possSuperior zu ändern und den Wert „computer“ zu entfernen.
Ein PowerShell-Skript in der Dokumentation bietet Abhilfe.

Für PossSuperiorUser:
Sie müssen das Schema bearbeiten, um den Wert des Attributs possSuperior zu ändern und den Wert „user“ zu entfernen.
Ein PowerShell-Skript in der Dokumentation bietet Abhilfe.

Auch die Klasse msExchStorageGroup hat diese Schwachstelle über die CVE-2021-34470.
In diesem Fall ist die Schwachstelle auch dann ausnutzbar, wenn Exchange deinstalliert wurde.

Title:

Comprobación de clase de esquema vulnerable

Description:

El propósito es garantizar que no se pueda usar ninguna clase de esquema para crear objetos arbitrarios.

Technical Explanation:

Las clases agregadas al esquema proporcionan tipos de objetos adicionales. Si está mal configurado, una clase se puede usar para eludir una restricción de seguridad.
Para la vulnerabilidad PossSuperiorComputer:
Una clase tiene el atributo possSuperiores que contiene la clase "computadora" y esta clase hereda de "contenedor".
Eso significa que cada computadora puede solicitar que se agregue esta clase.
Una vez que se ha agregado esta clase, se puede usar como contenedor para crear usuarios o equipos adicionales sin restricciones.

Para la vulnerabilidad PossSuperiorUser:
Es la misma vulnerabilidad que PossSuperiorComputer pero con la clase "usuario" en lugar de la clase "computadora".

Advised Solution:

Para PossSuperiorComputer:
Debe editar el esquema para cambiar el valor del atributo possSuperior y eliminar el valor de "computadora".
Un script de PowerShell en la documentación proporciona una solución.

Para PossSuperiorUser:
Debe editar el esquema para cambiar el valor del atributo possSuperior y eliminar el valor de "usuario".
Un script de PowerShell en la documentación proporciona una solución.

También se sabe que la clase msExchStorageGroup tiene esta vulnerabilidad a través de CVE-2021-34470.
En este caso, la vulnerabilidad se puede aprovechar incluso si se ha desinstalado Exchange.

Introduced in:

2.9.3.0

Points:

10 points if present

Documentation:

https://bugs.chromium.org/p/project-zero/issues/detail?id=2186
https://gist.github.com/IISResetMe/399a75cfccabc1a17d0cc3b5ae29f3aa#file-update-msexchstoragegroupschema-ps1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34470
[MITRE]Mitre Att&ck - Mitigation - User Account Management
[FR]ANSSI - Schema class allowing dangerous object creation (vuln2_warning_schema_posssuperiors)2

Replication

Active Directory uses a distributed architecture to have a high-level of availability. This architecture replicates each change at a regular interval. Collision of changes can create unexpected objects which can be used later.

Title (fr-FR): Replication

Description (fr-FR): Active Directory utilise une architecture distribuée pour avoir un haut niveau de disponibilité. Cette architecture réplique chaque changement à intervalle régulier. La collision des modifications peut créer des objets inattendus qui peuvent être utilisés ultérieurement.

Title (de-DE): Replication

Description (de-DE): Active Directory verwendet eine verteilte Architektur, um eine hohe Verfügbarkeit zu erreichen. Diese Architektur repliziert jede Änderung in regelmäßigen Abständen. Die Kollision von Änderungen kann unerwartete Objekte erzeugen, die später verwendet werden können.

Title (es-ES): Replication

Description (es-ES): Active Directory utiliza una arquitectura distribuida para tener un alto nivel de disponibilidad. Esta arquitectura replica cada cambio a intervalos regulares. La colisión de cambios puede crear objetos inesperados que se pueden usar más tarde.

Duplicate account check

Rule ID:

S-Duplicate

Description:

The purpose is to check if there are duplicate accounts within the domain. A duplicate account is essentially a duplicate of two objects having the same attributes.

Technical Explanation:

To identify a duplicate account, a check is performed on the "DN" and the "sAMAccountName". When a DC detects a conflict, there is a replacement performed on the second object.

Advised Solution:

Duplicate accounts being present often means there are process failures, and they should be identified and removed. To identify all duplicate accounts, you can use the following PowerShell commands: get-adobject -ldapfilter "(cn=*cnf:*)" ; get-adobject -ldapfilter "(sAMAccountName=$duplicate)"

Title:

Vérification du compte en double

Description:

Le but est de vérifier s'il existe des comptes en double dans le domaine. Un compte en double est essentiellement un double de deux objets ayant les mêmes attributs.

Technical Explanation:

Pour identifier un compte en double, une vérification est effectuée sur le "DN" et le "sAMAccountName". Lorsqu'un contrôleur de domaine détecte un conflit, un remplacement est effectué sur le deuxième objet.

Advised Solution:

La présence de comptes en double signifie souvent qu'il y a des échecs de processus, et ils doivent être identifiés et supprimés. Pour identifier tous les comptes en double, vous pouvez utiliser les commandes PowerShell suivantes : get-adobject -ldapfilter "(cn=*cnf:*)" ; get-adobject -ldapfilter "(sAMAccountName=$duplicate)"

Title:

Überprüfung auf doppelte Konten

Description:

Der Zweck besteht darin, zu überprüfen, ob innerhalb der Domäne doppelte Konten vorhanden sind. Ein doppeltes Konto ist im Wesentlichen ein Duplikat von zwei Objekten mit denselben Attributen.

Technical Explanation:

Um ein doppeltes Konto zu identifizieren, wird eine Prüfung auf den „DN“ und den „sAMAccountName“ durchgeführt. Wenn ein DC einen Konflikt erkennt, wird am zweiten Objekt eine Ersetzung durchgeführt.

Advised Solution:

Das Vorhandensein doppelter Konten bedeutet häufig, dass Prozessfehler auftreten, die identifiziert und entfernt werden sollten. Um alle doppelten Konten zu identifizieren, können Sie die folgenden PowerShell-Befehle verwenden: get-adobject -ldapfilter "(cn=*cnf:*)" ; get-adobject -ldapfilter "(sAMAccountName=$duplicate)"

Title:

Comprobación de cuenta duplicada

Description:

El propósito es verificar si hay cuentas duplicadas dentro del dominio. Una cuenta duplicada es esencialmente un duplicado de dos objetos que tienen los mismos atributos.

Technical Explanation:

Para identificar una cuenta duplicada, se realiza una verificación en el "DN" y el "sAMAccountName". Cuando un controlador de dominio detecta un conflicto, se realiza un reemplazo en el segundo objeto.

Advised Solution:

La presencia de cuentas duplicadas a menudo significa que hay fallas en el proceso, y deben identificarse y eliminarse. Para identificar todas las cuentas duplicadas, puede usar los siguientes comandos de PowerShell: get-adobject -ldapfilter "(cn=*cnf:*)" ; get-adobject -ldapfilter "(sAMAccountName=$duplicate)"

Points:

5 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Vulnerability management

Patching computers is part of the security process. Unpatched vulnerability is a way to gain control of a computer.

Title (fr-FR): Vulnerability management

Description (fr-FR): L'application de correctifs aux ordinateurs fait partie du processus de sécurité. La vulnérabilité non corrigée est un moyen de prendre le contrôle d'un ordinateur.

Title (de-DE): Vulnerability management

Description (de-DE): Das Patchen von Computern ist Teil des Sicherheitsprozesses. Eine ungepatchte Schwachstelle ist eine Möglichkeit, die Kontrolle über einen Computer zu erlangen.

Title (es-ES): Vulnerability management

Description (es-ES): La aplicación de parches a las computadoras es parte del proceso de seguridad. La vulnerabilidad sin parches es una forma de obtener el control de una computadora.

DC vulnerability (MS14-068)

Rule ID:

S-Vuln-MS14-068

Description:

The purpose is to verify if Domain Controller(s) are vulnerable to the MS14-068 vulnerability

Technical Explanation:

MS14-068 is a critical vulnerability that was published on November, 18th 2014. It can be used to very quickly compromise an entire domain, which is why having DC still vulnerable to this publicly known vulnerability represents a high security risk.

Advised Solution:

To fix the security breach, you should patch the DC as soon as it has been established it was vulnerable. You can verify that using a program in the links: this program will check remotely the last startup time of the DC and evaluate the risk

Title:

Vulnérabilité DC (MS14-068)

Description:

Le but est de vérifier si le ou les contrôleurs de domaine sont vulnérables à la vulnérabilité MS14-068

Technical Explanation:

MS14-068 est une vulnérabilité critique qui a été publiée le 18 novembre 2014. Elle peut être utilisée pour compromettre très rapidement un domaine entier, c'est pourquoi avoir DC toujours vulnérable à cette vulnérabilité publiquement connue représente un risque de sécurité élevé.

Advised Solution:

Pour corriger la faille de sécurité, vous devez patcher le DC dès qu'il a été établi qu'il était vulnérable. Vous pouvez vérifier cela en utilisant un programme dans les liens : ce programme vérifiera à distance l'heure du dernier démarrage du DC et évaluera le risque

Title:

DC-Schwachstelle (MS14-068)

Description:

Der Zweck besteht darin, zu überprüfen, ob Domänencontroller für die Schwachstelle MS14-068 anfällig sind

Technical Explanation:

MS14-068 ist eine kritische Schwachstelle, die am 18. November 2014 veröffentlicht wurde. Sie kann verwendet werden, um sehr schnell eine ganze Domäne zu kompromittieren, weshalb es ein hohes Sicherheitsrisiko darstellt, DC immer noch anfällig für diese öffentlich bekannte Schwachstelle zu sein.

Advised Solution:

Um die Sicherheitsverletzung zu beheben, sollten Sie den DC patchen, sobald festgestellt wurde, dass er angreifbar ist. Sie können dies mit einem Programm in den Links überprüfen: Dieses Programm überprüft aus der Ferne die letzte Startzeit des DC und bewertet das Risiko

Title:

Vulnerabilidad de CC (MS14-068)

Description:

El propósito es verificar si los controladores de dominio son vulnerables a la vulnerabilidad MS14-068

Technical Explanation:

MS14-068 es una vulnerabilidad crítica que se publicó el 18 de noviembre de 2014. Se puede usar para comprometer muy rápidamente un dominio completo, por lo que tener DC aún vulnerable a esta vulnerabilidad conocida públicamente representa un alto riesgo de seguridad.

Advised Solution:

Para corregir la brecha de seguridad, debe parchear el controlador de dominio tan pronto como se haya establecido que es vulnerable. Puede verificar que usando un programa en los enlaces: este programa verificará de forma remota la última hora de inicio del DC y evaluará el riesgo

Points:

100 points if present

Documentation:

https://technet.microsoft.com/en-us/library/security/ms14-068.aspx
[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI CERTFR-2014-ALE-011

DC vulnerability (MS17-010)

Rule ID:

S-Vuln-MS17_010

Description:

The purpose is to verify if Domain Controller(s) are vulnerable to the MS17-010 vulnerability

Technical Explanation:

MS17-010 is a critical vulnerability that was published on March, 14th 2017. It can be used to compromise an entire domain via DC compromise. This exploit has been revealed by the Shadow brokers (EternalBlue, EternalRomance, EternalSinergy) and it uses the SMB v1 vulnerability

Advised Solution:

To fix the security breach, you should patch the DC as soon as it has been established it was vulnerable. Another good remediation is to disable SMB v1 (see "DC Vulnerability (SMB v1)). You can verify that using the program from github in the links: this program will check remotely the last startup time of the DC and evaluate the risk

Title:

Vulnérabilité DC (MS17-010)

Description:

Le but est de vérifier si le ou les contrôleurs de domaine sont vulnérables à la vulnérabilité MS17-010

Technical Explanation:

MS17-010 est une vulnérabilité critique qui a été publiée le 14 mars 2017. Elle peut être utilisée pour compromettre un domaine entier via la compromission DC. Cet exploit a été révélé par les courtiers Shadow (EternalBlue, EternalRomance, EternalSinergy) et il utilise la vulnérabilité SMB v1

Advised Solution:

Pour corriger la faille de sécurité, vous devez patcher le DC dès qu'il a été établi qu'il était vulnérable. Une autre bonne remédiation consiste à désactiver SMB v1 (voir "DC Vulnerability (SMB v1)). Vous pouvez vérifier cela en utilisant le programme de github dans les liens : ce programme vérifiera à distance l'heure du dernier démarrage du DC et évaluera le risque.

Title:

DC-Schwachstelle (MS17-010)

Description:

Der Zweck besteht darin, zu überprüfen, ob Domänencontroller für die Schwachstelle MS17-010 anfällig sind

Technical Explanation:

MS17-010 ist eine kritische Sicherheitslücke, die am 14. März 2017 veröffentlicht wurde. Sie kann verwendet werden, um eine gesamte Domäne per DC-Kompromittierung zu kompromittieren. Dieser Exploit wurde von den Shadow-Brokern (EternalBlue, EternalRomance, EternalSinergy) aufgedeckt und nutzt die SMB v1-Schwachstelle

Advised Solution:

Um die Sicherheitsverletzung zu beheben, sollten Sie den DC patchen, sobald festgestellt wurde, dass er angreifbar ist. Eine weitere gute Abhilfe besteht darin, SMB v1 zu deaktivieren (siehe „DC-Schwachstelle (SMB v1)“). Sie können dies mit dem Programm von github in den Links überprüfen: Dieses Programm überprüft aus der Ferne die letzte Startzeit des DC und bewertet das Risiko

Title:

Vulnerabilidad de CC (MS17-010)

Description:

El propósito es verificar si los controladores de dominio son vulnerables a la vulnerabilidad MS17-010

Technical Explanation:

MS17-010 es una vulnerabilidad crítica que se publicó el 14 de marzo de 2017. Se puede usar para comprometer un dominio completo mediante el compromiso de DC. Este exploit ha sido revelado por Shadow Brokers (EternalBlue, EternalRomance, EternalSinergy) y utiliza la vulnerabilidad SMB v1.

Advised Solution:

Para corregir la brecha de seguridad, debe parchear el controlador de dominio tan pronto como se haya establecido que es vulnerable. Otra buena solución es deshabilitar SMB v1 (consulte "Vulnerabilidad de DC (SMB v1)). Puede verificar que usando el programa de github en los enlaces: este programa verificará de forma remota la última hora de inicio de DC y evaluará el riesgo

Points:

100 points if present

Documentation:

https://blogs.technet.microsoft.com/msrc/2017/04/14/protección-de-clientes-y-evaluación-de-riesgos/
https://github.com/misterch0c/shadowbroker/tree/master/windows/exploits
[MITRE]Mitre Att&ck - Mitigation - Update Software
[FR]ANSSI CERTFR-2017-ALE-010

Domain controller update

Rule ID:

S-DC-NotUpdated

Description:

The purpose is to ensure that all the Domain Controllers are updated regularly. This is done by checking if a DC has been rebooted in the past 6 months. If not, it means it has not been patched as well in these 6 months

Technical Explanation:

Domain Controller needs to be updated regularly because threats to the AD evolve all the time, so assets in the AD should evolve accordingly. The date of last update is computed by getting the StatisticsStartTime from [net statistics workstation]. If not available, the PingCastle solution will use the lastLogonTimestamp attribute which is refreshed based on the LastLogon attribute. Do note that there is a maximum delay for refresh: 14 days.

Advised Solution:

Frequently updating the DC should be part of the AD policies, as there should be a dedicated time-slot for the servers to reboot and apply security patches

Title:

Mise à jour du contrôleur de domaine

Description:

Le but est de s'assurer que tous les contrôleurs de domaine sont mis à jour régulièrement. Cela se fait en vérifiant si un DC a été redémarré au cours des 6 derniers mois. Si ce n'est pas le cas, cela signifie qu'il n'a pas été corrigé également au cours de ces 6 mois

Technical Explanation:

Le contrôleur de domaine doit être mis à jour régulièrement car les menaces contre l'AD évoluent tout le temps, de sorte que les actifs de l'AD doivent évoluer en conséquence. La date de la dernière mise à jour est calculée en obtenant le StatisticsStartTime à partir de [net statistics station de travail]. S'il n'est pas disponible, la solution PingCastle utilisera l'attribut lastLogonTimestamp qui est actualisé en fonction de l'attribut LastLogon. Notez qu'il y a un délai maximum pour l'actualisation : 14 jours.

Advised Solution:

La mise à jour fréquente du DC doit faire partie des politiques AD, car il doit y avoir un créneau horaire dédié pour que les serveurs redémarrent et appliquent les correctifs de sécurité

Title:

Domänencontroller-Update

Description:

Damit soll sichergestellt werden, dass alle Domänencontroller regelmäßig aktualisiert werden. Dies geschieht, indem überprüft wird, ob ein DC in den letzten 6 Monaten neu gestartet wurde. Wenn nicht, bedeutet dies, dass es in diesen 6 Monaten auch nicht gepatcht wurde

Technical Explanation:

Der Domänencontroller muss regelmäßig aktualisiert werden, da sich Bedrohungen für das AD ständig weiterentwickeln, sodass sich die Assets im AD entsprechend weiterentwickeln sollten. Das Datum der letzten Aktualisierung wird berechnet, indem die StatisticsStartTime von [Net Statistics Workstation] abgerufen wird. Falls nicht verfügbar, verwendet die PingCastle-Lösung das lastLogonTimestamp-Attribut, das basierend auf dem LastLogon-Attribut aktualisiert wird. Beachten Sie, dass es eine maximale Verzögerung für die Aktualisierung gibt: 14 Tage.

Advised Solution:

Das häufige Aktualisieren des DC sollte Teil der AD-Richtlinien sein, da es einen dedizierten Zeitschlitz für die Server geben sollte, um neu zu starten und Sicherheitspatches anzuwenden

Title:

Actualización del controlador de dominio

Description:

El propósito es garantizar que todos los controladores de dominio se actualicen periódicamente. Esto se hace comprobando si un DC se ha reiniciado en los últimos 6 meses. Si no, significa que no se ha parcheado también en estos 6 meses.

Technical Explanation:

El controlador de dominio debe actualizarse regularmente porque las amenazas al AD evolucionan todo el tiempo, por lo que los activos del AD deben evolucionar en consecuencia. La fecha de la última actualización se calcula obteniendo StatisticsStartTime de [estación de trabajo de estadísticas de red]. Si no está disponible, la solución PingCastle utilizará el atributo lastLogonTimestamp que se actualiza en función del atributo LastLogon. Tenga en cuenta que hay un retraso máximo para la actualización: 14 días.

Advised Solution:

La actualización frecuente del DC debe ser parte de las políticas de AD, ya que debe haber un intervalo de tiempo dedicado para que los servidores se reinicien y apliquen parches de seguridad.

Points:

15 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Update Software

Search for WSUS configuration enabling the use of a user proxy

Rule ID:

S-WSUS-UserProxy

Description:

The purpose is to ensure that there is no user proxy possibility for WSUS

Technical Explanation:

Unprivileged domain users may set a user proxy that is used for Windows Update if it is being allowed by a GPO.
Since the cumulative updates from September 2020 and January 2021, WSUS clients do not use the user proxy to connect to the server by default.
However, it is possible to configure a GPO setting that allows the connection via user proxy as a fallback to the system proxy.

This program consider as an anomaly if the setting SetProxyBehaviorForUpdateDetection is set, combined with a HTTP WSUS server.

Advised Solution:

The use of a user proxy needs to be disabled.
This program is looking at element named "Select the proxy behavior" defined in GPO Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update\Specify intranet Microsoft update service location
(refers to registry key HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\SetProxyBehaviorForUpdateDetection)

Or WSUS needs to be configured with HTTPS.
See this guide for more information:
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#23-secure-wsus-with-the-secure-sockets-layer-protocol

Title:

Rechercher la configuration WSUS permettant l'utilisation d'un proxy utilisateur

Description:

Le but est de s'assurer qu'il n'y a aucune possibilité de proxy utilisateur pour WSUS

Technical Explanation:

Les utilisateurs de domaine non privilégiés peuvent définir un proxy utilisateur qui est utilisé pour Windows Update s'il est autorisé par un GPO.
Depuis les mises à jour cumulatives de septembre 2020 et janvier 2021, les clients WSUS n'utilisent pas le proxy utilisateur pour se connecter au serveur par défaut.
Cependant, il est possible de configurer un paramètre GPO qui permet la connexion via un proxy utilisateur comme solution de repli au proxy système.

Ce programme considère comme une anomalie si le paramètre SetProxyBehaviorForUpdateDetection est défini, combiné avec un serveur HTTP WSUS.

Advised Solution:

L'utilisation d'un proxy utilisateur doit être désactivée.
Ce programme examine l'élément nommé "Sélectionner le comportement du proxy" défini dans GPO Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update\Specify intranet Microsoft update service location
(fait référence à la clé de registre HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\SetProxyBehaviorForUpdateDetection)

Ou WSUS doit être configuré avec HTTPS.
Consultez ce guide pour plus d'informations :
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#23-secure-wsus-with-the-secure-sockets- protocole de couche

Title:

Suchen Sie nach der WSUS-Konfiguration, die die Verwendung eines Benutzerproxys ermöglicht

Description:

Der Zweck besteht darin, sicherzustellen, dass es für WSUS keine Benutzer-Proxy-Möglichkeit gibt

Technical Explanation:

Nicht privilegierte Domänenbenutzer können einen Benutzerproxy festlegen, der für Windows Update verwendet wird, wenn dies von einem Gruppenrichtlinienobjekt zugelassen wird.
Seit den kumulativen Updates vom September 2020 und Januar 2021 verwenden WSUS-Clients standardmäßig nicht mehr den Benutzer-Proxy, um sich mit dem Server zu verbinden.
Es ist jedoch möglich, eine GPO-Einstellung zu konfigurieren, die die Verbindung über einen Benutzer-Proxy als Fallback zum System-Proxy zulässt.

Dieses Programm betrachtet es als Anomalie, wenn die Einstellung SetProxyBehaviorForUpdateDetection in Kombination mit einem HTTP-WSUS-Server gesetzt ist.

Advised Solution:

Die Verwendung eines Benutzerproxys muss deaktiviert werden.
Dieses Programm untersucht das Element mit dem Namen „Proxy-Verhalten auswählen“, das in GPO-Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Update\Intranetspeicherort des Microsoft-Update-Dienstes angeben definiert ist
(bezieht sich auf den Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\SetProxyBehaviorForUpdateDetection)

Oder WSUS muss mit HTTPS konfiguriert werden.
Weitere Informationen finden Sie in dieser Anleitung:
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#23-secure-wsus-with-the-secure-sockets- Layer-Protokoll

Title:

Busque la configuración de WSUS que permita el uso de un proxy de usuario

Description:

El propósito es garantizar que no haya posibilidad de proxy de usuario para WSUS

Technical Explanation:

Los usuarios de dominio sin privilegios pueden configurar un proxy de usuario que se usa para Windows Update si un GPO lo permite.
Desde las actualizaciones acumulativas de septiembre de 2020 y enero de 2021, los clientes de WSUS no usan el proxy de usuario para conectarse al servidor de forma predeterminada.
Sin embargo, es posible configurar una configuración de GPO que permita la conexión a través del proxy del usuario como alternativa al proxy del sistema.

Este programa considera una anomalía si se establece la configuración SetProxyBehaviorForUpdateDetection, combinada con un servidor HTTP WSUS.

Advised Solution:

El uso de un proxy de usuario debe estar deshabilitado.
Este programa busca un elemento denominado "Seleccionar el comportamiento del proxy" definido en Configuración del equipo de GPO\Políticas\Plantillas administrativas\Componentes de Windows\Actualización de Windows\Especificar la ubicación del servicio de actualización de Microsoft en la intranet
(se refiere a la clave de registro HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\SetProxyBehaviorForUpdateDetection)

O WSUS debe configurarse con HTTPS.
Consulte esta guía para obtener más información:
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#23-secure-wsus-with-the-secure-sockets- protocolo de capa

Introduced in:

2.10.1.0

Points:

1 points if present

Documentation:

https://www.gosecure.net/blog/2021/11/22/gosecure-investigates-abusing-windows-server-update-services-wsus-to-enable-ntlm-relaying-attacks/
https://github.com/proxenetas/wsuxploit
https://github.com/GoSecure/WSuspicious
https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-csp-update#update-setproxybehaviorforupdatedetection
[MITRE]Mitre Att&ck - Mitigation - Update Software

Search for WSUS configuration using HTTP instead of HTTPS

Rule ID:

S-WSUS-HTTP

Description:

The purpose is to ensure that there is no access of WSUS server via HTTP

Technical Explanation:

WSUS is the component used on the intranet to deliver Windows updates. The recommendation of Microsoft is to use HTTPS for transport but for convenience or tests, HTTP can be configured.
The HTTP protocol can be intercepted on the network with tools such as wsuxploit or WSuspicious (see below for links) and malicious updates can be delivered.
The attacker can then take control of many assets.

Advised Solution:

WSUS needs to be configured with HTTPS.
See this guide for more information:
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#23-secure-wsus-with-the-secure-sockets-layer-protocol

Then all GPO which reference the HTTP path should be changed to the HTTPS path.
This program is looking at the settings defined in "Set the intranet update service for detecting updates" and "Set the alternate download server" in GPO Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update\Specify intranet Microsoft update service location
(refers to registry key HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer and HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\UpdateServiceUrlAlternate)

Title:

Rechercher la configuration WSUS en utilisant HTTP au lieu de HTTPS

Description:

Le but est de s'assurer qu'il n'y a pas d'accès au serveur WSUS via HTTP

Technical Explanation:

WSUS est le composant utilisé sur l'intranet pour fournir les mises à jour Windows. La recommandation de Microsoft est d'utiliser HTTPS pour le transport mais pour des raisons de commodité ou de tests, HTTP peut être configuré.
Le protocole HTTP peut être intercepté sur le réseau avec des outils tels que wsuxploit ou WSuspicious (voir ci-dessous pour les liens) et des mises à jour malveillantes peuvent être livrées.
L'attaquant peut alors prendre le contrôle de nombreux actifs.

Advised Solution:

WSUS doit être configuré avec HTTPS.
Consultez ce guide pour plus d'informations :
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#23-secure-wsus-with-the-secure-sockets- protocole de couche

Ensuite, tous les objets de stratégie de groupe faisant référence au chemin HTTP doivent être remplacés par le chemin HTTPS.
Ce programme examine les paramètres définis dans "Définir le service de mise à jour intranet pour détecter les mises à jour" et "Définir le serveur de téléchargement alternatif" dans GPO Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update\Specify intranet Microsoft update service location
(fait référence à la clé de registre HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer et HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\UpdateServiceUrlAlternate)

Title:

Suchen Sie mithilfe von HTTP anstelle von HTTPS nach der WSUS-Konfiguration

Description:

Damit soll sichergestellt werden, dass kein Zugriff auf den WSUS-Server über HTTP erfolgt

Technical Explanation:

WSUS ist die Komponente, die im Intranet verwendet wird, um Windows-Updates bereitzustellen. Die Empfehlung von Microsoft lautet, HTTPS für den Transport zu verwenden, aber für Bequemlichkeit oder Tests kann HTTP konfiguriert werden.
Mit Tools wie wsuxploit oder WSuspicious (Links siehe unten) kann das HTTP-Protokoll im Netzwerk abgefangen und schädliche Updates ausgeliefert werden.
Der Angreifer kann dann die Kontrolle über viele Assets übernehmen.

Advised Solution:

WSUS muss mit HTTPS konfiguriert werden.
Weitere Informationen finden Sie in dieser Anleitung:
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#23-secure-wsus-with-the-secure-sockets- Layer-Protokoll

Dann sollten alle GPOs, die auf den HTTP-Pfad verweisen, auf den HTTPS-Pfad geändert werden.
Dieses Programm prüft die Einstellungen, die unter „Festlegen des Intranet-Update-Dienstes zum Erkennen von Updates“ und „Festlegen des alternativen Download-Servers“ in GPO-Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Update\Intranet-Speicherort des Microsoft-Update-Dienstes angeben definiert sind
(bezieht sich auf Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer und HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\UpdateServiceUrlAlternate)

Title:

Busque la configuración de WSUS usando HTTP en lugar de HTTPS

Description:

El propósito es garantizar que no haya acceso al servidor WSUS a través de HTTP

Technical Explanation:

WSUS es el componente utilizado en la intranet para entregar actualizaciones de Windows. La recomendación de Microsoft es utilizar HTTPS para el transporte pero por comodidad o pruebas se puede configurar HTTP.
El protocolo HTTP se puede interceptar en la red con herramientas como wsuxploit o WSuspicious (consulte los enlaces a continuación) y se pueden enviar actualizaciones maliciosas.
El atacante puede entonces tomar el control de muchos activos.

Advised Solution:

WSUS debe configurarse con HTTPS.
Consulte esta guía para obtener más información:
https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#23-secure-wsus-with-the-secure-sockets- protocolo de capa

Luego, todos los GPO que hacen referencia a la ruta HTTP deben cambiarse a la ruta HTTPS.
Este programa analiza la configuración definida en "Establecer el servicio de actualización de la intranet para detectar actualizaciones" y "Establecer el servidor de descarga alternativo" en Configuración del equipo de GPO\Políticas\Plantillas administrativas\Componentes de Windows\Windows Update\Especificar la ubicación del servicio de actualización de Microsoft en la intranet
(se refiere a la clave de registro HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer y HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\UpdateServiceUrlAlternate)

Introduced in:

2.10.1.0

Points:

5 points if present

Documentation:

https://www.gosecure.net/blog/2021/11/22/gosecure-investigates-abusing-windows-server-update-services-wsus-to-enable-ntlm-relaying-attacks/
https://github.com/proxenetas/wsuxploit
https://github.com/GoSecure/WSuspicious
https://docs.microsoft.com/en-us/windows/deployment/update/waas-wu-settings
[MITRE]Mitre Att&ck - Mitigation - Update Software

Search for WSUS configuration where certificate pinning has been disabled

Rule ID:

S-WSUS-NoPinning

Description:

The purpose is to ensure that WSUS Certificate Pinning has not been disabled

Technical Explanation:

Even though HTTPS makes it harder for attackers to intercept WSUS responses, it it still possible with a specific configuration.
HTTPS connections may be intercepted by a proxy that signs the response again with a self-signed certificate after receiving it from the WSUS server.
The certificate can be installed in a user cert store so responses from the HTTPS proxy can still be validated.
In the cumulative update of January 2021, Microsoft implemented a certificate pinning mechanism where the certificate served by the WSUS' IIS server is installed in a system certificate store specifically for WSUS (WindowsServerUpdateServices) that an unauthenticated user cannot control.
Certificates in this store are enforced by default to mitigate HTTPS-intercepting proxy attacks but this pinning mechanism can also be disabled via GPO.

If the WSUS cert store does not contain any certificates, the pinning will not be enforced, too.

PingCastle cannot check if the certificate is present to enforce the certificate pinning, but it checks if a GPO disable this security.

Advised Solution:

Remove the setting which disables the certificate pinning for WSUS.

It is located in: Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update\Specify intranet Microsoft update service location
This is the setting "Allow user proxy to be used as a fallback if detection using system proxy fails".

It refers to the registry key: HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotEnforceEnterpriseTLSCertPinningForUpdateDetection

Title:

Rechercher la configuration WSUS où l'épinglage de certificat a été désactivé

Description:

Le but est de s'assurer que l'épinglage de certificat WSUS n'a pas été désactivé

Technical Explanation:

Même si HTTPS rend plus difficile pour les attaquants d'intercepter les réponses WSUS, cela reste possible avec une configuration spécifique.
Les connexions HTTPS peuvent être interceptées par un proxy qui signe à nouveau la réponse avec un certificat auto-signé après l'avoir reçu du serveur WSUS.
Le certificat peut être installé dans un magasin de certificats utilisateur afin que les réponses du proxy HTTPS puissent toujours être validées.
Dans la mise à jour cumulative de janvier 2021, Microsoft a implémenté un mécanisme d'épinglage de certificat dans lequel le certificat servi par le serveur IIS de WSUS est installé dans un magasin de certificats système spécifiquement pour WSUS (WindowsServerUpdateServices) qu'un utilisateur non authentifié ne peut pas contrôler.
Les certificats de ce magasin sont appliqués par défaut pour atténuer les attaques de proxy d'interception HTTPS, mais ce mécanisme d'épinglage peut également être désactivé via GPO.

Si le magasin de certificats WSUS ne contient aucun certificat, l'épinglage ne sera pas non plus appliqué.

PingCastle ne peut pas vérifier si le certificat est présent pour appliquer l'épinglage du certificat, mais il vérifie si un GPO désactive cette sécurité.

Advised Solution:

Supprimez le paramètre qui désactive l'épinglage de certificat pour WSUS.

Il se trouve dans : Configuration ordinateur\Politiques\Modèles d'administration\Composants Windows\Windows Update\Spécifier l'intranet Emplacement du service de mise à jour Microsoft
Il s'agit du paramètre "Autoriser l'utilisation du proxy utilisateur comme solution de secours si la détection à l'aide du proxy système échoue".

Il fait référence à la clé de registre : HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotEnforceEnterpriseTLSCertPinningForUpdateDetection

Title:

Suchen Sie nach der WSUS-Konfiguration, in der das Anheften von Zertifikaten deaktiviert wurde

Description:

Damit soll sichergestellt werden, dass das WSUS-Zertifikat-Pinning nicht deaktiviert wurde

Technical Explanation:

Obwohl HTTPS es Angreifern erschwert, WSUS-Antworten abzufangen, ist es mit einer bestimmten Konfiguration dennoch möglich.
HTTPS-Verbindungen können von einem Proxy abgefangen werden, der die Antwort erneut mit einem selbstsignierten Zertifikat signiert, nachdem er sie vom WSUS-Server erhalten hat.
Das Zertifikat kann in einem Benutzerzertifikatspeicher installiert werden, sodass Antworten vom HTTPS-Proxy weiterhin validiert werden können.
Im kumulativen Update vom Januar 2021 hat Microsoft einen Zertifikat-Pinning-Mechanismus implementiert, bei dem das vom WSUS-IIS-Server bereitgestellte Zertifikat in einem Systemzertifikatspeicher speziell für WSUS (WindowsServerUpdateServices) installiert wird, den ein nicht authentifizierter Benutzer nicht steuern kann.
Zertifikate in diesem Speicher werden standardmäßig erzwungen, um HTTPS-abfangende Proxy-Angriffe abzuschwächen, aber dieser Pinning-Mechanismus kann auch über GPO deaktiviert werden.

Wenn der WSUS-Zertifikatsspeicher keine Zertifikate enthält, wird das Pinning auch nicht erzwungen.

PingCastle kann nicht prüfen, ob das Zertifikat vorhanden ist, um das Anheften des Zertifikats zu erzwingen, aber es prüft, ob ein GPO diese Sicherheit deaktiviert.

Advised Solution:

Entfernen Sie die Einstellung, die das Zertifikat-Pinning für WSUS deaktiviert.

Es befindet sich unter: Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Update\Intranetspeicherort des Microsoft Update-Dienstes angeben
Dies ist die Einstellung „Zulassen, dass der Benutzer-Proxy als Fallback verwendet wird, wenn die Erkennung über den System-Proxy fehlschlägt“.

Es bezieht sich auf den Registrierungsschlüssel: HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotEnforceEnterpriseTLSCertPinningForUpdateDetection

Title:

Busque la configuración de WSUS donde se ha deshabilitado la fijación de certificados

Description:

El propósito es garantizar que la fijación de certificados de WSUS no se haya deshabilitado.

Technical Explanation:

Aunque HTTPS dificulta que los atacantes intercepten las respuestas de WSUS, aún es posible con una configuración específica.
Las conexiones HTTPS pueden ser interceptadas por un proxy que vuelve a firmar la respuesta con un certificado autofirmado después de recibirlo del servidor WSUS.
El certificado se puede instalar en un almacén de certificados de usuario para que las respuestas del proxy HTTPS aún se puedan validar.
En la actualización acumulativa de enero de 2021, Microsoft implementó un mecanismo de fijación de certificados donde el certificado servido por el servidor IIS de WSUS se instala en un almacén de certificados del sistema específicamente para WSUS (WindowsServerUpdateServices) que un usuario no autenticado no puede controlar.
Los certificados en este almacén se aplican de forma predeterminada para mitigar los ataques de proxy que interceptan HTTPS, pero este mecanismo de fijación también se puede desactivar a través de GPO.

Si el almacén de certificados de WSUS no contiene ningún certificado, tampoco se aplicará la fijación.

PingCastle no puede verificar si el certificado está presente para hacer cumplir la fijación del certificado, pero verifica si un GPO deshabilita esta seguridad.

Advised Solution:

Quite la configuración que deshabilita la fijación de certificados para WSUS.

Se encuentra en: Configuración del equipo\Políticas\Plantillas administrativas\Componentes de Windows\Actualización de Windows\Especificar la ubicación del servicio de actualización de Microsoft en la intranet
Esta es la configuración "Permitir que el proxy del usuario se use como respaldo si falla la detección usando el proxy del sistema".

Hace referencia a la clave de registro: HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DoNotEnforceEnterpriseTLSCertPinningForUpdateDetection

Introduced in:

2.10.1.0

Points:

2 points if present

Documentation:

https://www.gosecure.net/blog/2021/11/22/gosecure-investigates-abusing-windows-server-update-services-wsus-to-enable-ntlm-relaying-attacks/
https://github.com/proxenetas/wsuxploit
https://github.com/GoSecure/WSuspicious
https://docs.microsoft.com/en-us/windows/client-management/mdm/policy-csp-update#update-donotenforceenterprisetlscertpinningforupdatedetection
[MITRE]Mitre Att&ck - Mitigation - Update Software

Privileged Accounts

Each line represents a rule. Click on a rule to expand it and show the details of it.

Account take over

Members of administrators' groups are a priority target. By misconfiguring their protection, the password of the account can be retrieved by an attacker, or it can leverage internal mechanisms of the AD such as authentication to act on its behalf.

Title (fr-FR): Account take over

Description (fr-FR): Les membres des groupes d'administrateurs sont une cible prioritaire. En configurant mal leur protection, le mot de passe du compte peut être récupéré par un attaquant, ou il peut tirer parti des mécanismes internes de l'AD tels que l'authentification pour agir en son nom.

Title (de-DE): Account take over

Description (de-DE): Mitglieder von Administratorengruppen sind ein vorrangiges Ziel. Durch eine falsche Konfiguration ihres Schutzes kann das Passwort des Kontos von einem Angreifer abgerufen werden oder interne Mechanismen des AD wie Authentifizierung nutzen, um in seinem Namen zu handeln.

Title (es-ES): Account take over

Description (es-ES): Los miembros de los grupos de administradores son un objetivo prioritario. Al configurar incorrectamente su protección, un atacante puede recuperar la contraseña de la cuenta, o puede aprovechar los mecanismos internos del AD, como la autenticación, para actuar en su nombre.

At least one administrator account can be delegated

Rule ID:

P-Delegated

Description:

The purpose is to ensure that all Administrator Accounts have the configuration flag "this account is sensitive and cannot be delegated" (or are members of the built-in group "Protected Users" when your domain functional level is at least Windows Server 2012 R2).

Technical Explanation:

Without the flag "This account is sensitive and cannot be delegated" any account can be impersonated by some service account. It is a best practice to enforce this flag on administrators accounts.

Advised Solution:

To correct the situation, you should make sure that all your Administrator Accounts have the check-box "This account is sensitive and cannot be delegated" active or add your Administrator Accounts to the built-in group "Protected Users" if your domain functional level is at least Windows Server 2012 R2 (some functionalities may not work properly afterwards, you should check the official documentation).
If you want to enable the check-box "This account is sensitive and cannot be delegated" but this is not possible because the box is not present (typically for GMSA accounts), you can add the flag manually by adding the number 1048576 to the attribute useraccountcontrol of the account.
Please note that there is a section below in this report named "Admin Groups" which gives more information.

Title:

Au moins un compte administrateur peut être délégué

Description:

Le but est de s'assurer que tous les comptes administrateur ont l'indicateur de configuration "ce compte est sensible et ne peut pas être délégué" (ou sont membres du groupe intégré "Utilisateurs protégés" lorsque le niveau fonctionnel de votre domaine est au moins Windows Server 2012 R2) .

Technical Explanation:

Sans l'indicateur "Ce compte est sensible et ne peut pas être délégué", n'importe quel compte peut être usurpé par un compte de service. Il est recommandé d'appliquer cet indicateur sur les comptes d'administrateurs.

Advised Solution:

Pour corriger la situation, vous devez vous assurer que tous vos comptes administrateur ont la case à cocher "Ce compte est sensible et ne peut pas être délégué" active ou ajouter vos comptes administrateur au groupe intégré "Utilisateurs protégés" si le niveau fonctionnel de votre domaine est au moins Windows Server 2012 R2 (certaines fonctionnalités peuvent ne pas fonctionner correctement par la suite, vous devez vérifier le documentation officielle).
Si vous souhaitez activer la case à cocher "Ce compte est sensible et ne peut pas être délégué" mais que cela n'est pas possible car la case n'est pas présente (généralement pour les comptes GMSA), vous pouvez ajouter le drapeau manuellement en ajoutant le numéro 1048576 au attribut useraccountcontrol du compte.
Veuillez noter qu'il existe une section ci-dessous dans ce rapport intitulée "Groupes d'administration" qui donne plus d'informations.

Title:

Mindestens ein Administratorkonto kann delegiert werden

Description:

Damit soll sichergestellt werden, dass alle Administratorkonten das Konfigurationsflag „Dieses Konto ist vertraulich und kann nicht delegiert werden“ haben (oder Mitglieder der integrierten Gruppe „Geschützte Benutzer“ sind, wenn Ihre Domänenfunktionsebene mindestens Windows Server 2012 R2 ist). .

Technical Explanation:

Ohne das Flag „Dieses Konto ist sensibel und kann nicht delegiert werden“ kann jedes Konto von einem Dienstkonto imitiert werden. Es ist eine bewährte Methode, dieses Flag für Administratorkonten zu erzwingen.

Advised Solution:

Um die Situation zu korrigieren, sollten Sie sicherstellen, dass bei allen Ihren Administratorkonten das Kontrollkästchen "Dieses Konto ist vertraulich und kann nicht delegiert werden" aktiviert ist, oder Ihre Administratorkonten zur integrierten Gruppe "Geschützte Benutzer" hinzufügen, wenn Ihre Domänenfunktionsebene vorhanden ist ist mindestens Windows Server 2012 R2 (einige Funktionen funktionieren danach möglicherweise nicht richtig, Sie sollten die offizielle Dokumentation).
Wenn Sie das Kontrollkästchen "Dieses Konto ist sensibel und kann nicht delegiert werden" aktivieren möchten, dies jedoch nicht möglich ist, da das Kontrollkästchen nicht vorhanden ist (typisch für GMSA-Konten), können Sie das Flag manuell hinzufügen, indem Sie die Nummer 1048576 an die hinzufügen Attribut useraccountcontrol des Kontos.
Bitte beachten Sie, dass es unten in diesem Bericht einen Abschnitt namens "Admin-Gruppen" gibt, der weitere Informationen enthält.

Title:

Se puede delegar al menos una cuenta de administrador

Description:

El propósito es garantizar que todas las cuentas de administrador tengan el indicador de configuración "esta cuenta es confidencial y no se puede delegar" (o son miembros del grupo integrado "Usuarios protegidos" cuando el nivel funcional de su dominio es al menos Windows Server 2012 R2) .

Technical Explanation:

Sin el indicador "Esta cuenta es confidencial y no se puede delegar", cualquier cuenta puede ser suplantada por alguna cuenta de servicio. Es una buena práctica aplicar este indicador en las cuentas de los administradores.

Advised Solution:

Para corregir la situación, debe asegurarse de que todas sus cuentas de administrador tengan activa la casilla de verificación "Esta cuenta es confidencial y no se puede delegar" o agregue sus cuentas de administrador al grupo integrado "Usuarios protegidos" si el nivel funcional de su dominio es al menos Windows Server 2012 R2 (es posible que algunas funcionalidades no funcionen correctamente después, debe verificar el documentación oficial).
Si desea habilitar la casilla de verificación "Esta cuenta es confidencial y no se puede delegar", pero esto no es posible porque la casilla no está presente (normalmente para cuentas GMSA), puede agregar la bandera manualmente agregando el número 1048576 al atributo useraccountcontrol de la cuenta.
Tenga en cuenta que hay una sección a continuación en este informe llamada "Grupos de administración" que brinda más información.

Points:

20 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[US]STIG V-36435 - Delegation of privileged accounts must be prohibited.

Check if admin accounts are vulnerable to the Kerberoast attack.

Rule ID:

P-Kerberoasting

Description:

The purpose is to ensure that the password of admin accounts cannot be retrieved using the Kerberoast attack.

Technical Explanation:

To access a service using Kerberos, a user requests a ticket (named TGS) to the DC specific to the service.
This ticket is encrypted using a derivative of the service password, but can be brute-forced to retrieve the original password.
Any account having the attribute SPN populated is considered as a service account.
Given that any user can request a ticket for a service account, these accounts can have their password retrieved.
In addition, services are known to have their password not changed at a regular basis and to use well-known words.

Please note that this program ignores service accounts that had their password changed in the last 40 days ago to support using password rotation as a mitigation.

Advised Solution:

If the account is a service account, the service should be removed from the privileged group or have a process to change its password at a regular basis.
If the user is a person, the SPN attribute of the account should be removed.

Title:

Vérifiez si les comptes administrateur sont vulnérables à l'attaque Kerberoast.

Description:

Le but est de s'assurer que le mot de passe des comptes admin ne peut pas être récupéré à l'aide de l'attaque Kerberoast.

Technical Explanation:

Pour accéder à un service utilisant Kerberos, un utilisateur demande un ticket (nommé TGS) au DC spécifique au service.
Ce ticket est crypté à l'aide d'un dérivé du mot de passe du service, mais peut être forcé brutalement pour récupérer le mot de passe d'origine.
Tout compte dont l'attribut SPN est renseigné est considéré comme un compte de service.
Étant donné que tout utilisateur peut demander un ticket pour un compte de service, ces comptes peuvent voir leur mot de passe récupéré.
De plus, les services sont connus pour ne pas changer régulièrement leur mot de passe et pour utiliser des mots bien connus.

Veuillez noter que ce programme ignore les comptes de service dont le mot de passe a été modifié au cours des 40 derniers jours afin de prendre en charge l'utilisation de la rotation des mots de passe comme mesure d'atténuation.

Advised Solution:

Si le compte est un compte de service, le service doit être supprimé du groupe privilégié ou avoir un processus pour changer son mot de passe régulièrement.
Si l'utilisateur est une personne, l'attribut SPN du compte doit être supprimé.

Title:

Überprüfen Sie, ob Administratorkonten für den Kerberoast-Angriff anfällig sind.

Description:

Der Zweck besteht darin, sicherzustellen, dass das Passwort von Administratorkonten nicht mit dem Kerberoast-Angriff abgerufen werden kann.

Technical Explanation:

Um mit Kerberos auf einen Dienst zuzugreifen, fordert ein Benutzer ein Ticket (mit dem Namen TGS) an den für den Dienst spezifischen DC an.
Dieses Ticket wird mit einem Derivat des Dienstkennworts verschlüsselt, kann aber durch Brute-Force-Verfahren zum Abrufen des ursprünglichen Kennworts verwendet werden.
Jedes Konto, bei dem das Attribut SPN aufgefüllt ist, wird als Dienstkonto betrachtet.
Da jeder Benutzer ein Ticket für ein Dienstkonto anfordern kann, kann das Passwort dieser Konten abgerufen werden.
Darüber hinaus ist bekannt, dass Dienste ihr Passwort nicht regelmäßig ändern und bekannte Wörter verwenden.

Bitte beachten Sie, dass dieses Programm Dienstkonten ignoriert, deren Passwort in den letzten 40 Tagen geändert wurde, um die Verwendung der Passwortrotation als Risikominderung zu unterstützen.

Advised Solution:

Wenn es sich bei dem Konto um ein Dienstkonto handelt, sollte der Dienst aus der privilegierten Gruppe entfernt werden oder einen Prozess zum regelmäßigen Ändern seines Kennworts haben.
Wenn der Benutzer eine Person ist, sollte das SPN-Attribut des Kontos entfernt werden.

Title:

Compruebe si las cuentas de administrador son vulnerables al ataque de Kerberoast.

Description:

El propósito es garantizar que la contraseña de las cuentas de administrador no se pueda recuperar mediante el ataque Kerberoast.

Technical Explanation:

Para acceder a un servicio mediante Kerberos, un usuario solicita un ticket (denominado TGS) al DC específico del servicio.
Este ticket está encriptado usando un derivado de la contraseña del servicio, pero se puede usar fuerza bruta para recuperar la contraseña original.
Cualquier cuenta que tenga el atributo SPN completado se considera una cuenta de servicio.
Dado que cualquier usuario puede solicitar un ticket para una cuenta de servicio, estas cuentas pueden recuperar su contraseña.
Además, se sabe que los servicios no cambian su contraseña regularmente y usan palabras conocidas.

Tenga en cuenta que este programa ignora las cuentas de servicio a las que se les cambió la contraseña en los últimos 40 días para admitir el uso de la rotación de contraseñas como mitigación.

Advised Solution:

Si la cuenta es una cuenta de servicio, el servicio debe eliminarse del grupo privilegiado o tener un proceso para cambiar su contraseña periódicamente.
Si el usuario es una persona, se debe eliminar el atributo SPN de la cuenta.

Introduced in:

2.7.0.0

Points:

5 points per discovery

Documentation:

https://adsecurity.org/?p=3466
[MITRE]T1558.003 Steal or Forge Kerberos Tickets: Kerberoasting
[FR]ANSSI - Privileged accounts with SPN (vuln1_spn_priv)1

Check if all admin passwords are changed on the field.

Rule ID:

P-AdminPwdTooOld

Description:

The purpose is to ensure that all admins are changing their passwords at least every 3 years

Technical Explanation:

This rule ensure that passwords of administrator are well managed.

Advised Solution:

We advised to read the ANSSI guidelines about this, which is quoted in the documentation section below.

Title:

Vérifiez si tous les mots de passe administrateur sont modifiés sur le terrain.

Description:

Le but est de s'assurer que tous les administrateurs changent leurs mots de passe au moins tous les 3 ans

Technical Explanation:

Cette règle garantit que les mots de passe de l'administrateur sont bien gérés.

Advised Solution:

Nous vous conseillons de lire les lignes directrices de l'ANSSI à ce sujet, qui sont citées dans la section documentation ci-dessous.

Title:

Überprüfen Sie, ob alle Admin-Passwörter auf dem Feld geändert wurden.

Description:

Damit soll sichergestellt werden, dass alle Administratoren ihre Passwörter mindestens alle 3 Jahre ändern

Technical Explanation:

Diese Regel stellt sicher, dass die Passwörter des Administrators gut verwaltet werden.

Advised Solution:

Wir empfehlen, die ANSSI-Richtlinien dazu zu lesen, die im Abschnitt Dokumentation unten zitiert werden.

Title:

Compruebe si todas las contraseñas de administrador se han cambiado en el campo.

Description:

El propósito es garantizar que todos los administradores cambien sus contraseñas al menos cada 3 años.

Technical Explanation:

Esta regla asegura que las contraseñas del administrador estén bien administradas.

Advised Solution:

Recomendamos leer las pautas de ANSSI al respecto, que se citan en la sección de documentación a continuación.

Introduced in:

2.9.0.0

Points:

10 points if present

Documentation:

[FR]ANSSI - Privileged account passwords age too old (vuln1_password_change_priv)1
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management

Check if all privileged accounts are in the special group Protected Users.

Rule ID:

P-ProtectedUsers

Description:

The purpose is to ensure that all privileged accounts are in the Protected User security group

Technical Explanation:

The Protected User group is a special security group which automatically applies protections to minimize credential exposure. Starting with Windows 8.1. Older Operating System must be updated to take this protection in account such as the Windows 7 KB2871997 patch.
For admins, it:
- Disables NTLM authentication
- Reduces Kerberos ticket lifetime
- Mandates strong encryption algorithms, such as AES
- Prevents password caching on workstations
- Prevents any type of Kerberos delegation

Please also note that a few links (see below) recommends that at least one account is kept outside of the group Protected Users in case there is a permission problem.
That's why this rule is not triggered if only one account is not protected.

Advised Solution:

After having reviewed the potential impact on adding users to this group, add the missing privileged accounts to this group.

Title:

Vérifiez si tous les comptes privilégiés se trouvent dans le groupe spécial Utilisateurs protégés.

Description:

Le but est de s'assurer que tous les comptes privilégiés sont dans le groupe de sécurité Utilisateur protégé

Technical Explanation:

Le groupe d'utilisateurs protégés est un groupe de sécurité spécial qui applique automatiquement des protections pour minimiser l'exposition des informations d'identification. À partir de Windows 8.1. L'ancien système d'exploitation doit être mis à jour pour prendre en compte cette protection, comme le correctif Windows 7 KB2871997.
Pour les administrateurs, il :
- Désactive l'authentification NTLM
- Réduit la durée de vie du ticket Kerberos
- Exige des algorithmes de cryptage puissants, tels que AES
- Empêche la mise en cache des mots de passe sur les postes de travail
- Empêche tout type de délégation Kerberos

Veuillez également noter que quelques liens (voir ci-dessous) recommandent qu'au moins un compte soit conservé en dehors du groupe Utilisateurs protégés en cas de problème d'autorisation.
C'est pourquoi cette règle n'est pas déclenchée si un seul compte n'est pas protégé.

Advised Solution:

Après avoir examiné l'impact potentiel de l'ajout d'utilisateurs à ce groupe, ajoutez les comptes privilégiés manquants à ce groupe.

Title:

Überprüfen Sie, ob sich alle privilegierten Konten in der speziellen Gruppe „Geschützte Benutzer“ befinden.

Description:

Damit soll sichergestellt werden, dass sich alle privilegierten Konten in der Sicherheitsgruppe „Geschützte Benutzer“ befinden

Technical Explanation:

Die geschützte Benutzergruppe ist eine spezielle Sicherheitsgruppe, die automatisch Schutzmaßnahmen anwendet, um die Offenlegung von Anmeldeinformationen zu minimieren. Beginnend mit Windows 8.1. Ältere Betriebssysteme müssen aktualisiert werden, um diesen Schutz zu berücksichtigen, wie z. B. der Patch KB2871997 für Windows 7.
Für Administratoren gilt:
- Deaktiviert die NTLM-Authentifizierung
- Reduziert die Lebensdauer des Kerberos-Tickets
- Erfordert starke Verschlüsselungsalgorithmen wie AES
- Verhindert das Zwischenspeichern von Kennwörtern auf Arbeitsstationen
- Verhindert jede Art von Kerberos-Delegierung

Bitte beachten Sie auch, dass einige Links (siehe unten) empfehlen, dass mindestens ein Konto außerhalb der Gruppe Protected Users geführt wird, falls es ein Berechtigungsproblem gibt.
Deshalb wird diese Regel nicht ausgelöst, wenn nur ein Konto nicht geschützt ist.

Advised Solution:

Nachdem Sie die potenziellen Auswirkungen des Hinzufügens von Benutzern zu dieser Gruppe überprüft haben, fügen Sie dieser Gruppe die fehlenden privilegierten Konten hinzu.

Title:

Compruebe si todas las cuentas privilegiadas están en el grupo especial Usuarios protegidos.

Description:

El propósito es garantizar que todas las cuentas privilegiadas estén en el grupo de seguridad de Usuario protegido

Technical Explanation:

El grupo de usuarios protegidos es un grupo de seguridad especial que aplica protecciones automáticamente para minimizar la exposición de credenciales. A partir de Windows 8.1. El sistema operativo anterior debe actualizarse para tener en cuenta esta protección, como el parche de Windows 7 KB2871997.
Para los administradores, es:
- Desactiva la autenticación NTLM
- Reduce la vida útil del ticket de Kerberos
- Exige algoritmos de cifrado fuertes, como AES
- Evita el almacenamiento en caché de contraseñas en las estaciones de trabajo
- Impide cualquier tipo de delegación de Kerberos

Tenga en cuenta también que algunos enlaces (ver a continuación) recomiendan que al menos una cuenta se mantenga fuera del grupo Usuarios protegidos en caso de que haya un problema de permisos.
Es por eso que esta regla no se activa si solo una cuenta no está protegida.

Advised Solution:

Después de haber revisado el impacto potencial de agregar usuarios a este grupo, agregue las cuentas privilegiadas que faltan a este grupo.

Introduced in:

2.9.0.0

Points:

10 points if the occurence is greater than or equals than 2

Documentation:

https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group
https://blog.netwrix.com/2015/02/20/agregar-cuentas-de-usuario-sensibles-a-grupo-de-usuarios-protegidos-de-directorio-activo/
https://dirteam.com/sander/2014/11/25/diez-cosas-que-debe-ser-consciente-antes-de-usar-el-grupo-de-usuarios-protegidos/
https://blog.andreas-schreiner.de/2018/09/07/active-directory-sicherheit-teil-1-privilegierte-benutzer/
[FR]ANSSI - Privileged accounts outside of the Protected Users group (vuln3_protected_users)3
[MITRE]Mitre Att&ck - Mitigation - Privileged Process Integrity
[FR]ANSSI CERTFR-2017-ALE-012
[US]STIG V-78131 - Accounts with domain level administrative privileges must be members of the Protected Users group in domains with a domain functional level of Windows 2012 R2 or higher.

Check if there is a policy preventing administrators to connect to lower tier systems.

Rule ID:

P-LogonDenied

Description:

The purpose is to ensure that there is a tier isolation.

Technical Explanation:

A way to collect an administrator credential is to take control of a workstation or server in the unsecured tiers and expect that an administrator will connect to it.
An attack such as credential theft or Kerberos delegation is then performed.
To reduce the impact of such compromise, the best practice is to isolate components (such as admins, DC) in tiers.
Typically, a domain admin should not be allowed to connect to any workstation or lower tier server but login only to perform highly privileged operations on tier 0 systems.

To check for this policy, PingCastle looks at all GPOs and checks, if there is a GPO denying logon (SeDenyRemoteInteractiveLogonRight, SeDenyInteractiveLogonRight) of admins (Domain Admins or Administrators) to a specific scope.

False positives can occurs for this rule:
* if the expected GPO is hidden due to ACL checks
* if the targeted group is not "checked" when saving the GPO. Indeed, the group will be saved as is without a conversion to its technical name and it will prohibit a match if there are groups internationalized, aka renamed given a specific language.

As a consequence, only one deny policy on one group will fulfill this requirements. The program also does not check if the GPO is applied on an Organizational Unit or a Container.
Also this rule is enforced only if there are more than 200 users and 200 computers.

Advised Solution:

You should add a GPO to prohibit the logon of specific groups Domain Admins and Administrators.

The setting is located in Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.
Then "Deny" logon locally and "Deny" logon through Remote Desktop Services.

Title:

Vérifiez s'il existe une politique empêchant les administrateurs de se connecter aux systèmes de niveau inférieur.

Description:

Le but est de s'assurer qu'il y a un isolement de niveau.

Technical Explanation:

Un moyen de collecter des informations d'identification d'administrateur consiste à prendre le contrôle d'un poste de travail ou d'un serveur dans les niveaux non sécurisés et à s'attendre à ce qu'un administrateur s'y connecte.
Une attaque telle que le vol d'identifiants ou la délégation Kerberos est alors effectuée.
Pour réduire l'impact d'un tel compromis, la meilleure pratique consiste à isoler les composants (tels que les administrateurs, DC) en niveaux.
En règle générale, un administrateur de domaine ne doit pas être autorisé à se connecter à un poste de travail ou à un serveur de niveau inférieur, mais uniquement pour effectuer des opérations hautement privilégiées sur des systèmes de niveau 0.

Pour vérifier cette politique, PingCastle examine tous les GPO et vérifie s'il existe un GPO refusant la connexion (SeDenyRemoteInteractiveLogonRight, SeDenyInteractiveLogonRight) des administrateurs (Domain Admins ou Administrators) à une étendue spécifique.

Des faux positifs peuvent se produire pour cette règle :
* si l'objet de stratégie de groupe attendu est masqué en raison de vérifications ACL
* si le groupe ciblé n'est pas "coché" lors de l'enregistrement du GPO. En effet, le groupe sera enregistré tel quel sans conversion de son nom technique et il interdira une correspondance s'il y a des groupes internationalisés, alias renommés compte tenu d'une langue spécifique.

Par conséquent, une seule politique de refus sur un groupe répondra à ces exigences. Le programme ne vérifie pas non plus si l'objet de stratégie de groupe est appliqué sur une unité organisationnelle ou un conteneur.
De plus, cette règle n'est appliquée que s'il y a plus de 200 utilisateurs et 200 ordinateurs.

Advised Solution:

Vous devez ajouter un GPO pour interdire la connexion de groupes spécifiques d'administrateurs de domaine et d'administrateurs.

Le paramètre se trouve dans Politique de l'ordinateur -> Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits d'utilisateur.
Ensuite, connectez-vous "Refuser" localement et connectez-vous "Refuser" via les services Bureau à distance.

Title:

Überprüfen Sie, ob es eine Richtlinie gibt, die Administratoren daran hindert, sich mit Systemen der unteren Ebene zu verbinden.

Description:

Der Zweck besteht darin, sicherzustellen, dass eine Tier-Isolation vorhanden ist.

Technical Explanation:

Eine Möglichkeit, Administratoranmeldeinformationen zu sammeln, besteht darin, die Kontrolle über eine Arbeitsstation oder einen Server in den ungesicherten Ebenen zu übernehmen und zu erwarten, dass ein Administrator eine Verbindung dazu herstellt.
Anschließend wird ein Angriff wie Anmeldedatendiebstahl oder Kerberos-Delegierung ausgeführt.
Um die Auswirkungen einer solchen Gefährdung zu verringern, besteht die bewährte Methode darin, Komponenten (z. B. Administratoren, DC) in Ebenen zu isolieren.
In der Regel sollte es einem Domänenadministrator nicht gestattet sein, eine Verbindung zu einer Workstation oder einem Server einer niedrigeren Ebene herzustellen, sondern sich nur anzumelden, um hochprivilegierte Vorgänge auf Systemen der Ebene 0 auszuführen.

Um diese Richtlinie zu überprüfen, prüft PingCastle alle GPOs und prüft, ob es ein GPO gibt, das die Anmeldung (SeDenyRemoteInteractiveLogonRight, SeDenyInteractiveLogonRight) von Administratoren (Domänen-Admins oder Administratoren) in einem bestimmten Bereich verweigert.

Für diese Regel können falsch positive Ergebnisse auftreten:
* wenn das erwartete GPO aufgrund von ACL-Prüfungen ausgeblendet ist
* wenn die Zielgruppe beim Speichern des Gruppenrichtlinienobjekts nicht „angekreuzt“ ist. Tatsächlich wird die Gruppe so gespeichert, wie sie ist, ohne Umwandlung in ihren technischen Namen, und es wird eine Übereinstimmung verhindert, wenn es Gruppen gibt, die internationalisiert sind, d. h. aufgrund einer bestimmten Sprache umbenannt wurden.

Folglich erfüllt nur eine Verweigerungsrichtlinie für eine Gruppe diese Anforderungen. Das Programm prüft auch nicht, ob das GPO auf eine Organisationseinheit oder einen Container angewendet wird.
Auch diese Regel wird nur erzwungen, wenn mehr als 200 Benutzer und 200 Computer vorhanden sind.

Advised Solution:

Sie sollten ein GPO hinzufügen, um die Anmeldung bestimmter Gruppen Domänen-Admins und Administratoren zu verbieten.

Die Einstellung befindet sich in Computerrichtlinie -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten.
Dann „Verweigern“ Sie die Anmeldung lokal und „Verweigern“ Sie die Anmeldung über Remotedesktopdienste.

Title:

Compruebe si existe una política que impida que los administradores se conecten a sistemas de nivel inferior.

Description:

El propósito es garantizar que haya un aislamiento de niveles.

Technical Explanation:

Una forma de recopilar una credencial de administrador es tomar el control de una estación de trabajo o un servidor en los niveles no seguros y esperar que un administrador se conecte a él.
Entonces se realiza un ataque como el robo de credenciales o la delegación de Kerberos.
Para reducir el impacto de tal compromiso, la mejor práctica es aislar los componentes (como administradores, DC) en niveles.
Por lo general, no se debe permitir que un administrador de dominio se conecte a ninguna estación de trabajo o servidor de nivel inferior, sino que inicie sesión solo para realizar operaciones con privilegios elevados en sistemas de nivel 0.

Para verificar esta política, PingCastle analiza todos los GPO y verifica si hay un GPO que niega el inicio de sesión (SeDenyRemoteInteractiveLogonRight, SeDenyInteractiveLogonRight) de los administradores (Administradores de dominio o Administradores) en un ámbito específico.

Se pueden producir falsos positivos para esta regla:
* si el GPO esperado está oculto debido a comprobaciones de ACL
* si el grupo objetivo no está "marcado" al guardar el GPO. De hecho, el grupo se guardará como está sin una conversión a su nombre técnico y prohibirá un partido si hay grupos internacionalizados, es decir, renombrados dado un idioma específico.

Como consecuencia, solo una política de denegación en un grupo cumplirá estos requisitos. El programa tampoco verifica si el GPO se aplica en una Unidad organizativa o un Contenedor.
Además, esta regla se aplica solo si hay más de 200 usuarios y 200 computadoras.

Advised Solution:

Debe agregar un GPO para prohibir el inicio de sesión de administradores y administradores de dominio de grupos específicos.

La configuración se encuentra en Política informática -> Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Asignación de derechos de usuario.
Luego, "Denegar" el inicio de sesión localmente y "Denegar" el inicio de sesión a través de Servicios de escritorio remoto.

Introduced in:

2.8.0.0

Points:

1 points if present

Documentation:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-f--secure-domain-admins-groups-in-active-directory
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management

Ensure that custom Display Specifiers are stored in SYSVOL

Rule ID:

P-DisplaySpecifier

Description:

The purpose is to ensure that scripts used for the customization of admin UI are stored safely

Technical Explanation:

DisplaySpecifier are Active Directory objects stored in the DisplaySpecifier container of the Configuration naming context.
They are used to customize the user interface.
Specifically the attribute adminContextMenu is used to customize administration actions, where COM objects or scripts can be called.
If the script is stored outside the SYSVOL directory, it can be used to execute custom actions and it is run under the administrator context.

Advised Solution:

The scripts identified by this rule should be moved to the SYSVOL and properly secured.

Title:

Assurez-vous que les spécificateurs d'affichage personnalisés sont stockés dans SYSVOL

Description:

Le but est de s'assurer que les scripts utilisés pour la personnalisation de l'interface utilisateur d'administration sont stockés en toute sécurité

Technical Explanation:

DisplaySpecifier sont des objets Active Directory stockés dans le conteneur DisplaySpecifier du contexte de nommage Configuration.
Ils sont utilisés pour personnaliser l'interface utilisateur.
Plus précisément, l'attribut adminContextMenu est utilisé pour personnaliser les actions d'administration, où les objets COM ou les scripts peuvent être appelés.
Si le script est stocké en dehors du répertoire SYSVOL, il peut être utilisé pour exécuter des actions personnalisées et il est exécuté dans le contexte de l'administrateur.

Advised Solution:

Les scripts identifiés par cette règle doivent être déplacés vers le SYSVOL et correctement sécurisés.

Title:

Stellen Sie sicher, dass benutzerdefinierte Anzeigespezifizierer in SYSVOL gespeichert sind

Description:

Der Zweck besteht darin, sicherzustellen, dass Skripte, die für die Anpassung der Admin-Benutzeroberfläche verwendet werden, sicher gespeichert werden

Technical Explanation:

DisplaySpecifier sind Active Directory-Objekte, die im DisplaySpecifier-Container des Configuration-Namenskontexts gespeichert sind.
Sie werden verwendet, um die Benutzeroberfläche anzupassen.
Speziell das Attribut adminContextMenu wird verwendet, um Verwaltungsaktionen anzupassen, bei denen COM-Objekte oder Skripte aufgerufen werden können.
Wenn das Skript außerhalb des SYSVOL-Verzeichnisses gespeichert ist, kann es verwendet werden, um benutzerdefinierte Aktionen auszuführen, und es wird im Administratorkontext ausgeführt.

Advised Solution:

Die durch diese Regel identifizierten Skripte sollten in das SYSVOL verschoben und ordnungsgemäß gesichert werden.

Title:

Asegúrese de que los especificadores de visualización personalizados estén almacenados en SYSVOL

Description:

El propósito es garantizar que los scripts utilizados para la personalización de la interfaz de usuario del administrador se almacenen de forma segura.

Technical Explanation:

DisplaySpecifier son objetos de Active Directory almacenados en el contenedor DisplaySpecifier del contexto de nomenclatura de configuración.
Se utilizan para personalizar la interfaz de usuario.
Específicamente, el atributo adminContextMenu se usa para personalizar las acciones de administración, donde se pueden llamar objetos COM o scripts.
Si el script se almacena fuera del directorio SYSVOL, se puede usar para ejecutar acciones personalizadas y se ejecuta en el contexto del administrador.

Advised Solution:

Los scripts identificados por esta regla deben moverse a SYSVOL y protegerse adecuadamente.

Introduced in:

2.11.2.0

Points:

10 points if present

Documentation:

https://www.semperis.com/blog/active-directory-security-abusing-display-specifiers/
https://learn.microsoft.com/en-us/windows/win32/ad/display-specifiers
[FR]ANSSI - Dangerous Display Specifiers (vuln1_vuln_display_specifier)1
[MITRE]T1569 System Services

ACL Check

Delegation is used to perform day to day activities. It is important to control it.

Title (fr-FR): ACL Check

Description (fr-FR): La délégation est utilisée pour effectuer les activités quotidiennes. Il est important de le contrôler.

Title (de-DE): ACL Check

Description (de-DE): Die Delegation wird verwendet, um alltägliche Aktivitäten durchzuführen. Es ist wichtig, es zu kontrollieren.

Title (es-ES): ACL Check

Description (es-ES): La delegación se utiliza para realizar las actividades del día a día. Es importante controlarlo.

At least one domain controller is not owned correctly

Rule ID:

P-DCOwner

Description:

The purpose is to perform a review of which accounts have ownership rights on a domain controller and can then modify their permissions

Technical Explanation:

By default, the "Domain Administrators" group or the "Enterprise Administrators" group are set as owners for "Domain Controllers". Nonetheless, in some cases (for instance when the server has been promoted from an existing server), the owner can be a non-admin person which joined the server to the domain. If this person has still rights over this account, it can be used to take ownership over the whole domain. A chain of compromising events can be designed to take control of the domain by including this account.

Advised Solution:

To solve this security issue, you should change the ownership of the domain controller to match the "Domain Administrators" group.
To control the ownership of domain controller objects, you can use the following PowerShell command:
Get-ADComputer -server my.domain.to.check -LDAPFilter "(&(objectCategory=computer)(|(primarygroupid=521)(primarygroupid=516)))" -properties name, ntsecuritydescriptor | select name,{$_.ntsecuritydescriptor.Owner}.
To change it you can edit the owner of an object using adexplorer.exe. First, locate the DC object then right click to select properties. Open the security tab and press the advanced button. You then have a new dialog with an owner tab. Select the owner and change it for the domain administrators group. Youâ€™re done (no reboot needed).

Title:

Au moins un contrôleur de domaine n'appartient pas correctement

Description:

Le but est d'effectuer un examen des comptes qui ont des droits de propriété sur un contrôleur de domaine et peuvent ensuite modifier leurs autorisations

Technical Explanation:

Par défaut, le groupe "Domain Administrators" ou le groupe "Enterprise Administrators" sont définis comme propriétaires pour les "Domain Controllers". Néanmoins, dans certains cas (par exemple lorsque le serveur a été promu à partir d'un serveur existant), le propriétaire peut être une personne non administrateur qui a joint le serveur au domaine. Si cette personne a encore des droits sur ce compte, il peut être utilisé pour prendre possession de l'ensemble du domaine. Une chaîne d'événements compromettants peut être conçue pour prendre le contrôle du domaine en incluant ce compte.

Advised Solution:

Pour résoudre ce problème de sécurité, vous devez modifier la propriété du contrôleur de domaine pour qu'elle corresponde au groupe "Administrateurs de domaine".
Pour contrôler la propriété des objets du contrôleur de domaine, vous pouvez utiliser la commande PowerShell suivante :
Get-ADComputer -server my.domain.to.check -LDAPFilter "(&(objectCategory=computer)(|(primarygroupid=521)(primarygroupid=516)))" -properties name, ntsecuritydescriptor | sélectionnez le nom,{$_.ntsecuritydescriptor.Owner}.
Pour le changer, vous pouvez modifier le propriétaire d'un objet à l'aide de adexplorer.exe. Tout d'abord, localisez l'objet DC, puis cliquez avec le bouton droit pour sélectionner les propriétés. Ouvrez l'onglet de sécurité et appuyez sur le bouton avancé. Vous avez alors une nouvelle boîte de dialogue avec un onglet propriétaire. Sélectionnez le propriétaire et modifiez-le pour le groupe d'administrateurs de domaine. Vous avez terminé (aucun redémarrage nécessaire).

Title:

Mindestens ein Domänencontroller ist nicht korrekt im Besitz

Description:

Der Zweck besteht darin, eine Überprüfung durchzuführen, welche Konten Besitzrechte auf einem Domänencontroller haben und dann ihre Berechtigungen ändern können

Technical Explanation:

Standardmäßig ist die Gruppe „Domain Administrators“ oder die Gruppe „Enterprise Administrators“ als Eigentümer für „Domain Controllers“ festgelegt. Nichtsdestotrotz kann der Eigentümer in einigen Fällen (z. B. wenn der Server von einem vorhandenen Server heraufgestuft wurde) eine Nicht-Administrator-Person sein, die den Server der Domäne beigetreten ist. Wenn diese Person noch Rechte an diesem Konto hat, kann es verwendet werden, um das Eigentum an der gesamten Domain zu übernehmen. Eine Kette von kompromittierenden Ereignissen kann entworfen werden, um die Kontrolle über die Domäne zu übernehmen, indem dieses Konto eingeschlossen wird.

Advised Solution:

Um dieses Sicherheitsproblem zu lösen, sollten Sie den Besitz des Domänencontrollers so ändern, dass er der Gruppe „Domänenadministratoren“ entspricht.
Um den Besitz von Domänencontrollerobjekten zu steuern, können Sie den folgenden PowerShell-Befehl verwenden:
Get-ADComputer -server my.domain.to.check -LDAPFilter "(&(objectCategory=computer)(|(primarygroupid=521)(primarygroupid=516)))" -properties name, ntsecuritydescriptor | Wählen Sie den Namen {$_.ntsecuritydescriptor.Owner} aus.
Um ihn zu ändern, können Sie den Eigentümer eines Objekts mit adexplorer.exe bearbeiten. Suchen Sie zuerst das DC-Objekt und klicken Sie dann mit der rechten Maustaste, um Eigenschaften auszuwählen. Öffnen Sie die Registerkarte Sicherheit und drücken Sie die Schaltfläche Erweitert. Sie haben dann einen neuen Dialog mit einem Eigentümer-Tab. Wählen Sie den Eigentümer aus und ändern Sie ihn für die Gruppe der Domänenadministratoren. Sie sind fertig (kein Neustart erforderlich).

Title:

Al menos un controlador de dominio no tiene la propiedad correcta

Description:

El propósito es realizar una revisión de qué cuentas tienen derechos de propiedad sobre un controlador de dominio y luego pueden modificar sus permisos.

Technical Explanation:

De forma predeterminada, el grupo "Administradores de dominio" o el grupo "Administradores de empresa" se configuran como propietarios de "Controladores de dominio". No obstante, en algunos casos (por ejemplo, cuando el servidor se ha promocionado desde un servidor existente), el propietario puede ser una persona que no sea administrador y haya unido el servidor al dominio. Si esta persona todavía tiene derechos sobre esta cuenta, se puede usar para tomar posesión de todo el dominio. Se puede diseñar una cadena de eventos comprometedores para tomar el control del dominio al incluir esta cuenta.

Advised Solution:

Para resolver este problema de seguridad, debe cambiar la propiedad del controlador de dominio para que coincida con el grupo "Administradores de dominio".
Para controlar la propiedad de los objetos del controlador de dominio, puede usar el siguiente comando de PowerShell:
Get-ADComputer -server my.domain.to.check -LDAPFilter "(&(objectCategory=computer)(|(primarygroupid=521)(primarygroupid=516)))" -nombre de propiedades, ntsecuritydescriptor | seleccione el nombre,{$_.ntsecuritydescriptor.Owner}.
Para cambiarlo, puede editar el propietario de un objeto usando adexplorer.exe. Primero, ubique el objeto DC y luego haga clic con el botón derecho para seleccionar las propiedades. Abra la pestaña de seguridad y presione el botón avanzado. Luego tiene un nuevo cuadro de diálogo con una pestaña de propietario. Seleccione el propietario y cámbielo por el grupo de administradores de dominio. Ya ha terminado (no es necesario reiniciar).

Points:

10 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[FR]ANSSI - Incorrect object owners (vuln3_owner)3

Check for Dangerous rights found in OU delegation

Rule ID:

P-DangerousExtendedRight

Description:

The purpose is to verify the presence of dangerous rights when a part of the domain is delegated to a third party

Technical Explanation:

The right "REANIMATE_TOMBSTONE" used to undelete objects, "UNEXPIRE_PASSWORD" used to undo the expiration of a password, or "SID_HISTORY" used to create an alternate identity is considered dangerous. Indeed, this right can be used to trigger a backdoor.

Advised Solution:

Unless there is a strong justification of their presence, these delegations should be removed. In addition, if the origin of this delegation cannot be found, their creation should be investigated as it could be related to a compromise of the domain

Title:

Vérifier les droits dangereux trouvés dans la délégation OU

Description:

Le but est de vérifier la présence de droits dangereux lorsqu'une partie du domaine est déléguée à un tiers

Technical Explanation:

Le droit "REANIMATE_TOMBSTONE" utilisé pour restaurer des objets, "UNEXPIRE_PASSWORD" utilisé pour annuler l'expiration d'un mot de passe ou "SID_HISTORY" utilisé pour créer une identité alternative est considéré comme dangereux. En effet, ce droit peut être utilisé pour déclencher une porte dérobée.

Advised Solution:

Sauf justification forte de leur présence, ces délégations devraient être supprimées. De plus, si l'origine de cette délégation ne peut être trouvée, sa création doit être étudiée car elle pourrait être liée à une compromission du domaine

Title:

Suchen Sie nach gefährlichen Rechten, die in der OU-Delegierung gefunden wurden

Description:

Der Zweck besteht darin, das Vorhandensein gefährlicher Rechte zu überprüfen, wenn ein Teil der Domäne an einen Dritten delegiert wird

Technical Explanation:

Das Recht „REANIMATE_TOMBSTONE“ zum Wiederherstellen von Objekten, „UNEXPIRE_PASSWORD“ zum Rückgängigmachen des Ablaufs eines Kennworts oder „SID_HISTORY“ zum Erstellen einer alternativen Identität gelten als gefährlich. Tatsächlich kann dieses Recht verwendet werden, um eine Hintertür auszulösen.

Advised Solution:

Sofern es keine starke Rechtfertigung für ihre Anwesenheit gibt, sollten diese Delegationen entfernt werden. Wenn der Ursprung dieser Delegierung nicht gefunden werden kann, sollte außerdem ihre Erstellung untersucht werden, da sie mit einer Kompromittierung der Domäne zusammenhängen könnte

Title:

Comprobar si se han encontrado derechos peligrosos en la delegación de OU

Description:

El propósito es verificar la presencia de derechos peligrosos cuando una parte del dominio se delega a un tercero

Technical Explanation:

El derecho "REANIMATE_TOMBSTONE" utilizado para recuperar objetos, "UNEXPIRE_PASSWORD" utilizado para deshacer la caducidad de una contraseña o "SID_HISTORY" utilizado para crear una identidad alternativa se considera peligroso. De hecho, este derecho se puede utilizar para activar una puerta trasera.

Advised Solution:

A menos que exista una fuerte justificación de su presencia, estas delegaciones deben ser removidas. Además, si no se puede encontrar el origen de esta delegación, se debe investigar su creación, ya que podría estar relacionada con un compromiso del dominio.

Points:

5 points per discovery

Documentation:

https://technet.microsoft.com/en-us/library/ff405676.aspx
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Check if the behavior DoListObject has been enabled

Rule ID:

P-DsHeuristicsDoListObject

Description:

The purpose is to check if the DoListObject feature has been enabled

Technical Explanation:

The DoListObject is a feature to probihit account located in an OU to look at another OU. It proceeds by checking a special ACL named RIGHT_DS_LIST_OBJECT.

Advised Solution:

This is an informative rule.
If you want to reverse this behavior to its default value, find the dsHeuristics configuration which is located in CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=contoso,DC=com.
Then edit the 3rd character and set it to zero.

Title:

Vérifiez si le comportement DoListObject a été activé

Description:

Le but est de vérifier si la fonctionnalité DoListObject a été activée

Technical Explanation:

Le DoListObject est une fonctionnalité permettant de probihit compte situé dans une OU pour regarder une autre OU. Il procède en vérifiant une ACL spéciale nommée RIGHT_DS_LIST_OBJECT.

Advised Solution:

Ceci est une règle informative.
Si vous souhaitez rétablir ce comportement à sa valeur par défaut, recherchez la configuration dsHeuristics qui se trouve dans CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=contoso,DC=com.
Modifiez ensuite le 3e caractère et mettez-le à zéro.

Title:

Überprüfen Sie, ob das Verhalten DoListObject aktiviert wurde

Description:

Der Zweck besteht darin, zu überprüfen, ob die DoListObject-Funktion aktiviert wurde

Technical Explanation:

Das DoListObject ist eine Funktion, um einem Konto, das sich in einer OU befindet, zu verbieten, sich eine andere OU anzusehen. Es fährt fort, indem es eine spezielle ACL namens RIGHT_DS_LIST_OBJECT überprüft.

Advised Solution:

Dies ist eine informative Regel.
Wenn Sie dieses Verhalten auf den Standardwert zurücksetzen möchten, suchen Sie die dsHeuristics-Konfiguration, die sich in CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=contoso,DC=com befindet.
Bearbeiten Sie dann das 3. Zeichen und setzen Sie es auf Null.

Title:

Compruebe si se ha habilitado el comportamiento DoListObject

Description:

El propósito es verificar si la función DoListObject se ha habilitado

Technical Explanation:

DoListObject es una función para prohibir que una cuenta ubicada en una unidad organizativa busque en otra unidad organizativa. Continúa comprobando una ACL especial denominada RIGHT_DS_LIST_OBJECT.

Advised Solution:

Esta es una regla informativa.
Si desea revertir este comportamiento a su valor predeterminado, busque la configuración de dsHeuristics que se encuentra en CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=contoso,DC=com.
Luego edite el tercer carácter y configúrelo en cero.

Introduced in:

2.7.0.0

Points:

Informative rule (0 point)

Documentation:

https://dirteam.com/sander/2008/12/09/active-directory-visibility-modes/
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/990fb975-ab31-4bc1-8b75-5da132cd4584
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Check if the Dns Admins group is not empty

Rule ID:

P-DNSAdmin

Description:

The purpose is to ensure that the Dns Admins group is not used

Technical Explanation:

Administrators of the DNS Service have the possibility to inject a DLL in this service.
However this service is hosted most of the time in the domain controller and is running as SYSTEM.
That means that DNS admins are potentially domain admins.

The security descriptor used to grant admin rights is located on the nTSecurityDescriptor attribute of the object CN=MicrosoftDNS,CN=System.
The "Write All Prop" access right induces the vulnerability.

In this case, the DnsAdmins group is not empty and grant to its user the possibility to interact with the DNS Service.

Advised Solution:

Rule update:
The Patch Tuesday of October 2021 fixed this vulnerability and assigned it the identifier CVE-2021-40469.
If the patch has been applied, there is no additional mitigation to perform.

This rule is transformed into an informative rule in PingCastle 2.10.1 and will be removed in future versions of PingCastle.

You should remove the members of the Dns Admins group and do a proper delegation to the specific DNS Zones.

First, grant only "Read Property", "List", "List object" and "Read permssions" to CN=MicrosoftDNS,CN=System to enable access to the RPC service.

Then on each zone (the object in the tree below with the class dnsZone), grant "Read Property", "List", "List object", "Read permissions", "Create Child", "Delete Child", "Delete", "Delete Tree".

Title:

Vérifiez si le groupe DNS Admins n'est pas vide

Description:

Le but est de s'assurer que le groupe DNS Admins n'est pas utilisé

Technical Explanation:

Les administrateurs du service DNS ont la possibilité d'injecter une DLL dans ce service.
Cependant, ce service est hébergé la plupart du temps dans le contrôleur de domaine et s'exécute en tant que SYSTEM.
Cela signifie que les administrateurs DNS sont potentiellement des administrateurs de domaine.

Le descripteur de sécurité utilisé pour accorder des droits d'administrateur se trouve sur l'attribut nTSecurityDescriptor de l'objet CN=MicrosoftDNS,CN=System.
Le droit d'accès "Write All Prop" induit la vulnérabilité.

Dans ce cas, le groupe DnsAdmins n'est pas vide et donne à son utilisateur la possibilité d'interagir avec le service DNS.

Advised Solution:

Mise à jour de la règle :
Le Patch Tuesday d'octobre 2021 a corrigé cette vulnérabilité et lui a attribué l'identifiant CVE-2021-40469.
Si le correctif a été appliqué, il n'y a pas d'atténuation supplémentaire à effectuer.

Cette règle est transformée en règle informative dans PingCastle 2.10.1 et sera supprimée dans les futures versions de PingCastle.

Vous devez supprimer les membres du groupe DNS Admins et effectuer une délégation appropriée aux zones DNS spécifiques.

Tout d'abord, accordez uniquement "Read Property", "List", "List object" et "Read permssions" à CN=MicrosoftDNS,CN=System pour permettre l'accès au service RPC.

Ensuite sur chaque zone (l'objet dans l'arborescence ci-dessous avec la classe dnsZone), accordez "Read Property", "List", "List object", "Read permissions", "Create Child", "Delete Child", "Delete" , "Supprimer l'arborescence".

Title:

Überprüfen Sie, ob die Gruppe „Dns-Admins“ nicht leer ist

Description:

Damit soll sichergestellt werden, dass die Gruppe „Dns-Administratoren“ nicht verwendet wird

Technical Explanation:

Administratoren des DNS-Dienstes haben die Möglichkeit, eine DLL in diesen Dienst einzufügen.
Dieser Dienst wird jedoch meistens auf dem Domänencontroller gehostet und als SYSTEM ausgeführt.
Das bedeutet, dass DNS-Administratoren potenziell Domänenadministratoren sind.

Die zum Gewähren von Administratorrechten verwendete Sicherheitsbeschreibung befindet sich im nTSecurityDescriptor-Attribut des Objekts CN=MicrosoftDNS,CN=System.
Das Zugriffsrecht „Write All Prop“ verursacht die Schwachstelle.

In diesem Fall ist die DnsAdmins-Gruppe nicht leer und gewährt ihrem Benutzer die Möglichkeit, mit dem DNS-Dienst zu interagieren.

Advised Solution:

Regelaktualisierung:
Der Patch Tuesday im Oktober 2021 hat diese Schwachstelle behoben und ihr die Kennung CVE-2021-40469 zugewiesen.
Wenn der Patch angewendet wurde, muss keine zusätzliche Risikominderung durchgeführt werden.

Diese Regel wird in PingCastle 2.10.1 in eine informative Regel umgewandelt und in zukünftigen Versionen von PingCastle entfernt.

Sie sollten die Mitglieder der Gruppe „Dns-Administratoren“ entfernen und eine ordnungsgemäße Delegierung an die spezifischen DNS-Zonen vornehmen.

Gewähren Sie CN=MicrosoftDNS,CN=System zunächst nur „Read Property“, „List“, „List object“ und „Read Permssions“, um den Zugriff auf den RPC-Dienst zu ermöglichen.

Gewähren Sie dann für jede Zone (das Objekt in der Baumstruktur unten mit der Klasse dnsZone) „Eigenschaft lesen“, „Liste“, „Objekt auflisten“, „Berechtigungen lesen“, „Untergeordnet erstellen“, „Untergeordnet löschen“, „Löschen“. , "Baum löschen".

Title:

Compruebe si el grupo Dns Admins no está vacío

Description:

El propósito es garantizar que el grupo Dns Admins no se utilice

Technical Explanation:

Los administradores del Servicio DNS tienen la posibilidad de inyectar una DLL en este servicio.
Sin embargo, este servicio se aloja la mayor parte del tiempo en el controlador de dominio y se ejecuta como SISTEMA.
Eso significa que los administradores de DNS son potencialmente administradores de dominio.

El descriptor de seguridad utilizado para otorgar derechos de administrador se encuentra en el atributo nTSecurityDescriptor del objeto CN=MicrosoftDNS,CN=System.
El derecho de acceso "Escribir toda la propiedad" provoca la vulnerabilidad.

En este caso, el grupo DnsAdmins no está vacío y otorga a su usuario la posibilidad de interactuar con el Servicio DNS.

Advised Solution:

Actualización de la regla:
El martes de parches de octubre de 2021 corrigió esta vulnerabilidad y le asignó el identificador CVE-2021-40469.
Si se ha aplicado el parche, no hay que realizar ninguna mitigación adicional.

Esta regla se transforma en una regla informativa en PingCastle 2.10.1 y se eliminará en futuras versiones de PingCastle.

Debe eliminar a los miembros del grupo de administradores de Dns y hacer una delegación adecuada a las zonas de DNS específicas.

En primer lugar, otorgue solo "Propiedad de lectura", "Lista", "Objeto de lista" y "Permisos de lectura" a CN=MicrosoftDNS,CN=Sistema para permitir el acceso al servicio RPC.

Luego, en cada zona (el objeto en el árbol a continuación con la clase dnsZone), otorgue "Propiedad de lectura", "Lista", "Objeto de lista", "Permisos de lectura", "Crear hijo", "Eliminar hijo", "Eliminar" , "Borrar árbol".

Introduced in:

2.9.0.0

Points:

Informative rule (0 point)

Documentation:

https://medium.com/@esnesenon/feature-not-bug-dnsadmin-to-dc-compromise-in-one-line-a0f779b8dc83
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-dnsp/007efcd2-2955-46dd-a59e-f83ae88f4678
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[FR]ANSSI - DnsAdmins group members (vuln4_dnsadmins)4

Check if there is an explicit delegation on DNS servers.

Rule ID:

P-DNSDelegation

Description:

The purpose is to ensure that no specific delegation has been setup to manage the Microsoft DNS.

Technical Explanation:

Administrators of the DNS Service have the possibility to inject a DLL in this service.
However this service is hosted most of the time in the domain controller and is running as SYSTEM.
That means that DNS Admins are potentially domain admins.

The security descriptor used to grant admin rights is located on the nTSecurityDescriptor attribute of the object CN=MicrosoftDNS,CN=System.
The "Write All Prop" access right induces the vulnerability.

In this case, an explicit delegation has been setup and this delegation is not using the existing DnsAdmins group.

Advised Solution:

Rule update:
The Patch Tuesday of October 2021 fixed this vulnerability and assigned it the identifier CVE-2021-40469.
If the patch has been applied, there is no additional mitigation to perform.

This rule is transformed into an informative rule in PingCastle 2.10.1 and will be removed in future versions of PingCastle.

You should remove the explicit write delegation located in the CN=MicrosoftDNS,CN=System container and do a proper delegation.
First, grant only "Read Property", "List", "List object" and "Read permssions" to CN=MicrosoftDNS,CN=System to enable access to the RPC service.
Then on each zone (the object in the tree below with the class dnsZone), grant "Read Property", "List", "List object", "Read permissions", "Create Child", "Delete Child", "Delete", "Delete Tree".

After the Patch day the key does exist.

Title:

Vérifiez s'il existe une délégation explicite sur les serveurs DNS.

Description:

Le but est de s'assurer qu'aucune délégation spécifique n'a été mise en place pour gérer le DNS Microsoft.

Technical Explanation:

Les administrateurs du service DNS ont la possibilité d'injecter une DLL dans ce service.
Cependant, ce service est hébergé la plupart du temps dans le contrôleur de domaine et s'exécute en tant que SYSTEM.
Cela signifie que les administrateurs DNS sont potentiellement des administrateurs de domaine.

Le descripteur de sécurité utilisé pour accorder des droits d'administrateur se trouve sur l'attribut nTSecurityDescriptor de l'objet CN=MicrosoftDNS,CN=System.
Le droit d'accès "Write All Prop" induit la vulnérabilité.

Dans ce cas, une délégation explicite a été configurée et cette délégation n'utilise pas le groupe DnsAdmins existant.

Advised Solution:

Mise à jour de la règle :
Le Patch Tuesday d'octobre 2021 a corrigé cette vulnérabilité et lui a attribué l'identifiant CVE-2021-40469.
Si le correctif a été appliqué, il n'y a pas d'atténuation supplémentaire à effectuer.

Cette règle est transformée en règle informative dans PingCastle 2.10.1 et sera supprimée dans les futures versions de PingCastle.

Vous devez supprimer la délégation d'écriture explicite située dans le conteneur CN=MicrosoftDNS,CN=System et effectuer une délégation appropriée.
Tout d'abord, accordez uniquement "Read Property", "List", "List object" et "Read permssions" à CN=MicrosoftDNS,CN=System pour permettre l'accès au service RPC.
Ensuite sur chaque zone (l'objet dans l'arborescence ci-dessous avec la classe dnsZone), accordez "Read Property", "List", "List object", "Read permissions", "Create Child", "Delete Child", "Delete" , "Supprimer l'arborescence".

Après le jour du patch, la clé existe.

Title:

Überprüfen Sie, ob auf DNS-Servern eine explizite Delegierung vorhanden ist.

Description:

Damit soll sichergestellt werden, dass keine spezielle Delegierung eingerichtet wurde, um das Microsoft-DNS zu verwalten.

Technical Explanation:

Administratoren des DNS-Dienstes haben die Möglichkeit, eine DLL in diesen Dienst einzufügen.
Dieser Dienst wird jedoch meistens auf dem Domänencontroller gehostet und als SYSTEM ausgeführt.
Das bedeutet, dass DNS-Administratoren potenziell Domänenadministratoren sind.

Die zum Gewähren von Administratorrechten verwendete Sicherheitsbeschreibung befindet sich im nTSecurityDescriptor-Attribut des Objekts CN=MicrosoftDNS,CN=System.
Das Zugriffsrecht „Write All Prop“ verursacht die Schwachstelle.

In diesem Fall wurde eine explizite Delegierung eingerichtet, und diese Delegierung verwendet nicht die vorhandene DnsAdmins-Gruppe.

Advised Solution:

Regelaktualisierung:
Der Patch Tuesday im Oktober 2021 hat diese Schwachstelle behoben und ihr die Kennung CVE-2021-40469 zugewiesen.
Wenn der Patch angewendet wurde, muss keine zusätzliche Risikominderung durchgeführt werden.

Diese Regel wird in PingCastle 2.10.1 in eine informative Regel umgewandelt und in zukünftigen Versionen von PingCastle entfernt.

Sie sollten die explizite Schreibdelegierung entfernen, die sich im Container „CN=MicrosoftDNS,CN=System“ befindet, und eine ordnungsgemäße Delegierung vornehmen.
Gewähren Sie CN=MicrosoftDNS,CN=System zunächst nur „Read Property“, „List“, „List object“ und „Read Permssions“, um den Zugriff auf den RPC-Dienst zu ermöglichen.
Gewähren Sie dann für jede Zone (das Objekt in der Baumstruktur unten mit der Klasse dnsZone) „Eigenschaft lesen“, „Liste“, „Objekt auflisten“, „Berechtigungen lesen“, „Untergeordnet erstellen“, „Untergeordnet löschen“, „Löschen“. , "Baum löschen".

Nach dem Patchday existiert der Schlüssel.

Title:

Compruebe si hay una delegación explícita en los servidores DNS.

Description:

El propósito es garantizar que no se haya configurado una delegación específica para administrar el DNS de Microsoft.

Technical Explanation:

Los administradores del Servicio DNS tienen la posibilidad de inyectar una DLL en este servicio.
Sin embargo, este servicio se aloja la mayor parte del tiempo en el controlador de dominio y se ejecuta como SISTEMA.
Eso significa que los administradores de DNS son potencialmente administradores de dominio.

El descriptor de seguridad utilizado para otorgar derechos de administrador se encuentra en el atributo nTSecurityDescriptor del objeto CN=MicrosoftDNS,CN=System.
El derecho de acceso "Escribir toda la propiedad" provoca la vulnerabilidad.

En este caso, se ha configurado una delegación explícita y esta delegación no utiliza el grupo DnsAdmins existente.

Advised Solution:

Actualización de la regla:
El martes de parches de octubre de 2021 corrigió esta vulnerabilidad y le asignó el identificador CVE-2021-40469.
Si se ha aplicado el parche, no hay que realizar ninguna mitigación adicional.

Esta regla se transforma en una regla informativa en PingCastle 2.10.1 y se eliminará en futuras versiones de PingCastle.

Debe eliminar la delegación de escritura explícita ubicada en el contenedor CN=MicrosoftDNS,CN=System y realizar una delegación adecuada.
En primer lugar, otorgue solo "Propiedad de lectura", "Lista", "Objeto de lista" y "Permisos de lectura" a CN=MicrosoftDNS,CN=Sistema para permitir el acceso al servicio RPC.
Luego, en cada zona (el objeto en el árbol a continuación con la clase dnsZone), otorgue "Propiedad de lectura", "Lista", "Objeto de lista", "Permisos de lectura", "Crear hijo", "Eliminar hijo", "Eliminar" , "Borrar árbol".

Después del día del parche, la clave existe.

Introduced in:

2.8.0.0

Points:

Informative rule (0 point)

Documentation:

https://medium.com/@esnesenon/feature-not-bug-dnsadmin-to-dc-compromise-in-one-line-a0f779b8dc83
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-dnsp/007efcd2-2955-46dd-a59e-f83ae88f4678
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40469
https://blog.0patch.com/2021/11/micropatch-for-remote-code-execution-by.html
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management

Ensure that all login scripts cannot be modified by any user

Rule ID:

P-DelegationLoginScript

Description:

The purpose is to ensure that standard users cannot modify login scripts

Technical Explanation:

When the group Authenticated Users, Everyone or any similar groups have permission to modify a login script, it can be abused to take control of the accounts using this script. It can potentially lead to the compromise of the domain

Advised Solution:

Edit the Access Control List (ACL) of the script object or the directory where the file is located. Then remove any write permission given to the group.

Title:

Assurez-vous que tous les scripts de connexion ne peuvent être modifiés par aucun utilisateur

Description:

Le but est de s'assurer que les utilisateurs standard ne peuvent pas modifier les scripts de connexion

Technical Explanation:

Lorsque le groupe Utilisateurs authentifiés, Tout le monde ou tout groupe similaire a la permission de modifier un script de connexion, il peut être abusé pour prendre le contrôle des comptes à l'aide de ce script. Cela peut potentiellement conduire à la compromission du domaine

Advised Solution:

Modifiez la liste de contrôle d'accès (ACL) de l'objet de script ou du répertoire où se trouve le fichier. Supprimez ensuite toute autorisation d'écriture accordée au groupe.

Title:

Stellen Sie sicher, dass alle Anmeldeskripts von keinem Benutzer geändert werden können

Description:

Damit soll sichergestellt werden, dass Standardbenutzer Anmeldeskripts nicht ändern können

Technical Explanation:

Wenn die Gruppe „Authentifizierte Benutzer“, „Jeder“ oder ähnliche Gruppen die Berechtigung haben, ein Anmeldeskript zu ändern, kann es missbraucht werden, um mithilfe dieses Skripts die Kontrolle über die Konten zu erlangen. Dies kann möglicherweise zur Kompromittierung der Domäne führen

Advised Solution:

Bearbeiten Sie die Zugriffskontrollliste (ACL) des Skriptobjekts oder das Verzeichnis, in dem sich die Datei befindet. Entfernen Sie dann alle der Gruppe erteilten Schreibberechtigungen.

Title:

Asegúrese de que ningún usuario pueda modificar todos los scripts de inicio de sesión

Description:

El propósito es garantizar que los usuarios estándar no puedan modificar los scripts de inicio de sesión.

Technical Explanation:

Cuando el grupo Usuarios autenticados, Todos o cualquier grupo similar tiene permiso para modificar un script de inicio de sesión, se puede abusar de él para tomar el control de las cuentas que usan este script. Potencialmente puede conducir al compromiso del dominio.

Advised Solution:

Edite la Lista de control de acceso (ACL) del objeto de secuencia de comandos o el directorio donde se encuentra el archivo. Luego elimine cualquier permiso de escritura otorgado al grupo.

Introduced in:

2.5.0.0

Points:

15 points per discovery

Documentation:

[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[US]STIG V-2370 - The access control permissions for the directory service site group policy must be configured to use the required access permissions.

Ensure that bogus Windows Server 2016 AD prep did not introduce vulnerabilities

Rule ID:

P-DelegationKeyAdmin

Description:

The purpose is to ensure that no weaknesses have been introduced following a Windows Server 2016 installation.

Technical Explanation:

After performing adprep /domainprep from Windows Server 2016 sources there may be an unwanted AccessControlEntry (ACE) in the DiscretionaryACL (DACL) of the targeted domain-naming-context's SecurityDescriptor (SD) that grants FullControl permission to the Enterprise Key Admins group ( SID = ending with -527 ).
This is s a bug in ADPREP that was fixed in Windows Server 2016 RS3/1709. No official fix for those who used pre-1709.
Note: The SID will only be resolvable after the PDC emulator role is transferred to a Windows Server 2016 domain controller.

Advised Solution:

After having carefully studied the possible impact of the following change, apply the script made by MSRC and referenced in the documentation below to alter the permission.

Title:

Assurez-vous que la fausse préparation AD de Windows Server 2016 n'a pas introduit de vulnérabilités

Description:

Le but est de s'assurer qu'aucune faiblesse n'a été introduite suite à une installation de Windows Server 2016.

Technical Explanation:

Après avoir effectué adprep/domainprep à partir de sources Windows Server 2016, il peut y avoir une AccessControlEntry (ACE) indésirable dans la DiscretionaryACL (DACL) du SecurityDescriptor (SD) du contexte de nommage de domaine ciblé qui accorde l'autorisation FullControl au groupe Enterprise Key Admins (SID = se terminant par -527 ).
Il s'agit d'un bogue dans ADPREP qui a été corrigé dans Windows Server 2016 RS3/1709. Pas de correctif officiel pour ceux qui utilisaient avant 1709.
Remarque : Le SID ne pourra être résolu qu'après le transfert du rôle d'émulateur PDC vers un contrôleur de domaine Windows Server 2016.

Advised Solution:

Après avoir soigneusement étudié l'impact possible du changement suivant, appliquez le script réalisé par MSRC et référencé dans la documentation ci-dessous pour modifier l'autorisation.

Title:

Stellen Sie sicher, dass die gefälschte Windows Server 2016 AD-Vorbereitung keine Schwachstellen eingeführt hat

Description:

Der Zweck besteht darin, sicherzustellen, dass nach einer Installation von Windows Server 2016 keine Schwachstellen eingeführt wurden.

Technical Explanation:

Nach dem Ausführen von adprep /domainprep von Windows Server 2016-Quellen gibt es möglicherweise einen unerwünschten AccessControlEntry (ACE) in der DiscretionaryACL (DACL) des SecurityDescriptor (SD) des Zieldomänennamenskontexts, der der Enterprise Key Admins-Gruppe ( SID = endet mit -527 ).
Dies ist ein Fehler in ADPREP, der in Windows Server 2016 RS3/1709 behoben wurde. Keine offizielle Lösung für diejenigen, die vor 1709 verwendet haben.
Hinweis: Die SID kann erst aufgelöst werden, nachdem die PDC-Emulatorrolle auf einen Windows Server 2016-Domänencontroller übertragen wurde.

Advised Solution:

Nachdem Sie die möglichen Auswirkungen der folgenden Änderung sorgfältig untersucht haben, wenden Sie das von MSRC erstellte Skript an, auf das in der folgenden Dokumentation verwiesen wird, um die Berechtigung zu ändern.

Title:

Asegúrese de que la preparación falsa de Windows Server 2016 AD no haya introducido vulnerabilidades

Description:

El propósito es garantizar que no se hayan introducido debilidades después de una instalación de Windows Server 2016.

Technical Explanation:

Después de realizar adprep/domainprep desde fuentes de Windows Server 2016, puede haber una AccessControlEntry (ACE) no deseada en DiscretionaryACL (DACL) del SecurityDescriptor (SD) del contexto de nombres de dominio de destino que otorga permiso FullControl al grupo Enterprise Key Admins ( SID = terminando en -527 ).
Este es un error en ADPREP que se corrigió en Windows Server 2016 RS3/1709. No hay solución oficial para aquellos que usaron antes de 1709.
Nota: el SID solo se podrá resolver después de que la función de emulador de PDC se transfiera a un controlador de dominio de Windows Server 2016.

Advised Solution:

Después de haber estudiado detenidamente el posible impacto del siguiente cambio, aplique el script creado por MSRC y al que se hace referencia en la documentación a continuación para modificar el permiso.

Introduced in:

2.6.0.0

Points:

5 points if present

Documentation:

https://itpro-tips.com/wp-content/uploads/files/TechnetGallery/Enterprise-Key-Admins-720eb270.zip
https://secureidentity.se/adprep-error-en-windows-server-2016/
[FR]ANSSI - Bad Active Directory versions (vuln2_adupdate_bad)2
[MITRE]T111 Two-Factor Authentication Interception
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]

Ensure that Exchange did not introduce security vulnerabilities

Rule ID:

P-ExchangePrivEsc

Description:

The purpose is to ensure that Exchange installation did not introduce privilege escalation vulnerabilities by modifying domain permissions

Technical Explanation:

When Exchange is installed, a set of permissions is modified to allow a deep Windows integration. A dependency analysis has shown that the permissions, that Exchange has set, introduced a possibility for privilege escalation.
The most basic exploitation is that a member of the group Exchange Windows Permissions can modify the security permission of the domain, granting itself the right Ds-Replication-Get-Changes-All.
This right allows the account to perform an attack named DCSync, which retrieves the hash of the krbtgt account. With this hash the attacker can then create a golden ticket and impersonate silently any user of the domain, including domain admins.

Advised Solution:

Edit the root domain security descriptor. Identify the ACE giving the right ModifyDACL to the principal Exchange Windows Permissions. Go to the advanced settings and set the inheritance to Inherit Only.

Or run the PowerShell script Fix-DomainObjectDACL.ps1 referenced below.

Title:

Assurez-vous qu'Exchange n'a pas introduit de failles de sécurité

Description:

Le but est de s'assurer que l'installation d'Exchange n'a pas introduit de vulnérabilités d'élévation de privilèges en modifiant les autorisations de domaine

Technical Explanation:

Lors de l'installation d'Exchange, un ensemble d'autorisations est modifié pour permettre une intégration Windows approfondie. Une analyse des dépendances a montré que les autorisations définies par Exchange introduisaient une possibilité d'élévation des privilèges.
L'exploitation la plus basique est qu'un membre du groupe Exchange Windows Permissions peut modifier la permission de sécurité du domaine, en s'octroyant le droit Ds-Replication-Get-Changes-All.
Ce droit permet au compte d'effectuer une attaque nommée DCSync, qui récupère le hash du compte krbtgt. Avec ce hachage, l'attaquant peut alors créer un golden ticket et se faire passer pour n'importe quel utilisateur du domaine, y compris les administrateurs du domaine.

Advised Solution:

Modifiez le descripteur de sécurité du domaine racine. Identifiez l'ACE donnant le droit ModifyDACL aux principales autorisations Exchange Windows. Accédez aux paramètres avancés et définissez l'héritage sur Hériter uniquement.

Ou exécutez le script PowerShell Fix-DomainObjectDACL.ps1 référencé ci-dessous.

Title:

Stellen Sie sicher, dass Exchange keine Sicherheitslücken eingeführt hat

Description:

Der Zweck besteht darin, sicherzustellen, dass die Exchange-Installation keine Schwachstellen bei der Rechteausweitung durch das Ändern von Domänenberechtigungen eingeführt hat

Technical Explanation:

Bei der Installation von Exchange wird eine Reihe von Berechtigungen geändert, um eine tiefe Windows-Integration zu ermöglichen. Eine Abhängigkeitsanalyse hat gezeigt, dass die Berechtigungen, die Exchange gesetzt hat, eine Möglichkeit zur Privilegieneskalation eingeführt haben.
Die grundlegendste Ausnutzung besteht darin, dass ein Mitglied der Gruppe Exchange Windows Permissions die Sicherheitsberechtigung der Domäne ändern kann, indem es sich selbst das Recht Ds-Replication-Get-Changes-All erteilt.
Dieses Recht ermöglicht dem Konto, einen Angriff namens DCSync auszuführen, der den Hash des krbtgt-Kontos abruft. Mit diesem Hash kann der Angreifer dann ein Golden Ticket erstellen und sich unbemerkt als beliebiger Benutzer der Domäne ausgeben, einschließlich Domänenadministratoren.

Advised Solution:

Bearbeiten Sie die Sicherheitsbeschreibung der Stammdomäne. Identifizieren Sie den ACE, der den Haupt-Exchange-Windows-Berechtigungen das richtige ModifyDACL zuweist. Gehen Sie zu den erweiterten Einstellungen und stellen Sie die Vererbung auf Nur erben ein.

Oder führen Sie das PowerShell-Skript Fix-DomainObjectDACL.ps1 aus, auf das unten verwiesen wird.

Title:

Asegúrese de que Exchange no haya introducido vulnerabilidades de seguridad

Description:

El propósito es garantizar que la instalación de Exchange no introdujo vulnerabilidades de escalada de privilegios al modificar los permisos del dominio.

Technical Explanation:

Cuando se instala Exchange, se modifica un conjunto de permisos para permitir una integración profunda de Windows. Un análisis de dependencia ha demostrado que los permisos establecidos por Exchange introdujeron la posibilidad de una escalada de privilegios.
La explotación más básica es que un miembro del grupo Permisos de Windows de Exchange puede modificar el permiso de seguridad del dominio, otorgándose el derecho Ds-Replication-Get-Changes-All.
Este derecho permite que la cuenta realice un ataque denominado DCSync, que recupera el hash de la cuenta krbtgt. Con este hash, el atacante puede crear un ticket dorado y hacerse pasar silenciosamente por cualquier usuario del dominio, incluidos los administradores del dominio.

Advised Solution:

Edite el descriptor de seguridad del dominio raíz. Identifique el ACE que otorga el ModifyDACL correcto a los principales permisos de Windows de Exchange. Vaya a la configuración avanzada y establezca la herencia en Heredar solamente.

O ejecute el script de PowerShell Fix-DomainObjectDACL.ps1 al que se hace referencia a continuación.

Introduced in:

2.7.0.0

Points:

15 points per discovery

Documentation:

https://github.com/gdedrouas/Exchange-AD-Privesc/blob/master/DomainObject/Fix-DomainObjectDACL.ps1
https://blogs.technet.microsoft.com/exchange/2019/02/12/released-febrero-2019-trimestre-exchange-updates/
https://support.microsoft.com/en-us/help/4490059/using-shared-permissions-model-to-run-exchange-server
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]

Ensure that Exchange did not modify the AdminSDHolder object to introduce vulnerabilities

Rule ID:

P-ExchangeAdminSDHolder

Description:

The purpose is to ensure that no weakness has been introduced at Exchange installation.

Technical Explanation:

At install time, the Exchange Windows Permissions universal security group (USG) was granted the ability to modify the members attribute, the ability to change and reset passwords, and the ability to modify the permissions of any object protected by the AdminSDHolder role.
This security group includes all the Exchange servers.
As a consequence, a malicious administrator could elevate their privileges on one of the servers and thus gain control of the Active Directory forest.
Newest versions of Exchange do not introduce this security vulnerability.

Advised Solution:

After having carefully studied the possible impact of the following change, alter the AdminSDHolder permissions to remove the Exchange objects.

Title:

Assurez-vous qu'Exchange n'a pas modifié l'objet AdminSDHolder pour introduire des vulnérabilités

Description:

Le but est de s'assurer qu'aucune faiblesse n'a été introduite lors de l'installation d'Exchange.

Technical Explanation:

Au moment de l'installation, le groupe de sécurité universel Exchange Windows Permissions (USG) a obtenu la possibilité de modifier l'attribut membres, la possibilité de modifier et de réinitialiser les mots de passe et la possibilité de modifier les autorisations de tout objet protégé par le rôle AdminSDHolder.
Ce groupe de sécurité inclut tous les serveurs Exchange.
En conséquence, un administrateur malveillant pourrait élever ses privilèges sur l'un des serveurs et ainsi prendre le contrôle de la forêt Active Directory.
Les versions les plus récentes d'Exchange n'introduisent pas cette vulnérabilité de sécurité.

Advised Solution:

Après avoir soigneusement étudié l'impact possible du changement suivant, modifiez les autorisations AdminSDHolder pour supprimer les objets Exchange.

Title:

Stellen Sie sicher, dass Exchange das AdminSDHolder-Objekt nicht geändert hat, um Schwachstellen einzuführen

Description:

Damit soll sichergestellt werden, dass bei der Exchange-Installation keine Schwachstelle eingeführt wurde.

Technical Explanation:

Zum Zeitpunkt der Installation wurde der universellen Sicherheitsgruppe (USG) für Exchange-Windows-Berechtigungen die Berechtigung gewährt, das Attribut „members“, die Berechtigung zum Ändern und Zurücksetzen von Kennwörtern und die Berechtigung zum Ändern der Berechtigungen aller durch die AdminSDHolder-Rolle geschützten Objekte zu ändern.
Diese Sicherheitsgruppe umfasst alle Exchange-Server.
Infolgedessen könnte ein böswilliger Administrator seine Berechtigungen auf einem der Server erhöhen und so die Kontrolle über die Active Directory-Gesamtstruktur erlangen.
Die neuesten Versionen von Exchange führen diese Sicherheitslücke nicht ein.

Advised Solution:

Nachdem Sie die möglichen Auswirkungen der folgenden Änderung sorgfältig untersucht haben, ändern Sie die AdminSDHolder-Berechtigungen, um die Exchange-Objekte zu entfernen.

Title:

Asegúrese de que Exchange no haya modificado el objeto AdminSDHolder para introducir vulnerabilidades

Description:

El propósito es garantizar que no se haya introducido ninguna debilidad en la instalación de Exchange.

Technical Explanation:

En el momento de la instalación, se otorgó al grupo de seguridad universal (USG) de permisos de Windows de Exchange la capacidad de modificar el atributo de los miembros, la capacidad de cambiar y restablecer contraseñas y la capacidad de modificar los permisos de cualquier objeto protegido por la función AdminSDHolder.
Este grupo de seguridad incluye todos los servidores de Exchange.
Como consecuencia, un administrador malintencionado podría elevar sus privilegios en uno de los servidores y así obtener el control del bosque de Active Directory.
Las versiones más recientes de Exchange no presentan esta vulnerabilidad de seguridad.

Advised Solution:

Después de haber estudiado detenidamente el posible impacto del siguiente cambio, modifique los permisos de AdminSDHolder para eliminar los objetos de Exchange.

Introduced in:

2.6.0.0

Points:

5 points if present

Documentation:

https://blogs.technet.microsoft.com/exchange/2009/09/23/exchange-2010-and-solution-of-the-adminsdholder-elevation-issue/
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]

Ensure that files deployed by a GPO cannot be modified by everyone.

Rule ID:

P-DelegationFileDeployed

Description:

The purpose is to ensure that files deployed to computers cannot be changed by everyone.

Technical Explanation:

Applications and other files can be deployed by a GPO. If an attacker can modify one of these files, they may be able to compromise the user's account.

Advised Solution:

Locate the file mentioned by the GPO specified in Details and change its permissions.

Title:

Assurez-vous que les fichiers déployés par un GPO ne peuvent pas être modifiés par tout le monde.

Description:

L'objectif est de s'assurer que les fichiers déployés sur les ordinateurs ne peuvent pas être modifiés par tout le monde.

Technical Explanation:

Les applications et autres fichiers peuvent être déployés par un GPO. Si un attaquant peut modifier l'un de ces fichiers, il peut être en mesure de compromettre le compte de l'utilisateur.

Advised Solution:

Localisez le fichier mentionné par le GPO spécifié dans Détails et modifiez ses autorisations.

Title:

Stellen Sie sicher, dass Dateien, die von einem Gruppenrichtlinienobjekt bereitgestellt werden, nicht von allen geändert werden können.

Description:

Damit soll sichergestellt werden, dass Dateien, die auf Computern bereitgestellt werden, nicht von allen geändert werden können.

Technical Explanation:

Anwendungen und andere Dateien können von einem GPO bereitgestellt werden. Wenn ein Angreifer eine dieser Dateien ändern kann, kann er möglicherweise das Konto des Benutzers kompromittieren.

Advised Solution:

Suchen Sie die Datei, die von dem in Details angegebenen Gruppenrichtlinienobjekt erwähnt wird, und ändern Sie seine Berechtigungen.

Title:

Asegúrese de que los archivos implementados por un GPO no puedan ser modificados por todos.

Description:

El propósito es garantizar que nadie pueda cambiar los archivos implementados en las computadoras.

Technical Explanation:

Un GPO puede implementar aplicaciones y otros archivos. Si un atacante puede modificar uno de estos archivos, es posible que pueda comprometer la cuenta del usuario.

Advised Solution:

Busque el archivo mencionado por el GPO especificado en Detalles y cambie sus permisos.

Introduced in:

2.7.0.0

Points:

5 points per discovery

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]
[US]STIG V-2370 - The access control permissions for the directory service site group policy must be configured to use the required access permissions.

Ensure that GPO items cannot be modified by any user

Rule ID:

P-DelegationGPOData

Description:

The purpose is to ensure that standard users cannot modify GPO

Technical Explanation:

When the group Authenticated Users, Everyone or any similar groups have permission to modify a GPO, it can be abused to take control of the accounts where this GPO applies. It can potentially lead to the compromise of the domain

Advised Solution:

Edit the Access Control List (ACL) of the GPO object or the directory where the items is located. Then remove any write permission given to the group.

Title:

Assurez-vous que les éléments GPO ne peuvent être modifiés par aucun utilisateur

Description:

Le but est de s'assurer que les utilisateurs standard ne peuvent pas modifier les GPO

Technical Explanation:

Lorsque le groupe Utilisateurs authentifiés, Tout le monde ou tout groupe similaire a l'autorisation de modifier un GPO, il peut être abusé pour prendre le contrôle des comptes auxquels s'applique ce GPO. Cela peut potentiellement conduire à la compromission du domaine

Advised Solution:

Modifiez la liste de contrôle d'accès (ACL) de l'objet GPO ou du répertoire où se trouvent les éléments. Supprimez ensuite toute autorisation d'écriture accordée au groupe.

Title:

Stellen Sie sicher, dass GPO-Elemente von keinem Benutzer geändert werden können

Description:

Damit soll sichergestellt werden, dass Standardbenutzer GPO nicht ändern können

Technical Explanation:

Wenn die Gruppe „Authentifizierte Benutzer“, „Jeder“ oder ähnliche Gruppen berechtigt sind, ein GPO zu ändern, kann sie missbraucht werden, um die Kontrolle über die Konten zu übernehmen, für die dieses GPO gilt. Dies kann möglicherweise zur Kompromittierung der Domäne führen

Advised Solution:

Bearbeiten Sie die Zugriffssteuerungsliste (ACL) des GPO-Objekts oder des Verzeichnisses, in dem sich die Elemente befinden. Entfernen Sie dann alle der Gruppe erteilten Schreibberechtigungen.

Title:

Asegúrese de que los elementos de GPO no puedan ser modificados por ningún usuario

Description:

El propósito es garantizar que los usuarios estándar no puedan modificar GPO

Technical Explanation:

Cuando el grupo Usuarios autenticados, Todos o cualquier grupo similar tiene permiso para modificar un GPO, se puede abusar de él para tomar el control de las cuentas donde se aplica este GPO. Potencialmente puede conducir al compromiso del dominio.

Advised Solution:

Edite la Lista de control de acceso (ACL) del objeto GPO o el directorio donde se encuentran los elementos. Luego elimine cualquier permiso de escritura otorgado al grupo.

Introduced in:

2.6.0.0

Points:

15 points per discovery

Documentation:

Ensure that the AdminSDHolder protection has not been disabled for some critical groups

Rule ID:

P-DsHeuristicsAdminSDExMask

Description:

The purpose is to ensure that the AdminSDHolder mechanism has not been altered

Technical Explanation:

The AdminSDHolder service is a protection which prohibits an admin to lose control of the domain after a permission change or to introduce a weakness in the permissions.
It proceeds by rewriting every 60 minutes the security descriptor of critical objects.

By modifying the dsHeuristics attribute, this protection can be disabled for one or more critical group.
Each critical group is associated with a value:
Account Operators: 1,
Server Operators: 2,
Print Operators:4,
Backup Operators: 8.
The 16th character of dsHeuristics represents the sum of the values associated to the groups where the AdminSDHolder has been disabled.
To disable it for the 'Backup Operators' and the 'Server Operators', the value is 8 + 2 = 0x0A = 'a'.

Advised Solution:

Find the dsHeuristics configuration which is located in CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=contoso,DC=com.
Then edit the 16th character and set it to zero.

Title:

Assurez-vous que la protection AdminSDHolder n'a pas été désactivée pour certains groupes critiques

Description:

Le but est de s'assurer que le mécanisme AdminSDHolder n'a pas été altéré

Technical Explanation:

Le service AdminSDHolder est une protection qui interdit à un administrateur de perdre le contrôle du domaine après un changement d'autorisation ou d'introduire une faiblesse dans les autorisations.
Il procède en réécrivant toutes les 60 minutes le descripteur de sécurité des objets critiques.

En modifiant l'attribut dsHeuristics, cette protection peut être désactivée pour un ou plusieurs groupes critiques.
Chaque groupe critique est associé à une valeur :
Opérateurs de compte : 1,
Opérateurs de serveur : 2,
Opérateurs d'impression : 4,
Opérateurs de sauvegarde : 8.
Le 16ème caractère de dsHeuristics représente la somme des valeurs associées aux groupes où l'AdminSDHolder a été désactivé.
Pour le désactiver pour les 'Opérateurs de sauvegarde' et les 'Opérateurs de serveur', la valeur est 8 + 2 = 0x0A = 'a'.

Advised Solution:

Recherchez la configuration dsHeuristics qui se trouve dans CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=contoso,DC=com.
Modifiez ensuite le 16e caractère et mettez-le à zéro.

Title:

Stellen Sie sicher, dass der AdminSDHolder-Schutz nicht für einige kritische Gruppen deaktiviert wurde

Description:

Damit soll sichergestellt werden, dass der AdminSDHolder-Mechanismus nicht verändert wurde

Technical Explanation:

Der AdminSDHolder-Dienst ist ein Schutz, der es einem Administrator verbietet, nach einer Berechtigungsänderung die Kontrolle über die Domäne zu verlieren oder eine Schwachstelle in den Berechtigungen einzuführen.
Es fährt fort, indem alle 60 Minuten die Sicherheitsbeschreibung kritischer Objekte neu geschrieben wird.

Durch Ändern des dsHeuristics-Attributs kann dieser Schutz für eine oder mehrere kritische Gruppen deaktiviert werden.
Jeder kritischen Gruppe ist ein Wert zugeordnet:
Kontobetreiber: 1,
Serverbetreiber: 2,
Druckoperatoren:4,
Backup-Operatoren: 8.
Das 16. Zeichen von dsHeuristics stellt die Summe der Werte dar, die den Gruppen zugeordnet sind, in denen der AdminSDHolder deaktiviert wurde.
Um es für die 'Backup Operators' und die 'Server Operators' zu deaktivieren, ist der Wert 8 + 2 = 0x0A = 'a'.

Advised Solution:

Suchen Sie die dsHeuristics-Konfiguration, die sich in CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=contoso,DC=com befindet.
Bearbeiten Sie dann das 16. Zeichen und setzen Sie es auf Null.

Title:

Asegúrese de que la protección AdminSDHolder no se haya deshabilitado para algunos grupos críticos

Description:

El propósito es asegurar que el mecanismo AdminSDHolder no haya sido alterado

Technical Explanation:

El servicio AdminSDHolder es una protección que prohíbe que un administrador pierda el control del dominio después de un cambio de permiso o introduzca una debilidad en los permisos.
Procede reescribiendo cada 60 minutos el descriptor de seguridad de los objetos críticos.

Al modificar el atributo dsHeuristics, esta protección se puede deshabilitar para uno o más grupos críticos.
Cada grupo crítico está asociado a un valor:
Operadores de cuenta: 1,
Operadores de servidor: 2,
Operadores de impresión: 4,
Operadores de respaldo: 8.
El carácter 16 de dsHeuristics representa la suma de los valores asociados a los grupos en los que se ha deshabilitado AdminSDHolder.
Para deshabilitarlo para los 'Operadores de Respaldo' y los 'Operadores de Servidor', el valor es 8 + 2 = 0x0A = 'a'.

Advised Solution:

Busque la configuración de dsHeuristics que se encuentra en CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=contoso,DC=com.
Luego edite el carácter 16 y configúrelo en cero.

Introduced in:

2.7.0.0

Points:

5 points if present

Documentation:

https://www.petri.com/active-directory-security-understanding-adminsdholder-object
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[FR]ANSSI - Dangerous dsHeuristics settings (vuln1_dsheuristics_bad)1

Ensure that the privilege to log on Domain Controllers are not granted to everyone by GPO

Rule ID:

P-LoginDCEveryone

Description:

The purpose is to ensure that standard users cannot login to domain controllers

Technical Explanation:

Domain Controllers are critical components of the Active Directory. If an attacker is able to open a session, he will be able to discover insecure backup media or perform a local privilege escalation to become the DC admin and thus the AD admin.
Local logon requires usually physical interaction, which explains why network seggregation is a best practice, but this can be bypassed. Indeed, VNC or remote server management software is a way to perform local logon remotely.
In addition, remote server management software have been the subject of many vulnerabilites, some of them can be exploited even if this software is disabled.

Advised Solution:

Locate the GPO specified in Details and remove the privilege "Allow log on locally" or "Allow log on through Remote Desktop Services" to "Everyone", "Authenticated Users", "Domain Users" or "Domain Computers".
The settings are located in :
Computer configuration -> Policies -> Windows Settings ->Security Settings -> Local Policies -> User Rights Assignment.
As an alternative, the file GptTmpl.inf can be manually edited.

Title:

Assurez-vous que le privilège de se connecter aux contrôleurs de domaine n'est pas accordé à tout le monde par GPO

Description:

Le but est de s'assurer que les utilisateurs standard ne peuvent pas se connecter aux contrôleurs de domaine

Technical Explanation:

Les contrôleurs de domaine sont des composants essentiels d'Active Directory. Si un attaquant est capable d'ouvrir une session, il pourra découvrir des supports de sauvegarde non sécurisés ou effectuer une élévation de privilèges locale pour devenir l'administrateur DC et donc l'administrateur AD.
L'ouverture de session locale nécessite généralement une interaction physique, ce qui explique pourquoi la ségrégation du réseau est une bonne pratique, mais cela peut être contourné. En effet, VNC ou logiciel de gestion de serveur distant est un moyen d'effectuer une connexion locale à distance.
De plus, les logiciels de gestion de serveurs à distance ont fait l'objet de nombreuses vulnérabilités, dont certaines peuvent être exploitées même si ce logiciel est désactivé.

Advised Solution:

Localisez le GPO spécifié dans Détails et supprimez le privilège "Autoriser la connexion locale" ou "Autoriser la connexion via les services Bureau à distance" à "Tout le monde", "Utilisateurs authentifiés", "Utilisateurs du domaine" ou "Ordinateurs du domaine".
Les paramètres se trouvent dans :
Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits utilisateur.
Comme alternative, le fichier GptTmpl.inf peut être édité manuellement.

Title:

Stellen Sie sicher, dass die Berechtigung zum Anmelden von Domänencontrollern nicht jedem durch GPO gewährt wird

Description:

Damit soll sichergestellt werden, dass sich Standardbenutzer nicht bei Domänencontrollern anmelden können

Technical Explanation:

Domänencontroller sind kritische Komponenten des Active Directory. Wenn es einem Angreifer gelingt, eine Sitzung zu öffnen, kann er unsichere Sicherungsmedien entdecken oder eine lokale Privilegieneskalation durchführen, um DC-Administrator und damit AD-Administrator zu werden.
Die lokale Anmeldung erfordert normalerweise eine physische Interaktion, was erklärt, warum die Netzwerktrennung eine bewährte Methode ist, aber dies kann umgangen werden. In der Tat ist VNC oder Remote-Server-Verwaltungssoftware eine Möglichkeit, eine lokale Anmeldung remote durchzuführen.
Darüber hinaus war Remote-Server-Verwaltungssoftware Gegenstand vieler Schwachstellen, von denen einige ausgenutzt werden können, selbst wenn diese Software deaktiviert ist.

Advised Solution:

Suchen Sie das in Details angegebene Gruppenrichtlinienobjekt und entfernen Sie die Berechtigung „Lokale Anmeldung zulassen“ oder „Anmeldung über Remotedesktopdienste zulassen“ für „Jeder“, „Authentifizierte Benutzer“, „Domänenbenutzer“ oder „Domänencomputer“.
Die Einstellungen befinden sich in:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten.
Alternativ kann die Datei GptTmpl.inf manuell bearbeitet werden.

Title:

Asegúrese de que GPO no otorgue a todos el privilegio para iniciar sesión en los controladores de dominio.

Description:

El propósito es garantizar que los usuarios estándar no puedan iniciar sesión en los controladores de dominio.

Technical Explanation:

Los controladores de dominio son componentes críticos de Active Directory. Si un atacante puede abrir una sesión, podrá descubrir medios de respaldo inseguros o realizar una escalada de privilegios local para convertirse en el administrador de DC y, por lo tanto, en el administrador de AD.
El inicio de sesión local generalmente requiere una interacción física, lo que explica por qué la segregación de la red es una mejor práctica, pero esto se puede omitir. De hecho, VNC o software de administración de servidor remoto es una forma de realizar un inicio de sesión local de forma remota.
Además, el software de administración de servidores remotos ha sido objeto de muchas vulnerabilidades, algunas de las cuales pueden explotarse incluso si este software está deshabilitado.

Advised Solution:

Localice el GPO especificado en Detalles y elimine el privilegio "Permitir inicio de sesión local" o "Permitir inicio de sesión a través de Servicios de escritorio remoto" para "Todos", "Usuarios autenticados", "Usuarios de dominio" o "Equipos de dominio".
Los ajustes se encuentran en:
Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Asignación de derechos de usuario.
Como alternativa, el archivo GptTmpl.inf se puede editar manualmente.

Introduced in:

2.7.0.0

Points:

15 points per discovery

Documentation:

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/allow-log-on-locally
https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/allow-log-on-through-remote-desktop-services
https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-c04197764-1
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]

Ensure the "automatic administrative logon" feature of the recovery mode is not enabled

Rule ID:

P-RecoveryModeUnprotected

Description:

The purpose is to check that it is not possible to go into recovery mode without the administrator password

Technical Explanation:

The recovery mode is a special mode allowing an admin to fix an issue preventing the computer to boot. By pressing F8 in the short time span allowed, the computer boots with just a simple command line.
Usually, the administrator password is requested to avoid that people having physical access get control of it. It can typically be done by creating a new user account and add this account as member of the administrators group. This rule checks if there are GPOs which disable this password prompt.

Advised Solution:

Locate the GPO specified in Details and turn off the setting "Recovery console: Allow automatic administrative logon"
The setting is located in :
Computer configuration -> Policies -> Windows Settings ->Security Settings -> Local Policies -> Security Options.
As an alternative, the file GptTmpl.inf can be manually edited.

Title:

Assurez-vous que la fonction "ouverture de session administrative automatique" du mode de récupération n'est pas activée

Description:

Le but est de vérifier qu'il n'est pas possible de passer en mode recovery sans le mot de passe administrateur

Technical Explanation:

Le mode de récupération est un mode spécial permettant à un administrateur de résoudre un problème empêchant l'ordinateur de démarrer. En appuyant sur F8 dans le court laps de temps autorisé, l'ordinateur démarre avec une simple ligne de commande.
Généralement, le mot de passe administrateur est demandé pour éviter que des personnes ayant un accès physique n'en prennent le contrôle. Cela peut généralement être fait en créant un nouveau compte d'utilisateur et en ajoutant ce compte en tant que membre du groupe des administrateurs. Cette règle vérifie s'il existe des objets de stratégie de groupe qui désactivent cette invite de mot de passe.

Advised Solution:

Localisez le GPO spécifié dans Détails et désactivez le paramètre "Console de récupération : Autoriser la connexion administrative automatique"
Le cadre se situe dans :
Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité.
Comme alternative, le fichier GptTmpl.inf peut être édité manuellement.

Title:

Stellen Sie sicher, dass die Funktion „automatische administrative Anmeldung“ des Wiederherstellungsmodus nicht aktiviert ist

Description:

Der Zweck besteht darin, zu überprüfen, dass es nicht möglich ist, ohne das Administratorkennwort in den Wiederherstellungsmodus zu wechseln

Technical Explanation:

Der Wiederherstellungsmodus ist ein spezieller Modus, der es einem Administrator ermöglicht, ein Problem zu beheben, das den Start des Computers verhindert. Durch Drücken von F8 in der kurzen zulässigen Zeitspanne bootet der Computer mit nur einer einfachen Befehlszeile.
Normalerweise wird das Administratorkennwort abgefragt, um zu verhindern, dass Personen mit physischem Zugriff die Kontrolle darüber erlangen. Dies kann normalerweise durch Erstellen eines neuen Benutzerkontos und Hinzufügen dieses Kontos als Mitglied der Administratorengruppe erfolgen. Diese Regel prüft, ob es GPOs gibt, die diese Passwortabfrage deaktivieren.

Advised Solution:

Suchen Sie das in Details angegebene Gruppenrichtlinienobjekt und deaktivieren Sie die Einstellung „Wiederherstellungskonsole: Automatische Administratoranmeldung zulassen“.
Die Einstellung befindet sich in:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen.
Alternativ kann die Datei GptTmpl.inf manuell bearbeitet werden.

Title:

Asegúrese de que la característica de "inicio de sesión administrativo automático" del modo de recuperación no esté habilitada

Description:

El objetivo es comprobar que no es posible entrar en modo de recuperación sin la contraseña de administrador

Technical Explanation:

El modo de recuperación es un modo especial que permite a un administrador solucionar un problema que impide que la computadora arranque. Al presionar F8 en el breve lapso de tiempo permitido, la computadora se inicia con solo una línea de comando simple.
Por lo general, se solicita la contraseña de administrador para evitar que las personas que tienen acceso físico obtengan el control de la misma. Por lo general, se puede hacer creando una nueva cuenta de usuario y agregando esta cuenta como miembro del grupo de administradores. Esta regla verifica si hay GPO que deshabilitan esta solicitud de contraseña.

Advised Solution:

Localice el GPO especificado en Detalles y desactive la configuración "Consola de recuperación: Permitir el inicio de sesión administrativo automático"
El ajuste se encuentra en:
Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad.
Como alternativa, el archivo GptTmpl.inf se puede editar manualmente.

Introduced in:

2.7.0.0

Points:

15 points if present

Documentation:

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/recovery-console-allow-automatic-administrative-logon
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[US]STIG V-1159 - The Recovery Console option is set to permit automatic logon to the system.

Admin control

It is important to know how much administrators are in place and to track the use of emergency accounts

Title (fr-FR): Admin control

Description (fr-FR): Il est important de savoir combien d'administrateurs sont en place et de suivre l'utilisation des comptes d'urgence

Title (de-DE): Admin control

Description (de-DE): Es ist wichtig zu wissen, wie viele Administratoren vorhanden sind, und die Verwendung von Notfallkonten zu verfolgen

Title (es-ES): Admin control

Description (es-ES): Es importante saber cuántos administradores hay y realizar un seguimiento del uso de las cuentas de emergencia.

Check for inactive administrator accounts

Rule ID:

P-Inactive

Description:

The purpose is to ensure that all Administrator Accounts in the AD are necessary and used

Technical Explanation:

Accounts within the AD have attributes indicating the creation date of the account and the last login of this account. Accounts which haven't have a login since 6 months or created more than 6 months ago without any login are considered inactive. If an Administrator Account is set as inactive, the reason for having Administrator rights should be strongly justified.

Advised Solution:

To correct the situation, you should make sure that all your Administrator Account(s) are "Active", meaning that you should remove Administrator rights if an account is set as not "Active"

Title:

Vérifier les comptes d'administrateur inactifs

Description:

Le but est de s'assurer que tous les comptes administrateur dans l'AD sont nécessaires et utilisés

Technical Explanation:

Les comptes au sein de l'AD ont des attributs indiquant la date de création du compte et la dernière connexion de ce compte. Les comptes qui n'ont pas de connexion depuis 6 mois ou créés il y a plus de 6 mois sans connexion sont considérés comme inactifs. Si un compte administrateur est défini comme inactif, la raison des droits d'administrateur doit être fortement justifiée.

Advised Solution:

Pour corriger la situation, vous devez vous assurer que tous vos comptes administrateur sont "actifs", ce qui signifie que vous devez supprimer les droits d'administrateur si un compte n'est pas défini comme "actif".

Title:

Suchen Sie nach inaktiven Administratorkonten

Description:

Der Zweck besteht darin, sicherzustellen, dass alle Administratorkonten im AD erforderlich sind und verwendet werden

Technical Explanation:

Konten innerhalb des AD haben Attribute, die das Erstellungsdatum des Kontos und die letzte Anmeldung dieses Kontos angeben. Konten, die seit 6 Monaten keinen Login mehr haben oder die vor mehr als 6 Monaten ohne Login erstellt wurden, gelten als inaktiv. Wenn ein Administratorkonto als inaktiv festgelegt wird, sollte der Grund für das Besitzen von Administratorrechten stark begründet werden.

Advised Solution:

Um die Situation zu korrigieren, sollten Sie sicherstellen, dass alle Ihre Administratorkonten "Aktiv" sind, was bedeutet, dass Sie die Administratorrechte entfernen sollten, wenn ein Konto als nicht "Aktiv" festgelegt ist.

Title:

Comprobar cuentas de administrador inactivas

Description:

El propósito es garantizar que todas las cuentas de administrador en AD sean necesarias y utilizadas

Technical Explanation:

Las cuentas dentro del AD tienen atributos que indican la fecha de creación de la cuenta y el último inicio de sesión de esta cuenta. Las cuentas que no han iniciado sesión durante 6 meses o que se crearon hace más de 6 meses sin ningún inicio de sesión se consideran inactivas. Si una cuenta de administrador se establece como inactiva, la razón por la que tiene derechos de administrador debe estar fuertemente justificada.

Advised Solution:

Para corregir la situación, debe asegurarse de que todas sus cuentas de administrador estén "activas", lo que significa que debe eliminar los derechos de administrador si una cuenta no está configurada como "activa".

Points:

30 points if the occurence is greater than or equals than 30
then 20 points if the occurence is greater than or equals than 15

Documentation:

[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R36 [subsection.3.6]
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management

Check for Native administrator usage

Rule ID:

P-AdminLogin

Description:

The purpose is to verify if the Native Administrator account is used.

Technical Explanation:

The Native Administrator account is the main administrator account, and it is sharing its password with Directory Services Restore Mode password. Since it is the same password, it can be used to take control of the domain even if the account is disabled, notably through a DCSync attack. The last login date is retrieved through the LastLogonTimestamp LDAP attribute retrieved from the Active Directory. There is an exception for 35 days to avoid this rule to be triggered at the domain creation.

Advised Solution:

To mitigate the security risk, a good practice is to use the Native Administrator account only for emergency, while the daily work is performed through other accounts.
It is indeed strongly recommended to not use this account but to use nominative account for administrators and dedicated account for services.
Do note that the anomaly will be removed 35 days after the last native administrator login.

To track where the administrator account has been used for the last time, we recommend to extract the attribute LastLogon of the administrator account on ALL domain controllers.
It can be done with tools such as ADSIEdit or ADExplorer.
Then, for each domain controller, extract the event ID 4624 at the date matching the LastLogon date. You will identify the computer and the process at the origin of the logon event.

If the LastLogon attribute is older for ALL domain controllers than the LastLogonTimestamp, the LastLogonTimestamp attribute (that PingCastle relies on) may be updated by the Kerberos S4u2Self mechanism.
This can be triggered in the Advanced Security Settings properties of any securable objects such as a file, then select the Effective Access tab and click on View effective access.
You have to use replication metadata info to find which DC updated this attribute and look for the event IDs 4769 and 4624 on this DC to know who has run this action.
Read the page referenced in the documentation section for more information.

Please note that PingCastle relies on the attribute LastLogonTimestamp to perform this check. The LastLogonTimestamp attribute is replicated but has a latency of a maximum of 14 days, while LastLogon is updated at each logon and is more accurate but not replicated.
The attribute ms-DS-Logon-Time-Sync-Interval can be used to lower or increase the replication delay.

Title:

Vérifier l'utilisation de l'administrateur natif

Description:

Le but est de vérifier si le compte Administrateur Natif est utilisé.

Technical Explanation:

Le compte administrateur natif est le compte administrateur principal et il partage son mot de passe avec le mot de passe du mode de restauration des services d'annuaire. S'agissant du même mot de passe, il peut être utilisé pour prendre le contrôle du domaine même si le compte est désactivé, notamment via une attaque DCSync. La date de la dernière connexion est récupérée via l'attribut LDAP LastLogonTimestamp récupéré à partir d'Active Directory. Il existe une exception de 35 jours pour éviter que cette règle ne se déclenche à la création du domaine.

Advised Solution:

Pour atténuer le risque de sécurité, une bonne pratique consiste à utiliser le compte Administrateur natif uniquement en cas d'urgence, tandis que le travail quotidien est effectué via d'autres comptes.
Il est en effet fortement recommandé de ne pas utiliser ce compte mais d'utiliser un compte nominatif pour les administrateurs et un compte dédié pour les services.
Notez que l'anomalie sera supprimée 35 jours après la dernière connexion de l'administrateur natif.

Pour savoir où le compte administrateur a été utilisé pour la dernière fois, nous vous recommandons d'extraire l'attribut LastLogon du compte administrateur sur TOUS les contrôleurs de domaine.
Cela peut être fait avec des outils tels que ADSIEdit ou ADExplorer.
Ensuite, pour chaque contrôleur de domaine, extrayez l'ID d'événement 4624 à la date correspondant à la date de dernière connexion. Vous identifierez l'ordinateur et le processus à l'origine de l'événement de connexion.

Si l'attribut LastLogon est plus ancien pour TOUS les contrôleurs de domaine que LastLogonTimestamp, l'attribut LastLogonTimestamp (sur lequel PingCastle s'appuie) peut être mis à jour par le mécanisme Kerberos S4u2Self.
Cela peut être déclenché dans les propriétés des paramètres de sécurité avancés de tout objet sécurisable tel qu'un fichier, puis sélectionnez l'onglet Accès effectif et cliquez sur Afficher l'accès effectif.
Vous devez utiliser les informations de métadonnées de réplication pour trouver quel DC a mis à jour cet attribut et rechercher les ID d'événement 4769 et 4624 sur ce DC pour savoir qui a exécuté cette action.
Lisez la page référencée dans la section documentation pour plus d'informations.

Veuillez noter que PingCastle s'appuie sur l'attribut LastLogonTimestamp pour effectuer cette vérification. L'attribut LastLogonTimestamp est répliqué mais a une latence de 14 jours maximum, tandis que LastLogon est mis à jour à chaque connexion et est plus précis mais non répliqué.
L'attribut ms-DS-Logon-Time-Sync-Interval peut être utilisé pour réduire ou augmenter le délai de réplication.

Title:

Überprüfen Sie die Verwendung des nativen Administrators

Description:

Der Zweck besteht darin, zu überprüfen, ob das native Administratorkonto verwendet wird.

Technical Explanation:

Das native Administratorkonto ist das Hauptadministratorkonto und teilt sein Kennwort mit dem Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus. Da es sich um dasselbe Passwort handelt, kann es verwendet werden, um die Kontrolle über die Domäne zu übernehmen, selbst wenn das Konto deaktiviert ist, insbesondere durch einen DCSync-Angriff. Das Datum der letzten Anmeldung wird über das LDAP-Attribut LastLogonTimestamp abgerufen, das aus dem Active Directory abgerufen wird. Es gibt eine Ausnahme für 35 Tage, um zu verhindern, dass diese Regel bei der Domain-Erstellung ausgelöst wird.

Advised Solution:

Um das Sicherheitsrisiko zu mindern, empfiehlt es sich, das Native Administrator-Konto nur für Notfälle zu verwenden, während die tägliche Arbeit über andere Konten ausgeführt wird.
Es wird in der Tat dringend empfohlen, dieses Konto nicht zu verwenden, sondern ein nominatives Konto für Administratoren und ein dediziertes Konto für Dienste zu verwenden.
Beachten Sie, dass die Anomalie 35 Tage nach der letzten nativen Administratoranmeldung entfernt wird.

Um nachzuvollziehen, wo das Administratorkonto zuletzt verwendet wurde, empfehlen wir, das Attribut LastLogon des Administratorkontos auf ALLEN Domänencontrollern zu extrahieren.
Dies kann mit Tools wie ADSIEdit oder ADExplorer erfolgen.
Extrahieren Sie dann für jeden Domänencontroller die Ereignis-ID 4624 an dem Datum, das dem Datum der letzten Anmeldung entspricht. Sie identifizieren den Computer und den Prozess am Ursprung des Anmeldeereignisses.

Wenn das LastLogon-Attribut für ALLE Domänencontroller älter ist als der LastLogonTimestamp, wird das LastLogonTimestamp-Attribut (auf das sich PingCastle stützt) möglicherweise durch den Kerberos-S4u2Self-Mechanismus aktualisiert.
Dies kann in den Eigenschaften der erweiterten Sicherheitseinstellungen jedes sicherungsfähigen Objekts wie einer Datei ausgelöst werden, wählen Sie dann die Registerkarte Effektiver Zugriff und klicken Sie auf Effektiven Zugriff anzeigen.
Sie müssen die Replikationsmetadateninformationen verwenden, um herauszufinden, welcher DC dieses Attribut aktualisiert hat, und nach den Ereignis-IDs 4769 und 4624 auf diesem DC suchen, um zu erfahren, wer diese Aktion ausgeführt hat.
Lesen Sie die Seite, auf die im Dokumentationsabschnitt verwiesen wird, um weitere Informationen zu erhalten.

Bitte beachten Sie, dass PingCastle sich auf das Attribut LastLogonTimestamp stützt, um diese Prüfung durchzuführen. Das LastLogonTimestamp-Attribut wird repliziert, hat aber eine Latenz von maximal 14 Tagen, während LastLogon bei jeder Anmeldung aktualisiert wird und genauer ist, aber nicht repliziert wird.
Das Attribut ms-DS-Logon-Time-Sync-Interval kann verwendet werden, um die Replikationsverzögerung zu verringern oder zu erhöhen.

Title:

Comprobar el uso del administrador nativo

Description:

El propósito es verificar si se utiliza la cuenta de administrador nativo.

Technical Explanation:

La cuenta de administrador nativo es la cuenta de administrador principal y comparte su contraseña con la contraseña del modo de restauración de servicios de directorio. Dado que es la misma contraseña, se puede usar para tomar el control del dominio incluso si la cuenta está deshabilitada, especialmente a través de un ataque DCSync. La última fecha de inicio de sesión se recupera a través del atributo LDAP LastLogonTimestamp obtenido de Active Directory. Hay una excepción de 35 días para evitar que esta regla se active en la creación del dominio.

Advised Solution:

Para mitigar el riesgo de seguridad, una buena práctica es usar la cuenta de administrador nativo solo para emergencias, mientras que el trabajo diario se realiza a través de otras cuentas.
De hecho, se recomienda encarecidamente no utilizar esta cuenta, sino utilizar una cuenta nominativa para administradores y una cuenta dedicada para servicios.
Tenga en cuenta que la anomalía se eliminará 35 días después del último inicio de sesión del administrador nativo.

Para rastrear dónde se usó la cuenta de administrador por última vez, recomendamos extraer el atributo LastLogon de la cuenta de administrador en TODOS los controladores de dominio.
Se puede hacer con herramientas como ADSIEdit o ADExplorer.
Luego, para cada controlador de dominio, extraiga el ID de evento 4624 en la fecha que coincida con la fecha de Último inicio de sesión. Identificará la computadora y el proceso en el origen del evento de inicio de sesión.

Si el atributo LastLogon es más antiguo para TODOS los controladores de dominio que LastLogonTimestamp, el mecanismo Kerberos S4u2Self puede actualizar el atributo LastLogonTimestamp (en el que se basa PingCastle).
Esto se puede activar en las propiedades de Configuración de seguridad avanzada de cualquier objeto asegurable, como un archivo, luego seleccione la pestaña Acceso efectivo y haga clic en Ver acceso efectivo.
Debe usar la información de metadatos de replicación para encontrar qué DC actualizó este atributo y buscar los ID de evento 4769 y 4624 en este DC para saber quién ejecutó esta acción.
Lea la página a la que se hace referencia en la sección de documentación para obtener más información.

Tenga en cuenta que PingCastle se basa en el atributo LastLogonTimestamp para realizar esta comprobación. El atributo LastLogonTimestamp se replica pero tiene una latencia de un máximo de 14 días, mientras que LastLogon se actualiza en cada inicio de sesión y es más preciso pero no se replica.
El atributo ms-DS-Logon-Time-Sync-Interval se puede usar para disminuir o aumentar el retraso de replicación.

Points:

20 points if the occurence is strictly lower than 35

Documentation:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ba-p/257135
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management

Check for number of Administrator accounts above the baseline

Rule ID:

P-AdminNum

Description:

The purpose is to verify if the number of administrator accounts is not disproportionate. Very few users should have domain admin accounts.

Technical Explanation:

Every domain administrator represents a possible security breach, this is why it is strongly advised to have as few domain administrator accounts as possible

Advised Solution:

It is strongly advised to perform a review of which users have domain administrator rights, and to ensure that these rights are actually needed. Indeed, the end goal is to remove as much domain administrator as possible, as very few users actually need these high-level rights.
The rule is triggered if the number of cumulated privileged members is more than 50 accounts or if it represents more than 10 percent of the user accounts.
This rule is enabled only if the domain has more than 100 active users.

Title:

Vérifiez le nombre de comptes d'administrateur au-dessus de la ligne de base

Description:

Le but est de vérifier si le nombre de comptes administrateurs n'est pas disproportionné. Très peu d'utilisateurs devraient avoir des comptes d'administrateur de domaine.

Technical Explanation:

Chaque administrateur de domaine représente une faille de sécurité possible, c'est pourquoi il est fortement conseillé d'avoir le moins de comptes d'administrateur de domaine possible

Advised Solution:

Il est fortement conseillé de vérifier quels utilisateurs disposent de droits d'administrateur de domaine et de s'assurer que ces droits sont réellement nécessaires. En effet, l'objectif final est de supprimer autant d'administrateurs de domaine que possible, car très peu d'utilisateurs ont réellement besoin de ces droits de haut niveau.
La règle est déclenchée si le nombre de membres privilégiés cumulés est supérieur à 50 comptes ou s'il représente plus de 10 % des comptes utilisateurs.
Cette règle est activée uniquement si le domaine compte plus de 100 utilisateurs actifs.

Title:

Überprüfen Sie die Anzahl der Administratorkonten über der Baseline

Description:

Der Zweck besteht darin, zu überprüfen, ob die Anzahl der Administratorkonten nicht unverhältnismäßig ist. Nur sehr wenige Benutzer sollten Domänenadministratorkonten haben.

Technical Explanation:

Jeder Domänenadministrator stellt eine mögliche Sicherheitslücke dar, weshalb dringend empfohlen wird, so wenige Domänenadministratorkonten wie möglich zu haben

Advised Solution:

Es wird dringend empfohlen, zu überprüfen, welche Benutzer über Domänenadministratorrechte verfügen, und sicherzustellen, dass diese Rechte tatsächlich benötigt werden. Tatsächlich besteht das Endziel darin, so viele Domänenadministratoren wie möglich zu entfernen, da nur sehr wenige Benutzer diese hochrangigen Rechte tatsächlich benötigen.
Die Regel wird ausgelöst, wenn die Anzahl der kumulierten privilegierten Mitglieder mehr als 50 Konten beträgt oder wenn sie mehr als 10 Prozent der Benutzerkonten ausmacht.
Diese Regel wird nur aktiviert, wenn die Domäne mehr als 100 aktive Benutzer hat.

Title:

Verifique el número de cuentas de administrador por encima de la línea de base

Description:

El propósito es verificar si el número de cuentas de administrador no es desproporcionado. Muy pocos usuarios deberían tener cuentas de administrador de dominio.

Technical Explanation:

Cada administrador de dominio representa una posible brecha de seguridad, por lo que se recomienda encarecidamente tener la menor cantidad posible de cuentas de administrador de dominio.

Advised Solution:

Se recomienda encarecidamente realizar una revisión de qué usuarios tienen derechos de administrador de dominio y asegurarse de que estos derechos sean realmente necesarios. De hecho, el objetivo final es eliminar la mayor cantidad posible de administradores de dominio, ya que muy pocos usuarios realmente necesitan estos derechos de alto nivel.
La regla se activa si el número de miembros privilegiados acumulados es superior a 50 cuentas o si representa más del 10 por ciento de las cuentas de usuario.
Esta regla está habilitada solo si el dominio tiene más de 100 usuarios activos.

Points:

10 points if present

Documentation:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models
[FR]ANSSI - Large privileged group member count (vuln1_privileged_members)1
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R30 [subsubsection.3.5.7]
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R26 [subsection.3.5]

Check that the operator groups are empty

Rule ID:

P-OperatorsEmpty

Description:

The purpose is to ensure that the operator groups, which can have indirect control to the domain, are empty

Technical Explanation:

Operator groups (Account Operators, Server Operators, ...) can take indirect control of the domain. Indeed, these groups have write access to critical resources of the domain.

Advised Solution:

It is recommended to have these groups empty. Assign administrators into administrators group. Other accounts should have proper delegation rights in an OU or in the scope they are managing.

Title:

Vérifier que les groupes d'opérateurs sont vides

Description:

Le but est de s'assurer que les groupes d'opérateurs, qui peuvent avoir un contrôle indirect sur le domaine, sont vides

Technical Explanation:

Les groupes d'opérateurs (Opérateurs de compte, Opérateurs de serveur, ...) peuvent prendre le contrôle indirect du domaine. En effet, ces groupes ont un accès en écriture aux ressources critiques du domaine.

Advised Solution:

Il est recommandé de laisser ces groupes vides. Attribuez des administrateurs au groupe d'administrateurs. Les autres comptes doivent disposer des droits de délégation appropriés dans une unité d'organisation ou dans l'étendue qu'ils gèrent.

Title:

Überprüfen Sie, ob die Bedienergruppen leer sind

Description:

Der Zweck besteht darin, sicherzustellen, dass die Operatorgruppen, die eine indirekte Kontrolle über die Domäne haben können, leer sind

Technical Explanation:

Operator-Gruppen (Konto-Operatoren, Server-Operatoren, ...) können indirekt die Kontrolle über die Domäne übernehmen. Tatsächlich haben diese Gruppen Schreibzugriff auf kritische Ressourcen der Domäne.

Advised Solution:

Es wird empfohlen, diese Gruppen leer zu lassen. Weisen Sie Administratoren der Administratorengruppe zu. Andere Konten sollten über angemessene Delegierungsrechte in einer Organisationseinheit oder in dem von ihnen verwalteten Bereich verfügen.

Title:

Verifique que los grupos de operadores estén vacíos

Description:

El propósito es garantizar que los grupos de operadores, que pueden tener control indirecto sobre el dominio, estén vacíos.

Technical Explanation:

Los grupos de operadores (Operadores de cuentas, Operadores de servidores, ...) pueden tomar el control indirecto del dominio. De hecho, estos grupos tienen acceso de escritura a los recursos críticos del dominio.

Advised Solution:

Se recomienda tener estos grupos vacíos. Asigne administradores al grupo de administradores. Otras cuentas deben tener los derechos de delegación adecuados en una unidad organizativa o en el ámbito que administran.

Points:

Informative rule (0 point)

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R27 [subsection.3.5]

Control paths

Permissions granted to someone can be difficult to analyze. Hackers use this fact to chain multiple permission leaks in order to gain control of the domain.

Title (fr-FR): Control paths

Description (fr-FR): Les autorisations accordées à quelqu'un peuvent être difficiles à analyser. Les pirates utilisent ce fait pour enchaîner plusieurs fuites d'autorisations afin de prendre le contrôle du domaine.

Title (de-DE): Control paths

Description (de-DE): Jemandem erteilte Berechtigungen können schwierig zu analysieren sein. Hacker nutzen diese Tatsache, um mehrere Berechtigungslecks zu verketten, um die Kontrolle über die Domain zu erlangen.

Title (es-ES): Control paths

Description (es-ES): Los permisos otorgados a alguien pueden ser difíciles de analizar. Los piratas informáticos utilizan este hecho para encadenar múltiples filtraciones de permisos para obtener el control del dominio.

Check if there is a control path involving everyone-like groups.

Rule ID:

P-ControlPathIndirectEveryone

Description:

The purpose is to ensure that there is no control path involving everyone.

Technical Explanation:

If you have access to a key server and the helpdesk can reset your password, then the helpdesk has access to the key server.
This is the kind of logic used by hackers to take control of the domain using key infrastructure objects (domain root, ...) or groups (domain administrators, ...).
Permissions are collected and analyzed to produce a control paths analysis.
Only write permissions (and specific ones) are used for this analysis.
Then the program identifies which users or computers, that are not members of known groups, can take control of this object.
To be fast, some tradeoffs have been selected. For example, logged on users on servers are ignored.
The program may also select paths which are not exploitable and ignore paths if it cannot read every permissions.
[Everyone] includes the user groups Anonymous, Everyone, Authenticated Users, Domain Users, Domain Computers and Builtin.

Advised Solution:

You should analyze the chart and determine which underlying object is involved and grants write permissions to everyone.
Then edit the permissions and locate the write permission involved.
Then delete it or replace it according to your delegation model.

Title:

Vérifiez s'il existe un chemin de contrôle impliquant des groupes similaires à tout le monde.

Description:

Le but est de s'assurer qu'il n'y a pas de chemin de contrôle impliquant tout le monde.

Technical Explanation:

Si vous avez accès à un serveur de clés et que le service d'assistance peut réinitialiser votre mot de passe, le service d'assistance a accès au serveur de clés.
C'est le genre de logique utilisée par les pirates pour prendre le contrôle du domaine à l'aide d'objets d'infrastructure clés (racine de domaine, ...) ou de groupes (administrateurs de domaine, ...).
Les autorisations sont collectées et analysées pour produire une analyse des chemins de contrôle.
Seules les autorisations d'écriture (et spécifiques) sont utilisées pour cette analyse.
Ensuite, le programme identifie quels utilisateurs ou ordinateurs, qui ne sont pas membres de groupes connus, peuvent prendre le contrôle de cet objet.
Pour être rapide, quelques compromis ont été sélectionnés. Par exemple, les utilisateurs connectés sur les serveurs sont ignorés.
Le programme peut également sélectionner des chemins qui ne sont pas exploitables et ignorer les chemins s'il ne peut pas lire toutes les permissions.
[Tout le monde] inclut les groupes d'utilisateurs Anonyme, Tout le monde, Utilisateurs authentifiés, Utilisateurs du domaine, Ordinateurs du domaine et Intégré.

Advised Solution:

Vous devez analyser le graphique et déterminer quel objet sous-jacent est impliqué et accorder des autorisations d'écriture à tout le monde.
Modifiez ensuite les autorisations et localisez l'autorisation d'écriture impliquée.
Puis supprimez-le ou remplacez-le selon votre modèle de délégation.

Title:

Überprüfen Sie, ob es einen Kontrollpfad gibt, an dem alle-ähnliche Gruppen beteiligt sind.

Description:

Damit soll sichergestellt werden, dass es keinen Kontrollweg gibt, an dem alle beteiligt sind.

Technical Explanation:

Wenn Sie Zugriff auf einen Schlüsselserver haben und der Helpdesk Ihr Kennwort zurücksetzen kann, hat der Helpdesk Zugriff auf den Schlüsselserver.
Dies ist die Art von Logik, die von Hackern verwendet wird, um die Kontrolle über die Domäne mithilfe von Schlüsselinfrastrukturobjekten (Domänenstamm, ...) oder Gruppen (Domänenadministratoren, ...) zu übernehmen.
Berechtigungen werden gesammelt und analysiert, um eine Kontrollpfadanalyse zu erstellen.
Für diese Analyse werden nur Schreibberechtigungen (und spezifische) verwendet.
Dann identifiziert das Programm, welche Benutzer oder Computer, die nicht Mitglieder bekannter Gruppen sind, die Kontrolle über dieses Objekt übernehmen können.
Um schnell zu sein, wurden einige Kompromisse ausgewählt. Beispielsweise werden angemeldete Benutzer auf Servern ignoriert.
Das Programm kann auch Pfade auswählen, die nicht ausgenutzt werden können, und Pfade ignorieren, wenn es nicht alle Berechtigungen lesen kann.
[Jeder] umfasst die Benutzergruppen Anonym, Jeder, Authentifizierte Benutzer, Domänenbenutzer, Domänencomputer und Eingebaut.

Advised Solution:

Sie sollten das Diagramm analysieren und feststellen, welches zugrunde liegende Objekt beteiligt ist und allen Schreibberechtigungen erteilt.
Bearbeiten Sie dann die Berechtigungen und suchen Sie die betreffende Schreibberechtigung.
Löschen Sie es dann oder ersetzen Sie es gemäß Ihrem Delegierungsmodell.

Title:

Verifique si hay una ruta de control que involucre a grupos similares a todos.

Description:

El propósito es asegurar que no haya un camino de control que involucre a todos.

Technical Explanation:

Si tiene acceso a un servidor de claves y el servicio de asistencia puede restablecer su contraseña, entonces el servicio de asistencia tiene acceso al servidor de claves.
Este es el tipo de lógica utilizada por los piratas informáticos para tomar el control del dominio utilizando objetos de infraestructura clave (raíz del dominio,...) o grupos (administradores del dominio,...).
Los permisos se recopilan y analizan para producir un análisis de rutas de control.
Solo se utilizan permisos de escritura (y permisos específicos) para este análisis.
Luego, el programa identifica qué usuarios o computadoras, que no son miembros de grupos conocidos, pueden tomar el control de este objeto.
Para ser rápido, se han seleccionado algunas compensaciones. Por ejemplo, los usuarios registrados en los servidores se ignoran.
El programa también puede seleccionar rutas que no son explotables e ignorar rutas si no puede leer todos los permisos.
[Todos] incluye los grupos de usuarios Anónimo, Todos, Usuarios autenticados, Usuarios de dominio, Equipos de dominio e Integrado.

Advised Solution:

Debe analizar el gráfico y determinar qué objeto subyacente está involucrado y otorga permisos de escritura a todos.
Luego edite los permisos y localice el permiso de escritura involucrado.
Luego elimínelo o reemplácelo según su modelo de delegación.

Introduced in:

2.8.0.0

Points:

25 points if present

Documentation:

https://github.com/BloodHoundAD/BloodHound
https://github.com/ANSSI-FR/AD-control-paths
[MITRE]T1069.002 Permission Groups Discovery: Domain Groups

Check if there is a control path involving too many users or computers.

Rule ID:

P-ControlPathIndirectMany

Description:

The purpose is to check if users can abuse their write access to obtain additional privileges.

Technical Explanation:

Advised Solution:

You should analyze the chart and determine which underlying object is involved and grants too much write permissions.
Then edit the permissions and locate the write permission involved.
Then delete it or replace it according to your delegation model.

Title:

Vérifiez s'il existe un chemin de contrôle impliquant trop d'utilisateurs ou d'ordinateurs.

Description:

Le but est de vérifier si les utilisateurs peuvent abuser de leur accès en écriture pour obtenir des privilèges supplémentaires.

Technical Explanation:

Advised Solution:

Vous devez analyser le graphique et déterminer quel objet sous-jacent est impliqué et accorde trop d'autorisations d'écriture.
Modifiez ensuite les autorisations et localisez l'autorisation d'écriture impliquée.
Puis supprimez-le ou remplacez-le selon votre modèle de délégation.

Title:

Überprüfen Sie, ob es einen Kontrollpfad gibt, an dem zu viele Benutzer oder Computer beteiligt sind.

Description:

Der Zweck besteht darin, zu prüfen, ob Benutzer ihren Schreibzugriff missbrauchen können, um zusätzliche Berechtigungen zu erhalten.

Technical Explanation:

Advised Solution:

Sie sollten das Diagramm analysieren und feststellen, welches zugrunde liegende Objekt beteiligt ist und zu viele Schreibrechte erteilt.
Bearbeiten Sie dann die Berechtigungen und suchen Sie die betreffende Schreibberechtigung.
Löschen Sie es dann oder ersetzen Sie es gemäß Ihrem Delegierungsmodell.

Title:

Verifique si hay una ruta de control que involucre demasiados usuarios o computadoras.

Description:

El propósito es verificar si los usuarios pueden abusar de su acceso de escritura para obtener privilegios adicionales.

Technical Explanation:

Advised Solution:

Debe analizar el gráfico y determinar qué objeto subyacente está involucrado y otorga demasiados permisos de escritura.
Luego edite los permisos y localice el permiso de escritura involucrado.
Luego elimínelo o reemplácelo según su modelo de delegación.

Introduced in:

2.8.0.0

Points:

25 points if the occurence is greater than or equals than 200
then 15 points if the occurence is greater than or equals than 100
then 10 points if the occurence is greater than or equals than 50
then 5 points if the occurence is greater than or equals than 20

Documentation:

https://github.com/BloodHoundAD/BloodHound
https://github.com/ANSSI-FR/AD-control-paths
[MITRE]T1069.002 Permission Groups Discovery: Domain Groups

Delegation Check

Delegations are very complex to understand and may grant more privileges than initially thought.

Title (fr-FR): Delegation Check

Description (fr-FR): Les délégations sont très complexes à comprendre et peuvent accorder plus de privilèges qu'on ne le pensait initialement.

Title (de-DE): Delegation Check

Description (de-DE): Delegationen sind sehr komplex zu verstehen und können mehr Privilegien gewähren als ursprünglich angenommen.

Title (es-ES): Delegation Check

Description (es-ES): Las delegaciones son muy complejas de entender y pueden otorgar más privilegios de los que inicialmente se pensaba.

A Delegation is granted to Everyone

Rule ID:

P-DelegationEveryone

Description:

The purpose is to verify that there is no delegation granted to "Everyone" or to "Authenticated Users"

Technical Explanation:

To delegate control to a OU, access checks can be modified. In case of a misconfiguration, access can be granted to the group "Everyone" or "Authenticated Users".

Advised Solution:

Review the delegation to remove this permission and if needed, set a more targeted group as recipient of the delegation.

Title:

Une délégation est accordée à tout le monde

Description:

Le but est de vérifier qu'il n'y a pas de délégation accordée à "Tous" ou à des "Utilisateurs Authentifiés"

Technical Explanation:

Pour déléguer le contrôle à une unité d'organisation, les contrôles d'accès peuvent être modifiés. En cas de mauvaise configuration, l'accès peut être accordé au groupe "Tout le monde" ou "Utilisateurs authentifiés".

Advised Solution:

Examinez la délégation pour supprimer cette autorisation et, si nécessaire, définissez un groupe plus ciblé comme destinataire de la délégation.

Title:

Jedem wird eine Delegation gewährt

Description:

Der Zweck besteht darin, zu überprüfen, ob "Jeder" oder "Authentifizierten Benutzern" keine Delegierung gewährt wurde.

Technical Explanation:

Um die Kontrolle an eine Organisationseinheit zu delegieren, können Zugriffsprüfungen geändert werden. Bei einer Fehlkonfiguration kann der Zugriff der Gruppe „Jeder“ oder „Authentifizierte Benutzer“ gewährt werden.

Advised Solution:

Überprüfen Sie die Delegierung, um diese Berechtigung zu entfernen, und legen Sie bei Bedarf eine gezieltere Gruppe als Empfänger der Delegierung fest.

Title:

Se otorga una Delegación a Todos

Description:

El propósito es verificar que no haya una delegación otorgada a "Todos" o a "Usuarios autenticados"

Technical Explanation:

Para delegar el control a una unidad organizativa, se pueden modificar las comprobaciones de acceso. En caso de una configuración incorrecta, se puede otorgar acceso al grupo "Todos" o "Usuarios autenticados".

Advised Solution:

Revise la delegación para eliminar este permiso y, si es necesario, establezca un grupo más específico como destinatario de la delegación.

Points:

15 points per discovery

Documentation:

[US]STIG V-2370 - The access control permissions for the directory service site group policy must be configured to use the required access permissions.
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[MITRE]T1187 Forced Authentication
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]

Check delegations for the recipient's existence

Rule ID:

P-UnkownDelegation

Description:

The purpose is to verify that each delegation is linked to an account which exists

Technical Explanation:

In the case where a delegation has been created, where the account can't be translated to a NT account, it means that the delegation is actually from another domain or that the user has been deleted.

Advised Solution:

To reduce the risk, the easiest way is essentially to remove the delegation

Title:

Vérifier les délégations pour l'existence du destinataire

Description:

Le but est de vérifier que chaque délégation est liée à un compte qui existe

Technical Explanation:

Dans le cas où une délégation a été créée, où le compte ne peut pas être traduit en compte NT, cela signifie que la délégation provient en fait d'un autre domaine ou que l'utilisateur a été supprimé.

Advised Solution:

Pour réduire le risque, le plus simple est essentiellement de supprimer la délégation

Title:

Prüfen Sie Delegationen auf die Existenz des Empfängers

Description:

Der Zweck besteht darin, zu überprüfen, ob jede Delegierung mit einem bestehenden Konto verknüpft ist

Technical Explanation:

Falls eine Delegierung erstellt wurde und das Konto nicht in ein NT-Konto übersetzt werden kann, bedeutet dies, dass die Delegierung tatsächlich von einer anderen Domäne stammt oder dass der Benutzer gelöscht wurde.

Advised Solution:

Um das Risiko zu verringern, besteht die einfachste Möglichkeit im Wesentlichen darin, die Delegation zu entfernen

Title:

Consultar delegaciones para la existencia del destinatario

Description:

El objetivo es verificar que cada delegación está vinculada a una cuenta que existe

Technical Explanation:

En el caso de que se haya creado una delegación, donde la cuenta no se puede traducir a una cuenta NT, significa que la delegación es en realidad de otro dominio o que el usuario ha sido eliminado.

Advised Solution:

Para reducir el riesgo, la forma más fácil es esencialmente eliminar la delegación

Points:

15 points if present

Documentation:

[MITRE]T1187 Forced Authentication
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[US]STIG V-2370 - The access control permissions for the directory service site group policy must be configured to use the required access permissions.

Check if all DC have no constrained delegation with protocol transition.

Rule ID:

P-DelegationDCt2a4d

Description:

The purpose is to ensure that no constrained delegations with protocol transition are applied to DC

Technical Explanation:

A constrained delegation with protocol transition is a delegation with some limitation.
In this case, it is a limitation of the technical service a delegate can call (SPN).
But in practice, the specific service name is not checked and the delegate can impersonate anyone on all services of a computer.
For the case of a domain controller, that means that the delegate can take the control of the domain by impersonating a domain admin and doing modifications with the LDAP service.
This delegation is set via the attribute msDS-AllowedToDelegateTo.
The protocol transition is a special feature set in the userAccountControl which does not limit the delegation to the Kerberos protocol.
Note: this rule is a companion of the rule P-DelegationDCa2d2

Advised Solution:

You should edit the msDS-AllowedToDelegateTo attribute of the accounts listed below to remove the SPN of the domain controllers involved.

Title:

Vérifiez si tous les contrôleurs de domaine n'ont pas de délégation contrainte avec transition de protocole.

Description:

Le but est de s'assurer qu'aucune délégation contrainte avec transition de protocole n'est appliquée à DC

Technical Explanation:

Une délégation contrainte avec transition de protocole est une délégation avec certaines limitations.
Dans ce cas, il s'agit d'une limitation du service technique qu'un délégué peut appeler (SPN).
Mais en pratique, le nom de service spécifique n'est pas vérifié et le délégué peut se faire passer pour n'importe qui sur tous les services d'un ordinateur.
Dans le cas d'un contrôleur de domaine, cela signifie que le délégué peut prendre le contrôle du domaine en se faisant passer pour un administrateur de domaine et en effectuant des modifications avec le service LDAP.
Cette délégation est définie via l'attribut msDS-AllowedToDelegateTo.
La transition de protocole est une fonctionnalité spéciale définie dans userAccountControl qui ne limite pas la délégation au protocole Kerberos.
Remarque : cette règle est un compagnon de la règle P-DelegationDCa2d2

Advised Solution:

Vous devez modifier l'attribut msDS-AllowedToDelegateTo des comptes répertoriés ci-dessous pour supprimer le SPN des contrôleurs de domaine concernés.

Title:

Überprüfen Sie, ob alle DC keine eingeschränkte Delegierung mit Protokollübergang haben.

Description:

Der Zweck besteht darin, sicherzustellen, dass keine eingeschränkten Delegierungen mit Protokollübergang auf DC angewendet werden

Technical Explanation:

Eine eingeschränkte Delegierung mit Protokollübergang ist eine Delegierung mit einigen Einschränkungen.
In diesem Fall handelt es sich um eine Einschränkung des technischen Dienstes, den ein Delegierter anrufen kann (SPN).
In der Praxis wird der spezifische Dienstname jedoch nicht überprüft, und der Delegierte kann sich bei allen Diensten eines Computers als jedermann ausgeben.
Im Fall eines Domänencontrollers bedeutet dies, dass der Delegierte die Kontrolle über die Domäne übernehmen kann, indem er sich als Domänenadministrator ausgibt und Änderungen mit dem LDAP-Dienst vornimmt.
Diese Delegierung wird über das Attribut msDS-AllowedToDelegateTo gesetzt.
Der Protokollübergang ist ein spezielles Feature-Set im userAccountControl, das die Delegation auf das Kerberos-Protokoll nicht einschränkt.
Hinweis: Diese Regel ist ein Begleiter der Regel P-DelegationDCa2d2

Advised Solution:

Sie sollten das msDS-AllowedToDelegateTo-Attribut der unten aufgeführten Konten bearbeiten, um den SPN der beteiligten Domänencontroller zu entfernen.

Title:

Compruebe si todos los DC no tienen delegación restringida con transición de protocolo.

Description:

El propósito es garantizar que no se apliquen delegaciones restringidas con transición de protocolo a DC

Technical Explanation:

Una delegación restringida con transición de protocolo es una delegación con alguna limitación.
En este caso se trata de una limitación del servicio técnico al que puede llamar un delegado (SPN).
Pero en la práctica, el nombre del servicio específico no se verifica y el delegado puede hacerse pasar por cualquiera en todos los servicios de una computadora.
Para el caso de un controlador de dominio, eso significa que el delegado puede tomar el control del dominio haciéndose pasar por un administrador de dominio y haciendo modificaciones con el servicio LDAP.
Esta delegación se establece a través del atributo msDS-AllowedToDelegateTo.
La transición de protocolo es una función especial establecida en userAccountControl que no limita la delegación al protocolo Kerberos.
Nota: esta regla es complementaria de la regla P-DelegationDCa2d2

Advised Solution:

Debe editar el atributo msDS-AllowedToDelegateTo de las cuentas que se enumeran a continuación para eliminar el SPN de los controladores de dominio involucrados.

Introduced in:

2.9.0.0

Points:

25 points per discovery

Documentation:

[MITRE]T1187 Forced Authentication
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Constrained delegation with protocol transition to a domain controller service (vuln1_delegation_t2a4d)1

Check if all DC have no constrained delegation.

Rule ID:

P-DelegationDCa2d2

Description:

The purpose is to ensure that no constrained delegations are applied to DC

Technical Explanation:

A constrained delegation is a delegation with some limitation.
In this case, it is a limitation of the technical service a delegate can call (SPN).
But in practice, the specific service name is not checked and the delegate can impersonate anyone on all services of a computer.
For the case of a domain controller, that means that the delegate can take the control of the domain by impersonating a domain admin and doing modifications with the LDAP service.
This delegation is set via the attribute msDS-AllowedToDelegateTo and is limited to Kerberos
Note: this rule is a companion of the rule P-DelegationDCt2a4d

Advised Solution:

You should edit the msDS-AllowedToDelegateTo attribute of the accounts listed below to remove the SPN of the domain controllers involved.

Title:

Vérifiez si tous les contrôleurs de domaine n'ont pas de délégation contrainte.

Description:

L'objectif est de s'assurer qu'aucune délégation contrainte n'est appliquée à DC

Technical Explanation:

Une délégation contrainte est une délégation avec une certaine limitation.
Dans ce cas, il s'agit d'une limitation du service technique qu'un délégué peut appeler (SPN).
Mais en pratique, le nom de service spécifique n'est pas vérifié et le délégué peut se faire passer pour n'importe qui sur tous les services d'un ordinateur.
Dans le cas d'un contrôleur de domaine, cela signifie que le délégué peut prendre le contrôle du domaine en se faisant passer pour un administrateur de domaine et en effectuant des modifications avec le service LDAP.
Cette délégation est définie via l'attribut msDS-AllowedToDelegateTo et est limitée à Kerberos
Remarque : cette règle est un compagnon de la règle P-DelegationDCt2a4d

Advised Solution:

Vous devez modifier l'attribut msDS-AllowedToDelegateTo des comptes répertoriés ci-dessous pour supprimer le SPN des contrôleurs de domaine concernés.

Title:

Überprüfen Sie, ob alle DC keine eingeschränkte Delegierung haben.

Description:

Der Zweck besteht darin, sicherzustellen, dass keine eingeschränkten Delegierungen auf DC angewendet werden

Technical Explanation:

Eine eingeschränkte Delegierung ist eine Delegierung mit einigen Einschränkungen.
In diesem Fall handelt es sich um eine Einschränkung des technischen Dienstes, den ein Delegierter anrufen kann (SPN).
In der Praxis wird der spezifische Dienstname jedoch nicht überprüft, und der Delegierte kann sich bei allen Diensten eines Computers als jedermann ausgeben.
Im Fall eines Domänencontrollers bedeutet dies, dass der Delegierte die Kontrolle über die Domäne übernehmen kann, indem er sich als Domänenadministrator ausgibt und Änderungen mit dem LDAP-Dienst vornimmt.
Diese Delegierung wird über das Attribut msDS-AllowedToDelegateTo gesetzt und ist auf Kerberos beschränkt
Hinweis: Diese Regel ist ein Begleiter der Regel P-DelegationDCt2a4d

Advised Solution:

Sie sollten das msDS-AllowedToDelegateTo-Attribut der unten aufgeführten Konten bearbeiten, um den SPN der beteiligten Domänencontroller zu entfernen.

Title:

Compruebe si todos los DC no tienen delegación restringida.

Description:

El propósito es garantizar que no se apliquen delegaciones restringidas a DC

Technical Explanation:

Una delegación restringida es una delegación con alguna limitación.
En este caso se trata de una limitación del servicio técnico al que puede llamar un delegado (SPN).
Pero en la práctica, el nombre del servicio específico no se verifica y el delegado puede hacerse pasar por cualquiera en todos los servicios de una computadora.
Para el caso de un controlador de dominio, eso significa que el delegado puede tomar el control del dominio haciéndose pasar por un administrador de dominio y haciendo modificaciones con el servicio LDAP.
Esta delegación se establece a través del atributo msDS-AllowedToDelegateTo y se limita a Kerberos.
Nota: esta regla es complementaria de la regla P-DelegationDCt2a4d

Advised Solution:

Debe editar el atributo msDS-AllowedToDelegateTo de las cuentas que se enumeran a continuación para eliminar el SPN de los controladores de dominio involucrados.

Introduced in:

2.9.0.0

Points:

25 points per discovery

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Constrained authentication delegation to a domain controller service (vuln1_delegation_a2d2)1
[MITRE]T1187 Forced Authentication

Check if all DC have no resource based constrained delegation.

Rule ID:

P-DelegationDCsourcedeleg

Description:

The purpose is to ensure that no resource based constrained delegations are applied to DC

Technical Explanation:

Resource based constrained delegation are a new feature of Windows Server 2012 which tries to handle the limitation of Constrained delegations.
This delegation is defined by setting the msDS-AllowedToDelegateToattribute attribute either using the GUI or a PowerShell command.

Advised Solution:

You should edit the msDS-AllowedToDelegateToattribute attribute of the domain controllers and remove the account involved.
You can do this with the PowerShell command:
Set-ADComputer COMPUTER -PrincipalsAllowedToDelegateToAccount $Null

Title:

Vérifiez si tous les contrôleurs de domaine n'ont pas de délégation contrainte basée sur les ressources.

Description:

L'objectif est de s'assurer qu'aucune délégation contrainte basée sur les ressources n'est appliquée au DC

Technical Explanation:

La délégation contrainte basée sur les ressources est une nouvelle fonctionnalité de Windows Server 2012 qui tente de gérer la limitation des délégations contraintes.
Cette délégation est définie en définissant l'attribut msDS-AllowedToDelegateTo à l'aide de l'interface graphique ou d'une commande PowerShell.

Advised Solution:

Vous devez modifier l'attribut msDS-AllowedToDelegateTo des contrôleurs de domaine et supprimer le compte concerné.
Vous pouvez le faire avec la commande PowerShell :
Set-ADComputer COMPUTER -PrincipalsAllowedToDelegateToAccount $Null

Title:

Überprüfen Sie, ob alle DC keine ressourcenbasierte eingeschränkte Delegierung haben.

Description:

Der Zweck besteht darin, sicherzustellen, dass keine ressourcenbasierten eingeschränkten Delegierungen auf DC angewendet werden

Technical Explanation:

Die ressourcenbasierte eingeschränkte Delegierung ist ein neues Feature von Windows Server 2012, das versucht, die Einschränkung der eingeschränkten Delegierungen zu handhaben.
Diese Delegierung wird definiert, indem das Attribut msDS-AllowedToDelegateToattribute entweder über die GUI oder einen PowerShell-Befehl festgelegt wird.

Advised Solution:

Sie sollten das Attribut msDS-AllowedToDelegateToattribute der Domänencontroller bearbeiten und das betroffene Konto entfernen.
Sie können dies mit dem PowerShell-Befehl tun:
Set-ADComputer COMPUTER -PrincipalsAllowedToDelegateToAccount $Null

Title:

Compruebe si todos los DC no tienen una delegación restringida basada en recursos.

Description:

El propósito es garantizar que no se apliquen delegaciones limitadas basadas en recursos a DC

Technical Explanation:

La delegación restringida basada en recursos es una característica nueva de Windows Server 2012 que intenta manejar la limitación de las delegaciones restringidas.
Esta delegación se define configurando el atributo msDS-AllowedToDelegateToattribute mediante la GUI o un comando de PowerShell.

Advised Solution:

Debe editar el atributo msDS-AllowedToDelegateToattribute de los controladores de dominio y eliminar la cuenta involucrada.
Puede hacer esto con el comando de PowerShell:
Conjunto-ADComputer COMPUTER -PrincipalsAllowedToDelegateToAccount $Null

Introduced in:

2.9.0.0

Points:

25 points per discovery

Documentation:

https://blog.stealthbits.com/resource-based-constrained-delegation-abuse/
[MITRE]T1187 Forced Authentication
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Resource-based constrained delegation on domain controlers (vuln1_delegation_sourcedeleg)1

Ensure that no accounts are subject to unconstrained delegation

Rule ID:

P-UnconstrainedDelegation

Description:

The purpose is to ensure that no account can impersonate any account.

Technical Explanation:

When an unconstrained delegation is configured, the Kerberos ticket TGT can be captured. This TGT grant then access to any service the user has access. If the user is an administrator or a domain controller (a connection can be forced using the spooler service), the domain can be compromised.

Advised Solution:

Replace unconstrained delegation by constrained delegation. In practice, on the account object, tab "delegation", replace "trust this computer for delegation to any service" by "trust this computer for delegation to specified services only".

Title:

S'assurer qu'aucun compte ne fait l'objet d'une délégation illimitée

Description:

Le but est de s'assurer qu'aucun compte ne peut usurper l'identité d'un compte.

Technical Explanation:

Lorsqu'une délégation sans contrainte est configurée, le TGT du ticket Kerberos peut être capturé. Ce TGT accorde alors l'accès à tout service auquel l'utilisateur a accès. Si l'utilisateur est un administrateur ou un contrôleur de domaine (une connexion peut être forcée à l'aide du service de spouleur), le domaine peut être compromis.

Advised Solution:

Remplacer délégation sans contrainte par délégation contrainte. En pratique, sur l'objet compte, onglet "délégation", remplacer "faire confiance à cet ordinateur pour la délégation à n'importe quel service" par "faire confiance à cet ordinateur pour la délégation aux services spécifiés uniquement".

Title:

Stellen Sie sicher, dass keine Konten der uneingeschränkten Delegierung unterliegen

Description:

Damit soll sichergestellt werden, dass sich kein Konto für ein anderes Konto ausgeben kann.

Technical Explanation:

Wenn eine uneingeschränkte Delegierung konfiguriert ist, kann das Kerberos-Ticket-TGT erfasst werden. Dieses TGT gewährt dann Zugriff auf jeden Dienst, auf den der Benutzer Zugriff hat. Wenn der Benutzer ein Administrator oder Domänencontroller ist (eine Verbindung kann mithilfe des Spooler-Dienstes erzwungen werden), kann die Domäne kompromittiert werden.

Advised Solution:

Ersetzen Sie uneingeschränkte Delegierung durch eingeschränkte Delegierung. In der Praxis ersetzen Sie im Kontoobjekt auf der Registerkarte „Delegation“ „diesem Computer bei der Delegierung an alle Dienste vertrauen“ durch „diesem Computer nur bei der Delegierung an bestimmte Dienste vertrauen“.

Title:

Asegúrese de que ninguna cuenta esté sujeta a delegación sin restricciones

Description:

El propósito es garantizar que ninguna cuenta pueda suplantar a otra cuenta.

Technical Explanation:

Cuando se configura una delegación sin restricciones, se puede capturar el ticket TGT de Kerberos. Esta TGT otorga entonces acceso a cualquier servicio al que tenga acceso el usuario. Si el usuario es un administrador o un controlador de dominio (se puede forzar una conexión mediante el servicio de cola de impresión), el dominio puede verse comprometido.

Advised Solution:

Reemplace la delegación sin restricciones por la delegación restringida. En la práctica, en el objeto de la cuenta, en la pestaña "delegación", reemplace "confiar en esta computadora para la delegación a cualquier servicio" por "confiar en esta computadora para la delegación solo a servicios específicos".

Introduced in:

2.6.0.0

Points:

5 points per discovery

Documentation:

https://blogs.technet.microsoft.com/389thoughts/2017/04/18/get-rid-of-accounts-that-use-kerberos-unconstrained-delegation/
https://adsecurity.org/?p=1667
[FR]ANSSI - Unconstrained authentication delegation (vuln2_delegation_t4d)2
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[MITRE]T1187 Forced Authentication
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]

Irreversible change

Most of the changes can be reversed. Some not, and it can break the domain.

Title (fr-FR): Irreversible change

Description (fr-FR): La plupart des modifications peuvent être annulées. Certains non, et cela peut casser le domaine.

Title (de-DE): Irreversible change

Description (de-DE): Die meisten Änderungen können rückgängig gemacht werden. Einige nicht, und es kann die Domäne brechen.

Title (es-ES): Irreversible change

Description (es-ES): La mayoría de los cambios se pueden revertir. Algunos no, y puede romper el dominio.

Avoid unexpected schema modifications which could result in domain rebuild

Rule ID:

P-SchemaAdmin

Description:

The purpose is to ensure that no account can make unexpected modifications to the schema

Technical Explanation:

The group "Schema Admins" is used to give permissions to alter the schema. Once a modification is performed on the schema such as new objects, it cannot be undone. This can result in a rebuild of the domain. The best practice is to have this group empty and to add an administrator when a schema update is required, then remove this group membership.

Advised Solution:

Remove the accounts or groups belonging to the "schema administrators" group.

Title:

Évitez les modifications de schéma inattendues qui pourraient entraîner la reconstruction du domaine

Description:

Le but est de s'assurer qu'aucun compte ne peut apporter de modifications inattendues au schéma

Technical Explanation:

Le groupe "Schema Admins" est utilisé pour donner les permissions de modifier le schéma. Une fois qu'une modification est effectuée sur le schéma, comme de nouveaux objets, elle ne peut pas être annulée. Cela peut entraîner une reconstruction du domaine. La meilleure pratique consiste à laisser ce groupe vide et à ajouter un administrateur lorsqu'une mise à jour du schéma est requise, puis à supprimer l'appartenance à ce groupe.

Advised Solution:

Supprimez les comptes ou groupes appartenant au groupe "administrateurs de schéma".

Title:

Vermeiden Sie unerwartete Schemaänderungen, die zu einem Neuaufbau der Domäne führen könnten

Description:

Damit soll sichergestellt werden, dass kein Konto unerwartete Änderungen am Schema vornehmen kann

Technical Explanation:

Die Gruppe "Schema Admins" wird verwendet, um Berechtigungen zum Ändern des Schemas zu erteilen. Sobald eine Änderung am Schema vorgenommen wurde, z. B. neue Objekte, kann sie nicht rückgängig gemacht werden. Dies kann zu einer Neuerstellung der Domäne führen. Die bewährte Methode besteht darin, diese Gruppe leer zu lassen und einen Administrator hinzuzufügen, wenn eine Schemaaktualisierung erforderlich ist, und dann diese Gruppenmitgliedschaft zu entfernen.

Advised Solution:

Entfernen Sie die Konten oder Gruppen, die zur Gruppe „Schemaadministratoren“ gehören.

Title:

Evite modificaciones de esquema inesperadas que podrían resultar en la reconstrucción del dominio

Description:

El propósito es garantizar que ninguna cuenta pueda realizar modificaciones inesperadas en el esquema.

Technical Explanation:

El grupo "Administradores de esquema" se utiliza para otorgar permisos para modificar el esquema. Una vez que se realiza una modificación en el esquema, como nuevos objetos, no se puede deshacer. Esto puede resultar en una reconstrucción del dominio. La mejor práctica es tener este grupo vacío y agregar un administrador cuando se requiere una actualización del esquema, luego eliminar la membresía de este grupo.

Advised Solution:

Elimina las cuentas o grupos pertenecientes al grupo "administradores de esquema".

Points:

10 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[US]STIG V-72835 - Membership to the Schema Admins group must be limited
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R13 [subsection.3.2]

Ensure that the Recycle Bin feature is enabled

Rule ID:

P-RecycleBin

Description:

The purpose is to ensure that the Recycle Bin feature is enabled

Technical Explanation:

The Recycle Bin avoids immediate deletion of objects (which can still be partially recovered by its tombstone). This lowers the administration work needed to restore. It also extends the period where traces are available when an investigation is needed.

Advised Solution:

First, be sure that the forest level is at least Windows Server 2008 R2.
You can check it with Get-ADForest or in the Domain Information section.
Then you can enable it using the PowerShell command:
Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'test.mysmartlogon.com'

Title:

Assurez-vous que la fonction Corbeille est activée

Description:

Le but est de s'assurer que la fonction Corbeille est activée

Technical Explanation:

La corbeille évite la suppression immédiate des objets (qui peuvent encore être partiellement récupérés par son tombstone). Cela réduit le travail d'administration nécessaire à la restauration. Il prolonge également la période pendant laquelle les traces sont disponibles lorsqu'une enquête est nécessaire.

Advised Solution:

Tout d'abord, assurez-vous que le niveau de la forêt est au moins Windows Server 2008 R2.
Vous pouvez le vérifier avec Get-ADForest ou dans la section Informations sur le domaine.
Ensuite, vous pouvez l'activer à l'aide de la commande PowerShell :
Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'test.mysmartlogon.com'

Title:

Stellen Sie sicher, dass die Papierkorbfunktion aktiviert ist

Description:

Der Zweck besteht darin, sicherzustellen, dass die Papierkorbfunktion aktiviert ist

Technical Explanation:

Der Papierkorb vermeidet das sofortige Löschen von Objekten (die durch seinen Tombstone noch teilweise wiederhergestellt werden können). Dies verringert den für die Wiederherstellung erforderlichen Verwaltungsaufwand. Es verlängert auch den Zeitraum, in dem Spuren verfügbar sind, wenn eine Untersuchung erforderlich ist.

Advised Solution:

Stellen Sie zunächst sicher, dass die Gesamtstrukturebene mindestens Windows Server 2008 R2 ist.
Sie können dies mit Get-ADForest oder im Abschnitt Domain-Informationen überprüfen.
Dann können Sie es mit dem PowerShell-Befehl aktivieren:
Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'test.mysmartlogon.com'

Title:

Asegúrese de que la función Papelera de reciclaje esté habilitada

Description:

El propósito es asegurarse de que la función Papelera de reciclaje esté habilitada

Technical Explanation:

La Papelera de reciclaje evita la eliminación inmediata de objetos (que aún pueden recuperarse parcialmente con su lápida). Esto reduce el trabajo de administración necesario para restaurar. También extiende el período en el que hay rastros disponibles cuando se necesita una investigación.

Advised Solution:

Primero, asegúrese de que el nivel del bosque sea al menos Windows Server 2008 R2.
Puede consultarlo con Get-ADForest o en la sección Información del dominio.
Luego puede habilitarlo usando el comando PowerShell:
Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'test.mysmartlogon.com'

Introduced in:

2.7.0.0

Points:

10 points if present

Documentation:

https://enterinit.com/powershell-enable-active-directory-recycle-bin
[MITRE]Mitre Att&ck - Mitigation - Audit

Privilege control

Privileges are granted to special groups to perform their duty. Sometimes, these privileges can be used to take control of the domain.

Title (fr-FR): Privilege control

Description (fr-FR): Des privilèges sont accordés à des groupes spéciaux pour accomplir leur devoir. Parfois, ces privilèges peuvent être utilisés pour prendre le contrôle du domaine.

Title (de-DE): Privilege control

Description (de-DE): Privilegien werden besonderen Gruppen gewährt, um ihre Pflicht zu erfüllen. Manchmal können diese Privilegien verwendet werden, um die Kontrolle über die Domäne zu übernehmen.

Title (es-ES): Privilege control

Description (es-ES): Se otorgan privilegios a grupos especiales para cumplir con su deber. A veces, estos privilegios se pueden usar para tomar el control del dominio.

Check if Service Accounts (aka accounts with never expiring password) are domain administrators

Rule ID:

P-ServiceDomainAdmin

Description:

The purpose is to check for accounts with non-expiring passwords in the "Domain Administrator" group

Technical Explanation:

PingCastle is checking accounts with never expiring password, that are mostly used as service accounts.
"Service Accounts" can imply a high security risk as their password are stored in clear text in the LSA database, which can then be easily exploited using Mimikatz or Cain&Abel for instance. In addition, their passwords don't change and can be used in Kerberoast attacks.

Advised Solution:

Accounts with never expiring passwords are mostly service accounts.
To mitigate the security risk, it is strongly advised to lower the privileges of the "Service Accounts", meaning that they should be removed from the "Domain Administrator" group, while ensuring that the password of each and every "Service Account" is longer than 20 characters

Title:

Vérifiez si les comptes de service (c'est-à-dire les comptes avec un mot de passe qui n'expire jamais) sont des administrateurs de domaine

Description:

Le but est de vérifier les comptes avec des mots de passe qui n'expirent pas dans le groupe "Domain Administrator"

Technical Explanation:

PingCastle vérifie les comptes avec un mot de passe qui n'expire jamais, qui sont principalement utilisés comme comptes de service.
Les "comptes de service" peuvent impliquer un risque de sécurité élevé car leur mot de passe est stocké en texte clair dans la base de données LSA, qui peut ensuite être facilement exploité en utilisant Mimikatz ou Cain&Abel par exemple. De plus, leurs mots de passe ne changent pas et peuvent être utilisés dans les attaques Kerberoast.

Advised Solution:

Les comptes dont les mots de passe n'expirent jamais sont principalement des comptes de service.
Pour atténuer le risque de sécurité, il est fortement conseillé de baisser les privilèges des "Comptes de service", c'est-à-dire qu'ils doivent être supprimés du groupe "Administrateur de domaine", tout en veillant à ce que le mot de passe de chaque "Compte de service" soit plus long plus de 20 caractères

Title:

Überprüfen Sie, ob Dienstkonten (auch bekannt als Konten mit nie ablaufendem Passwort) Domänenadministratoren sind

Description:

Der Zweck besteht darin, nach Konten mit nicht ablaufenden Kennwörtern in der Gruppe "Domänenadministrator" zu suchen

Technical Explanation:

PingCastle prüft Accounts mit nie ablaufendem Passwort, die meistens als Dienstaccounts genutzt werden.
„Service Accounts“ können ein hohes Sicherheitsrisiko darstellen, da ihre Passwörter im Klartext in der LSA-Datenbank gespeichert sind, die dann beispielsweise mit Mimikatz oder Cain&Abel leicht ausgenutzt werden können. Außerdem ändern sich ihre Passwörter nicht und können für Kerberoast-Angriffe verwendet werden.

Advised Solution:

Konten mit nie ablaufenden Passwörtern sind meistens Dienstkonten.
Um das Sicherheitsrisiko zu verringern, wird dringend empfohlen, die Berechtigungen der „Dienstkonten“ zu verringern, d. h. sie aus der Gruppe „Domänenadministrator“ zu entfernen und gleichzeitig sicherzustellen, dass das Passwort jedes einzelnen „Dienstkontos“ länger ist als 20 Zeichen

Title:

Compruebe si las cuentas de servicio (también conocidas como cuentas con contraseña que nunca caduca) son administradores de dominio

Description:

El propósito es verificar cuentas con contraseñas que no caducan en el grupo "Administrador de dominio"

Technical Explanation:

PingCastle está revisando cuentas con contraseña que nunca caduca, que se utilizan principalmente como cuentas de servicio.
Las "Cuentas de servicio" pueden implicar un alto riesgo de seguridad ya que sus contraseñas se almacenan en texto claro en la base de datos de LSA, que luego se puede explotar fácilmente utilizando Mimikatz o Cain & Abel, por ejemplo. Además, sus contraseñas no cambian y pueden usarse en ataques de Kerberoast.

Advised Solution:

Las cuentas con contraseñas que nunca caducan son en su mayoría cuentas de servicio.
Para mitigar el riesgo de seguridad, se recomienda encarecidamente reducir los privilegios de las "Cuentas de servicio", lo que significa que deben eliminarse del grupo "Administrador de dominio", mientras se asegura de que la contraseña de todas y cada una de las "Cuentas de servicio" sea más larga. de 20 caracteres

Points:

15 points if the occurence is greater than or equals than 2

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[MITRE]T1003.004 OS Credential Dumping: LSA Secrets
[US]STIG V-36432 - Membership to the Domain Admins group must be restricted to accounts used only to manage the Active Directory domain and domain controllers.
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R11 [subsection.2.5]
[FR]ANSSI - Privileged accounts with never-expiring passwords (vuln1_dont_expire_priv)1

Check if there is the privilege "Access Credential Manager" has been explicitly granted to a user other than the "Winlogon service".

Rule ID:

P-TrustedCredManAccessPrivilege

Description:

The purpose is to ensure that there is no assignment of the SeTrustedCredManAccessPrivilege privilege.

Technical Explanation:

The Credential Manger is a vault where credentials are being stored.
This privilege can be used to retrieve the secret data.

A POC to exploit this privilege is available in the documents linked below.

Advised Solution:

You should edit the GPO and remove the GPO right assignment.

The setting is located in Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

Title:

Vérifiez si le privilège "Access Credential Manager" a été explicitement accordé à un utilisateur autre que le "service Winlogon".

Description:

L'objectif est de s'assurer qu'il n'y a pas d'attribution du privilège SeTrustedCredManAccessPrivilege.

Technical Explanation:

Le gestionnaire d'informations d'identification est un coffre-fort dans lequel les informations d'identification sont stockées.
Ce privilège peut être utilisé pour récupérer les données secrètes.

Un POC pour exploiter ce privilège est disponible dans les documents liés ci-dessous.

Advised Solution:

Vous devez modifier l'objet de stratégie de groupe et supprimer l'attribution des droits d'objet de stratégie de groupe.

Le paramètre se trouve dans Politique de l'ordinateur -> Configuration de l'ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits d'utilisateur.

Title:

Überprüfen Sie, ob das Privileg "Access Credential Manager" explizit einem anderen Benutzer als dem "Winlogon-Dienst" gewährt wurde.

Description:

Damit soll sichergestellt werden, dass die Berechtigung SeTrustedCredManAccessPrivilege nicht zugewiesen wird.

Technical Explanation:

Der Credential Manager ist ein Tresor, in dem Anmeldeinformationen gespeichert werden.
Dieses Privileg kann verwendet werden, um die geheimen Daten abzurufen.

Ein POC zur Nutzung dieses Privilegs ist in den unten verlinkten Dokumenten verfügbar.

Advised Solution:

Sie sollten das GPO bearbeiten und die GPO-Rechtszuweisung entfernen.

Die Einstellung befindet sich in Computerrichtlinie -> Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten.

Title:

Compruebe si se ha otorgado explícitamente el privilegio "Administrador de credenciales de acceso" a un usuario que no sea el "servicio Winlogon".

Description:

El propósito es garantizar que no haya asignación del privilegio SeTrustedCredManAccessPrivilege.

Technical Explanation:

Credential Manager es una bóveda donde se almacenan las credenciales.
Este privilegio se puede utilizar para recuperar los datos secretos.

Un POC para explotar este privilegio está disponible en los documentos vinculados a continuación.

Advised Solution:

Debe editar el GPO y eliminar la asignación de derechos de GPO.

La configuración se encuentra en Política informática -> Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Asignación de derechos de usuario.

Introduced in:

2.8.0.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-us/windows/win32/secauthn/credentials-management
https://github.com/daem0nc0re/PrivFu#privilegedoperations
https://github.com/daem0nc0re/PrivFu/blob/main/PrivilegedOperations/SeTrustedCredManAccessPrivilegePoC/SeTrustedCredManAccessPrivilegePoC.cs
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[US]STIG V-63843 - The Access Credential Manager as a trusted caller user right must not be assigned to any groups or accounts

Ensure that dangerous privileges are not granted to everyone by GPO

Rule ID:

P-PrivilegeEveryone

Description:

The purpose is to ensure that standard users are not granted dangerous privileges

Technical Explanation:

To perform special operations, the operating system relies on privileges. They can be displayed by running the command: whoami /all.
SeLoadDriverPrivilege can be used to take control of the system by loading a specifically designed driver. This procedure can be performed by low privileged users as the driver can be defined in HKCU.
SeTcbPrivilege is the privilege used to "Act on behalf the operating system". This is the privilege reserved to the SYSTEM user. This procedure allows any user to act as SYSTEM.
SeDebugPrivilege is the privilege used to debug program and to access any program's memory. It can be used to create a new process and set the parent process to a privileged one.
SeRestorePrivilege can be used to modify a service running as local system and startable by all users to a chosen one.
SeBackupPrivilege can be used to backup Windows registry and use third party tools for extracting local NTLM hashes.
SeTakeOwnershipPrivilege can be used to take ownership of any secureable object in the system including a service registry key. Then to change its ACL to define its own service running as LocalSystem.
SeCreateTokenPrivilege can be used to create a custom token with all privileges and thus be abused like SeTcbPrivilege
SeImpersonatePrivilege and SeAssignPrimaryTokenPrivilege can be abused to impersonate privileged tokens. These tokens can be retrieved by establishing security context such as Local DCOM DCE/RPC reflection.
SeSecurityPrivilege can be used to clear the Windows Security Event Log and shrink it to make events flushed soon. Also read security log and view events where the user inverted the login and its password.
SeManageVolumePrivilege can be used to reset the security descriptor on the C volume and thus, change the inherited permissions to critical files

Advised Solution:

Locate the GPO specified in Details and remove the privilege.
Most of the settings are located in :
Computer configuration -> Policies -> Windows Settings ->Security Settings -> Local Policies -> User Rights Assignment.
As an alternative, the file GptTmpl.inf can be manually edited.

Title:

Assurez-vous que des privilèges dangereux ne sont pas accordés à tout le monde par GPO

Description:

Le but est de s'assurer que les utilisateurs standard ne se voient pas accorder des privilèges dangereux

Technical Explanation:

Pour effectuer des opérations spéciales, le système d'exploitation s'appuie sur des privilèges. Ils peuvent être affichés en exécutant la commande : whoami /all.
SeLoadDriverPrivilege peut être utilisé pour prendre le contrôle du système en chargeant un pilote spécialement conçu. Cette procédure peut être effectuée par des utilisateurs à faibles privilèges car le pilote peut être défini dans HKCU.
SeTcbPrivilege est le privilège utilisé pour "Agir au nom du système d'exploitation". Il s'agit du privilège réservé à l'utilisateur SYSTEM. Cette procédure permet à n'importe quel utilisateur d'agir en tant que SYSTEM.
SeDebugPrivilege est le privilège utilisé pour déboguer le programme et accéder à la mémoire de n'importe quel programme. Il peut être utilisé pour créer un nouveau processus et définir le processus parent comme un processus privilégié.
SeRestorePrivilege peut être utilisé pour modifier un service exécuté en tant que système local et démarrable par tous les utilisateurs en un service choisi.
SeBackupPrivilege peut être utilisé pour sauvegarder le registre Windows et utiliser des outils tiers pour extraire les hachages NTLM locaux.
SeTakeOwnershipPrivilege peut être utilisé pour prendre possession de tout objet sécurisable dans le système, y compris une clé de registre de service. Ensuite, modifiez son ACL pour définir son propre service exécuté en tant que LocalSystem.
SeCreateTokenPrivilege peut être utilisé pour créer un jeton personnalisé avec tous les privilèges et donc être abusé comme SeTcbPrivilege
SeImpersonatePrivilege et SeAssignPrimaryTokenPrivilege peuvent être utilisés de manière abusive pour emprunter l'identité de jetons privilégiés. Ces jetons peuvent être récupérés en établissant un contexte de sécurité tel que la réflexion DCOM DCE/RPC locale.
SeSecurityPrivilege peut être utilisé pour effacer le journal des événements de sécurité Windows et le réduire pour que les événements soient rapidement supprimés. Lisez également le journal de sécurité et affichez les événements où l'utilisateur a inversé l'identifiant et son mot de passe.
SeManageVolumePrivilege peut être utilisé pour réinitialiser le descripteur de sécurité sur le volume C et ainsi modifier les autorisations héritées sur les fichiers critiques

Advised Solution:

Localisez le GPO spécifié dans Détails et supprimez le privilège.
La plupart des paramètres se trouvent dans :
Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Attribution des droits utilisateur.
Comme alternative, le fichier GptTmpl.inf peut être édité manuellement.

Title:

Stellen Sie sicher, dass gefährliche Berechtigungen nicht jedem von GPO gewährt werden

Description:

Damit soll sichergestellt werden, dass Standardbenutzern keine gefährlichen Privilegien gewährt werden

Technical Explanation:

Um spezielle Operationen auszuführen, ist das Betriebssystem auf Privilegien angewiesen. Sie können angezeigt werden, indem Sie den folgenden Befehl ausführen: whoami /all.
SeLoadDriverPrivilege kann verwendet werden, um die Kontrolle über das System zu übernehmen, indem ein speziell entwickelter Treiber geladen wird. Dieses Verfahren kann von gering privilegierten Benutzern durchgeführt werden, da der Treiber in HKCU definiert werden kann.
SeTcbPrivilege ist das Privileg, das verwendet wird, um "im Namen des Betriebssystems zu handeln". Dies ist das Privileg, das dem SYSTEM-Benutzer vorbehalten ist. Dieses Verfahren ermöglicht es jedem Benutzer, als SYSTEM zu agieren.
SeDebugPrivilege ist das Privileg, das zum Debuggen von Programmen und zum Zugreifen auf den Speicher eines beliebigen Programms verwendet wird. Es kann verwendet werden, um einen neuen Prozess zu erstellen und den übergeordneten Prozess auf einen privilegierten Prozess zu setzen.
SeRestorePrivilege kann verwendet werden, um einen Dienst, der als lokales System läuft und von allen Benutzern gestartet werden kann, in einen ausgewählten zu ändern.
SeBackupPrivilege kann verwendet werden, um die Windows-Registrierung zu sichern und Tools von Drittanbietern zum Extrahieren lokaler NTLM-Hashes zu verwenden.
SeTakeOwnershipPrivilege kann verwendet werden, um den Besitz eines beliebigen sicherungsfähigen Objekts im System zu übernehmen, einschließlich eines Dienstregistrierungsschlüssels. Ändern Sie dann seine ACL, um einen eigenen Dienst zu definieren, der als LocalSystem ausgeführt wird.
SeCreateTokenPrivilege kann verwendet werden, um ein benutzerdefiniertes Token mit allen Privilegien zu erstellen und somit wie SeTcbPrivilege missbraucht zu werden
SeImpersonatePrivilege und SeAssignPrimaryTokenPrivilege können missbraucht werden, um privilegierte Token zu imitieren. Diese Token können abgerufen werden, indem ein Sicherheitskontext wie lokale DCOM-DCE/RPC-Reflektion eingerichtet wird.
SeSecurityPrivilege kann verwendet werden, um das Windows-Sicherheitsereignisprotokoll zu löschen und zu verkleinern, damit Ereignisse bald geleert werden. Lesen Sie auch das Sicherheitsprotokoll und zeigen Sie Ereignisse an, bei denen der Benutzer das Login und sein Passwort vertauscht hat.
SeManageVolumePrivilege kann verwendet werden, um die Sicherheitsbeschreibung auf dem C-Volume zurückzusetzen und somit die geerbten Berechtigungen für kritische Dateien zu ändern

Advised Solution:

Suchen Sie das in Details angegebene Gruppenrichtlinienobjekt und entfernen Sie die Berechtigung.
Die meisten Einstellungen befinden sich in:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten.
Alternativ kann die Datei GptTmpl.inf manuell bearbeitet werden.

Title:

Asegúrese de que GPO no otorgue privilegios peligrosos a todos

Description:

El propósito es garantizar que a los usuarios estándar no se les otorguen privilegios peligrosos.

Technical Explanation:

Para realizar operaciones especiales, el sistema operativo se basa en privilegios. Se pueden mostrar ejecutando el comando: whoami /all.
SeLoadDriverPrivilege se puede utilizar para tomar el control del sistema mediante la carga de un controlador diseñado específicamente. Este procedimiento lo pueden realizar usuarios con pocos privilegios, ya que el controlador se puede definir en HKCU.
SeTcbPrivilege es el privilegio utilizado para "actuar en nombre del sistema operativo". Este es el privilegio reservado al usuario del SISTEMA. Este procedimiento permite que cualquier usuario actúe como SISTEMA.
SeDebugPrivilege es el privilegio utilizado para depurar programas y acceder a la memoria de cualquier programa. Se puede usar para crear un nuevo proceso y configurar el proceso principal como uno privilegiado.
SeRestorePrivilege se puede utilizar para modificar un servicio que se ejecuta como sistema local y que todos los usuarios pueden iniciar a uno elegido.
SeBackupPrivilege se puede usar para hacer una copia de seguridad del registro de Windows y usar herramientas de terceros para extraer hashes NTLM locales.
SeTakeOwnershipPrivilege se puede utilizar para tomar posesión de cualquier objeto asegurable en el sistema, incluida una clave de registro de servicio. Luego, para cambiar su ACL para definir su propio servicio que se ejecuta como LocalSystem.
SeCreateTokenPrivilege se puede usar para crear un token personalizado con todos los privilegios y, por lo tanto, puede abusarse como SeTcbPrivilege
Se puede abusar de SeImpersonatePrivilege y SeAssignPrimaryTokenPrivilege para suplantar tokens privilegiados. Estos tokens se pueden recuperar estableciendo un contexto de seguridad, como la reflexión local DCOM DCE/RPC.
SeSecurityPrivilege se puede usar para borrar el registro de eventos de seguridad de Windows y reducirlo para que los eventos se eliminen pronto. También lea el registro de seguridad y vea los eventos en los que el usuario invirtió el inicio de sesión y su contraseña.
SeManageVolumePrivilege se puede usar para restablecer el descriptor de seguridad en el volumen C y, por lo tanto, cambiar los permisos heredados a archivos críticos.

Advised Solution:

Localice el GPO especificado en Detalles y elimine el privilegio.
La mayoría de los ajustes se encuentran en:
Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Asignación de derechos de usuario.
Como alternativa, el archivo GptTmpl.inf se puede editar manualmente.

Introduced in:

2.6.0.0

Points:

15 points per discovery

Documentation:

https://www.romhack.io/slides/RomHack%202018%20-%20Andrea%20Pierini%20-%20whoami%20priv%20-%20show%20me%20your%20Windows%20privileges%20and%20I%20will%20lead %20usted%20a%20SISTEMA.pdf
https://www.tarlogic.com/en/blog/abusing-seloaddriverprivilege-for-privilege-escalation/
https://github.com/decoder-it/psgetsystem
https://twitter.com/0gtweet/status/1303427935647531018?s=20
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R18 [subsubsection.3.3.2]

Read-Only Domain Controllers

Read-Only Domain Controllers are used in poor physically secured zones. An incorrect protection level can leak sensitive data.

Title (fr-FR): Read-Only Domain Controllers

Description (fr-FR): Les contrôleurs de domaine en lecture seule sont utilisés dans des zones physiquement peu sécurisées. Un niveau de protection incorrect peut entraîner la fuite de données sensibles.

Title (de-DE): Read-Only Domain Controllers

Description (de-DE): Nur-Lese-Domänencontroller werden in physisch schlecht gesicherten Zonen verwendet. Eine falsche Schutzstufe kann sensible Daten preisgeben.

Title (es-ES): Read-Only Domain Controllers

Description (es-ES): Los controladores de dominio de solo lectura se utilizan en zonas con poca seguridad física. Un nivel de protección incorrecto puede filtrar datos confidenciales.

Check if a privileged group can be revealed on a RODC

Rule ID:

P-RODCRevealOnDemand

Description:

The purpose is to ensure that no privileged group can be revealed on RODC

Technical Explanation:

There is an attribute on each RODC which enumerates the groups that the RODC can retrieve.
When the RODC retrieve the user account, all secrets are integrated into the data, meaning that the RODC can impersonate the user account.
In this case, a user or a group has been identified that have a RID (the last part of the SID) lower than 1000.
All privileged groups have a RID lower than 1000, than means that the RODC can get access at any time to that privileged information.

Advised Solution:

Edit the attribute msDS-RevealOnDemandGroup and remove the privileged user or group identified.

This can be managed in the Password Replication Policy tab of the computer objecct in the Active Directory Users and Computers console.

Title:

Vérifier si un groupe privilégié peut être révélé sur un RODC

Description:

Le but est de s'assurer qu'aucun groupe privilégié ne peut être révélé sur RODC

Technical Explanation:

Il existe un attribut sur chaque RODC qui énumère les groupes que le RODC peut récupérer.
Lorsque le RODC récupère le compte utilisateur, tous les secrets sont intégrés dans les données, ce qui signifie que le RODC peut emprunter l'identité du compte utilisateur.
Dans ce cas, un utilisateur ou un groupe a été identifié avec un RID (la dernière partie du SID) inférieur à 1000.
Tous les groupes privilégiés ont un RID inférieur à 1000, ce qui signifie que le RODC peut accéder à tout moment à ces informations privilégiées.

Advised Solution:

Modifiez l'attribut msDS-RevealOnDemandGroup et supprimez l'utilisateur privilégié ou le groupe identifié.

Cela peut être géré dans l'onglet Stratégie de réplication de mot de passe de l'objet ordinateur dans la console Utilisateurs et ordinateurs Active Directory.

Title:

Überprüfen Sie, ob eine privilegierte Gruppe auf einem RODC angezeigt werden kann

Description:

Der Zweck besteht darin, sicherzustellen, dass keine privilegierte Gruppe auf RODC offengelegt werden kann

Technical Explanation:

Auf jedem RODC gibt es ein Attribut, das die Gruppen auflistet, die der RODC abrufen kann.
Wenn der RODC das Benutzerkonto abruft, werden alle Geheimnisse in die Daten integriert, was bedeutet, dass der RODC das Benutzerkonto imitieren kann.
In diesem Fall wurde ein Benutzer oder eine Gruppe identifiziert, deren RID (der letzte Teil der SID) kleiner als 1000 ist.
Alle privilegierten Gruppen haben eine RID kleiner als 1000, was bedeutet, dass der RODC jederzeit auf diese privilegierten Informationen zugreifen kann.

Advised Solution:

Bearbeiten Sie das Attribut msDS-RevealOnDemandGroup und entfernen Sie den identifizierten privilegierten Benutzer oder die identifizierte Gruppe.

Dies kann auf der Registerkarte „Kennwortreplikationsrichtlinie“ des Computerobjekts in der Konsole „Active Directory-Benutzer und -Computer“ verwaltet werden.

Title:

Compruebe si un grupo privilegiado se puede revelar en un RODC

Description:

El propósito es garantizar que no se pueda revelar ningún grupo privilegiado en RODC

Technical Explanation:

Hay un atributo en cada RODC que enumera los grupos que el RODC puede recuperar.
Cuando el RODC recupera la cuenta de usuario, todos los secretos se integran en los datos, lo que significa que el RODC puede suplantar la cuenta de usuario.
En este caso, se ha identificado un usuario o un grupo que tiene un RID (la última parte del SID) inferior a 1000.
Todos los grupos privilegiados tienen un RID inferior a 1000, lo que significa que el RODC puede acceder en cualquier momento a esa información privilegiada.

Advised Solution:

Edite el atributo msDS-RevealOnDemandGroup y elimine el usuario o grupo privilegiado identificado.

Esto se puede administrar en la pestaña Política de replicación de contraseñas del objeto de la computadora en la consola Usuarios y computadoras de Active Directory.

Introduced in:

2.9.0.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/8dfc81be-7461-48f2-8caf-07402bccb0ea
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Dangerous configuration of read-only domain controllers (RODC) (reveal) (vuln3_rodc_reveal)3

Check if privileged users have been revealed on RODC

Rule ID:

P-RODCAdminRevealed

Description:

The purpose is to check if privileged users have already been revealed

Technical Explanation:

On Active Directory, all users revealed to a RODC are tracked by an attribute set on the computer object of the RODC named msDS-RevealedUsers.
The program checks on the list of revealed users if one of them is known as a privileged user.
Indeed, the RODC is caching the authentication secrets related of this user, which can then be used to impersonate it.
In addition to that, RODC are placed in general on more riskier environment.

Advised Solution:

The admin account should have its secrets change (a password reset) and be sure that the account will not be revealed anymore.

Title:

Vérifier si les utilisateurs privilégiés ont été révélés sur RODC

Description:

Le but est de vérifier si des utilisateurs privilégiés ont déjà été révélés

Technical Explanation:

Sur Active Directory, tous les utilisateurs révélés à un RODC sont suivis par un attribut défini sur l'objet ordinateur du RODC nommé msDS-RevealedUsers.
Le programme vérifie dans la liste des utilisateurs révélés si l'un d'entre eux est connu comme utilisateur privilégié.
En effet, le RODC met en cache les secrets d'authentification liés à cet utilisateur, qui peuvent ensuite être utilisés pour se faire passer pour lui.
En plus de cela, les RODC sont généralement placés dans un environnement plus risqué.

Advised Solution:

Le compte admin doit changer ses secrets (une réinitialisation du mot de passe) et être sûr que le compte ne sera plus révélé.

Title:

Überprüfen Sie, ob privilegierte Benutzer auf RODC angezeigt wurden

Description:

Der Zweck besteht darin, zu überprüfen, ob privilegierte Benutzer bereits aufgedeckt wurden

Technical Explanation:

In Active Directory werden alle einem RODC offengelegten Benutzer durch ein Attribut nachverfolgt, das auf dem Computerobjekt des RODC mit dem Namen msDS-RevealedUsers festgelegt ist.
Das Programm überprüft die Liste der angezeigten Benutzer, ob einer von ihnen als privilegierter Benutzer bekannt ist.
Tatsächlich speichert der RODC die Authentifizierungsgeheimnisse dieses Benutzers zwischen, die dann verwendet werden können, um sich als ihn auszugeben.
Darüber hinaus sind RODC im Allgemeinen in riskanteren Umgebungen platziert.

Advised Solution:

Das Administratorkonto sollte seine Geheimnisse ändern (ein Passwort zurücksetzen) und sicher sein, dass das Konto nicht mehr offengelegt wird.

Title:

Compruebe si los usuarios privilegiados se han revelado en RODC

Description:

El propósito es verificar si los usuarios privilegiados ya han sido revelados.

Technical Explanation:

En Active Directory, todos los usuarios revelados a un RODC son rastreados por un conjunto de atributos en el objeto de la computadora del RODC llamado msDS-RevealedUsers.
El programa verifica en la lista de usuarios revelados si uno de ellos es conocido como usuario privilegiado.
De hecho, el RODC almacena en caché los secretos de autenticación relacionados con este usuario, que luego se pueden usar para suplantarlo.
Además de eso, los RODC se colocan en general en un entorno más riesgoso.

Advised Solution:

La cuenta de administrador debe cambiar sus secretos (un restablecimiento de contraseña) y asegúrese de que la cuenta ya no se revele.

Introduced in:

2.9.0.0

Points:

5 points per discovery

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/8dfc81be-7461-48f2-8caf-07402bccb0ea
[FR]ANSSI - Privileged users revealed on RODC (vuln2_rodc_priv_revealed)2
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Check if RODCs have write access to the SYSVOL volume

Rule ID:

P-RODCSYSVOLWrite

Description:

The purpose is to ensure that no RODC has write access to the SYSVOL

Technical Explanation:

The SYSVOL Volume is a special DFS volume used to store system files such as GPO.
Read Only Domain Controllers (RODC) have read-only access to it.
If it has write access, it can change the file locally and propagate them to all writable domain controllers.
And thus enable an attacker to take control of the domain by modifying a GPO applied to Domain Controllers.

Advised Solution:

Locate the domain controller object related to the RODC in ADSIEdit.
Then zoom on CN=DFSR-LocalSettings then CN=Domain System Volume.
Edit the attribute msDFSR-ReadOnly and change it from false to true.

Title:

Vérifier si les RODC ont un accès en écriture au volume SYSVOL

Description:

Le but est de s'assurer qu'aucun RODC n'a accès en écriture au SYSVOL

Technical Explanation:

Le volume SYSVOL est un volume DFS spécial utilisé pour stocker des fichiers système tels que GPO.
Les contrôleurs de domaine en lecture seule (RODC) y ont un accès en lecture seule.
S'il dispose d'un accès en écriture, il peut modifier le fichier localement et le propager à tous les contrôleurs de domaine inscriptibles.
Et permettre ainsi à un attaquant de prendre le contrôle du domaine en modifiant une GPO appliquée aux Domain Controllers.

Advised Solution:

Localisez l'objet contrôleur de domaine lié au RODC dans ADSIEdit.
Zoomez ensuite sur CN=DFSR-LocalSettings puis CN=Domain System Volume.
Modifiez l'attribut msDFSR-ReadOnly et changez-le de faux à vrai.

Title:

Überprüfen Sie, ob RODCs Schreibzugriff auf das SYSVOL-Volume haben

Description:

Damit soll sichergestellt werden, dass kein RODC Schreibzugriff auf SYSVOL hat

Technical Explanation:

Das SYSVOL-Volume ist ein spezielles DFS-Volume, das zum Speichern von Systemdateien wie GPO verwendet wird.
Read Only Domain Controllers (RODC) haben nur Lesezugriff darauf.
Wenn es Schreibzugriff hat, kann es die Datei lokal ändern und sie an alle beschreibbaren Domänencontroller weitergeben.
Und ermöglichen es so einem Angreifer, die Kontrolle über die Domäne zu übernehmen, indem er ein GPO ändert, das auf Domänencontroller angewendet wird.

Advised Solution:

Suchen Sie das Domänencontrollerobjekt, das sich auf den RODC in ADSIEdit bezieht.
Zoomen Sie dann auf CN=DFSR-LocalSettings und dann auf CN=Domain System Volume.
Bearbeiten Sie das Attribut msDFSR-ReadOnly und ändern Sie es von „false“ in „true“.

Title:

Compruebe si los RODC tienen acceso de escritura al volumen SYSVOL

Description:

El propósito es garantizar que ningún RODC tenga acceso de escritura al SYSVOL

Technical Explanation:

El volumen SYSVOL es un volumen DFS especial que se utiliza para almacenar archivos del sistema como GPO.
Los controladores de dominio de solo lectura (RODC) tienen acceso de solo lectura.
Si tiene acceso de escritura, puede cambiar el archivo localmente y propagarlo a todos los controladores de dominio de escritura.
Y así permitir que un atacante tome el control del dominio modificando un GPO aplicado a los controladores de dominio.

Advised Solution:

Busque el objeto del controlador de dominio relacionado con el RODC en ADSIEdit.
Luego haga zoom en CN=DFSR-LocalSettings y luego en CN=Domain System Volume.
Edite el atributo msDFSR-ReadOnly y cámbielo de falso a verdadero.

Introduced in:

2.9.0.0

Points:

5 points per discovery

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-frs2/3588b343-4076-4776-b5c0-78e2b3d91ed3
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[MITRE]T1207 Rogue Domain Controller

Check if the protection against revealing privileged group is active

Rule ID:

P-RODCNeverReveal

Description:

The purpose is to ensure that the protection against revealing privileged group is active

Technical Explanation:

In addition to the group Denied RODC Password Replication Group there is a custom setting set for RODC in an attribute named msDS-NeverRevealGroup.
This rule checks the current value against the default one.

Advised Solution:

Check the value of the attribute msDS-NeverRevealGroup and the presence of the following expected groups:
- Administrators;
- Server Operators;
- Account Operators;
- Backup Operators;
- Denied RODC Password Replication Group

This can be managed in the Password Replication Policy tab of the computer objecct in the Active Directory Users and Computers console.

Title:

Vérifier si la protection contre la révélation du groupe privilégié est active

Description:

Le but est de s'assurer que la protection contre la révélation d'un groupe privilégié est active

Technical Explanation:

Outre le groupe Denied RODC Password Replication Group, un paramètre personnalisé est défini pour RODC dans un attribut nommé msDS-NeverRevealGroup.
Cette règle vérifie la valeur actuelle par rapport à celle par défaut.

Advised Solution:

Vérifiez la valeur de l'attribut msDS-NeverRevealGroup et la présence des groupes attendus suivants :
- Administrateurs ;
- Opérateurs de serveurs ;
- Opérateurs de compte ;
- Opérateurs de sauvegarde ;
- Groupe de réplication de mot de passe RODC refusé

Cela peut être géré dans l'onglet Stratégie de réplication de mot de passe de l'objet ordinateur dans la console Utilisateurs et ordinateurs Active Directory.

Title:

Überprüfen Sie, ob der Schutz gegen das Aufdecken privilegierter Gruppen aktiv ist

Description:

Der Zweck besteht darin, sicherzustellen, dass der Schutz gegen die Offenlegung einer privilegierten Gruppe aktiv ist

Technical Explanation:

Zusätzlich zur Gruppe Denied RODC Password Replication Group gibt es eine benutzerdefinierte Einstellung für RODC in einem Attribut namens msDS-NeverRevealGroup.
Diese Regel prüft den aktuellen Wert gegen den Standardwert.

Advised Solution:

Überprüfen Sie den Wert des Attributs msDS-NeverRevealGroup und das Vorhandensein der folgenden erwarteten Gruppen:
- Administratoren;
- Serverbetreiber;
- Kontobetreiber;
- Backup-Operatoren;
– Denied RODC Password Replication Group

Dies kann auf der Registerkarte „Kennwortreplikationsrichtlinie“ des Computerobjekts in der Konsole „Active Directory-Benutzer und -Computer“ verwaltet werden.

Title:

Compruebe si la protección contra la revelación de grupos privilegiados está activa

Description:

El propósito es garantizar que la protección contra la revelación de grupos privilegiados esté activa.

Technical Explanation:

Además del grupo Grupo de replicación de contraseñas de RODC denegado, hay una configuración personalizada establecida para RODC en un atributo denominado msDS-NeverRevealGroup.
Esta regla compara el valor actual con el predeterminado.

Advised Solution:

Compruebe el valor del atributo msDS-NeverRevealGroup y la presencia de los siguientes grupos esperados:
- Administradores;
- Operadores de Servidores;
- Operadores de cuenta;
- Operadores de respaldo;
- Grupo de replicación de contraseñas de RODC denegado

Esto se puede administrar en la pestaña Política de replicación de contraseñas del objeto de la computadora en la consola Usuarios y computadoras de Active Directory.

Introduced in:

2.9.0.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/8dfc81be-7461-48f2-8caf-07402bccb0ea
[FR]ANSSI - Dangerous configuration of read-only domain controllers (RODC) (neverReveal) (vuln3_rodc_never_reveal)3
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Check the Allowed RODC Password Replication Group group

Rule ID:

P-RODCAllowedGroup

Description:

The purpose is to ensure that the Allowed RODC Password Replication Group group is empty.

Technical Explanation:

Accounts belonging to the Allowed RODC Password Replication Group group have their password hashes revealed on all RODCs.

Advised Solution:

This group should be emptied, and dedicated groups should only be added to the Password Replication Policy of each relevant RODC.

Title:

Vérifiez le groupe Groupe de réplication de mot de passe RODC autorisé

Description:

L'objectif est de s'assurer que le groupe Groupe de réplication de mot de passe RODC autorisé est vide.

Technical Explanation:

Les hachages de mot de passe des comptes appartenant au groupe de réplication de mot de passe RODC autorisé sont révélés sur tous les RODC.

Advised Solution:

Ce groupe doit être vidé et les groupes dédiés doivent uniquement être ajoutés à la stratégie de réplication de mot de passe de chaque RODC concerné.

Title:

Überprüfen Sie die Gruppe Allowed RODC Password Replication Group

Description:

Damit soll sichergestellt werden, dass die Gruppe Allowed RODC Password Replication Group leer ist.

Technical Explanation:

Bei Konten, die zur Gruppe „Zugelassene RODC-Kennwortreplikationsgruppe“ gehören, werden ihre Kennworthashes auf allen RODCs offengelegt.

Advised Solution:

Diese Gruppe sollte geleert werden, und dedizierte Gruppen sollten nur zur Kennwortreplikationsrichtlinie jedes relevanten RODC hinzugefügt werden.

Title:

Verifique el grupo Grupo de replicación de contraseñas de RODC permitido

Description:

El objetivo es garantizar que el grupo Grupo de replicación de contraseñas de RODC permitido esté vacío.

Technical Explanation:

Las cuentas que pertenecen al grupo Permitido de replicación de contraseñas de RODC tienen sus hashes de contraseña revelados en todos los RODC.

Advised Solution:

Este grupo debe vaciarse y los grupos dedicados solo deben agregarse a la política de replicación de contraseñas de cada RODC relevante.

Introduced in:

2.9.0.0

Points:

5 points if present

Documentation:

[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Dangerous configuration of replication groups for read-only domain controllers (RODCs) (allow) (vuln3_rodc_allowed_group)3

Check the Denied RODC Password Replication Group group

Rule ID:

P-RODCDeniedGroup

Description:

The purpose is to ensure that the Denied RODC Password Replication Group group has at least its default members.

Technical Explanation:

A set of critical objects are being forbidden to replicate in RODC for security reasons.
This permission is set using the Denied RODC Password Replication Group group.
Removing one of the default members of this group remove this protection, and thus, the isolation of RODC.

Advised Solution:

Add the items which have been identified as missing to the Denied RODC Password Replication Group group.

Title:

Vérifiez le groupe de groupe de réplication de mot de passe RODC refusé

Description:

L'objectif est de s'assurer que le groupe de groupe de réplication de mot de passe RODC refusé a au moins ses membres par défaut.

Technical Explanation:

Un ensemble d'objets critiques est interdit de répliquer dans RODC pour des raisons de sécurité.
Cette autorisation est définie à l'aide du groupe Groupe de réplication de mot de passe RODC refusé.
La suppression de l'un des membres par défaut de ce groupe supprime cette protection, et donc l'isolation de RODC.

Advised Solution:

Ajoutez les éléments qui ont été identifiés comme manquants au groupe Denied RODC Password Replication Group.

Title:

Überprüfen Sie die Gruppe Denied RODC Password Replication Group

Description:

Damit soll sichergestellt werden, dass die Gruppe Denied RODC Password Replication Group mindestens ihre Standardmitglieder hat.

Technical Explanation:

Eine Reihe kritischer Objekte darf aus Sicherheitsgründen nicht in RODC repliziert werden.
Diese Berechtigung wird mithilfe der Gruppe Denied RODC Password Replication Group festgelegt.
Durch das Entfernen eines der Standardmitglieder dieser Gruppe wird dieser Schutz und damit die Isolierung von RODC entfernt.

Advised Solution:

Fügen Sie die Elemente, die als fehlend identifiziert wurden, der Gruppe Denied RODC Password Replication Group hinzu.

Title:

Verifique el grupo Grupo de replicación de contraseñas de RODC denegado

Description:

El objetivo es garantizar que el grupo Grupo de replicación de contraseñas de RODC denegado tenga al menos sus miembros predeterminados.

Technical Explanation:

Se prohíbe la replicación de un conjunto de objetos críticos en RODC por motivos de seguridad.
Este permiso se establece mediante el grupo Grupo de replicación de contraseñas de RODC denegado.
Al eliminar uno de los miembros predeterminados de este grupo, se elimina esta protección y, por lo tanto, el aislamiento de RODC.

Advised Solution:

Agregue los elementos que se identificaron como faltantes al grupo Grupo de replicación de contraseñas de RODC denegado.

Introduced in:

2.9.0.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-us/services-hub/health/remediation-steps-ad/review-the-removal-of-default-members-from-the-denied-rodc-password-replication- grupo
[FR]ANSSI - Dangerous configuration of replication groups for read-only domain controllers (RODCs) (denied) (vuln3_rodc_denied_group)3
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Trusts

Each line represents a rule. Click on a rule to expand it and show the details of it.

Old trust protocol

NT4 like trusts do not provide an accurate level of security and by the use of its old protocols, put the domain at risk.

Title (fr-FR): Old trust protocol

Description (fr-FR): Les fiducies de type NT4 ne fournissent pas un niveau de sécurité précis et, par l'utilisation de ses anciens protocoles, mettent le domaine en danger.

Title (de-DE): Old trust protocol

Description (de-DE): NT4-ähnliche Trusts bieten kein genaues Sicherheitsniveau und setzen die Domäne durch die Verwendung ihrer alten Protokolle einem Risiko aus.

Title (es-ES): Old trust protocol

Description (es-ES): Los fideicomisos similares a NT4 no brindan un nivel preciso de seguridad y, mediante el uso de sus protocolos antiguos, ponen en riesgo el dominio.

Check for trusts compatible with NT4

Rule ID:

T-Downlevel

Description:

The purpose is to ensure that there is no NT4 compatible trust

Technical Explanation:

A Downlevel trust is a special kind of trust compatible with NT4. The kind of trust can be displayed in the "Active Directory Domains and Trusts" tool.

Advised Solution:

Unless the remote party of the trust is a NT4 domain, this trust shouldn't exist. It should be recreated.

Title:

Rechercher les approbations compatibles avec NT4

Description:

Le but est de s'assurer qu'il n'y a pas d'approbation compatible NT4

Technical Explanation:

Une approbation de niveau inférieur est un type spécial d'approbation compatible avec NT4. Le type d'approbation peut être affiché dans l'outil "Active Directory Domains and Trusts".

Advised Solution:

À moins que la partie distante de l'approbation ne soit un domaine NT4, cette approbation ne devrait pas exister. Il devrait être recréé.

Title:

Suchen Sie nach Trusts, die mit NT4 kompatibel sind

Description:

Der Zweck besteht darin, sicherzustellen, dass es kein NT4-kompatibles Vertrauen gibt

Technical Explanation:

Ein Downlevel-Trust ist eine spezielle Art von Trust, die mit NT4 kompatibel ist. Die Art des Vertrauens kann im Tool "Active Directory Domains and Trusts" angezeigt werden.

Advised Solution:

Sofern die Remote-Partei der Vertrauensstellung keine NT4-Domäne ist, sollte diese Vertrauensstellung nicht existieren. Es soll nachgebaut werden.

Title:

Compruebe si hay fideicomisos compatibles con NT4

Description:

El propósito es garantizar que no haya una confianza compatible con NT4.

Technical Explanation:

Una confianza de nivel inferior es un tipo especial de confianza compatible con NT4. El tipo de confianza se puede mostrar en la herramienta "Dominios y confianzas de Active Directory".

Advised Solution:

A menos que la parte remota de la confianza sea un dominio NT4, esta confianza no debería existir. Debería ser recreado.

Points:

20 points if present

Documentation:

https://msdn.microsoft.com/en-us/library/cc223771.aspx
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management

Check if AES is enabled on trusts

Rule ID:

T-AlgsAES

Description:

The purpose is to check if AES can be used with Kerberos on trusts

Technical Explanation:

By default, RC4 is used as the signature algorithm on Kerberos tickets.
If AES is enabled on a domain and AES is not enabled on trust, AES tickets will not be usable on the trust. The Kerberos tickets sent to the trust will fail or the trusted domain will fallback to NTLM.

The encryption algorithms allowed for a trust are stored in an attribute named msDS-SupportedEncryptionTypes.
If this attribute is not set (or has a value of zero), RC4 will be applied by default.
Else, it defines the algorithm to use for Kerberos signature.

Advised Solution:

Enable AES on the domain.

Beware: there is a checkbox in the trust properties named "The other domain supports Kerberos AES Encryption".
If you enable this setting, AES will be enabled but RC4 will also be disabled.

The recommended way is to enable both RC4 and AES as a transition. It can be done by running the command:
ksetup /setenctypeattr mytrust.com RC4-HMAC-MD5 AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

This way, the attribute msDS-SupportedEncryptionTypes of the trust will be modified to support both RC4 and AES.

Title:

Vérifiez si AES est activé sur les fiducies

Description:

Le but est de vérifier si AES peut être utilisé avec Kerberos sur les trusts

Technical Explanation:

Par défaut, RC4 est utilisé comme algorithme de signature sur les tickets Kerberos.
Si AES est activé sur un domaine et qu'AES n'est pas activé sur la confiance, les tickets AES ne seront pas utilisables sur la confiance. Les tickets Kerberos envoyés à l'approbation échoueront ou le domaine approuvé se repliera sur NTLM.

Les algorithmes de chiffrement autorisés pour une approbation sont stockés dans un attribut nommé msDS-SupportedEncryptionTypes.
Si cet attribut n'est pas défini (ou a une valeur de zéro), RC4 sera appliqué par défaut.
Sinon, il définit l'algorithme à utiliser pour la signature Kerberos.

Advised Solution:

Activez AES sur le domaine.

Attention : il y a une case à cocher dans les propriétés de confiance nommée "L'autre domaine prend en charge le cryptage Kerberos AES".
Si vous activez ce paramètre, AES sera activé mais RC4 sera également désactivé.

La méthode recommandée consiste à activer à la fois RC4 et AES en tant que transition. Cela peut être fait en exécutant la commande :
ksetup /setenctypeattr mytrust.com RC4-HMAC-MD5 AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

De cette façon, l'attribut msDS-SupportedEncryptionTypes de la confiance sera modifié pour prendre en charge à la fois RC4 et AES.

Title:

Überprüfen Sie, ob AES auf Vertrauensstellungen aktiviert ist

Description:

Der Zweck besteht darin, zu prüfen, ob AES mit Kerberos auf Trusts verwendet werden kann

Technical Explanation:

Standardmäßig wird RC4 als Signaturalgorithmus für Kerberos-Tickets verwendet.
Wenn AES auf einer Domäne aktiviert ist und AES auf Trust nicht aktiviert ist, können AES-Tickets auf dem Trust nicht verwendet werden. Die an die Vertrauensstellung gesendeten Kerberos-Tickets schlagen fehl oder die vertrauenswürdige Domäne greift auf NTLM zurück.

Die für eine Vertrauensstellung zulässigen Verschlüsselungsalgorithmen werden in einem Attribut namens msDS-SupportedEncryptionTypes gespeichert.
Wenn dieses Attribut nicht gesetzt ist (oder den Wert Null hat), wird RC4 standardmäßig angewendet.
Andernfalls definiert es den Algorithmus, der für die Kerberos-Signatur verwendet werden soll.

Advised Solution:

Aktivieren Sie AES auf der Domäne.

Achtung: In den Vertrauenseigenschaften gibt es ein Kontrollkästchen mit dem Namen "Die andere Domäne unterstützt die Kerberos-AES-Verschlüsselung".
Wenn Sie diese Einstellung aktivieren, wird AES aktiviert, aber RC4 wird auch deaktiviert.

Der empfohlene Weg ist, sowohl RC4 als auch AES als Übergang zu aktivieren. Dies kann durch Ausführen des Befehls erfolgen:
ksetup /setenctypeattr mytrust.com RC4-HMAC-MD5 AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

Auf diese Weise wird das Attribut msDS-SupportedEncryptionTypes der Vertrauensstellung geändert, um sowohl RC4 als auch AES zu unterstützen.

Title:

Compruebe si AES está habilitado en los fideicomisos

Description:

El propósito es verificar si AES se puede usar con Kerberos en fideicomisos

Technical Explanation:

De forma predeterminada, RC4 se utiliza como algoritmo de firma en los tickets de Kerberos.
Si AES está habilitado en un dominio y AES no está habilitado en la confianza, los vales AES no se podrán usar en la confianza. Los vales de Kerberos enviados a la confianza fallarán o el dominio de confianza recurrirá a NTLM.

Los algoritmos de cifrado permitidos para una confianza se almacenan en un atributo denominado msDS-SupportedEncryptionTypes.
Si este atributo no está establecido (o tiene un valor de cero), RC4 se aplicará por defecto.
De lo contrario, define el algoritmo que se utilizará para la firma de Kerberos.

Advised Solution:

Habilite AES en el dominio.

Cuidado: hay una casilla de verificación en las propiedades de confianza denominada "El otro dominio es compatible con el cifrado Kerberos AES".
Si habilita esta configuración, AES estará habilitado pero RC4 también estará deshabilitado.

La forma recomendada es habilitar tanto RC4 como AES como transición. Se puede hacer ejecutando el comando:
ksetup /setenctypeattr mytrust.com RC4-HMAC-MD5 AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96

De esta forma, el atributo msDS-SupportedEncryptionTypes de la confianza se modificará para admitir tanto RC4 como AES.

Introduced in:

2.11.0.0

Points:

1 points if present

Documentation:

https://techcommunity.microsoft.com/t5/itops-talk-blog/tough-questions-answered-can-i-disable-rc4-etype-for-kerberos-on/ba-p/382718
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-kile/6cfc7b50-11ed-4b4d-846d-6f08f0812919
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

SID Filtering

Isolation of domains is critical to avoid a global compromise.

Title (fr-FR): SID Filtering

Description (fr-FR): L'isolation des domaines est essentielle pour éviter un compromis global.

Title (de-DE): SID Filtering

Description (de-DE): Die Isolierung von Domänen ist entscheidend, um eine globale Kompromittierung zu vermeiden.

Title (es-ES): SID Filtering

Description (es-ES): El aislamiento de dominios es fundamental para evitar un compromiso global.

Check for Trusts whose security is not maximum

Rule ID:

T-SIDFiltering

Description:

The purpose is to check if all trusts are protected using the functionality named SID Filtering

Technical Explanation:

SID Filtering is a mechanism used to block account presenting a SID History property. SID History is used to link an existing account to another account and can be used to propagate a compromise through trusts. SID Filtering for domain-to-domain trust is called a quarantine and is disabled by default. SID Filtering to a forest is enabled by default and disabling it is called "enabling SID History".

The algorithm to compute the SID Filtering is:
get the attribute trustDirection and TrustAttributes of the trust object.
if the direction is 0 or 1 or if the trust is intra forest (trustattributes & 32 != 0) then SID Filtering is not applicable.
Then, if the trust is a forest trust (trusattributes & 8 != 0) then
check if /enablesidhistory has been enabled - trustattributes & 64 != 0.
If enabled: SID Filtering is deactivated.
Else if not a forest trust (trustattributes & 8 == 0) then check for the quarantined attribute (trustattributes & 4 != 0).
If the quarantine flag is set, SID Filtering is enabled.

You can use the PowerShell command to get its status:
[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().GetSidFilteringStatus('my.domain.to.test.local')

Advised Solution:

A trust without SID Filtering means either that a migration is in progress or that the domain can be compromised instantly via the trust.
The solution is to complete existing migration ASAP and enable the SID Filtering feature.

If the trust is a domain trust, you should use netdom /quarantine and set it to yes.
If the trust is a forest trust, you should use netdom /enablesidhistory and set it to no.
Do not apply /quarantine on a forest trust: you will break the transitivity of the trust.

Title:

Vérifiez les fiducies dont la sécurité n'est pas maximale

Description:

Le but est de vérifier si toutes les approbations sont protégées à l'aide de la fonctionnalité nommée SID Filtering

Technical Explanation:

Le filtrage SID est un mécanisme utilisé pour bloquer les comptes présentant une propriété d'historique SID. L'historique SID est utilisé pour lier un compte existant à un autre compte et peut être utilisé pour propager une compromission via des approbations. Le filtrage SID pour l'approbation de domaine à domaine est appelé une quarantaine et est désactivé par défaut. Le filtrage SID d'une forêt est activé par défaut et sa désactivation s'appelle "activer l'historique SID".

L'algorithme pour calculer le filtrage SID est :
obtenir l'attribut trustDirection et TrustAttributes de l'objet de confiance.
si la direction est 0 ou 1 ou si la confiance est intra-forêt (trustattributes & 32 != 0), alors le filtrage SID n'est pas applicable.
Ensuite, si l'approbation est une approbation de forêt (trusattributes & 8 != 0) alors
vérifiez si /enablesidhistory a été activé - trustattributes & 64 != 0.
Si activé : le filtrage SID est désactivé.
Sinon, s'il ne s'agit pas d'une approbation de forêt (trustattributes & 8 == 0), recherchez l'attribut mis en quarantaine (trustattributes & 4 != 0).
Si l'indicateur de quarantaine est défini, le filtrage SID est activé.

Vous pouvez utiliser la commande PowerShell pour obtenir son état :
[System.DirectoryServices.ActiveDirectory.Domain] ::GetCurrentDomain().GetSidFilteringStatus('my.domain.to.test.local')

Advised Solution:

Une approbation sans filtrage SID signifie soit qu'une migration est en cours, soit que le domaine peut être compromis instantanément via l'approbation.
La solution consiste à terminer la migration existante dès que possible et à activer la fonctionnalité de filtrage SID.

Si l'approbation est une approbation de domaine, vous devez utiliser netdom /quarantine et la définir sur yes.
Si l'approbation est une approbation de forêt, vous devez utiliser netdom /enablesidhistory et le définir sur no.
N'appliquez pas de /quarantaine sur une fiducie forestière : vous briserez la transitivité de la fiducie.

Title:

Suchen Sie nach Trusts, deren Sicherheit nicht maximal ist

Description:

Der Zweck besteht darin, zu überprüfen, ob alle Vertrauensstellungen mit der Funktion namens SID-Filterung geschützt sind

Technical Explanation:

SID-Filterung ist ein Mechanismus, der verwendet wird, um Konten zu blockieren, die eine SID-Verlaufseigenschaft darstellen. Der SID-Verlauf wird verwendet, um ein vorhandenes Konto mit einem anderen Konto zu verknüpfen, und kann verwendet werden, um eine Kompromittierung über Trusts zu verbreiten. Die SID-Filterung für Domäne-zu-Domäne-Vertrauen wird als Quarantäne bezeichnet und ist standardmäßig deaktiviert. Die SID-Filterung für eine Gesamtstruktur ist standardmäßig aktiviert, und die Deaktivierung wird als "Aktivieren des SID-Verlaufs" bezeichnet.

Der Algorithmus zur Berechnung der SID-Filterung lautet:
Rufen Sie das Attribut trustDirection und TrustAttributes des Vertrauensobjekts ab.
Wenn die Richtung 0 oder 1 ist oder wenn die Vertrauensstellung innerhalb der Gesamtstruktur ist (trustattributes & 32 != 0), ist die SID-Filterung nicht anwendbar.
Dann, wenn die Vertrauensstellung eine Gesamtstruktur-Vertrauensstellung ist (trusattributes & 8 != 0), dann
prüfen, ob /enablesidhistory aktiviert wurde - trustattributes & 64 != 0.
Wenn aktiviert: SID-Filterung ist deaktiviert.
Andernfalls, wenn es sich nicht um eine Gesamtstrukturvertrauensstellung handelt (trustattributes & 8 == 0), suchen Sie nach dem Quarantäneattribut (trustattributes & 4 != 0).
Wenn das Quarantäne-Flag gesetzt ist, ist die SID-Filterung aktiviert.

Sie können den PowerShell-Befehl verwenden, um seinen Status abzurufen:
[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().GetSidFilteringStatus('my.domain.to.test.local')

Advised Solution:

Eine Vertrauensstellung ohne SID-Filterung bedeutet, dass entweder eine Migration im Gange ist oder dass die Domäne sofort über die Vertrauensstellung kompromittiert werden kann.
Die Lösung besteht darin, die vorhandene Migration so schnell wie möglich abzuschließen und die SID-Filterfunktion zu aktivieren.

Wenn es sich bei der Vertrauensstellung um eine Domänen-Vertrauensstellung handelt, sollten Sie netdom /quarantine verwenden und auf yes setzen.
Wenn es sich bei der Vertrauensstellung um eine Gesamtstrukturvertrauensstellung handelt, sollten Sie netdom /enablesidhistory verwenden und auf no setzen.
Wenden Sie /quarantine nicht auf eine Gesamtstruktur-Vertrauensstellung an: Sie brechen die Transitivität der Vertrauensstellung.

Title:

Consultar Fideicomisos cuya seguridad no sea máxima

Description:

El propósito es comprobar si todos los fideicomisos están protegidos mediante la funcionalidad denominada Filtrado SID.

Technical Explanation:

El filtrado de SID es un mecanismo utilizado para bloquear cuentas que presentan una propiedad de historial de SID. El historial de SID se usa para vincular una cuenta existente a otra cuenta y se puede usar para propagar un compromiso a través de fideicomisos. El filtrado de SID para la confianza de dominio a dominio se denomina cuarentena y está deshabilitado de manera predeterminada. El filtrado de SID en un bosque está habilitado de manera predeterminada y su deshabilitación se denomina "habilitación del historial de SID".

El algoritmo para calcular el filtrado SID es:
obtenga el atributo trustDirection y TrustAttributes del objeto de confianza.
si la dirección es 0 o 1 o si la confianza es dentro del bosque (atributos de confianza y 32 != 0), entonces el filtrado SID no es aplicable.
Entonces, si el fideicomiso es un fideicomiso de bosque (trusattributes & 8 != 0) entonces
verifique si / enableidhistory ha sido habilitado - trustattributes & 64 != 0.
Si está habilitado: el filtrado SID está desactivado.
De lo contrario, si no es una confianza de bosque (atributos de confianza y 8 == 0), verifique el atributo en cuarentena (atributos de confianza y 4! = 0).
Si el indicador de cuarentena está establecido, el filtrado SID está habilitado.

Puede usar el comando de PowerShell para obtener su estado:
[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().GetSidFilteringStatus('my.domain.to.test.local')

Advised Solution:

Una confianza sin filtrado SID significa que hay una migración en curso o que el dominio puede verse comprometido instantáneamente a través de la confianza.
La solución es completar la migración existente lo antes posible y habilitar la función de filtrado de SID.

Si la confianza es una confianza de dominio, debe usar netdom /quarantine y establecerlo en sí.
Si la confianza es una confianza de bosque, debe usar netdom /enablesidhistory y establecerlo en no.
No aplique /quarantine en un fideicomiso forestal: romperá la transitividad del fideicomiso.

Points:

100 points if the occurence is greater than or equals than 4
then 80 points if the occurence is greater than or equals than 2
then 50 points if present

Documentation:

https://msdn.microsoft.com/en-us/library/cc237940.aspx
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[MITRE]T1134.005 Access Token Manipulation: SID-History Injection
[FR]ANSSI - Unfiltered outbound domain trust relationship (vuln1_trusts_domain_notfiltered)1
[US]STIG V-8538 - Security identifiers (SIDs) must be configured to use only authentication data of directly trusted external or forest trust.
[FR]ANSSI - Outbound forest trust relationships with sID History enabled (vuln1_trusts_forest_sidhistory)1
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R16 [paragraph.3.3.1.6]

SIDHistory

When doing migrations, a double identity may be attributed. It can have side effects up to the compromise of the domain.

Title (fr-FR): SIDHistory

Description (fr-FR): Lors des migrations, une double identité peut être attribuée. Il peut avoir des effets secondaires jusqu'à la compromission du domaine.

Title (de-DE): SIDHistory

Description (de-DE): Bei Migrationen kann eine doppelte Identität zugeschrieben werden. Es kann Nebenwirkungen bis hin zur Kompromittierung der Domain haben.

Title (es-ES): SIDHistory

Description (es-ES): Al hacer migraciones se le puede atribuir una doble identidad. Puede tener efectos secundarios hasta el compromiso del dominio.

Check for local backdoor stored in SID History

Rule ID:

T-SIDHistorySameDomain

Description:

The purpose is to ensure that accounts are not linked for more privileged accounts in the same domain

Technical Explanation:

SID History is an attribute used in migration to link with a former account. It is not possible to have an account linked with an account belonging to the same domain. This can be analyzed by comparing the domain part of the SID History with the domain SID.

Advised Solution:

It is not possible to have this occurrence except if a user from domain A has been migrated to domain B and then migrated again to domain A. This should be strongly investigated as it may be linked to a compromise of the domain.

To remove the SIDHistory from a user account, run:
Get-ADUser USERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
For a group, run:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
For all users in a OU:
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Vérifier la porte dérobée locale stockée dans l'historique SID

Description:

Le but est de s'assurer que les comptes ne sont pas liés à des comptes plus privilégiés dans le même domaine

Technical Explanation:

L'historique SID est un attribut utilisé dans la migration pour établir un lien avec un ancien compte. Il n'est pas possible d'avoir un compte lié à un compte appartenant au même domaine. Cela peut être analysé en comparant la partie domaine de l'historique SID avec le domaine SID.

Advised Solution:

Il n'est pas possible d'avoir cet événement sauf si un utilisateur du domaine A a été migré vers le domaine B, puis migré à nouveau vers le domaine A. Cela doit être sérieusement étudié car il peut être lié à une compromission du domaine.

Pour supprimer SIDHistory d'un compte utilisateur, exécutez :
Get-ADUser USERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Pour un groupe, exécutez :
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Pour tous les utilisateurs d'une unité d'organisation :
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Suchen Sie nach lokaler Hintertür, die im SID-Verlauf gespeichert ist

Description:

Damit soll sichergestellt werden, dass Konten nicht mit privilegierteren Konten in derselben Domäne verknüpft werden

Technical Explanation:

Der SID-Verlauf ist ein Attribut, das bei der Migration verwendet wird, um eine Verknüpfung mit einem früheren Konto herzustellen. Es ist nicht möglich, ein Konto mit einem Konto zu verknüpfen, das zur selben Domain gehört. Dies kann analysiert werden, indem der Domänenteil der SID-Historie mit der Domänen-SID verglichen wird.

Advised Solution:

Dieses Vorkommnis ist nur dann möglich, wenn ein Benutzer von Domäne A zu Domäne B und dann erneut zu Domäne A migriert wurde. Dies sollte gründlich untersucht werden, da es möglicherweise mit einer Kompromittierung der Domäne verbunden ist.

Um die SIDHistory von einem Benutzerkonto zu entfernen, führen Sie Folgendes aus:
Get-ADUser BENUTZERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Führen Sie für eine Gruppe Folgendes aus:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Für alle Benutzer in einer OU:
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Verifique la puerta trasera local almacenada en el historial de SID

Description:

El propósito es garantizar que las cuentas no estén vinculadas a cuentas con más privilegios en el mismo dominio.

Technical Explanation:

SID History es un atributo que se usa en la migración para vincular con una cuenta anterior. No es posible tener una cuenta vinculada con una cuenta perteneciente al mismo dominio. Esto se puede analizar comparando la parte del dominio del historial de SID con el SID del dominio.

Advised Solution:

No es posible que ocurra esto, excepto si un usuario del dominio A se migró al dominio B y luego migró nuevamente al dominio A. Esto debe investigarse a fondo, ya que puede estar relacionado con un compromiso del dominio.

Para eliminar SIDHistory de una cuenta de usuario, ejecute:
Get-ADUser NOMBRE DE USUARIO -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Para un grupo, ejecute:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Para todos los usuarios en una unidad organizativa:
Get-ADUser -SearchBase "OU=Cuentas,DC=midominio,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Points:

50 points if present

Documentation:

[MITRE]T1134.005 Access Token Manipulation: SID-History Injection
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R15 [paragraph.3.3.1.5]
[FR]ANSSI - Accounts or groups with SID history set (vuln3_sidhistory_present)3

Check if a migration is in progress

Rule ID:

S-Domain$$$

Description:

The purpose is to ensure that the SID History creation is not enabled

Technical Explanation:

To migrate accounts to another domain, the attribute SID History should be added to the new account. Despite the fact that numerous hacking tools such as mimikatz allows the creation of the SID History attribute, its official creation requires the presence of a special auditing group named DOMAIN-$$$, for example TEST-$$$ for the TEST domain.

Advised Solution:

If a migration is in progress, declare it in PingCastle so this rule won't be triggered. Else, remove this auditing group. You can locate it by using the LDAP query (sAMAccountName=*$$$)

Title:

Vérifier si une migration est en cours

Description:

Le but est de s'assurer que la création de l'historique SID n'est pas activée

Technical Explanation:

Pour migrer des comptes vers un autre domaine, l'attribut SID History doit être ajouté au nouveau compte. Malgré le fait que de nombreux outils de piratage tels que mimikatz permettent la création de l'attribut SID History, sa création officielle nécessite la présence d'un groupe d'audit spécial nommé DOMAIN-$$$, par exemple TEST-$$$ pour le domaine TEST.

Advised Solution:

Si une migration est en cours, déclarez-la dans PingCastle afin que cette règle ne soit pas déclenchée. Sinon, supprimez ce groupe d'audit. Vous pouvez le localiser en utilisant la requête LDAP (sAMAccountName=*$$$)

Title:

Überprüfen Sie, ob eine Migration durchgeführt wird

Description:

Damit soll sichergestellt werden, dass die Erstellung des SID-Verlaufs nicht aktiviert ist

Technical Explanation:

Um Konten zu einer anderen Domäne zu migrieren, sollte dem neuen Konto das Attribut SID-Verlauf hinzugefügt werden. Trotz der Tatsache, dass zahlreiche Hacking-Tools wie mimikatz die Erstellung des SID-Verlaufsattributs ermöglichen, erfordert seine offizielle Erstellung die Anwesenheit einer speziellen Prüfgruppe namens DOMAIN-$$$, zum Beispiel TEST-$$$ für die TEST-Domäne.

Advised Solution:

Wenn eine Migration im Gange ist, deklarieren Sie sie in PingCastle, damit diese Regel nicht ausgelöst wird. Andernfalls entfernen Sie diese Überwachungsgruppe. Sie können es finden, indem Sie die LDAP-Abfrage verwenden (sAMAccountName=*$$$)

Title:

Comprobar si hay una migración en curso

Description:

El propósito es garantizar que la creación del historial de SID no esté habilitada

Technical Explanation:

Para migrar cuentas a otro dominio, se debe agregar el atributo SID History a la nueva cuenta. A pesar de que numerosas herramientas de hacking como mimikatz permiten la creación del atributo SID History, su creación oficial requiere la presencia de un grupo de auditoría especial llamado DOMAIN-$$$, por ejemplo TEST-$$$ para el dominio TEST.

Advised Solution:

Si hay una migración en curso, declárela en PingCastle para que esta regla no se active. De lo contrario, elimine este grupo de auditoría. Puede localizarlo utilizando la consulta LDAP (sAMAccountName=*$$$)

Points:

5 points if present

Documentation:

[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R15 [paragraph.3.3.1.5]
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management

Check if dangerous SID are stored in the SIDHistory attribute.

Rule ID:

T-SIDHistoryDangerous

Description:

The purpose is to ensure that the dangerous SID are not stored in the SIDHistory attribute.

Technical Explanation:

SID History is an attribute used in migration to link with a former account.
This rule checks for SID not coming from a former domain (such as SYSTEM) or from a former domain but having a RID (the last part of the SID) lower than 1000.
Indeed, native privileged accounts have a SID lower than 1000.
A list of Well Known SID is referenced in the documentation below.

Advised Solution:

Identify the account, computer or group having these dangerous SID set in SID History, then clean it up by editing directly the SIDHistory attribute of the underlying AD object.

To remove the SIDHistory from a user account, run:
Get-ADUser USERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
For a group, run:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
For all users in a OU:
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Vérifiez si des SID dangereux sont stockés dans l'attribut SIDHistory.

Description:

Le but est de s'assurer que les SID dangereux ne sont pas stockés dans l'attribut SIDHistory.

Technical Explanation:

L'historique SID est un attribut utilisé dans la migration pour établir un lien avec un ancien compte.
Cette règle vérifie les SID ne provenant pas d'un ancien domaine (tel que SYSTEM) ou d'un ancien domaine mais ayant un RID (la dernière partie du SID) inférieur à 1000.
En effet, les comptes privilégiés natifs ont un SID inférieur à 1000.
Une liste de SID bien connus est référencée dans la documentation ci-dessous.

Advised Solution:

Identifiez le compte, l'ordinateur ou le groupe dont ces SID dangereux sont définis dans l'historique des SID, puis nettoyez-le en modifiant directement l'attribut SIDHistory de l'objet AD sous-jacent.

Pour supprimer SIDHistory d'un compte utilisateur, exécutez :
Get-ADUser USERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Pour un groupe, exécutez :
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Pour tous les utilisateurs d'une unité d'organisation :
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Überprüfen Sie, ob gefährliche SIDs im SIDHistory-Attribut gespeichert sind.

Description:

Damit soll sichergestellt werden, dass die gefährliche SID nicht im SIDHistory-Attribut gespeichert wird.

Technical Explanation:

Der SID-Verlauf ist ein Attribut, das bei der Migration verwendet wird, um eine Verknüpfung mit einem früheren Konto herzustellen.
Diese Regel prüft, ob die SID nicht von einer früheren Domäne (z. B. SYSTEM) oder von einer früheren Domäne stammt, aber eine RID (der letzte Teil der SID) kleiner als 1000 hat.
Tatsächlich haben native privilegierte Konten eine SID von weniger als 1000.
Auf eine Liste bekannter SIDs wird in der folgenden Dokumentation verwiesen.

Advised Solution:

Identifizieren Sie das Konto, den Computer oder die Gruppe mit diesen gefährlichen SIDs im SID-Verlauf und bereinigen Sie sie, indem Sie direkt das SIDHistory-Attribut des zugrunde liegenden AD-Objekts bearbeiten.

Um die SIDHistory von einem Benutzerkonto zu entfernen, führen Sie Folgendes aus:
Get-ADUser BENUTZERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Führen Sie für eine Gruppe Folgendes aus:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Für alle Benutzer in einer OU:
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Compruebe si los SID peligrosos están almacenados en el atributo SIDHistory.

Description:

El propósito es garantizar que los SID peligrosos no se almacenen en el atributo SIDHistory.

Technical Explanation:

SID History es un atributo que se usa en la migración para vincular con una cuenta anterior.
Esta regla verifica que el SID no provenga de un dominio anterior (como SYSTEM) o de un dominio anterior pero que tenga un RID (la última parte del SID) inferior a 1000.
De hecho, las cuentas privilegiadas nativas tienen un SID inferior a 1000.
En la siguiente documentación se hace referencia a una lista de SID conocidos.

Advised Solution:

Identifique la cuenta, la computadora o el grupo que tiene estos SID peligrosos configurados en SID History, luego límpielo editando directamente el atributo SIDHistory del objeto AD subyacente.

Para eliminar SIDHistory de una cuenta de usuario, ejecute:
Get-ADUser NOMBRE DE USUARIO -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Para un grupo, ejecute:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Para todos los usuarios en una unidad organizativa:
Get-ADUser -SearchBase "OU=Cuentas,DC=midominio,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Introduced in:

2.9.0.0

Points:

10 points if present

Documentation:

https://support.microsoft.com/en-us/help/243330/well-known-security-identifiers-in-windows-operating-systems
[FR]ANSSI - Accounts or groups with unexpected SID history (vuln2_sidhistory_dangerous)2
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[MITRE]T1134.005 Access Token Manipulation: SID-History Injection
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R15 [paragraph.3.3.1.5]

Check if the account has been migrated from a domain which doesn't exist anymore

Rule ID:

T-SIDHistoryUnknownDomain

Description:

The purpose is to ensure that every account having an SID History is part of an active migration.

Technical Explanation:

When accounts are migrated from one domain to another, the attribute SID History can be appended to the new account to keep track of its former account. The origin can be tracked by removing the last digit of the SID to guess the SID of the origin domain. If the SID of the origin domain cannot be resolved, that means that the domain has been removed and as consequence that the SID History is not needed. This SID History information can be used to give additional rights and thus alter the real security rights.

Advised Solution:

Each security descriptor of the domain (including file shares for example) should be reviewed to be rewritten with the new SID of the account. Then the SID History attribute should be removed.

Please note that once the SID History has been removed, it cannot be added back again without doing a real migration. Possibly hacking tools such as mimikatz could be used to undo a deletion with for example the lsadump::dcshadow attack.

To remove the SIDHistory from a user account, run:
Get-ADUser USERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
For a group, run:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
For all users in a OU:
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Vérifier si le compte a été migré depuis un domaine qui n'existe plus

Description:

Le but est de s'assurer que chaque compte ayant un historique SID fait partie d'une migration active.

Technical Explanation:

Lorsque les comptes sont migrés d'un domaine à un autre, l'attribut SID History peut être ajouté au nouveau compte pour garder une trace de son ancien compte. L'origine peut être suivie en supprimant le dernier chiffre du SID pour deviner le SID du domaine d'origine. Si le SID du domaine d'origine ne peut pas être résolu, cela signifie que le domaine a été supprimé et par conséquent que l'historique SID n'est pas nécessaire. Ces informations d'historique SID peuvent être utilisées pour donner des droits supplémentaires et ainsi modifier les droits de sécurité réels.

Advised Solution:

Chaque descripteur de sécurité du domaine (y compris les partages de fichiers par exemple) doit être revu pour être réécrit avec le nouveau SID du compte. Ensuite, l'attribut SID History doit être supprimé.

Veuillez noter qu'une fois l'historique SID supprimé, il ne peut pas être rajouté sans effectuer une véritable migration. Des outils de piratage tels que mimikatz pourraient éventuellement être utilisés pour annuler une suppression avec par exemple l'attaque lsadump::dcshadow.

Pour supprimer SIDHistory d'un compte utilisateur, exécutez :
Get-ADUser USERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Pour un groupe, exécutez :
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Pour tous les utilisateurs d'une unité d'organisation :
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Überprüfen Sie, ob das Konto von einer Domain migriert wurde, die nicht mehr existiert

Description:

Damit soll sichergestellt werden, dass jedes Konto mit einem SID-Verlauf Teil einer aktiven Migration ist.

Technical Explanation:

Wenn Konten von einer Domäne zu einer anderen migriert werden, kann das Attribut SID-Verlauf an das neue Konto angehängt werden, um das vorherige Konto zu verfolgen. Der Ursprung kann nachverfolgt werden, indem die letzte Ziffer der SID entfernt wird, um die SID der Ursprungsdomäne zu erraten. Wenn die SID der Ursprungsdomäne nicht aufgelöst werden kann, bedeutet dies, dass die Domäne entfernt wurde und folglich der SID-Verlauf nicht benötigt wird. Diese SID-Verlaufsinformationen können verwendet werden, um zusätzliche Rechte zu vergeben und somit die tatsächlichen Sicherheitsrechte zu ändern.

Advised Solution:

Jede Sicherheitsbeschreibung der Domäne (z. B. einschließlich Dateifreigaben) sollte überprüft werden, um mit der neuen SID des Kontos neu geschrieben zu werden. Dann sollte das SID-Verlaufsattribut entfernt werden.

Bitte beachten Sie, dass der einmal entfernte SID-Verlauf nicht wieder hinzugefügt werden kann, ohne eine echte Migration durchzuführen. Möglicherweise könnten Hacker-Tools wie mimikatz verwendet werden, um eine Löschung beispielsweise mit dem lsadump::dcshadow-Angriff rückgängig zu machen.

Um die SIDHistory von einem Benutzerkonto zu entfernen, führen Sie Folgendes aus:
Get-ADUser BENUTZERNAME -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Führen Sie für eine Gruppe Folgendes aus:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Für alle Benutzer in einer OU:
Get-ADUser -SearchBase "OU=Accounts,DC=mydomain,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Title:

Compruebe si la cuenta se ha migrado desde un dominio que ya no existe

Description:

El propósito es garantizar que todas las cuentas que tengan un historial de SID formen parte de una migración activa.

Technical Explanation:

Cuando las cuentas se migran de un dominio a otro, el atributo SID History se puede agregar a la nueva cuenta para realizar un seguimiento de su cuenta anterior. El origen se puede rastrear eliminando el último dígito del SID para adivinar el SID del dominio de origen. Si el SID del dominio de origen no se puede resolver, eso significa que el dominio se ha eliminado y, como consecuencia, no se necesita el Historial de SID. Esta información del historial de SID se puede utilizar para otorgar derechos adicionales y, por lo tanto, alterar los derechos de seguridad reales.

Advised Solution:

Cada descriptor de seguridad del dominio (incluidos los archivos compartidos, por ejemplo) debe revisarse para reescribirse con el nuevo SID de la cuenta. Luego, el atributo SID History debe eliminarse.

Tenga en cuenta que una vez que se eliminó el historial de SID, no se puede volver a agregar sin realizar una migración real. Posiblemente se podrían usar herramientas de piratería como mimikatz para deshacer una eliminación con, por ejemplo, el ataque lsadump::dcshadow.

Para eliminar SIDHistory de una cuenta de usuario, ejecute:
Get-ADUser NOMBRE DE USUARIO -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}
Para un grupo, ejecute:
Get-ADGroup GROUPNAME -properties sidhistory | foreach {Set-ADGroup $_ -remove @{sidhistory=$_.sidhistory.value}}
Para todos los usuarios en una unidad organizativa:
Get-ADUser -SearchBase "OU=Cuentas,DC=midominio,DC=com" -Filter {sidhistory -like '*'} -properties sidhistory | foreach {Set-ADUser $_ -remove @{sidhistory=$_.sidhistory.value}}

Points:

10 points per discovery

Documentation:

[MITRE]T1134.005 Access Token Manipulation: SID-History Injection
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R15 [paragraph.3.3.1.5]
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Accounts or groups with SID history set (vuln3_sidhistory_present)3

Trust impermeability

A trust is a technical boundary which should not be altered.

Title (fr-FR): Trust impermeability

Description (fr-FR): Une confiance est une frontière technique qui ne doit pas être modifiée.

Title (de-DE): Trust impermeability

Description (de-DE): Ein Trust ist eine technische Grenze, die nicht geändert werden sollte.

Title (es-ES): Trust impermeability

Description (es-ES): Un fideicomiso es un límite técnico que no debe ser alterado.

Check if files deployed may be located in a trusted domain

Rule ID:

T-FileDeployedOutOfDomain

Description:

The purpose is to ensure that a compromised domain cannot use file deployed by GPO to compromise other domains

Technical Explanation:

Files deployed (Applications as msi, file copied by GPO, ...) can be stored in any file share available in the network and that includes trusted domains shares. If such file is located in a compromised domain, it can be used to compromise other domains.

Advised Solution:

Copy the file to a share located inside the domain and not in trusted domains.

Title:

Vérifier si les fichiers déployés peuvent se trouver dans un domaine de confiance

Description:

Le but est de s'assurer qu'un domaine compromis ne peut pas utiliser le fichier déployé par GPO pour compromettre d'autres domaines

Technical Explanation:

Les fichiers déployés (Applications en tant que msi, fichier copié par GPO, ...) peuvent être stockés dans n'importe quel partage de fichiers disponible sur le réseau et qui inclut des partages de domaines de confiance. Si un tel fichier se trouve dans un domaine compromis, il peut être utilisé pour compromettre d'autres domaines.

Advised Solution:

Copiez le fichier sur un partage situé à l'intérieur du domaine et non dans des domaines approuvés.

Title:

Überprüfen Sie, ob sich bereitgestellte Dateien möglicherweise in einer vertrauenswürdigen Domäne befinden

Description:

Der Zweck besteht darin, sicherzustellen, dass eine kompromittierte Domäne keine von GPO bereitgestellte Datei verwenden kann, um andere Domänen zu kompromittieren

Technical Explanation:

Bereitgestellte Dateien (Anwendungen als MSI, von GPO kopierte Datei, ...) können in jeder im Netzwerk verfügbaren Dateifreigabe gespeichert werden, einschließlich vertrauenswürdiger Domänenfreigaben. Wenn sich eine solche Datei in einer kompromittierten Domäne befindet, kann sie verwendet werden, um andere Domänen zu kompromittieren.

Advised Solution:

Kopieren Sie die Datei auf eine Freigabe innerhalb der Domäne und nicht in vertrauenswürdigen Domänen.

Title:

Compruebe si los archivos implementados pueden estar ubicados en un dominio confiable

Description:

El propósito es garantizar que un dominio comprometido no pueda usar un archivo implementado por GPO para comprometer otros dominios.

Technical Explanation:

Los archivos implementados (aplicaciones como msi, archivo copiado por GPO, ...) se pueden almacenar en cualquier recurso compartido de archivos disponible en la red y eso incluye recursos compartidos de dominios confiables. Si dicho archivo se encuentra en un dominio comprometido, puede usarse para comprometer otros dominios.

Advised Solution:

Copie el archivo en un recurso compartido ubicado dentro del dominio y no en dominios de confianza.

Introduced in:

2.7.0.0

Points:

10 points if present

Documentation:

[MITRE]T1210 Exploitation of Remote Services

Check if Kerberos delegation can be used to take control of the forest from a trusted forest

Rule ID:

T-TGTDelegation

Description:

The purpose is to ensure that a forest cannot be used to compromise another forest using Kerberos delegation

Technical Explanation:

A Forest trust is a link between two forests. By default, this trust is secure and prohibits SID History attacks.
However, it allows Kerberos delegation by default.
By configuring an uncontrainst delegation on forest A, an attacker located in forest A can collect admin or domain controller credentials, the TGT of the session, of the forest B.
This collection can be forced by using services such as the Print Spooler, enabled by default on all domain controllers.
Having collected this TGT, the attacker can then request access to other systems in forest B, by asking for a TGS given the TGT, and then gain control of the whole forest.

Advised Solution:

TGT Delegation on forest trusts should be disabled, except for migrations.
You can use netdom to turn the TGT delegation on forest trust OFF.
Example: netdom.exe trust fabrikam.com /domain:contoso.com /EnableTGTDelegation:No
As an alternative, you can locate the forest trust and change its LDAP trustattribute from the value 8 to the value 520.

The impact is to have non working services which relies on unconstrained delegation. Resource based delegation is not impacted.

See the official Microsoft recommendations and a script to find potentially impacted services in the links below.

Title:

Vérifier si la délégation Kerberos peut être utilisée pour prendre le contrôle de la forêt à partir d'une forêt approuvée

Description:

Le but est de s'assurer qu'une forêt ne peut pas être utilisée pour compromettre une autre forêt à l'aide de la délégation Kerberos

Technical Explanation:

Une approbation de forêt est un lien entre deux forêts. Par défaut, cette approbation est sécurisée et interdit les attaques d'historique SID.
Cependant, il autorise la délégation Kerberos par défaut.
En configurant une délégation sans contrainte sur la forêt A, un attaquant situé dans la forêt A peut récupérer les identifiants de l'administrateur ou du contrôleur de domaine, le TGT de la session, de la forêt B.
Cette collecte peut être forcée à l'aide de services tels que le spouleur d'impression, activé par défaut sur tous les contrôleurs de domaine.
Après avoir collecté ce TGT, l'attaquant peut alors demander l'accès à d'autres systèmes de la forêt B, en demandant un TGS compte tenu du TGT, puis prendre le contrôle de l'ensemble de la forêt.

Advised Solution:

La délégation TGT sur les approbations forestières doit être désactivée, sauf pour les migrations.
Vous pouvez utiliser netdom pour désactiver la délégation TGT sur l'approbation de la forêt.
Exemple : netdom.exe trust fabrikam.com /domain:contoso.com /EnableTGTDelegation:No
Comme alternative, vous pouvez localiser l'approbation de la forêt et modifier son attribut LDAP trust de la valeur 8 à la valeur 520.

L'impact est d'avoir des services non fonctionnels qui reposent sur une délégation sans contrainte. La délégation basée sur les ressources n'est pas affectée.

Consultez les recommandations officielles de Microsoft et un script pour trouver les services potentiellement concernés dans les liens ci-dessous.

Title:

Überprüfen Sie, ob die Kerberos-Delegierung verwendet werden kann, um die Kontrolle über die Gesamtstruktur von einer vertrauenswürdigen Gesamtstruktur zu übernehmen

Description:

Damit soll sichergestellt werden, dass eine Gesamtstruktur nicht dazu verwendet werden kann, eine andere Gesamtstruktur mithilfe der Kerberos-Delegierung zu kompromittieren

Technical Explanation:

Eine Gesamtstruktur-Vertrauensstellung ist eine Verbindung zwischen zwei Gesamtstrukturen. Standardmäßig ist diese Vertrauensstellung sicher und verhindert SID-Verlaufsangriffe.
Es erlaubt jedoch standardmäßig die Kerberos-Delegierung.
Durch Konfigurieren einer uneingeschränkten Delegierung für Gesamtstruktur A kann ein Angreifer in Gesamtstruktur A Administrator- oder Domänencontroller-Anmeldeinformationen, das TGT der Sitzung, der Gesamtstruktur B sammeln.
Diese Erfassung kann erzwungen werden, indem Dienste wie der Druckspooler verwendet werden, der standardmäßig auf allen Domänencontrollern aktiviert ist.
Nachdem er dieses TGT gesammelt hat, kann der Angreifer dann Zugriff auf andere Systeme in Gesamtstruktur B anfordern, indem er nach einem TGS mit dem TGT fragt, und dann die Kontrolle über die gesamte Gesamtstruktur erlangen.

Advised Solution:

Die TGT-Delegierung für Gesamtstruktur-Vertrauensstellungen sollte außer für Migrationen deaktiviert werden.
Sie können netdom verwenden, um die TGT-Delegierung für Gesamtstrukturvertrauen auf AUS zu schalten.
Beispiel: netdom.exe vertraut fabrikam.com /domain:contoso.com /EnableTGTDelegation:No
Alternativ können Sie den Forest Trust suchen und sein LDAP-Trust-Attribut vom Wert 8 auf den Wert 520 ändern.

Die Auswirkung besteht darin, nicht funktionierende Dienste zu haben, die auf uneingeschränkter Delegation beruhen. Die ressourcenbasierte Delegierung ist nicht betroffen.

Sehen Sie sich die offiziellen Microsoft-Empfehlungen und ein Skript an, um potenziell betroffene Dienste in den folgenden Links zu finden.

Title:

Compruebe si la delegación de Kerberos se puede usar para tomar el control del bosque desde un bosque de confianza

Description:

El propósito es garantizar que un bosque no se pueda usar para comprometer otro bosque mediante la delegación de Kerberos.

Technical Explanation:

Un fideicomiso forestal es un enlace entre dos bosques. De forma predeterminada, esta confianza es segura y prohíbe los ataques de SID History.
Sin embargo, permite la delegación de Kerberos de forma predeterminada.
Al configurar una delegación sin restricciones en el bosque A, un atacante ubicado en el bosque A puede recopilar credenciales de administrador o controlador de dominio, el TGT de la sesión, del bosque B.
Esta recopilación se puede forzar mediante el uso de servicios como Print Spooler, habilitado de forma predeterminada en todos los controladores de dominio.
Habiendo recopilado este TGT, el atacante puede solicitar acceso a otros sistemas en el bosque B, solicitando un TGS dado el TGT, y luego obtener el control de todo el bosque.

Advised Solution:

La delegación de TGT en fideicomisos de bosques debe estar deshabilitada, excepto para las migraciones.
Puede usar netdom para desactivar la delegación de TGT en la confianza del bosque.
Ejemplo: netdom.exe trust fabrikam.com /domain:contoso.com /EnableTGTDelegation:No
Como alternativa, puede ubicar la confianza del bosque y cambiar su atributo de confianza LDAP del valor 8 al valor 520.

El impacto es tener servicios que no funcionan y que se basan en una delegación sin restricciones. La delegación basada en recursos no se ve afectada.

Consulte las recomendaciones oficiales de Microsoft y un script para encontrar servicios potencialmente afectados en los enlaces a continuación.

Introduced in:

2.7.0.0

Points:

10 points per discovery

Documentation:

http://www.harmj0y.net/blog/redteaming/not-a-security-boundary-breaking-forest-trusts/
https://techcommunity.microsoft.com/t5/Premier-Field-Engineering/Changes-to-Ticket-Granting-Ticket-TGT-Delegation-Across-Trusts/ba-p/440283/tab/rich
https://support.microsoft.com/en-us/help/4490425/updates-to-tgt-delegation-across-incoming-trusts-in-windows-server
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[FR]ANSSI - Inbound trust relationships with delegation (vuln3_trusts_tgt_deleg)3
[MITRE]T1187 Forced Authentication

Check if login scripts may be located in a trusted domain

Rule ID:

T-ScriptOutOfDomain

Description:

The purpose is to ensure that a compromised domain cannot use scripts located in it to compromise other domains

Technical Explanation:

Login scripts can be stored in any file share available in the network and that includes trusted domains shares. If a login script is located in a compromise domain, it can be used to compromise other domains.

Advised Solution:

Copy the login script to a share located inside the domain and not in trusted domains.

Title:

Vérifiez si les scripts de connexion peuvent se trouver dans un domaine de confiance

Description:

Le but est de s'assurer qu'un domaine compromis ne peut pas utiliser les scripts qui s'y trouvent pour compromettre d'autres domaines

Technical Explanation:

Les scripts de connexion peuvent être stockés dans n'importe quel partage de fichiers disponible sur le réseau et qui inclut des partages de domaines approuvés. Si un script de connexion se trouve dans un domaine compromis, il peut être utilisé pour compromettre d'autres domaines.

Advised Solution:

Copiez le script de connexion sur un partage situé à l'intérieur du domaine et non dans des domaines approuvés.

Title:

Überprüfen Sie, ob sich Anmeldeskripte möglicherweise in einer vertrauenswürdigen Domäne befinden

Description:

Damit soll sichergestellt werden, dass eine kompromittierte Domäne keine darin enthaltenen Skripte verwenden kann, um andere Domänen zu kompromittieren

Technical Explanation:

Anmeldeskripts können in jeder im Netzwerk verfügbaren Dateifreigabe gespeichert werden, einschließlich vertrauenswürdiger Domänenfreigaben. Wenn sich ein Anmeldeskript in einer kompromittierten Domäne befindet, kann es verwendet werden, um andere Domänen zu kompromittieren.

Advised Solution:

Kopieren Sie das Anmeldeskript auf eine Freigabe innerhalb der Domäne und nicht in vertrauenswürdigen Domänen.

Title:

Compruebe si los scripts de inicio de sesión pueden estar ubicados en un dominio de confianza

Description:

El propósito es garantizar que un dominio comprometido no pueda usar scripts ubicados en él para comprometer otros dominios.

Technical Explanation:

Los scripts de inicio de sesión se pueden almacenar en cualquier recurso compartido de archivos disponible en la red y eso incluye recursos compartidos de dominios de confianza. Si un script de inicio de sesión se encuentra en un dominio comprometido, se puede usar para comprometer otros dominios.

Advised Solution:

Copie el script de inicio de sesión en un recurso compartido ubicado dentro del dominio y no en dominios de confianza.

Points:

10 points if present

Documentation:

[MITRE]T1210 Exploitation of Remote Services

Trust inactive

Any trust introduces a risk. The secret used for the trust can be exposed to take control of the domain.

Title (fr-FR): Trust inactive

Description (fr-FR): Toute confiance présente un risque. Le secret utilisé pour la confiance peut être exposé pour prendre le contrôle du domaine.

Title (de-DE): Trust inactive

Description (de-DE): Jedes Vertrauen birgt ein Risiko. Das für die Vertrauensstellung verwendete Geheimnis kann offengelegt werden, um die Kontrolle über die Domäne zu übernehmen.

Title (es-ES): Trust inactive

Description (es-ES): Cualquier fideicomiso introduce un riesgo. El secreto utilizado para la confianza se puede exponer para tomar el control del dominio.

Check for inactive trusts

Rule ID:

T-Inactive

Description:

The purpose is to verify that every trust has a remote domain which is active.

Technical Explanation:

When a trust is active, it is using a shared secret to communicate to a domain. This secret is hold in a special account whose name is the remote domain name. This password is changed every month and as consequence the whenChanged attribute of this account is changed. When there is no modification of the whenChanged attribute, it can be guessed that the secret has not been changed and that there was either a problem with the remote domain or that the remote domain does not exist anymore.

Advised Solution:

Check for network connectivity issues from the remote domain or if the remote domain still exists. If it doesn't exist anymore, the trust should be removed. Otherwise, the secret used by the trust can be used to issue fake Kerberos tickets and be used as a backdoor.

Title:

Vérifier les fiducies inactives

Description:

Le but est de vérifier que chaque approbation a un domaine distant qui est actif.

Technical Explanation:

Lorsqu'une approbation est active, elle utilise un secret partagé pour communiquer avec un domaine. Ce secret est détenu dans un compte spécial dont le nom est le nom de domaine distant. Ce mot de passe est changé tous les mois et par conséquent l'attribut whenChanged de ce compte est modifié. Lorsqu'il n'y a pas de modification de l'attribut whenChanged, on peut deviner que le secret n'a pas été changé et qu'il y a eu soit un problème avec le domaine distant, soit que le domaine distant n'existe plus.

Advised Solution:

Vérifiez les problèmes de connectivité réseau du domaine distant ou si le domaine distant existe toujours. S'il n'existe plus, la confiance doit être supprimée. Sinon, le secret utilisé par la confiance peut être utilisé pour émettre de faux tickets Kerberos et être utilisé comme porte dérobée.

Title:

Suchen Sie nach inaktiven Vertrauensstellungen

Description:

Der Zweck besteht darin, zu überprüfen, ob jede Vertrauensstellung eine aktive Remotedomäne hat.

Technical Explanation:

Wenn eine Vertrauensstellung aktiv ist, verwendet sie ein gemeinsames Geheimnis, um mit einer Domäne zu kommunizieren. Dieses Geheimnis wird in einem speziellen Konto gespeichert, dessen Name der Remotedomänenname ist. Dieses Passwort wird jeden Monat geändert und als Folge davon wird das whenChanged-Attribut dieses Kontos geändert. Wenn das whenChanged-Attribut nicht geändert wird, kann davon ausgegangen werden, dass das Geheimnis nicht geändert wurde und entweder ein Problem mit der Remotedomäne aufgetreten ist oder dass die Remotedomäne nicht mehr existiert.

Advised Solution:

Suchen Sie nach Netzwerkkonnektivitätsproblemen von der Remotedomäne oder ob die Remotedomäne noch vorhanden ist. Wenn es nicht mehr existiert, sollte das Vertrauen entfernt werden. Andernfalls kann das vom Vertrauen verwendete Geheimnis zum Ausstellen gefälschter Kerberos-Tickets und als Hintertür verwendet werden.

Title:

Comprobar fideicomisos inactivos

Description:

El propósito es verificar que cada confianza tenga un dominio remoto que esté activo.

Technical Explanation:

Cuando una confianza está activa, utiliza un secreto compartido para comunicarse con un dominio. Este secreto se mantiene en una cuenta especial cuyo nombre es el nombre de dominio remoto. Esta contraseña se cambia cada mes y como consecuencia se cambia el atributo whenChanged de esta cuenta. Cuando no hay modificación del atributo whenChanged, se puede adivinar que el secreto no ha cambiado y que hubo un problema con el dominio remoto o que el dominio remoto ya no existe.

Advised Solution:

Compruebe si hay problemas de conectividad de red desde el dominio remoto o si el dominio remoto todavía existe. Si ya no existe, la confianza debe eliminarse. De lo contrario, el secreto utilizado por la confianza se puede utilizar para emitir vales de Kerberos falsos y utilizarse como puerta trasera.

Points:

20 points if present

Documentation:

https://msdn.microsoft.com/fr-fr/library/ms680921(v=vs.85).aspx
[MITRE]T1557 Man-in-the-Middle
[FR]ANSSI - Trust account passwords unchanged for more than a year (vuln2_trusts_accounts)2

Trust with Azure

The link with Azure Systems may create new compromise methods between the cloud and on-premise systems.

Title (fr-FR): Trust with Azure

Description (fr-FR): Le lien avec Azure Systems peut créer de nouvelles méthodes de compromis entre le cloud et les systèmes sur site.

Title (de-DE): Trust with Azure

Description (de-DE): Die Verbindung mit Azure-Systemen kann neue Kompromissmethoden zwischen der Cloud und lokalen Systemen schaffen.

Title (es-ES): Trust with Azure

Description (es-ES): El enlace con Azure Systems puede crear nuevos métodos de compromiso entre la nube y los sistemas locales.

Check if password rotation is in place with AzureAD SSO

Rule ID:

T-AzureADSSO

Description:

The purpose is to check that password rotation is in place with Azure AD SSO

Technical Explanation:

AzureAD SSO is performed using a gateway. This gateway converts a Kerberos TGS ticket to a SAML ticket.
In short, a connection is made to the computer account AZUREADSSOACC and the secret of this user account is used as a shared secret with AzureAD.
Despite the fact that this computer account should have its password automatically changed every 30 days, it did not happen.
That means that an extraction of its password (using DCSync for example) can lead to an AzureAD compromise.

Advised Solution:

Run the script referenced in the documentation below to change the password of the account AZUREADSSOACC.

Title:

Vérifier si la rotation des mots de passe est en place avec AzureAD SSO

Description:

Le but est de vérifier que la rotation des mots de passe est en place avec Azure AD SSO

Technical Explanation:

AzureAD SSO est exécuté à l'aide d'une passerelle. Cette passerelle convertit un ticket Kerberos TGS en ticket SAML.
En résumé, une connexion est établie avec le compte d'ordinateur AZUREADSSOACC et le secret de ce compte utilisateur est utilisé comme secret partagé avec AzureAD.
Malgré le fait que ce compte d'ordinateur devait voir son mot de passe changé automatiquement tous les 30 jours, cela ne s'est pas produit.
Cela signifie qu'une extraction de son mot de passe (à l'aide de DCSync par exemple) peut conduire à une compromission AzureAD.

Advised Solution:

Exécutez le script référencé dans la documentation ci-dessous pour changer le mot de passe du compte AZUREADSSOACC.

Title:

Überprüfen Sie, ob die Kennwortrotation mit AzureAD SSO eingerichtet ist

Description:

Der Zweck besteht darin, zu überprüfen, ob die Kennwortrotation mit Azure AD SSO vorhanden ist

Technical Explanation:

AzureAD SSO wird mithilfe eines Gateways ausgeführt. Dieses Gateway konvertiert ein Kerberos-TGS-Ticket in ein SAML-Ticket.
Kurz gesagt, es wird eine Verbindung zum Computerkonto AZUREADSSOACC hergestellt und das Geheimnis dieses Benutzerkontos als gemeinsames Geheimnis mit AzureAD verwendet.
Obwohl das Kennwort dieses Computerkontos alle 30 Tage automatisch geändert werden sollte, ist dies nicht geschehen.
Das bedeutet, dass eine Extraktion seines Passworts (z. B. mit DCSync) zu einer AzureAD-Kompromittierung führen kann.

Advised Solution:

Führen Sie das Skript aus, auf das in der folgenden Dokumentation verwiesen wird, um das Kennwort des Kontos AZUREADSSOACC zu ändern.

Title:

Compruebe si la rotación de contraseñas está en su lugar con AzureAD SSO

Description:

El propósito es verificar que la rotación de contraseñas esté en su lugar con Azure AD SSO

Technical Explanation:

AzureAD SSO se realiza mediante una puerta de enlace. Esta puerta de enlace convierte un vale Kerberos TGS en un vale SAML.
En resumen, se realiza una conexión a la cuenta de la computadora AZUREADSSOACC y el secreto de esta cuenta de usuario se usa como un secreto compartido con AzureAD.
A pesar de que esta cuenta de computadora debería tener su contraseña cambiada automáticamente cada 30 días, no sucedió.
Eso significa que una extracción de su contraseña (usando DCSync por ejemplo) puede conducir a un compromiso de AzureAD.

Advised Solution:

Ejecute el script al que se hace referencia en la documentación a continuación para cambiar la contraseña de la cuenta AZUREADSSOACC.

Points:

20 points if present

Documentation:

https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-sso-faq#how-can-i-roll-over-the-kerberos-decryption-key- de-la-cuenta-de-la-computadora-azureadssoacc
https://itpro-tips.com/wp-content/uploads/files/TechnetGallery/Azure-AD-SSO-Key-Rollover-d2f1604a.zip
https://www.dsinternals.com/en/impersonating-office-365-users-mimikatz/
[FR]ANSSI - Trust account passwords unchanged for more than a year (vuln2_trusts_accounts)2
[MITRE]T1003 OS Credential Dumping

Anomalies

Each line represents a rule. Click on a rule to expand it and show the details of it.

Audit

The default audit policy of Windows does not collect key events to trace activities or discover past compromise.

Title (fr-FR): Audit

Description (fr-FR): La stratégie d'audit par défaut de Windows ne collecte pas les événements clés pour suivre les activités ou découvrir les compromis passés.

Title (de-DE): Audit

Description (de-DE): Die standardmäßige Überwachungsrichtlinie von Windows erfasst keine wichtigen Ereignisse, um Aktivitäten nachzuverfolgen oder frühere Kompromittierungen zu entdecken.

Title (es-ES): Audit

Description (es-ES): La política de auditoría predeterminada de Windows no recopila eventos clave para rastrear actividades o descubrir compromisos anteriores.

Check if PowerShell logging is enabled.

Rule ID:

A-AuditPowershell

Description:

The purpose is to ensure that PowerShell logging is enabled.

Technical Explanation:

PowerShell is a powerful language, also used by hackers because of this quality. Hackers are able to run programs such as mimikatz in memory using obfuscated commands such as Invoke–Mimikatz.
Because there is no artefact on the disk, the incident response task is difficult for the forensic analysts.
For this reason, we recommend to enable PowerShell logging via a group policy, despite the fact that these security settings may be part of the workstation or server images.

Advised Solution:

Go to Computer Configuration -> Administrative Templates -> Windows Components -> Windows PowerShell
And enable "Turn on Module logging" and "Turn on PowerShell Script Block logging"
We recommend to set "*" as the module list.

Title:

Vérifiez si la journalisation PowerShell est activée.

Description:

Le but est de s'assurer que la journalisation PowerShell est activée.

Technical Explanation:

PowerShell est un langage puissant, également utilisé par les pirates en raison de cette qualité. Les pirates sont capables d'exécuter des programmes tels que mimikatz en mémoire à l'aide de commandes obscurcies telles que Invoke–Mimikatz.
Comme il n'y a aucun artefact sur le disque, la tâche de réponse aux incidents est difficile pour les analystes judiciaires.
Pour cette raison, nous recommandons d'activer la journalisation PowerShell via une stratégie de groupe, malgré le fait que ces paramètres de sécurité peuvent faire partie des images du poste de travail ou du serveur.

Advised Solution:

Accédez à Configuration ordinateur -> Modèles d'administration -> Composants Windows -> Windows PowerShell
Et activez "Activer la journalisation du module" et "Activer la journalisation du bloc de script PowerShell"
Nous vous recommandons de définir "*" comme liste de modules.

Title:

Überprüfen Sie, ob die PowerShell-Protokollierung aktiviert ist.

Description:

Der Zweck besteht darin, sicherzustellen, dass die PowerShell-Protokollierung aktiviert ist.

Technical Explanation:

PowerShell ist eine mächtige Sprache, die aufgrund dieser Eigenschaft auch von Hackern verwendet wird. Hacker können Programme wie Mimikatz mit verschleierten Befehlen wie Invoke–Mimikatz im Arbeitsspeicher ausführen.
Da sich auf der Festplatte kein Artefakt befindet, ist die Aufgabe zur Reaktion auf Vorfälle für die forensischen Analysten schwierig.
Aus diesem Grund empfehlen wir, die PowerShell-Protokollierung über eine Gruppenrichtlinie zu aktivieren, obwohl diese Sicherheitseinstellungen Teil der Arbeitsstations- oder Server-Images sein können.

Advised Solution:

Gehen Sie zu Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows PowerShell
Und aktivieren Sie "Modulprotokollierung aktivieren" und "PowerShell-Skriptblockprotokollierung aktivieren".
Wir empfehlen als Modulliste "*" einzustellen.

Title:

Compruebe si el registro de PowerShell está habilitado.

Description:

El propósito es garantizar que el registro de PowerShell esté habilitado.

Technical Explanation:

PowerShell es un lenguaje poderoso, también utilizado por piratas informáticos debido a esta cualidad. Los piratas informáticos pueden ejecutar programas como mimikatz en la memoria utilizando comandos ofuscados como Invoke-Mimikatz.
Debido a que no hay artefactos en el disco, la tarea de respuesta a incidentes es difícil para los analistas forenses.
Por este motivo, recomendamos habilitar el registro de PowerShell a través de una política de grupo, a pesar de que esta configuración de seguridad puede ser parte de las imágenes de la estación de trabajo o del servidor.

Advised Solution:

Vaya a Configuración de la computadora -> Plantillas administrativas -> Componentes de Windows -> Windows PowerShell
Y habilite "Activar el registro del módulo" y "Activar el registro del bloque de secuencias de comandos de PowerShell"
Recomendamos establecer "*" como la lista de módulos.

Introduced in:

2.8.0.0

Points:

Informative rule (0 point)

Documentation:

https://adsecurity.org/?p=2604
https://docs.microsoft.com/en-us/powershell/scripting/wmf/whats-new/script-logging?view=powershell-6
[US]STIG V-68819 - PowerShell script block logging must be enabled
[MITRE]Mitre Att&ck - Mitigation - Audit

Check if there is the expected audit policy on domain controllers.

Rule ID:

A-AuditDC

Description:

The purpose is to ensure that the audit policy on domain controllers collects the right set of events.

Technical Explanation:

To detect and mitigate an attack, the right set of events need to be collected.
The audit policy is a compromise between too much and too few events to collect.
To solve this problem, the suggested audit policy from adsecurity.org is checked against the audit policy in place.

Advised Solution:

Identify the Audit settings to apply and fix them.
Be aware that there are two places for audit settings.
For "Simple" audit configuration:
in Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policies
For "Advanced" audit configuration:
in Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Policy Configuration
Also be sure that the audit GPO is applied to all domain controllers, as the underlying object may be in a OU where the GPO is not applied.

Title:

Vérifiez s'il existe la stratégie d'audit attendue sur les contrôleurs de domaine.

Description:

L'objectif est de s'assurer que la stratégie d'audit sur les contrôleurs de domaine collecte le bon ensemble d'événements.

Technical Explanation:

Pour détecter et atténuer une attaque, le bon ensemble d'événements doit être collecté.
La stratégie d'audit est un compromis entre trop et trop peu d'événements à collecter.
Pour résoudre ce problème, la politique d'audit suggérée par adsecurity.org est vérifiée par rapport à la politique d'audit en place.

Advised Solution:

Identifiez les paramètres d'audit à appliquer et corrigez-les.
Sachez qu'il existe deux emplacements pour les paramètres d'audit.
Pour la configuration d'audit "Simple" :
dans Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégies d'audit
Pour la configuration d'audit "Avancé" :
dans Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Configuration de stratégie d'audit avancée
Assurez-vous également que le GPO d'audit est appliqué à tous les contrôleurs de domaine, car l'objet sous-jacent peut se trouver dans une unité d'organisation où le GPO n'est pas appliqué.

Title:

Überprüfen Sie, ob die erwartete Überwachungsrichtlinie auf Domänencontrollern vorhanden ist.

Description:

Der Zweck besteht darin, sicherzustellen, dass die Überwachungsrichtlinie auf Domänencontrollern die richtigen Ereignisse erfasst.

Technical Explanation:

Um einen Angriff zu erkennen und abzuwehren, müssen die richtigen Ereignisse erfasst werden.
Die Überwachungsrichtlinie ist ein Kompromiss zwischen zu vielen und zu wenigen zu erfassenden Ereignissen.
Um dieses Problem zu lösen, wird die vorgeschlagene Überwachungsrichtlinie von adsecurity.org mit der vorhandenen Überwachungsrichtlinie verglichen.

Advised Solution:

Identifizieren Sie die anzuwendenden Überwachungseinstellungen und beheben Sie sie.
Beachten Sie, dass es zwei Stellen für Überwachungseinstellungen gibt.
Für "Einfache" Audit-Konfiguration:
in Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinien
Für die Audit-Konfiguration „Erweitert“:
in Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Erweiterte Überwachungsrichtlinienkonfiguration
Stellen Sie außerdem sicher, dass das Überwachungs-GPO auf alle Domänencontroller angewendet wird, da sich das zugrunde liegende Objekt möglicherweise in einer Organisationseinheit befindet, in der das GPO nicht angewendet wird.

Title:

Compruebe si existe la política de auditoría esperada en los controladores de dominio.

Description:

El propósito es garantizar que la política de auditoría en los controladores de dominio recopile el conjunto correcto de eventos.

Technical Explanation:

Para detectar y mitigar un ataque, se debe recopilar el conjunto correcto de eventos.
La política de auditoría es un compromiso entre demasiados y muy pocos eventos para recopilar.
Para resolver este problema, la política de auditoría sugerida por adsecurity.org se compara con la política de auditoría vigente.

Advised Solution:

Identifique las configuraciones de Auditoría para aplicar y corregirlas.
Tenga en cuenta que hay dos lugares para la configuración de auditoría.
Para la configuración de auditoría "Simple":
en Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Políticas de auditoría
Para la configuración de auditoría "Avanzada":
en Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Configuración de política de auditoría avanzada
Asegúrese también de que el GPO de auditoría se aplique a todos los controladores de dominio, ya que el objeto subyacente puede estar en una unidad organizativa donde no se aplica el GPO.

Introduced in:

2.8.0.0

Points:

10 points if present

Documentation:

https://adsecurity.org/?p=3299
[MITRE]Mitre Att&ck - Mitigation - Audit

Backup

Although Active Directory has been designed for redundancy, a backup process is key for a recovery plan.

Title (fr-FR): Backup

Description (fr-FR): Bien qu'Active Directory ait été conçu pour la redondance, un processus de sauvegarde est essentiel pour un plan de récupération.

Title (de-DE): Backup

Description (de-DE): Obwohl Active Directory auf Redundanz ausgelegt ist, ist ein Backup-Prozess der Schlüssel für einen Wiederherstellungsplan.

Title (es-ES): Backup

Description (es-ES): Aunque Active Directory se ha diseñado para la redundancia, un proceso de copia de seguridad es clave para un plan de recuperación.

Check for the last backup date according to Microsoft standard

Rule ID:

A-BackupMetadata

Description:

The purpose is to check if the backups are actually up to date in case they are needed. The alert can be triggered when a domain is backed up using non-recommended methods

Technical Explanation:

A verification is done on the backups, ensuring that the backup is performed according to Microsoft standards. Indeed, at each backup the DIT Database Partition Backup Signature is updated. If for any reasons, backups are needed to perform a rollback (rebuild a domain) or to track past changes, the backups will actually be up to date. This check is equivalent to a REPADMIN /showbackup *.

Advised Solution:

Plan AD backups based on Microsoft standards. These standards depend on the Operating System. For example with the wbadmin utility: wbadmin start systemstatebackup -backuptarget:d:

Title:

Vérifiez la date de la dernière sauvegarde selon la norme Microsoft

Description:

Le but est de vérifier si les sauvegardes sont réellement à jour au cas où elles seraient nécessaires. L'alerte peut être déclenchée lorsqu'un domaine est sauvegardé à l'aide de méthodes non recommandées

Technical Explanation:

Une vérification est effectuée sur les sauvegardes, garantissant que la sauvegarde est effectuée conformément aux normes Microsoft. En effet, à chaque sauvegarde, la signature de sauvegarde de la partition de la base de données DIT est mise à jour. Si, pour une raison quelconque, des sauvegardes sont nécessaires pour effectuer une restauration (reconstruire un domaine) ou pour suivre les modifications passées, les sauvegardes seront en fait à jour. Cette vérification équivaut à un REPADMIN /showbackup *.

Advised Solution:

Planifiez des sauvegardes AD basées sur les normes Microsoft. Ces normes dépendent du système d'exploitation. Par exemple avec l'utilitaire wbadmin : wbadmin start systemstatebackup -backuptarget:d :

Title:

Suchen Sie nach dem letzten Sicherungsdatum gemäß Microsoft-Standard

Description:

Der Zweck besteht darin, zu überprüfen, ob die Sicherungen tatsächlich auf dem neuesten Stand sind, falls sie benötigt werden. Die Warnung kann ausgelöst werden, wenn eine Domäne mit nicht empfohlenen Methoden gesichert wird

Technical Explanation:

Die Sicherungen werden überprüft, um sicherzustellen, dass die Sicherung gemäß den Microsoft-Standards durchgeführt wird. Tatsächlich wird bei jeder Sicherung die Sicherungssignatur der DIT-Datenbankpartition aktualisiert. Wenn aus irgendeinem Grund Sicherungen benötigt werden, um ein Rollback durchzuführen (eine Domäne neu zu erstellen) oder vergangene Änderungen nachzuverfolgen, sind die Sicherungen tatsächlich auf dem neuesten Stand. Diese Prüfung entspricht einem REPADMIN /showbackup *.

Advised Solution:

Planen Sie AD-Backups basierend auf Microsoft-Standards. Diese Standards hängen vom Betriebssystem ab. Zum Beispiel mit dem Dienstprogramm wbadmin: wbadmin start systemstatebackup -backuptarget:d:

Title:

Compruebe la fecha de la última copia de seguridad según el estándar de Microsoft

Description:

El propósito es verificar si las copias de seguridad están realmente actualizadas en caso de que sean necesarias. La alerta se puede activar cuando se realiza una copia de seguridad de un dominio utilizando métodos no recomendados.

Technical Explanation:

Se realiza una verificación de las copias de seguridad, lo que garantiza que la copia de seguridad se realiza de acuerdo con los estándares de Microsoft. De hecho, en cada copia de seguridad se actualiza la firma de copia de seguridad de la partición de la base de datos DIT. Si, por alguna razón, se necesitan copias de seguridad para realizar una reversión (reconstruir un dominio) o para realizar un seguimiento de los cambios anteriores, las copias de seguridad estarán realmente actualizadas. Esta comprobación equivale a REPADMIN /showbackup *.

Advised Solution:

Planifique las copias de seguridad de AD según los estándares de Microsoft. Estos estándares dependen del Sistema Operativo. Por ejemplo, con la utilidad wbadmin: wbadmin start systemstatebackup -backuptarget:d:

Points:

15 points if the occurence is greater than or equals than 7

Documentation:

https://technet.microsoft.com/en-us/library/jj130668(v=ws.10).aspx
[MITRE]Mitre Att&ck - Mitigation - Data Backup
[US]STIG V-25385 - Active Directory data must be backed up daily for systems with a Risk Management Framework categorization for Availability of moderate or high. Systems with a categorization of low must be backed up weekly.

Ensure that there are enough DCs to provide basic redundancy

Rule ID:

A-NotEnoughDC

Description:

The purpose is to ensure the failure of one domain controller will not stop the domain.

Technical Explanation:

A single domain controller failure can lead to a lack of availability of the domain if the number of servers is too low. To have a minimum redundancy, the number of DC should be at least 2. For Labs, this rule can be ignored, and you can add this rule into the exception list.

Advised Solution:

Increase the number of domain controllers by installing new ones.

Title:

Assurez-vous qu'il y a suffisamment de contrôleurs de domaine pour fournir une redondance de base

Description:

L'objectif est de s'assurer que la défaillance d'un contrôleur de domaine n'arrêtera pas le domaine.

Technical Explanation:

Une défaillance d'un seul contrôleur de domaine peut entraîner un manque de disponibilité du domaine si le nombre de serveurs est trop faible. Pour avoir une redondance minimale, le nombre de contrôleurs de domaine doit être d'au moins 2. Pour les laboratoires, cette règle peut être ignorée et vous pouvez l'ajouter à la liste des exceptions.

Advised Solution:

Augmentez le nombre de contrôleurs de domaine en en installant de nouveaux.

Title:

Stellen Sie sicher, dass genügend DCs vorhanden sind, um grundlegende Redundanz bereitzustellen

Description:

Der Zweck besteht darin, sicherzustellen, dass der Ausfall eines Domänencontrollers die Domäne nicht beendet.

Technical Explanation:

Der Ausfall eines einzelnen Domänencontrollers kann bei zu geringer Serveranzahl zu einer mangelnden Verfügbarkeit der Domäne führen. Um eine minimale Redundanz zu haben, sollte die Anzahl der DC mindestens 2 betragen. Für Labs kann diese Regel ignoriert werden, und Sie können diese Regel zur Ausnahmeliste hinzufügen.

Advised Solution:

Erhöhen Sie die Anzahl der Domänencontroller, indem Sie neue installieren.

Title:

Asegúrese de que haya suficientes DC para proporcionar redundancia básica

Description:

El propósito es garantizar que la falla de un controlador de dominio no detenga el dominio.

Technical Explanation:

Una sola falla del controlador de dominio puede provocar una falta de disponibilidad del dominio si la cantidad de servidores es demasiado baja. Para tener una redundancia mínima, la cantidad de DC debe ser al menos 2. Para Labs, esta regla se puede ignorar y puede agregar esta regla a la lista de excepciones.

Advised Solution:

Aumente la cantidad de controladores de dominio instalando otros nuevos.

Introduced in:

2.6.0.0

Points:

5 points if the occurence is strictly lower than 2

Documentation:

https://social.technet.microsoft.com/wiki/contents/articles/14355.capacity-planning-for-active-directory-domain-services.aspx
[MITRE]Mitre Att&ck - Mitigation - Data Backup

Certificate take over

Certificates are an alternative to passwords. Their protection is crucial to avoid any backdoor.

Title (fr-FR): Certificate take over

Description (fr-FR): Les certificats sont une alternative aux mots de passe. Leur protection est cruciale pour éviter toute porte dérobée.

Title (de-DE): Certificate take over

Description (de-DE): Zertifikate sind eine Alternative zu Passwörtern. Ihr Schutz ist entscheidend, um Hintertüren zu vermeiden.

Title (es-ES): Certificate take over

Description (es-ES): Los certificados son una alternativa a las contraseñas. Su protección es crucial para evitar cualquier puerta trasera.

Check for Certificates using a relatively weak signing algorithm (RSA between 1024 bits and 2048 or expires after 2030)

Rule ID:

A-WeakRSARootCert2

Description:

The purpose is to ensure that there is no use of a certificate using a relatively weak RSA key

Technical Explanation:

A RSA key certificate with a modulus under 1024 bits is considered as not safe. This is checked by the rule A-WeakRSARootCert.
This rule checks for certificates having a key under 2048 bits which is considered as having a lower level of security and under 3072 bits for certificates valid after 2030.

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Please note that this rule is the companion of the rule A-WeakRSARootCert which checks for unsecured certificates (key lower than 1024 bits).

Title:

Vérifiez les certificats utilisant un algorithme de signature relativement faible (RSA entre 1024 bits et 2048 ou expire après 2030)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation d'un certificat utilisant une clé RSA relativement faible

Technical Explanation:

Un certificat de clé RSA avec un module inférieur à 1024 bits est considéré comme non sûr. Ceci est vérifié par la règle A-WeakRSARootCert.
Cette règle vérifie les certificats ayant une clé inférieure à 2048 bits qui est considérée comme ayant un niveau de sécurité inférieur et inférieure à 3072 bits pour les certificats valides après 2030.

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

A noter que cette règle est le compagnon de la règle A-WeakRSARootCert qui vérifie les certificats non sécurisés (clé inférieure à 1024 bits).

Title:

Suchen Sie nach Zertifikaten mit einem relativ schwachen Signaturalgorithmus (RSA zwischen 1024 Bit und 2048 oder läuft nach 2030 ab)

Description:

Damit soll sichergestellt werden, dass kein Zertifikat mit einem relativ schwachen RSA-Schlüssel verwendet wird

Technical Explanation:

Ein RSA-Schlüsselzertifikat mit einem Modul unter 1024 Bit gilt als nicht sicher. Dies wird durch die Regel A-WeakRSArootCert überprüft.
Diese Regel prüft auf Zertifikate mit einem Schlüssel von weniger als 2048 Bit, was als weniger sicher angesehen wird, und von Zertifikaten mit weniger als 3072 Bit, die nach 2030 gültig sind.

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Bitte beachten Sie, dass diese Regel der Begleiter der Regel A-WeakRSArootCert ist, die auf ungesicherte Zertifikate (Schlüssel kleiner als 1024 Bit) prüft.

Title:

Verifique los certificados utilizando un algoritmo de firma relativamente débil (RSA entre 1024 bits y 2048 o caduca después de 2030)

Description:

El propósito es garantizar que no se utilice un certificado con una clave RSA relativamente débil.

Technical Explanation:

Un certificado de clave RSA con un módulo inferior a 1024 bits se considera no seguro. Esto se comprueba mediante la regla A-WeakRSARootCert.
Esta regla comprueba los certificados que tienen una clave inferior a 2048 bits, que se considera que tiene un nivel de seguridad inferior, y inferior a 3072 bits para los certificados válidos después de 2030.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Tenga en cuenta que esta regla es la compañera de la regla A-WeakRSARootCert que comprueba los certificados no seguros (clave inferior a 1024 bits).

Introduced in:

2.9.0.0

Points:

1 points if present

Documentation:

https://www.iad.gov/iad/library/ia-guidance/ia-solutions-for-classified/algorithm-guidance/commercial-national-security-algorithm-suite-factsheet.cfm
https://www.ssi.gouv.fr/guide/cryptographie-les-regles-du-rgs/
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3

Check for Certificates using a weak RSA exponent

Rule ID:

A-CertWeakRsaComponent

Description:

The purpose is to ensure that there is no use of a certificate with a weak RSA exponent

Technical Explanation:

The RSA public key is composed of two parts: The modulus and the exponent. The exponent must be a prime number and its value is usually 65537.
It is not recommended to have a exponent larger than 65537 for compatibility reasons as for example older Windows handle the exponent in 4 bytes.
Having a lower exponent, such as 3, give a significant performance boost (up to 8 times), but it is considered less secure.

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats en utilisant un exposant RSA faible

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation d'un certificat avec un exposant RSA faible

Technical Explanation:

La clé publique RSA est composée de deux parties : le module et l'exposant. L'exposant doit être un nombre premier et sa valeur est généralement 65537.
Il n'est pas recommandé d'avoir un exposant supérieur à 65537 pour des raisons de compatibilité car par exemple les anciens Windows gèrent l'exposant sur 4 octets.
Avoir un exposant inférieur, tel que 3, donne une amélioration significative des performances (jusqu'à 8 fois), mais il est considéré comme moins sûr.

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Suchen Sie nach Zertifikaten mit einem schwachen RSA-Exponenten

Description:

Damit soll sichergestellt werden, dass kein Zertifikat mit einem schwachen RSA-Exponenten verwendet wird

Technical Explanation:

Der öffentliche RSA-Schlüssel besteht aus zwei Teilen: dem Modulus und dem Exponenten. Der Exponent muss eine Primzahl sein und hat normalerweise den Wert 65537.
Es wird aus Kompatibilitätsgründen nicht empfohlen, einen Exponenten größer als 65537 zu verwenden, da beispielsweise ältere Windows den Exponenten in 4 Byte behandeln.
Ein niedrigerer Exponent, wie z. B. 3, führt zu einer deutlichen Leistungssteigerung (bis zum 8-fachen), wird jedoch als weniger sicher angesehen.

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados usando un exponente RSA débil

Description:

El propósito es garantizar que no se utilice un certificado con un exponente RSA débil

Technical Explanation:

La clave pública RSA se compone de dos partes: El módulo y el exponente. El exponente debe ser un número primo y su valor suele ser 65537.
No se recomienda tener un exponente mayor que 65537 por razones de compatibilidad, ya que, por ejemplo, Windows más antiguo maneja el exponente en 4 bytes.
Tener un exponente más bajo, como 3, aumenta significativamente el rendimiento (hasta 8 veces), pero se considera menos seguro.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Introduced in:

2.9.0.0

Points:

5 points if present

Documentation:

[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space

Check for certificates using a weak signing algorithm (RSA under 1024 bits)

Rule ID:

A-WeakRSARootCert

Description:

The purpose is to ensure that there is no use of a certificate using a weak RSA key

Technical Explanation:

A RSA key certificate with a modulus under 1024 bits is considered unsafe

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats à l'aide d'un algorithme de signature faible (RSA sous 1024 bits)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation d'un certificat utilisant une clé RSA faible

Technical Explanation:

Un certificat de clé RSA avec un module inférieur à 1024 bits est considéré comme dangereux

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Mit einem schwachen Signaturalgorithmus (RSA unter 1024 Bit) nach Zertifikaten suchen

Description:

Damit soll sichergestellt werden, dass kein Zertifikat mit einem schwachen RSA-Schlüssel verwendet wird

Technical Explanation:

Ein RSA-Schlüsselzertifikat mit einem Modul unter 1024 Bit gilt als unsicher

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados usando un algoritmo de firma débil (RSA por debajo de 1024 bits)

Description:

El propósito es garantizar que no se utilice un certificado con una clave RSA débil

Technical Explanation:

Un certificado de clave RSA con un módulo inferior a 1024 bits se considera inseguro

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

5 points if present

Documentation:

https://www.iad.gov/iad/library/ia-guidance/ia-solutions-for-classified/algorithm-guidance/commercial-national-security-algorithm-suite-factsheet.cfm
https://www.ssi.gouv.fr/guide/cryptographie-les-regles-du-rgs/
[FR]ANSSI - Weak or vulnerable certificates (vuln1_certificates_vuln)1
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).

Check for Certificates using the DSA algorithm for signature

Rule ID:

A-CertWeakDSA

Description:

The purpose is to ensure that there is no use of a certificate using a DSA key for signature

Technical Explanation:

Digital Signature Algorithm (DSA), is a NIST standard signature algorithm, part of the 1993 Digital Signature Standard(FIPS 186). The proposed FIPS 186-5 draft deprecates the use of DSA and will forbid its usage for digital signature purposes.
The annex E of FIPS 186-5 specifies: DSA is no longer approved for digital signature generation. DSA may be used to verify signatures generated prior to the implementation date of this standard.

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats à l'aide de l'algorithme DSA pour la signature

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation d'un certificat utilisant une clé DSA pour la signature

Technical Explanation:

L'algorithme de signature numérique (DSA) est un algorithme de signature standard du NIST, qui fait partie de la norme de signature numérique de 1993 (FIPS 186). L'ébauche proposée de FIPS 186-5 déconseille l'utilisation de DSA et interdira son utilisation à des fins de signature numérique.
L'annexe E de FIPS 186-5 précise : DSA n'est plus approuvé pour la génération de signature numérique. DSA peut être utilisé pour vérifier les signatures générées avant la date de mise en œuvre de cette norme.

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Suchen Sie mit dem DSA-Algorithmus nach Zertifikaten für die Signatur

Description:

Damit soll sichergestellt werden, dass kein Zertifikat mit einem DSA-Schlüssel zur Signatur verwendet wird

Technical Explanation:

Digital Signature Algorithm (DSA) ist ein NIST-Standardsignaturalgorithmus, der Teil des Digital Signature Standards (FIPS 186) von 1993 ist. Der vorgeschlagene Entwurf von FIPS 186-5 lehnt die Verwendung von DSA ab und verbietet seine Verwendung für digitale Signaturzwecke.
Der Anhang E von FIPS 186-5 legt Folgendes fest: DSA ist nicht mehr für die Generierung digitaler Signaturen zugelassen. DSA kann verwendet werden, um Signaturen zu verifizieren, die vor dem Implementierungsdatum dieses Standards erstellt wurden.

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Compruebe los certificados utilizando el algoritmo DSA para la firma

Description:

El propósito es garantizar que no se utilice un certificado que utilice una clave DSA para la firma.

Technical Explanation:

El algoritmo de firma digital (DSA) es un algoritmo de firma estándar del NIST, parte del estándar de firma digital de 1993 (FIPS 186). El borrador propuesto de FIPS 186-5 desaprueba el uso de DSA y prohibirá su uso con fines de firma digital.
El anexo E de FIPS 186-5 especifica: DSA ya no está aprobado para la generación de firmas digitales. DSA se puede utilizar para verificar las firmas generadas antes de la fecha de implementación de este estándar.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Introduced in:

2.9.0.0

Points:

Informative rule (0 point)

Documentation:

https://csrc.nist.gov/publications/detail/fips/186/5/draft
[FR]ANSSI - Weak or vulnerable certificates (vuln1_certificates_vuln)1
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space

Check for Intermediate Certificates using unsafe hashing algorithm (MD2)

Rule ID:

A-MD2IntermediateCert

Description:

The purpose is to ensure that there is no use of the deprecated MD2 hashing algorithm in Intermediate Certificate

Technical Explanation:

The MD2 hashing algorithm is not considered safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats intermédiaires à l'aide d'un algorithme de hachage non sécurisé (MD2)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation de l'algorithme de hachage MD2 obsolète dans le certificat intermédiaire

Technical Explanation:

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Zwischenzertifikate mit unsicherem Hashalgorithmus (MD2) prüfen

Description:

Damit soll sichergestellt werden, dass der veraltete MD2-Hashing-Algorithmus im Zwischenzertifikat nicht verwendet wird

Technical Explanation:

Der MD2-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados intermedios usando un algoritmo hash inseguro (MD2)

Description:

El propósito es garantizar que no se utilice el algoritmo hash MD2 en desuso en el certificado intermedio

Technical Explanation:

El algoritmo hash MD2 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

10 points if present

Documentation:

https://www.ssi.gouv.fr/archive/fr/sciences/fichiers/lcr/mu04c.pdf
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space

Check for Intermediate Certificates using unsafe hashing algorithm (MD4)

Rule ID:

A-MD4IntermediateCert

Description:

The purpose is to ensure that there is no use of the deprecated MD4 hashing algorithm in Intermediate Certificate

Technical Explanation:

The MD4 hashing algorithm is not considered safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats intermédiaires à l'aide d'un algorithme de hachage non sécurisé (MD4)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation de l'algorithme de hachage MD4 obsolète dans le certificat intermédiaire

Technical Explanation:

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Zwischenzertifikate mit unsicherem Hashalgorithmus (MD4) prüfen

Description:

Damit soll sichergestellt werden, dass der veraltete MD4-Hashing-Algorithmus im Zwischenzertifikat nicht verwendet wird

Technical Explanation:

Der MD4-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados intermedios utilizando un algoritmo hash inseguro (MD4)

Description:

El propósito es garantizar que no se utilice el algoritmo hash MD4 en desuso en el certificado intermedio

Technical Explanation:

El algoritmo hash MD4 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

10 points if present

Documentation:

https://tools.ietf.org/html/rfc6150
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).

Check for Intermediate Certificates using unsafe hashing algorithm (MD5)

Rule ID:

A-MD5IntermediateCert

Description:

The purpose is to ensure that there is no use of the deprecated MD5 hashing algorithm in Intermediate Certificate

Technical Explanation:

The MD5 hashing algorithm is not considered safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats intermédiaires à l'aide d'un algorithme de hachage non sécurisé (MD5)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation de l'algorithme de hachage MD5 obsolète dans le certificat intermédiaire

Technical Explanation:

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Zwischenzertifikate mit unsicherem Hashalgorithmus (MD5) prüfen

Description:

Damit soll sichergestellt werden, dass der veraltete MD5-Hashing-Algorithmus im Zwischenzertifikat nicht verwendet wird

Technical Explanation:

Der MD5-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados intermedios utilizando un algoritmo hash inseguro (MD5)

Description:

El propósito es garantizar que no se utilice el algoritmo hash MD5 en desuso en el certificado intermedio

Technical Explanation:

El algoritmo hash MD5 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

5 points if present

Documentation:

https://www.kb.cert.org/vuls/id/836068
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3

Check for Intermediate Certificates using unsafe hashing algorithm (SHA0)

Rule ID:

A-SHA0IntermediateCert

Description:

The purpose is to ensure that there is no use of the deprecated SHA0 hashing algorithm in Intermediate Certificate

Technical Explanation:

The SHA0 hashing algorithm is not considered as safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats intermédiaires à l'aide d'un algorithme de hachage non sécurisé (SHA0)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation de l'algorithme de hachage SHA0 obsolète dans le certificat intermédiaire

Technical Explanation:

L'algorithme de hachage SHA0 n'est pas considéré comme sûr. Il existe des défauts de conception inhérents à l'algorithme qui permettent à un attaquant de générer une collision de hachage en moins d'un temps de force brute

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Zwischenzertifikate mit unsicherem Hashalgorithmus (SHA0) prüfen

Description:

Damit soll sichergestellt werden, dass der veraltete SHA0-Hashing-Algorithmus im Zwischenzertifikat nicht verwendet wird

Technical Explanation:

Der SHA0-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados intermedios usando un algoritmo hash inseguro (SHA0)

Description:

El propósito es garantizar que no se utilice el algoritmo hash SHA0 en desuso en el certificado intermedio

Technical Explanation:

El algoritmo hash SHA0 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

5 points if present

Documentation:

https://tools.ietf.org/html/rfc6194
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space

Check for Intermediate Certificates using unsafe hashing algorithm (SHA1)

Rule ID:

A-SHA1IntermediateCert

Description:

The purpose is to ensure that there is no use of the deprecated SHA1 hashing algorithm in Intermediate Certificate

Technical Explanation:

The SHA1 hashing algorithm is not considered as safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats intermédiaires à l'aide d'un algorithme de hachage non sécurisé (SHA1)

Description:

Le but est de s'assurer qu'il n'y a pas d'utilisation de l'algorithme de hachage SHA1 obsolète dans le certificat intermédiaire

Technical Explanation:

L'algorithme de hachage SHA1 n'est pas considéré comme sûr. Il existe des défauts de conception inhérents à l'algorithme qui permettent à un attaquant de générer une collision de hachage en moins d'un temps de force brute

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Zwischenzertifikate mit unsicherem Hashalgorithmus (SHA1) prüfen

Description:

Damit soll sichergestellt werden, dass der veraltete SHA1-Hashing-Algorithmus im Zwischenzertifikat nicht verwendet wird

Technical Explanation:

Der SHA1-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados intermedios usando un algoritmo hash inseguro (SHA1)

Description:

El propósito es garantizar que no se utilice el algoritmo hash SHA1 en desuso en el certificado intermedio

Technical Explanation:

El algoritmo hash SHA1 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

1 points if present

Documentation:

Check for Root Certificates using unsafe hashing algorithm (MD2)

Rule ID:

A-MD2RootCert

Description:

The purpose is to ensure that no Root Certificates use the deprecated MD2 hashing algorithm

Technical Explanation:

The MD2 hashing algorithm is not considered safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time. Nevertheless, the root certificate algorithm has no direct impact on the security, but it can be used indirectly to force the use of this algorithm in the issued certificate

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats racine à l'aide d'un algorithme de hachage non sécurisé (MD2)

Description:

Le but est de s'assurer qu'aucun certificat racine n'utilise l'algorithme de hachage MD2 obsolète

Technical Explanation:

L'algorithme de hachage MD2 n'est pas considéré comme sûr. Il existe des défauts de conception inhérents à l'algorithme qui permettent à un attaquant de générer une collision de hachage en moins d'un temps de force brute. Néanmoins, l'algorithme du certificat racine n'a pas d'impact direct sur la sécurité, mais il peut être utilisé indirectement pour forcer l'utilisation de cet algorithme dans le certificat émis

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Root-Zertifikate mit unsicherem Hash-Algorithmus (MD2) prüfen

Description:

Damit soll sichergestellt werden, dass keine Stammzertifikate den veralteten MD2-Hashing-Algorithmus verwenden

Technical Explanation:

Der MD2-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen. Dennoch hat der Stammzertifikatalgorithmus keinen direkten Einfluss auf die Sicherheit, aber er kann indirekt verwendet werden, um die Verwendung dieses Algorithmus im ausgestellten Zertifikat zu erzwingen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados raíz usando un algoritmo hash inseguro (MD2)

Description:

El objetivo es garantizar que ningún certificado raíz utilice el algoritmo hash MD2 en desuso.

Technical Explanation:

El algoritmo hash MD2 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta. Sin embargo, el algoritmo del certificado raíz no tiene un impacto directo en la seguridad, pero puede usarse indirectamente para forzar el uso de este algoritmo en el certificado emitido.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

Informative rule (0 point)

Documentation:

https://www.ssi.gouv.fr/archive/fr/sciences/fichiers/lcr/mu04c.pdf
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3

Check for Root Certificates using unsafe hashing algorithm (MD4)

Rule ID:

A-MD4RootCert

Description:

The purpose is to ensure that no Root Certificates use the deprecated MD4 hashing algorithm

Technical Explanation:

The MD4 hashing algorithm is not considered safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time. Nevertheless, the root certificate algorithm has no direct impact on the security, but it can be used indirectly to force the use of this algorithm in the issued certificate

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats racine à l'aide d'un algorithme de hachage non sécurisé (MD4)

Description:

Le but est de s'assurer qu'aucun certificat racine n'utilise l'algorithme de hachage MD4 obsolète

Technical Explanation:

L'algorithme de hachage MD4 n'est pas considéré comme sûr. Il existe des défauts de conception inhérents à l'algorithme qui permettent à un attaquant de générer une collision de hachage en moins d'un temps de force brute. Néanmoins, l'algorithme du certificat racine n'a pas d'impact direct sur la sécurité, mais il peut être utilisé indirectement pour forcer l'utilisation de cet algorithme dans le certificat émis

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Root-Zertifikate mit unsicherem Hash-Algorithmus (MD4) prüfen

Description:

Damit soll sichergestellt werden, dass keine Stammzertifikate den veralteten MD4-Hashing-Algorithmus verwenden

Technical Explanation:

Der MD4-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen. Dennoch hat der Stammzertifikatalgorithmus keinen direkten Einfluss auf die Sicherheit, aber er kann indirekt verwendet werden, um die Verwendung dieses Algorithmus im ausgestellten Zertifikat zu erzwingen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados raíz usando un algoritmo hash inseguro (MD4)

Description:

El objetivo es garantizar que ningún certificado raíz utilice el algoritmo hash MD4 en desuso.

Technical Explanation:

El algoritmo hash MD4 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta. Sin embargo, el algoritmo del certificado raíz no tiene un impacto directo en la seguridad, pero puede usarse indirectamente para forzar el uso de este algoritmo en el certificado emitido.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

Informative rule (0 point)

Documentation:

https://tools.ietf.org/html/rfc6150
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).

Check for Root Certificates using unsafe hashing algorithm (MD5)

Rule ID:

A-MD5RootCert

Description:

The purpose is to ensure that no Root Certificates use the deprecated MD5 hashing algorithm

Technical Explanation:

The MD5 hashing algorithm is not considered safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time. Nevertheless, the root certificate algorithm has no direct impact on the security, but it can be used indirectly to force the use of this algorithm in the issued certificate

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats racine à l'aide d'un algorithme de hachage non sécurisé (MD5)

Description:

Le but est de s'assurer qu'aucun certificat racine n'utilise l'algorithme de hachage MD5 obsolète

Technical Explanation:

L'algorithme de hachage MD5 n'est pas considéré comme sûr. Il existe des défauts de conception inhérents à l'algorithme qui permettent à un attaquant de générer une collision de hachage en moins d'un temps de force brute. Néanmoins, l'algorithme du certificat racine n'a pas d'impact direct sur la sécurité, mais il peut être utilisé indirectement pour forcer l'utilisation de cet algorithme dans le certificat émis

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Root-Zertifikate mit unsicherem Hash-Algorithmus (MD5) prüfen

Description:

Damit soll sichergestellt werden, dass keine Stammzertifikate den veralteten MD5-Hashing-Algorithmus verwenden

Technical Explanation:

Der MD5-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen. Dennoch hat der Stammzertifikatalgorithmus keinen direkten Einfluss auf die Sicherheit, aber er kann indirekt verwendet werden, um die Verwendung dieses Algorithmus im ausgestellten Zertifikat zu erzwingen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados raíz usando un algoritmo hash inseguro (MD5)

Description:

El propósito es garantizar que ningún certificado raíz utilice el algoritmo hash MD5 en desuso.

Technical Explanation:

El algoritmo hash MD5 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta. Sin embargo, el algoritmo del certificado raíz no tiene un impacto directo en la seguridad, pero puede usarse indirectamente para forzar el uso de este algoritmo en el certificado emitido.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

Informative rule (0 point)

Documentation:

https://www.kb.cert.org/vuls/id/836068
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space

Check for Root Certificates using unsafe hashing algorithm (SHA0)

Rule ID:

A-SHA0RootCert

Description:

The purpose is to ensure that no Root Certificates use the deprecated SHA-0 hashing algorithm

Technical Explanation:

The SHA0 hashing algorithm is not considered as safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats racine à l'aide d'un algorithme de hachage non sécurisé (SHA0)

Description:

Le but est de s'assurer qu'aucun certificat racine n'utilise l'algorithme de hachage SHA-0 obsolète

Technical Explanation:

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Root-Zertifikate mit unsicherem Hash-Algorithmus (SHA0) prüfen

Description:

Damit soll sichergestellt werden, dass keine Stammzertifikate den veralteten SHA-0-Hashing-Algorithmus verwenden

Technical Explanation:

Der SHA0-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados raíz usando un algoritmo hash inseguro (SHA0)

Description:

El objetivo es garantizar que ningún certificado raíz utilice el algoritmo hash SHA-0 en desuso.

Technical Explanation:

El algoritmo hash SHA0 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

Informative rule (0 point)

Documentation:

https://tools.ietf.org/html/rfc6194
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space
[US]STIG V-14820 - PKI certificates (server and clients) must be issued by the DoD PKI or an approved External Certificate Authority (ECA).
[FR]ANSSI - Weak or vulnerable certificates (vuln3_certificates_vuln)3

Check for Root Certificates using unsafe hashing algorithm (SHA1)

Rule ID:

A-SHA1RootCert

Description:

The purpose is to ensure that no Root Certificates use the deprecated SHA-1 hashing algorithm

Technical Explanation:

The SHA1 hashing algorithm is not considered as safe. There are design flaws inherent to the algorithm that allow an attacker to generate a hash collision in less than a brute-force time

Advised Solution:

To solve the matter, the certificate should be removed from the GPO and if needed, certificates depending on it should be reissued.

Title:

Vérifier les certificats racine à l'aide d'un algorithme de hachage non sécurisé (SHA1)

Description:

Le but est de s'assurer qu'aucun certificat racine n'utilise l'algorithme de hachage SHA-1 obsolète

Technical Explanation:

Advised Solution:

Pour résoudre le problème, le certificat doit être supprimé de l'objet de stratégie de groupe et, si nécessaire, les certificats qui en dépendent doivent être réémis.

Title:

Auf Stammzertifikate mit unsicherem Hash-Algorithmus (SHA1) prüfen

Description:

Damit soll sichergestellt werden, dass keine Stammzertifikate den veralteten SHA-1-Hashing-Algorithmus verwenden

Technical Explanation:

Der SHA1-Hashing-Algorithmus gilt als nicht sicher. Dem Algorithmus sind Designfehler eigen, die es einem Angreifer ermöglichen, eine Hash-Kollision in weniger als einer Brute-Force-Zeit zu erzeugen

Advised Solution:

Um das Problem zu lösen, sollte das Zertifikat aus dem GPO entfernt und ggf. davon abhängige Zertifikate neu ausgestellt werden.

Title:

Verifique los certificados raíz utilizando un algoritmo hash inseguro (SHA1)

Description:

El objetivo es garantizar que ningún certificado raíz utilice el algoritmo hash SHA-1 en desuso.

Technical Explanation:

El algoritmo hash SHA1 no se considera seguro. Hay fallas de diseño inherentes al algoritmo que permiten a un atacante generar una colisión hash en menos de un tiempo de fuerza bruta.

Advised Solution:

Para solucionar el problema, se debe eliminar el certificado del GPO y, si es necesario, se deben volver a emitir los certificados que dependen de él.

Points:

Informative rule (0 point)

Documentation:

Check for the ROCA vulnerability in certificates

Rule ID:

A-CertROCA

Description:

The purpose is to ensure that there is no private key that can be recovered from a certificate

Technical Explanation:

"ROCA" is an acronym for "Return of Coppersmith's attack" which enables an attacker to retrieve the private key from a public key.
It is due by a library named RSALib, provided by Infineon Technologies which is incorporated into many smart cards, Trusted Platform Module (TPM), and Hardware Security Modules (HSM) implementations, including YubiKey 4 tokens and used to generate public RSA keys.
This library was generating data in a limited number space, which decreased the number of values that an attacker has to guess.

Advised Solution:

If the certificates listed below are still valid, you have to revoke and re-issue them. If other certificates depend on them, they should be revoked and replaced too.
If the certificates have been expired, they should be removed.

Title:

Rechercher la vulnérabilité ROCA dans les certificats

Description:

Le but est de s'assurer qu'aucune clé privée ne peut être récupérée à partir d'un certificat

Technical Explanation:

"ROCA" est l'acronyme de "Return of Coppersmith's attack" qui permet à un attaquant de récupérer la clé privée à partir d'une clé publique.
Il est dû à une bibliothèque nommée RSALib, fournie par Infineon Technologies qui est intégrée à de nombreuses implémentations de cartes à puce, de modules de plateforme sécurisée (TPM) et de modules de sécurité matérielle (HSM), y compris les jetons YubiKey 4 et utilisée pour générer des clés RSA publiques.
Cette bibliothèque générait des données dans un espace numérique limité, ce qui diminuait le nombre de valeurs qu'un attaquant devait deviner.

Advised Solution:

Si les certificats énumérés ci-dessous sont toujours valides, vous devez les révoquer et les réémettre. Si d'autres certificats en dépendent, ils doivent également être révoqués et remplacés.
Si les certificats ont expiré, ils doivent être supprimés.

Title:

Suchen Sie nach der ROCA-Schwachstelle in Zertifikaten

Description:

Der Zweck besteht darin, sicherzustellen, dass es keinen privaten Schlüssel gibt, der aus einem Zertifikat wiederhergestellt werden kann

Technical Explanation:

"ROCA" ist ein Akronym für "Return of Coppersmith's attack", das es einem Angreifer ermöglicht, den privaten Schlüssel von einem öffentlichen Schlüssel abzurufen.
Es wird von einer Bibliothek namens RSALib bereitgestellt, die von Infineon Technologies bereitgestellt wird und in vielen Implementierungen von Smart Cards, Trusted Platform Module (TPM) und Hardware Security Modules (HSM), einschließlich YubiKey 4-Token, enthalten ist und zur Generierung öffentlicher RSA-Schlüssel verwendet wird.
Diese Bibliothek generierte Daten in einem begrenzten Zahlenbereich, wodurch die Anzahl der Werte, die ein Angreifer erraten muss, verringert wurde.

Advised Solution:

Wenn die unten aufgeführten Zertifikate noch gültig sind, müssen Sie sie widerrufen und neu ausstellen. Wenn andere Zertifikate davon abhängen, sollten sie ebenfalls widerrufen und ersetzt werden.
Wenn die Zertifikate abgelaufen sind, sollten sie entfernt werden.

Title:

Comprobar la vulnerabilidad ROCA en los certificados

Description:

El propósito es garantizar que no haya una clave privada que se pueda recuperar de un certificado.

Technical Explanation:

"ROCA" es un acrónimo de "Return of Coppersmith's attack" que permite a un atacante recuperar la clave privada de una clave pública.
Se debe a una biblioteca llamada RSALib, proporcionada por Infineon Technologies, que está incorporada en muchas implementaciones de tarjetas inteligentes, Trusted Platform Module (TPM) y Hardware Security Modules (HSM), incluidos los tokens YubiKey 4 y se utiliza para generar claves RSA públicas.
Esta biblioteca generaba datos en un espacio numérico limitado, lo que reducía la cantidad de valores que un atacante tiene que adivinar.

Advised Solution:

Si los certificados que se enumeran a continuación siguen siendo válidos, debe revocarlos y volver a emitirlos. Si otros certificados dependen de ellos, también deben ser revocados y reemplazados.
Si los certificados han caducado, deben eliminarse.

Introduced in:

2.9.0.0

Points:

15 points if present

Documentation:

https://crocs.fi.muni.cz/public/papers/rsa_ccs17
https://github.com/crocs-muni/roca
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190026
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV170012
https://keychest.net/roca
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space
[FR]ANSSI - Weak or vulnerable certificates (vuln1_certificates_vuln)1

Check if authentication certificate templates allow users to control the subject

Rule ID:

A-CertTempCustomSubject

Description:

The purpose of this rule is to ensure that no certificate request templates allow users to control the subject

Technical Explanation:

Usually, the subject of a certificate is generated automatically by the certification authority.
By allowing editing before its issuance, a malicious user can set the subject to an administrator account, and thus get a certificate representing them.
This certificate can be abused later to impersonate them.

Advised Solution:

On the certificate template properties, uncheck in the property sheet "Subject Name" the field "Supply in the request".
Alternatively, restrict this template to a specific group.

Title:

Vérifier si les modèles de certificat d'authentification permettent aux utilisateurs de contrôler le sujet

Description:

Le but de cette règle est de s'assurer qu'aucun modèle de demande de certificat ne permette aux utilisateurs de contrôler le sujet

Technical Explanation:

Habituellement, le sujet d'un certificat est généré automatiquement par l'autorité de certification.
En autorisant la modification avant son émission, un utilisateur malveillant peut définir le sujet sur un compte administrateur, et ainsi obtenir un certificat le représentant.
Ce certificat peut être abusé plus tard pour se faire passer pour eux.

Advised Solution:

Sur les propriétés du modèle de certificat, décochez dans la fiche de propriétés "Nom du sujet" le champ "Fournir dans la demande".
Vous pouvez également limiter ce modèle à un groupe spécifique.

Title:

Überprüfen Sie, ob Authentifizierungszertifikatvorlagen Benutzern erlauben, das Subjekt zu kontrollieren

Description:

Der Zweck dieser Regel besteht darin, sicherzustellen, dass keine Zertifikatsanforderungsvorlagen Benutzern erlauben, das Subjekt zu steuern

Technical Explanation:

Normalerweise wird der Betreff eines Zertifikats automatisch von der Zertifizierungsstelle generiert.
Indem die Bearbeitung vor der Ausstellung zugelassen wird, kann ein böswilliger Benutzer den Betreff auf ein Administratorkonto festlegen und so ein Zertifikat erhalten, das ihn repräsentiert.
Dieses Zertifikat kann später missbraucht werden, um sich als sie auszugeben.

Advised Solution:

Deaktivieren Sie in den Eigenschaften der Zertifikatsvorlage im Eigenschaftsblatt „Subject Name“ das Feld „Supply in the request“.
Alternativ können Sie diese Vorlage auf eine bestimmte Gruppe beschränken.

Title:

Compruebe si las plantillas de certificados de autenticación permiten a los usuarios controlar el tema

Description:

El propósito de esta regla es garantizar que ninguna plantilla de solicitud de certificado permita a los usuarios controlar el asunto.

Technical Explanation:

Por lo general, el asunto de un certificado lo genera automáticamente la autoridad de certificación.
Al permitir la edición antes de su emisión, un usuario malintencionado puede establecer el asunto en una cuenta de administrador y, por lo tanto, obtener un certificado que lo represente.
Este certificado se puede abusar más tarde para hacerse pasar por ellos.

Advised Solution:

En las propiedades de la plantilla de certificado, desmarque en la hoja de propiedades "Nombre del asunto" el campo "Suministro en la solicitud".
Alternativamente, restrinja esta plantilla a un grupo específico.

Introduced in:

2.9.3.0

Points:

15 points if present

Documentation:

https://posts.specterops.io/certified-pre-owned-d95910965cd2
https://www.riskinsight-wavestone.com/en/2021/06/microsoft-adcs-abusing-pki-in-active-directory-environment/
[FR]ANSSI - Dangerous enrollment permission on authentication certificate templates (vuln1_vuln_adcs_template_auth_enroll_with_name)1
[MITRE]T1558 Steal or Forge Kerberos Tickets

Check if authentication certificate templates disallow the tracking of the certificate requester

Rule ID:

A-CertTempNoSecurity

Description:

The purpose of this rule is to ensure that no certificate request templates allow users to control the subject

Technical Explanation:

Certificate requests are tracked by UPN and dnsHost name for computers.
Usually, editing dnsHost change the value of the attribute servicePrincipalName and duplications are prohibited.
But there is no constraint on the dnsHost attribute and a controlled change of this attribute (without changing the SPN) can lead to duplicates.
An attacker can then change the DNS of a compromise host to the DC DNS and request a certificate on behalf the DC, thus impersonating it and controlling the domain.

Advised Solution:

Edit the certificate template object and specifically the attribute msPKI-Enrollment-Flag.
Unset the flag CT_FLAG_NO_SECURITY_EXTENSION (0x80000) aka substract the value 524288 from the attribute msPKI-Enrollment-Flag.

Title:

Vérifier si les modèles de certificat d'authentification interdisent le suivi du demandeur de certificat

Description:

Le but de cette règle est de s'assurer qu'aucun modèle de demande de certificat ne permette aux utilisateurs de contrôler le sujet

Technical Explanation:

Les demandes de certificat sont suivies par UPN et nom dnsHost pour les ordinateurs.
Habituellement, l'édition de dnsHost change la valeur de l'attribut servicePrincipalName et les duplications sont interdites.
Mais il n'y a aucune contrainte sur l'attribut dnsHost et un changement contrôlé de cet attribut (sans changer le SPN) peut entraîner des doublons.
Un attaquant peut alors remplacer le DNS d'un hôte compromis par le DNS du DC et demander un certificat au nom du DC, se faisant ainsi passer pour lui et contrôler le domaine.

Advised Solution:

Modifiez l'objet de modèle de certificat et plus particulièrement l'attribut msPKI-Enrollment-Flag.
Désactivez l'indicateur CT_FLAG_NO_SECURITY_EXTENSION (0x80000) c'est-à-dire soustrayez la valeur 524288 de l'attribut msPKI-Enrollment-Flag.

Title:

Überprüfen Sie, ob Vorlagen für Authentifizierungszertifikate die Nachverfolgung des Antragstellers des Zertifikats verbieten

Description:

Der Zweck dieser Regel besteht darin, sicherzustellen, dass keine Zertifikatsanforderungsvorlagen Benutzern erlauben, das Subjekt zu steuern

Technical Explanation:

Zertifikatanforderungen werden nach UPN und dnsHost-Namen für Computer nachverfolgt.
Normalerweise ändert dnsHost den Wert des Attributs servicePrincipalName und Duplizierungen sind verboten.
Aber es gibt keine Einschränkung für das dnsHost-Attribut und eine kontrollierte Änderung dieses Attributs (ohne Änderung des SPN) kann zu Duplikaten führen.
Ein Angreifer kann dann das DNS eines kompromittierten Hosts in das DC-DNS ändern und ein Zertifikat im Namen des DC anfordern, sich so als dessen Identität ausgeben und die Domäne kontrollieren.

Advised Solution:

Bearbeiten Sie das Zertifikatvorlagenobjekt und insbesondere das Attribut msPKI-Enrollment-Flag.
Deaktivieren Sie das Flag CT_FLAG_NO_SECURITY_EXTENSION (0x80000) oder subtrahieren Sie den Wert 524288 vom Attribut msPKI-Enrollment-Flag.

Title:

Compruebe si las plantillas de certificados de autenticación no permiten el seguimiento del solicitante del certificado

Description:

El propósito de esta regla es garantizar que ninguna plantilla de solicitud de certificado permita a los usuarios controlar el asunto.

Technical Explanation:

Las solicitudes de certificados se rastrean por UPN y dnsHost name para computadoras.
Por lo general, la edición de dnsHost cambia el valor del atributo servicePrincipalName y las duplicaciones están prohibidas.
Pero no hay restricciones en el atributo dnsHost y un cambio controlado de este atributo (sin cambiar el SPN) puede generar duplicados.
Luego, un atacante puede cambiar el DNS de un host comprometido al DNS del DC y solicitar un certificado en nombre del DC, haciéndose pasar por él y controlando el dominio.

Advised Solution:

Edite el objeto de plantilla de certificado y específicamente el atributo msPKI-Enrollment-Flag.
Desactive el indicador CT_FLAG_NO_SECURITY_EXTENSION (0x80000), también conocido como reste el valor 524288 del atributo msPKI-Enrollment-Flag.

Introduced in:

2.11.0.0

Points:

15 points if present

Documentation:

https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26931
[FR]ANSSI - Dangerous enrollment permission on authentication certificate templates (vuln1_vuln_adcs_template_auth_enroll_with_name)1
[MITRE]T1558 Steal or Forge Kerberos Tickets

Check if certificate enrollment can be done with HTTP

Rule ID:

A-CertEnrollHttp

Description:

The purpose is to check if HTTP can be used to access the certificate enrollment interface

Technical Explanation:

The Windows PKI, also named Active Directory Certificate Services (ADCS), can be used to request certificates.
Two services can be used: Certification Authority Web Enrollment (WebEnrollment) and Certificate Enrollment Web Service (CES).
The certificates provided by these services can be used with Kerberos to login.

Because this service can deliver certificates for Domain Controllers, it can be considered as part of Tier 0.
As a legacy service, the mechanisms to prohibit credential relay are not enforced by default.
If an attacker is able to relay privileged credentials (for example with the PetitPotam attack), it can be used to take control of the domain.

PingCastle is looking for enrollment servers registered in the Active Directory (pKIEnrollmentService objects).
It then connects to the special page http://xxx/certsrv/certrqxt.asp and http://xxx/yyy_CES_Kerberos/services.svc and tries to access the page with authentication.

If the authentication succeed and no error is returned,the program considers the interface accessible.

False positives may exists if the PingCastle program is run on the server tested. That's why, if PingCastle is run on the server, the server will not be tested.

Advised Solution:

The access to certificate enrollment with HTTP should be disabled.

This can be achieved by opening the IIS console on the enrollment server.
If the service quoted in detail is WebEnrollment, the url is certsrv, else it is ending by CES_Keberos.

In the Binding setting (link at the right), keep the HTTPS binding and remove the HTTP binding.
See the link to KB5005413 in references for more information.

Note: By default, the CES service is not accessible by HTTP.

Title:

Vérifier si l'inscription du certificat peut être effectuée avec HTTP

Description:

Le but est de vérifier si HTTP peut être utilisé pour accéder à l'interface d'inscription de certificat

Technical Explanation:

La PKI Windows, également appelée Active Directory Certificate Services (ADCS), peut être utilisée pour demander des certificats.
Deux services peuvent être utilisés : Certification Authority Web Enrollment (WebEnrollment) et Certificate Enrollment Web Service (CES).
Les certificats fournis par ces services peuvent être utilisés avec Kerberos pour se connecter.

Étant donné que ce service peut délivrer des certificats pour les contrôleurs de domaine, il peut être considéré comme faisant partie du niveau 0.
En tant que service hérité, les mécanismes d'interdiction du relais d'informations d'identification ne sont pas appliqués par défaut.
Si un attaquant est capable de relayer des identifiants privilégiés (par exemple avec l'attaque PetitPotam), il peut être utilisé pour prendre le contrôle du domaine.

PingCastle recherche des serveurs d'inscription enregistrés dans l'Active Directory (objets pKIEnrollmentService).
Il se connecte ensuite à la page spéciale http://xxx/certsrv/certrqxt.asp et http://xxx/yyy_CES_Kerberos/services.svc et tente d'accéder à la page avec authentification.

Si l'authentification réussit et qu'aucune erreur n'est renvoyée, le programme considère l'interface accessible.

Des faux positifs peuvent exister si le programme PingCastle est exécuté sur le serveur testé. C'est pourquoi, si PingCastle est exécuté sur le serveur, le serveur ne sera pas testé.

Advised Solution:

L'accès à l'inscription de certificat avec HTTP doit être désactivé.

Ceci peut être réalisé en ouvrant la console IIS sur le serveur d'inscription.
Si le service cité en détail est WebEnrollment, l'url est certsrv, sinon elle se termine par CES_Keberos.

Dans le paramètre Liaison (lien à droite), conservez la liaison HTTPS et supprimez la liaison HTTP.
Voir le lien vers KB5005413 dans les références pour plus d'informations.

Remarque : Par défaut, le service CES n'est pas accessible par HTTP.

Title:

Überprüfen Sie, ob die Zertifikatregistrierung mit HTTP erfolgen kann

Description:

Der Zweck besteht darin, zu prüfen, ob HTTP für den Zugriff auf die Schnittstelle zur Zertifikatregistrierung verwendet werden kann

Technical Explanation:

Die Windows PKI, auch Active Directory Certificate Services (ADCS) genannt, kann zum Anfordern von Zertifikaten verwendet werden.
Es können zwei Dienste verwendet werden: Certification Authority Web Enrollment (WebEnrollment) und Certificate Enrollment Web Service (CES).
Die von diesen Diensten bereitgestellten Zertifikate können mit Kerberos zur Anmeldung verwendet werden.

Da dieser Dienst Zertifikate für Domänencontroller bereitstellen kann, kann er als Teil von Tier 0 betrachtet werden.
Als Legacy-Dienst werden die Mechanismen zum Verbieten der Weiterleitung von Anmeldeinformationen nicht standardmäßig erzwungen.
Wenn ein Angreifer privilegierte Zugangsdaten weitergeben kann (z. B. beim PetitPotam-Angriff), kann er verwendet werden, um die Kontrolle über die Domäne zu übernehmen.

PingCastle sucht nach im Active Directory registrierten Registrierungsservern (pKIEnrollmentService-Objekte).
Es verbindet sich dann mit der speziellen Seite http://xxx/certsrv/certrqxt.asp und http://xxx/yyy_CES_Kerberos/services.svc und versucht, mit Authentifizierung auf die Seite zuzugreifen.

Wenn die Authentifizierung erfolgreich ist und kein Fehler zurückgegeben wird, betrachtet das Programm die Schnittstelle als zugänglich.

Falsch positive Ergebnisse können auftreten, wenn das PingCastle-Programm auf dem getesteten Server ausgeführt wird. Aus diesem Grund wird der Server nicht getestet, wenn PingCastle auf dem Server ausgeführt wird.

Advised Solution:

Der Zugriff auf die Zertifikatregistrierung mit HTTP sollte deaktiviert werden.

Dies kann erreicht werden, indem die IIS-Konsole auf dem Registrierungsserver geöffnet wird.
Wenn der im Detail genannte Dienst WebEnrollment ist, lautet die URL certsrv, andernfalls endet sie auf CES_Keberos.

Behalten Sie in der Bindungseinstellung (Link rechts) die HTTPS-Bindung bei und entfernen Sie die HTTP-Bindung.
Weitere Informationen finden Sie unter dem Link zu KB5005413 in Referenzen.

Hinweis: Standardmäßig ist der CES-Dienst nicht über HTTP zugänglich.

Title:

Compruebe si la inscripción del certificado se puede realizar con HTTP

Description:

El propósito es comprobar si se puede utilizar HTTP para acceder a la interfaz de registro de certificados.

Technical Explanation:

La PKI de Windows, también denominada Servicios de certificados de Active Directory (ADCS), se puede utilizar para solicitar certificados.
Se pueden utilizar dos servicios: Inscripción web de la autoridad de certificación (WebEnrollment) y Servicio web de inscripción de certificados (CES).
Los certificados proporcionados por estos servicios se pueden usar con Kerberos para iniciar sesión.

Debido a que este servicio puede entregar certificados para controladores de dominio, se puede considerar como parte del nivel 0.
Como servicio heredado, los mecanismos para prohibir la retransmisión de credenciales no se aplican de forma predeterminada.
Si un atacante puede transmitir credenciales privilegiadas (por ejemplo, con el ataque PetitPotam), puede usarse para tomar el control del dominio.

PingCastle busca servidores de inscripción registrados en Active Directory (objetos pKIEnrollmentService).
Luego se conecta a la página especial http://xxx/certsrv/certrqxt.asp y http://xxx/yyy_CES_Kerberos/services.svc e intenta acceder a la página con autenticación.

Si la autenticación tiene éxito y no se devuelve ningún error, el programa considera que la interfaz es accesible.

Pueden existir falsos positivos si el programa PingCastle se ejecuta en el servidor probado. Por eso, si se ejecuta PingCastle en el servidor, el servidor no se probará.

Advised Solution:

El acceso a la inscripción de certificados con HTTP debe estar deshabilitado.

Esto se puede lograr abriendo la consola de IIS en el servidor de inscripción.
Si el servicio mencionado en detalle es WebEnrollment, la URL es certsrv; de lo contrario, terminará en CES_Keberos.

En la configuración de enlace (enlace a la derecha), mantenga el enlace HTTPS y elimine el enlace HTTP.
Consulte el enlace a KB5005413 en las referencias para obtener más información.

Nota: De forma predeterminada, HTTP no puede acceder al servicio CES.

Introduced in:

2.11.0.0

Points:

5 points if present

Documentation:

https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
https://dirkjanm.io/ntlm-relaying-to-ad-certificate-services/
https://www.riskinsight-wavestone.com/en/2021/06/microsoft-adcs-abusing-pki-in-active-directory-environment/
https://www.vkernel.ro/blog/installing-and-configuring-cep-and-ces-for-certificate-inscribing-on-no-domain-joined-computers
[MITRE]T1557 Man-in-the-Middle

Check if certificate templates can be edited by everyone.

Rule ID:

A-CertTempAnyone

Description:

The purpose of this rule is to ensure that there is no certificate template that can be edited by anyone

Technical Explanation:

A certificate template is an object whose definition serves as a base to issue certificates.
If a user has the right to edit it, it can manually change obscure attributes such as msPKI-Certificate-Name-Flag.
Doing so will enable him to provide the subject of the certificate and thus having a certificate on behalf other users such as admins.
It can be used to impersonate them and take control of the domain.

Note: the program regards the group "Domain Computers" like "Everyone" if ms-DS-MachineAccountQuota is non zero.

Advised Solution:

Review the security permissions of this certificate template and remove the write access to everyone-like groups such as Domain Users, Domain Computers, Everyone, Authenticated Users, ...

Title:

Vérifiez si les modèles de certificat peuvent être modifiés par tout le monde.

Description:

Le but de cette règle est de s'assurer qu'aucun modèle de certificat ne peut être modifié par n'importe qui

Technical Explanation:

Un modèle de certificat est un objet dont la définition sert de base pour émettre des certificats.
Si un utilisateur a le droit de le modifier, il peut modifier manuellement des attributs obscurs tels que msPKI-Certificate-Name-Flag.
Cela lui permettra de fournir le sujet du certificat et ainsi d'avoir un certificat au nom d'autres utilisateurs tels que les administrateurs.
Il peut être utilisé pour se faire passer pour eux et prendre le contrôle du domaine.

Remarque : le programme considère le groupe "Domain Computers" comme "Everyone" si ms-DS-MachineAccountQuota est non nul.

Advised Solution:

Passez en revue les autorisations de sécurité de ce modèle de certificat et supprimez l'accès en écriture aux groupes similaires à tout le monde tels que les utilisateurs du domaine, les ordinateurs du domaine, tout le monde, les utilisateurs authentifiés, ...

Title:

Überprüfen Sie, ob Zertifikatsvorlagen von allen bearbeitet werden können.

Description:

Der Zweck dieser Regel besteht darin, sicherzustellen, dass es keine Zertifikatvorlage gibt, die von jedermann bearbeitet werden kann

Technical Explanation:

Eine Zertifikatsvorlage ist ein Objekt, dessen Definition als Grundlage für die Ausstellung von Zertifikaten dient.
Wenn ein Benutzer das Recht hat, es zu bearbeiten, kann er obskure Attribute wie msPKI-Certificate-Name-Flag manuell ändern.
Dadurch kann er den Betreff des Zertifikats angeben und somit ein Zertifikat im Namen anderer Benutzer wie Administratoren haben.
Es kann verwendet werden, um sich als sie auszugeben und die Kontrolle über die Domäne zu übernehmen.

Hinweis: Das Programm betrachtet die Gruppe „Domänencomputer“ wie „Jeder“, wenn ms-DS-MachineAccountQuota ungleich Null ist.

Advised Solution:

Überprüfen Sie die Sicherheitsberechtigungen dieser Zertifikatvorlage und entfernen Sie den Schreibzugriff für alle Gruppen wie Domänenbenutzer, Domänencomputer, Jeder, Authentifizierte Benutzer usw.

Title:

Compruebe si todos pueden editar las plantillas de certificado.

Description:

El propósito de esta regla es garantizar que no haya una plantilla de certificado que cualquier persona pueda editar.

Technical Explanation:

Una plantilla de certificado es un objeto cuya definición sirve de base para emitir certificados.
Si un usuario tiene derecho a editarlo, puede cambiar manualmente los atributos ocultos, como msPKI-Certificate-Name-Flag.
Si lo hace, le permitirá proporcionar el asunto del certificado y, por lo tanto, tener un certificado en nombre de otros usuarios, como los administradores.
Se puede utilizar para hacerse pasar por ellos y tomar el control del dominio.

Nota: el programa considera el grupo "Equipos de dominio" como "Todos" si ms-DS-MachineAccountQuota no es cero.

Advised Solution:

Revise los permisos de seguridad de esta plantilla de certificado y elimine el acceso de escritura a grupos similares a todos, como Usuarios de dominio, Computadoras de dominio, Todos, Usuarios autenticados, ...

Introduced in:

2.9.3.0

Points:

15 points if present

Documentation:

https://posts.specterops.io/certified-pre-owned-d95910965cd2
https://www.riskinsight-wavestone.com/en/2021/06/microsoft-adcs-abusing-pki-in-active-directory-environment/
[MITRE]T1558 Steal or Forge Kerberos Tickets
[FR]ANSSI - Dangerous enrollment permission on authentication certificate templates (vuln1_vuln_adcs_template_auth_enroll_with_name)1

Check if Extended Protection is in place for certificate requests

Rule ID:

A-CertEnrollChannelBinding

Description:

The purpose is to check if the Extended protection for HTTPS access to the certificate enrollment interface is in place

Technical Explanation:

The Windows PKI, also named Active Directory Certificate Services (ADCS), can be used to request certificates.
Two services can be used: Certification Authority Web Enrollment (WebEnrollment) and Certificate Enrollment Web Service (CES).
The certificates provided by these services can be used with Kerberos to login.

Because this service can deliver certificates for Domain Controller, it can be considered as part of Tier 0.
As a legacy service, the mechanisms to prohibit credential relay are not enforced by default.
If an attacker is able to relay privileged credentials (for example with the PetitPotam attack), it can be used to take control of the domain.

To avoid this attack with HTTPS, a feature named Channel Binding exists. It consists of passing to the authentication layer a property of the TLS channel (typically a hash of the server certificate) to bind the outer channel (TLS) and the inner channel (HTTP).
This protection is also called "Extended Protection". See rfc5929 for more details.

PingCastle is looking for enrollment servers registered in the Active Directory.
It then connect to the special page https://xxx/certsrv/certrqxt.asp and https://xxx/yyy_CES_Kerberos/service.svc
An authentication is attempted with and without Channel Binding.

False positives may exists if the PingCastle program is run on the server tested. That's why, if PingCastle is run on the server, the server will not be tested.

Advised Solution:

The Extended Protection for Authentication (EPA, also called Channel Binding) should be activated on the enrollment server.

This can be achieved by opening the IIS console on the enrollment server.
In the Authentcation settings, open the Advanced Settings for the Windows Authentication.
Set "Extended Protection" to "Required".

Do this operation for the Certification Authority Web Enrollment (WebEnrollment) and Certificate Enrollment Web Service (CES).

See the link to KB5005413 below for more information. This KB also suggest to restrict the authentication to Kerberos only.

Title:

Vérifier si la protection étendue est en place pour les demandes de certificat

Description:

Le but est de vérifier si la protection étendue pour l'accès HTTPS à l'interface d'inscription de certificat est en place

Technical Explanation:

La PKI Windows, également appelée Active Directory Certificate Services (ADCS), peut être utilisée pour demander des certificats.
Deux services peuvent être utilisés : Certification Authority Web Enrollment (WebEnrollment) et Certificate Enrollment Web Service (CES).
Les certificats fournis par ces services peuvent être utilisés avec Kerberos pour se connecter.

Étant donné que ce service peut délivrer des certificats pour le contrôleur de domaine, il peut être considéré comme faisant partie du niveau 0.
En tant que service hérité, les mécanismes d'interdiction du relais d'informations d'identification ne sont pas appliqués par défaut.
Si un attaquant est capable de relayer des identifiants privilégiés (par exemple avec l'attaque PetitPotam), il peut être utilisé pour prendre le contrôle du domaine.

Pour éviter cette attaque avec HTTPS, une fonctionnalité nommée Channel Binding existe. Il consiste à passer à la couche d'authentification une propriété du canal TLS (typiquement un hash du certificat du serveur) pour lier le canal externe (TLS) et le canal interne (HTTP).
Cette protection est également appelée "Protection étendue". Voir rfc5929 pour plus de détails.

PingCastle recherche des serveurs d'inscription enregistrés dans l'Active Directory.
Il se connecte ensuite à la page spéciale https://xxx/certsrv/certrqxt.asp et https://xxx/yyy_CES_Kerberos/service.svc
Une authentification est tentée avec et sans Channel Binding.

Des faux positifs peuvent exister si le programme PingCastle est exécuté sur le serveur testé. C'est pourquoi, si PingCastle est exécuté sur le serveur, le serveur ne sera pas testé.

Advised Solution:

La protection étendue de l'authentification (EPA, également appelée liaison de canal) doit être activée sur le serveur d'inscription.

Ceci peut être réalisé en ouvrant la console IIS sur le serveur d'inscription.
Dans les paramètres d'authentification, ouvrez les paramètres avancés pour l'authentification Windows.
Définissez "Protection étendue" sur "Requis".

Effectuez cette opération pour l'inscription Web de l'autorité de certification (WebEnrollment) et le service Web d'inscription de certificat (CES).

Voir le lien vers KB5005413 ci-dessous pour plus d'informations. Cette base de connaissances suggère également de limiter l'authentification à Kerberos uniquement.

Title:

Überprüfen Sie, ob der erweiterte Schutz für Zertifikatsanforderungen vorhanden ist

Description:

Der Zweck besteht darin, zu überprüfen, ob der erweiterte Schutz für den HTTPS-Zugriff auf die Zertifikatregistrierungsschnittstelle vorhanden ist

Technical Explanation:

Die Windows PKI, auch Active Directory Certificate Services (ADCS) genannt, kann zum Anfordern von Zertifikaten verwendet werden.
Es können zwei Dienste verwendet werden: Certification Authority Web Enrollment (WebEnrollment) und Certificate Enrollment Web Service (CES).
Die von diesen Diensten bereitgestellten Zertifikate können mit Kerberos zur Anmeldung verwendet werden.

Da dieser Dienst Zertifikate für Domänencontroller bereitstellen kann, kann er als Teil von Tier 0 betrachtet werden.
Als Legacy-Dienst werden die Mechanismen zum Verbieten der Weiterleitung von Anmeldeinformationen nicht standardmäßig erzwungen.
Wenn ein Angreifer privilegierte Zugangsdaten weitergeben kann (z. B. beim PetitPotam-Angriff), kann er verwendet werden, um die Kontrolle über die Domäne zu übernehmen.

Um diesen Angriff mit HTTPS zu vermeiden, existiert eine Funktion namens Channel Binding. Es besteht darin, eine Eigenschaft des TLS-Kanals (normalerweise ein Hash des Serverzertifikats) an die Authentifizierungsschicht zu übergeben, um den äußeren Kanal (TLS) und den inneren Kanal (HTTP) zu binden.
Dieser Schutz wird auch „Erweiterter Schutz“ genannt. Siehe rfc5929 für weitere Details.

PingCastle sucht nach Registrierungsservern, die im Active Directory registriert sind.
Es verbindet sich dann mit der speziellen Seite https://xxx/certsrv/certrqxt.asp und https://xxx/yyy_CES_Kerberos/service.svc
Es wird eine Authentifizierung mit und ohne Channel Binding versucht.

Falsch positive Ergebnisse können auftreten, wenn das PingCastle-Programm auf dem getesteten Server ausgeführt wird. Aus diesem Grund wird der Server nicht getestet, wenn PingCastle auf dem Server ausgeführt wird.

Advised Solution:

Der Extended Protection for Authentication (EPA, auch Channel Binding genannt) sollte auf dem Registrierungsserver aktiviert sein.

Dies kann erreicht werden, indem die IIS-Konsole auf dem Registrierungsserver geöffnet wird.
Öffnen Sie in den Authentifizierungseinstellungen die Erweiterten Einstellungen für die Windows-Authentifizierung.
Setzen Sie „Erweiterter Schutz“ auf „Erforderlich“.

Führen Sie diesen Vorgang für die Webregistrierung der Zertifizierungsstelle (WebEnrollment) und den Webdienst für die Zertifikatregistrierung (CES) aus.

Weitere Informationen finden Sie unter dem Link zu KB5005413 unten. Diese KB schlägt auch vor, die Authentifizierung nur auf Kerberos zu beschränken.

Title:

Comprobar si la protección ampliada está activada para las solicitudes de certificados

Description:

El propósito es verificar si la protección extendida para el acceso HTTPS a la interfaz de inscripción de certificados está implementada.

Technical Explanation:

La PKI de Windows, también denominada Servicios de certificados de Active Directory (ADCS), se puede utilizar para solicitar certificados.
Se pueden utilizar dos servicios: Inscripción web de la autoridad de certificación (WebEnrollment) y Servicio web de inscripción de certificados (CES).
Los certificados proporcionados por estos servicios se pueden usar con Kerberos para iniciar sesión.

Dado que este servicio puede entregar certificados para el controlador de dominio, se puede considerar como parte del nivel 0.
Como servicio heredado, los mecanismos para prohibir la retransmisión de credenciales no se aplican de forma predeterminada.
Si un atacante puede transmitir credenciales privilegiadas (por ejemplo, con el ataque PetitPotam), puede usarse para tomar el control del dominio.

Para evitar este ataque con HTTPS, existe una función llamada Channel Binding. Consiste en pasar a la capa de autenticación una propiedad del canal TLS (típicamente un hash del certificado del servidor) para vincular el canal externo (TLS) y el canal interno (HTTP).
Esta protección también se denomina "Protección extendida". Ver rfc5929 para más detalles.

PingCastle está buscando servidores de inscripción registrados en Active Directory.
Luego se conecta a la página especial https://xxx/certsrv/certrqxt.asp y https://xxx/yyy_CES_Kerberos/service.svc
Se intenta una autenticación con y sin vinculación de canales.

Pueden existir falsos positivos si el programa PingCastle se ejecuta en el servidor probado. Por eso, si se ejecuta PingCastle en el servidor, el servidor no se probará.

Advised Solution:

La Protección Extendida para la Autenticación (EPA, también llamada Channel Binding) debe estar activada en el servidor de inscripción.

Esto se puede lograr abriendo la consola de IIS en el servidor de inscripción.
En la configuración de Autenticación, abra la Configuración avanzada para la Autenticación de Windows.
Establezca "Protección ampliada" en "Obligatorio".

Realice esta operación para la inscripción web de la autoridad de certificación (WebEnrollment) y el servicio web de inscripción de certificados (CES).

Consulte el enlace a KB5005413 a continuación para obtener más información. Este KB también sugiere restringir la autenticación solo a Kerberos.

Introduced in:

2.11.0.0

Points:

5 points if present

Documentation:

Check if LDAPS is used with weak SSL protocol.

Rule ID:

A-DCLdapsProtocol

Description:

The purpose is to ensure that all DC don't use weak SSL protocols when acting as server.

Technical Explanation:

SSL version 2 and SSL version 3 are considered broken and it is strongly advised to disable them.
The SSL protocols in Windows is provided by the SChannel component.
The SChannel component needs to be tuned in order to not propose these weak protocols. Many guidelines to handle this problem issued by Microsoft do not talk about SChannel but rather IIS. These guidlines are quoted in the documentation section below.

PingCastle is able to check the SSL version if LDAPS is exposed. LDAPS is automatically exposed once a certificate is available for the DC and the service restarted.
Please note that PingCastle is using the native .Net SSL stack to perform this test. .Net begins to ignore these weak protocols starting the version 4.7 of the framework and as a consequence, PingCasle may miss some weak protocol detection.

To test for these protocols, you can use a version of openssl with the deprecated protocols still compiled in, e.g. openssl-unsafe from Kali Linux, with the following commands:
openssl-unsafe s_client -connect dc.domain.local:636 -ssl2
openssl-unsafe s_client -connect dc.domain.local:636 -ssl3

Advised Solution:

Apply Windows updates and registry tweaks described in the documentation section to disable the weak SSL protocols.

Title:

Vérifiez si LDAPS est utilisé avec un protocole SSL faible.

Description:

Le but est de s'assurer que tous les DC n'utilisent pas de protocoles SSL faibles lorsqu'ils agissent en tant que serveur.

Technical Explanation:

SSL version 2 et SSL version 3 sont considérés comme défectueux et il est fortement conseillé de les désactiver.
Les protocoles SSL de Windows sont fournis par le composant SChannel.
Le composant SChannel doit être réglé afin de ne pas proposer ces protocoles faibles. De nombreuses directives pour gérer ce problème émises par Microsoft ne parlent pas de SChannel mais plutôt d'IIS. Ces lignes directrices sont citées dans la section documentation ci-dessous.

PingCastle est capable de vérifier la version SSL si LDAPS est exposé. LDAPS est automatiquement exposé une fois qu'un certificat est disponible pour le contrôleur de domaine et que le service a redémarré.
Veuillez noter que PingCastle utilise la pile SSL .Net native pour effectuer ce test. .Net commence à ignorer ces protocoles faibles à partir de la version 4.7 du framework et par conséquent, PingCasle peut manquer une détection de protocole faible.

Pour tester ces protocoles, vous pouvez utiliser une version d'openssl avec les protocoles obsolètes toujours compilés, par ex. openssl-unsafe de Kali Linux, avec les commandes suivantes :
openssl-unsafe s_client -connect dc.domain.local:636 -ssl2
openssl-unsafe s_client -connect dc.domain.local:636 -ssl3

Advised Solution:

Appliquez les mises à jour Windows et les modifications du registre décrites dans la section documentation pour désactiver les protocoles SSL faibles.

Title:

Überprüfen Sie, ob LDAPS mit einem schwachen SSL-Protokoll verwendet wird.

Description:

Der Zweck besteht darin, sicherzustellen, dass alle DC keine schwachen SSL-Protokolle verwenden, wenn sie als Server fungieren.

Technical Explanation:

SSL Version 2 und SSL Version 3 gelten als defekt und es wird dringend empfohlen, sie zu deaktivieren.
Die SSL-Protokolle in Windows werden von der SChannel-Komponente bereitgestellt.
Die SChannel-Komponente muss abgestimmt werden, um diese schwachen Protokolle nicht vorzuschlagen. Viele von Microsoft herausgegebene Richtlinien zur Behandlung dieses Problems sprechen nicht von SChannel, sondern von IIS. Diese Richtlinien werden im Dokumentationsabschnitt unten zitiert.

PingCastle kann die SSL-Version überprüfen, wenn LDAPS verfügbar ist. LDAPS wird automatisch verfügbar gemacht, sobald ein Zertifikat für den DC verfügbar ist und der Dienst neu gestartet wurde.
Bitte beachten Sie, dass PingCastle den nativen .Net-SSL-Stack verwendet, um diesen Test durchzuführen. .Net beginnt, diese schwachen Protokolle ab Version 4.7 des Frameworks zu ignorieren, und infolgedessen kann PingCasle einige schwache Protokollerkennungen übersehen.

Um diese Protokolle zu testen, können Sie eine Version von openssl verwenden, in der die veralteten Protokolle noch einkompiliert sind, z. openssl-unsafe von Kali Linux mit den folgenden Befehlen:
openssl-unsafe s_client -connect dc.domain.local:636 -ssl2
openssl-unsafe s_client -connect dc.domain.local:636 -ssl3

Advised Solution:

Wenden Sie die im Dokumentationsabschnitt beschriebenen Windows-Updates und Registrierungsoptimierungen an, um die schwachen SSL-Protokolle zu deaktivieren.

Title:

Compruebe si LDAPS se utiliza con un protocolo SSL débil.

Description:

El propósito es garantizar que todos los DC no utilicen protocolos SSL débiles cuando actúen como servidores.

Technical Explanation:

SSL versión 2 y SSL versión 3 se consideran defectuosos y se recomienda encarecidamente desactivarlos.
Los protocolos SSL en Windows son proporcionados por el componente SChannel.
El componente SChannel debe ajustarse para no proponer estos protocolos débiles. Muchas pautas para manejar este problema emitidas por Microsoft no hablan de SChannel sino de IIS. Estas pautas se citan en la sección de documentación a continuación.

PingCastle puede verificar la versión SSL si LDAPS está expuesto. LDAPS se expone automáticamente una vez que hay un certificado disponible para el controlador de dominio y se reinicia el servicio.
Tenga en cuenta que PingCastle está utilizando la pila SSL nativa de .Net para realizar esta prueba. .Net comienza a ignorar estos protocolos débiles a partir de la versión 4.7 del marco y, como consecuencia, PingCasle puede pasar por alto alguna detección de protocolo débil.

Para probar estos protocolos, puede usar una versión de openssl con los protocolos en desuso aún compilados, p. openssl-unsafe desde Kali Linux, con los siguientes comandos:
openssl-unsafe s_client -connect dc.domain.local:636 -ssl2
openssl-unsafe s_client -connect dc.domain.local:636 -ssl3

Advised Solution:

Aplique las actualizaciones de Windows y los ajustes de registro descritos en la sección de documentación para deshabilitar los protocolos SSL débiles.

Introduced in:

2.8.0.0

Points:

10 points if present

Documentation:

https://social.technet.microsoft.com/wiki/contents/articles/2249.windows-server-20082008r2-how-to-disable-sslv2-on-domain-controller-dsforum2wiki.aspx
https://support.microsoft.com/en-us/help/187498/how-to-disable-pct-1-0-ssl-2-0-ssl-3-0-or-tls-1-0- en-internet-informato
https://adsecurity.org/?p=376
[MITRE]T1600.001 Weaken Encryption: Reduce Key Space

Check if WSUS is used with weak SSL protocol.

Rule ID:

A-WSUS-SslProtocol

Description:

The purpose is to ensure that all WSUS servers don't use weak SSL protocols.

Technical Explanation:

SSL version 2 and SSL version 3 are considered weak and it is strongly advised to disable them.
The SSL protocols in Windows is provided by the Schannel component.
The Schannel component needs to be tuned in order to not propose these weak protocols. Many guidelines to handle this problem issued by Microsoft do not talk about Schannel but rather IIS. These guidlines are quoted in the documentation section below.

PingCastle is able to check the SSL version if SSL is exposed.
Please note that PingCastle is using the native .Net SSL stack to perform this test. .Net begins to ignore these weak protocols starting the version 4.7 of the framework and as a consequence, PingCasle may miss some weak protocol detection.

To test for these protocols, you can use a version of openssl with the deprecated protocols still compiled in, e.g. openssl-unsafe from Kali Linux, with the following commands:
openssl-unsafe s_client -connect dc.domain.local:636 -ssl2
openssl-unsafe s_client -connect dc.domain.local:636 -ssl3

Advised Solution:

Apply Windows updates and registry tweaks described in the documentation section to disable the weak SSL protocols.

Title:

Vérifiez si WSUS est utilisé avec un protocole SSL faible.

Description:

Le but est de s'assurer que tous les serveurs WSUS n'utilisent pas de protocoles SSL faibles.

Technical Explanation:

SSL version 2 et SSL version 3 sont considérés comme faibles et il est fortement conseillé de les désactiver.
Les protocoles SSL de Windows sont fournis par le composant Schannel.
Le composant Schannel doit être réglé afin de ne pas proposer ces protocoles faibles. De nombreuses directives pour gérer ce problème émises par Microsoft ne parlent pas de Schannel mais plutôt d'IIS. Ces lignes directrices sont citées dans la section documentation ci-dessous.

PingCastle est capable de vérifier la version SSL si SSL est exposé.
Veuillez noter que PingCastle utilise la pile SSL .Net native pour effectuer ce test. .Net commence à ignorer ces protocoles faibles à partir de la version 4.7 du framework et par conséquent, PingCasle peut manquer une détection de protocole faible.

Pour tester ces protocoles, vous pouvez utiliser une version d'openssl avec les protocoles obsolètes toujours compilés, par ex. openssl-unsafe de Kali Linux, avec les commandes suivantes :
openssl-unsafe s_client -connect dc.domain.local:636 -ssl2
openssl-unsafe s_client -connect dc.domain.local:636 -ssl3

Advised Solution:

Appliquez les mises à jour Windows et les modifications du registre décrites dans la section documentation pour désactiver les protocoles SSL faibles.

Title:

Überprüfen Sie, ob WSUS mit einem schwachen SSL-Protokoll verwendet wird.

Description:

Damit soll sichergestellt werden, dass alle WSUS-Server keine schwachen SSL-Protokolle verwenden.

Technical Explanation:

SSL Version 2 und SSL Version 3 gelten als schwach und es wird dringend empfohlen, sie zu deaktivieren.
Die SSL-Protokolle in Windows werden von der Schannel-Komponente bereitgestellt.
Die Schannel-Komponente muss abgestimmt werden, um diese schwachen Protokolle nicht vorzuschlagen. Viele von Microsoft herausgegebene Richtlinien zur Behandlung dieses Problems sprechen nicht von Schannel, sondern von IIS. Diese Richtlinien werden im Dokumentationsabschnitt unten zitiert.

PingCastle kann die SSL-Version überprüfen, wenn SSL verfügbar ist.
Bitte beachten Sie, dass PingCastle den nativen .Net-SSL-Stack verwendet, um diesen Test durchzuführen. .Net beginnt, diese schwachen Protokolle ab Version 4.7 des Frameworks zu ignorieren, und infolgedessen kann PingCasle einige schwache Protokollerkennungen übersehen.

Um diese Protokolle zu testen, können Sie eine Version von openssl verwenden, in der die veralteten Protokolle noch einkompiliert sind, z. openssl-unsafe von Kali Linux mit den folgenden Befehlen:
openssl-unsafe s_client -connect dc.domain.local:636 -ssl2
openssl-unsafe s_client -connect dc.domain.local:636 -ssl3

Advised Solution:

Wenden Sie die im Dokumentationsabschnitt beschriebenen Windows-Updates und Registrierungsoptimierungen an, um die schwachen SSL-Protokolle zu deaktivieren.

Title:

Compruebe si WSUS se usa con un protocolo SSL débil.

Description:

El propósito es garantizar que todos los servidores WSUS no utilicen protocolos SSL débiles.

Technical Explanation:

SSL versión 2 y SSL versión 3 se consideran débiles y se recomienda encarecidamente desactivarlos.
Los protocolos SSL en Windows son proporcionados por el componente Schannel.
El componente Schannel debe ajustarse para no proponer estos protocolos débiles. Muchas pautas para manejar este problema emitidas por Microsoft no hablan de Schannel sino de IIS. Estas pautas se citan en la sección de documentación a continuación.

PingCastle puede verificar la versión SSL si SSL está expuesto.
Tenga en cuenta que PingCastle está utilizando la pila SSL nativa de .Net para realizar esta prueba. .Net comienza a ignorar estos protocolos débiles a partir de la versión 4.7 del marco y, como consecuencia, PingCasle puede pasar por alto alguna detección de protocolo débil.

Para probar estos protocolos, puede usar una versión de openssl con los protocolos en desuso aún compilados, p. openssl-unsafe desde Kali Linux, con los siguientes comandos:
openssl-unsafe s_client -connect dc.domain.local:636 -ssl2
openssl-unsafe s_client -connect dc.domain.local:636 -ssl3

Advised Solution:

Aplique las actualizaciones de Windows y los ajustes de registro descritos en la sección de documentación para deshabilitar los protocolos SSL débiles.

Introduced in:

2.10.1.0

Points:

5 points if present

Documentation:

Check the permission of agent certificate templates

Rule ID:

A-CertTempAgent

Description:

The purpose of this rule is to ensure that there is no agent certificate that can be requested by anyone

Technical Explanation:

An Agent certificate is a special certificate used to request certificates on behalf of other users.
A template has been detected with the agent EKU and that can be enrolled by a large number of users.

Advised Solution:

Review the permissions that allow a wide enrollment of this certificate template

Title:

Vérifier l'autorisation des modèles de certificat d'agent

Description:

Le but de cette règle est de s'assurer qu'il n'y a pas de certificat d'agent qui puisse être demandé par n'importe qui

Technical Explanation:

Un certificat d'agent est un certificat spécial utilisé pour demander des certificats au nom d'autres utilisateurs.
Un modèle a été détecté avec l'agent EKU et qui peut être inscrit par un grand nombre d'utilisateurs.

Advised Solution:

Passez en revue les autorisations qui permettent une large inscription de ce modèle de certificat

Title:

Überprüfen Sie die Berechtigung von Agentenzertifikatvorlagen

Description:

Der Zweck dieser Regel besteht darin, sicherzustellen, dass es kein Agentenzertifikat gibt, das von irgendjemandem angefordert werden kann

Technical Explanation:

Ein Agentenzertifikat ist ein spezielles Zertifikat, das zum Anfordern von Zertifikaten im Namen anderer Benutzer verwendet wird.
Mit der Agent-EKU wurde eine Vorlage erkannt, die von einer großen Anzahl von Benutzern registriert werden kann.

Advised Solution:

Überprüfen Sie die Berechtigungen, die eine breite Registrierung dieser Zertifikatvorlage zulassen

Title:

Comprobar el permiso de las plantillas de certificado de agente

Description:

El objetivo de esta regla es garantizar que no existe un certificado de agente que pueda ser solicitado por cualquier persona.

Technical Explanation:

Un certificado de agente es un certificado especial que se utiliza para solicitar certificados en nombre de otros usuarios.
Se ha detectado una plantilla con el EKU del agente y que puede ser enrolada por un gran número de usuarios.

Advised Solution:

Revise los permisos que permiten una inscripción amplia de esta plantilla de certificado

Introduced in:

2.9.3.0

Points:

15 points if present

Documentation:

Check the purpose provided by certificate templates

Rule ID:

A-CertTempAnyPurpose

Description:

The purpose of this rule is to ensure that there is no certificate template with any purpose that can be requested by everyone

Technical Explanation:

A certificate should define restrictions of its use. It is done via extensions known as EKU (extended key usage).
Without a proper purpose or with the global purpose "Any Purpose" it can be used to enroll certificates on behalf of other users and impersonate them using it.

Advised Solution:

Review the permissions that allow a wide enrollment of this certificate template automatically or specify a specific purpose (EKU)

Title:

Vérifier l'objectif fourni par les modèles de certificat

Description:

Le but de cette règle est de s'assurer qu'il n'y a pas de modèle de certificat à quelque fin que ce soit qui puisse être demandé par tout le monde

Technical Explanation:

Un certificat doit définir les restrictions de son utilisation. Cela se fait via des extensions appelées EKU (utilisation étendue de la clé).
Sans objectif approprié ou avec l'objectif global "Tout objectif", il peut être utilisé pour inscrire des certificats au nom d'autres utilisateurs et se faire passer pour eux en l'utilisant.

Advised Solution:

Passez en revue les autorisations qui permettent une large inscription de ce modèle de certificat automatiquement ou spécifiez un objectif spécifique (EKU)

Title:

Überprüfen Sie den von den Zertifikatvorlagen bereitgestellten Zweck

Description:

Der Zweck dieser Regel besteht darin, sicherzustellen, dass es keine Zertifikatvorlage mit irgendeinem Zweck gibt, die von allen angefordert werden kann

Technical Explanation:

Ein Zertifikat sollte Beschränkungen seiner Verwendung definieren. Dies erfolgt über Erweiterungen, die als EKU (Extended Key Usage) bekannt sind.
Ohne einen geeigneten Zweck oder mit dem globalen Zweck „Jeder Zweck“ kann es verwendet werden, um Zertifikate im Namen anderer Benutzer zu registrieren und sich damit auszugeben.

Advised Solution:

Überprüfen Sie die Berechtigungen, die eine breite Registrierung dieser Zertifikatvorlage automatisch zulassen, oder geben Sie einen bestimmten Zweck (EKU) an.

Title:

Verifique el propósito proporcionado por las plantillas de certificado

Description:

El propósito de esta regla es garantizar que no haya una plantilla de certificado con cualquier propósito que pueda ser solicitada por todos.

Technical Explanation:

Un certificado debe definir las restricciones de su uso. Se realiza a través de extensiones conocidas como EKU (uso extendido de clave).
Sin un propósito adecuado o con el propósito global "Cualquier propósito", se puede usar para inscribir certificados en nombre de otros usuarios y hacerse pasar por ellos usándolo.

Advised Solution:

Revise los permisos que permiten una amplia inscripción de esta plantilla de certificado automáticamente o especifique un propósito específico (EKU)

Introduced in:

2.9.3.0

Points:

15 points if present

Documentation:

Golden ticket

There are key secrets in Active Directory which provide seeds to the cryptographic processes. A leak could lead to a total compromise of the domain.

Title (fr-FR): Golden ticket

Description (fr-FR): Il existe des clés secrètes dans Active Directory qui fournissent des graines aux processus cryptographiques. Une fuite pourrait conduire à une compromission totale du domaine.

Title (de-DE): Golden ticket

Description (de-DE): Es gibt Schlüsselgeheimnisse in Active Directory, die den kryptografischen Prozessen Keime liefern. Ein Leak könnte zu einer vollständigen Kompromittierung der Domain führen.

Title (es-ES): Golden ticket

Description (es-ES): Hay secretos clave en Active Directory que proporcionan semillas a los procesos criptográficos. Una fuga podría llevar a un compromiso total del dominio.

Mitigate golden ticket attack via a regular change of the krbtgt password

Rule ID:

A-Krbtgt

Description:

The purpose is to alert when the password for the krbtgt account can be used to compromise the whole domain. This password can be used to sign every Kerberos ticket. Monitoring it closely often mitigates the risk of golden ticket attacks greatly.

Technical Explanation:

Kerberos is an authentication protocol. It is using a secret, stored as the password of the krbtgt account, to sign its tickets. If the hash of the password of the krbtgt account is retrieved, it can be used to generate authentication tickets at will.
To mitigate this attack, it is recommended to change the krbtgt password between 40 days and 6 months. If this is not the case, every backup done until the last password change of the krbtgt account can be used to emit Golden tickets, compromising the entire domain.
Retrieval of this secret is one of the highest priority in an attack, as this password is rarely changed and offer a long term backdoor.
Also this attack can be performed using the former password of the krbtgt account. That's why the krbtgt password should be changed twice to invalidate its leak.

Advised Solution:

The password of the krbtgt account should be changed twice to invalidate the golden ticket attack.
Beware: two changes of the krbtgt password not replicated to domain controllers can break these domain controllers You should wait at least 10 hours between each krbtgt password change (this is the duration of a ticket life).

There are several possibilities to change the krbtgt password.
First, a Microsoft script can be run in order to guarantee the correct replication of these secrets.
Second, a more manual way is to essentially reset the password manually once, then to wait 3 days (this is a replication safety delay), then to reset it again. This is the safest way as it ensures the password is no longer usable by the Golden ticket attack.

Title:

Atténuez l'attaque du golden ticket via un changement régulier du mot de passe krbtgt

Description:

Le but est d'alerter lorsque le mot de passe du compte krbtgt peut être utilisé pour compromettre l'ensemble du domaine. Ce mot de passe peut être utilisé pour signer chaque ticket Kerberos. Le surveiller de près atténue souvent considérablement le risque d'attaques Golden Ticket.

Technical Explanation:

Kerberos est un protocole d'authentification. Il utilise un secret, stocké comme mot de passe du compte krbtgt, pour signer ses tickets. Si le hash du mot de passe du compte krbtgt est récupéré, il peut être utilisé pour générer à volonté des tickets d'authentification.
Pour pallier cette attaque, il est recommandé de changer le mot de passe krbtgt entre 40 jours et 6 mois. Si ce n'est pas le cas, chaque sauvegarde effectuée jusqu'au dernier changement de mot de passe du compte krbtgt peut être utilisée pour émettre des Golden tickets, compromettant l'ensemble du domaine.
La récupération de ce secret est l'une des plus hautes priorités lors d'une attaque, car ce mot de passe est rarement changé et offre une porte dérobée à long terme.
Cette attaque peut également être effectuée en utilisant l'ancien mot de passe du compte krbtgt. C'est pourquoi le mot de passe krbtgt doit être changé deux fois pour invalider sa fuite.

Advised Solution:

Le mot de passe du compte krbtgt doit être changé deux fois pour invalider l'attaque du golden ticket.
Attention : deux changements du mot de passe krbtgt non répliqués sur les contrôleurs de domaine peuvent casser ces contrôleurs de domaine Vous devez attendre au moins 10 heures entre chaque changement de mot de passe krbtgt (c'est la durée de vie d'un ticket).

Il existe plusieurs possibilités pour modifier le mot de passe krbtgt.
Tout d'abord, un script Microsoft peut être exécuté afin de garantir le bon reproduction de ces secrets.
Deuxièmement, une méthode plus manuelle consiste essentiellement à réinitialiser manuellement le mot de passe une fois, puis à attendre 3 jours (il s'agit d'un délai de sécurité de réplication), puis à le réinitialiser à nouveau. C'est le moyen le plus sûr car il garantit que le mot de passe n'est plus utilisable par l'attaque Golden ticket.

Title:

Mindern Sie Golden-Ticket-Angriffe durch regelmäßige Änderung des krbtgt-Passworts

Description:

Der Zweck besteht darin, zu warnen, wenn das Passwort für das krbtgt-Konto verwendet werden kann, um die gesamte Domäne zu kompromittieren. Mit diesem Passwort kann jedes Kerberos-Ticket signiert werden. Durch eine genaue Überwachung wird das Risiko von Golden-Ticket-Angriffen oft erheblich gemindert.

Technical Explanation:

Kerberos ist ein Authentifizierungsprotokoll. Es verwendet ein Geheimnis, das als Passwort des krbtgt-Kontos gespeichert ist, um seine Tickets zu signieren. Wenn der Hash des Passworts des krbtgt-Kontos abgerufen wird, kann er verwendet werden, um nach Belieben Authentifizierungstickets zu generieren.
Um diesen Angriff abzuschwächen, wird empfohlen, das krbtgt-Passwort zwischen 40 Tagen und 6 Monaten zu ändern. Ist dies nicht der Fall, kann jedes bis zur letzten Passwortänderung des krbtgt-Kontos durchgeführte Backup zum Ausgeben von Golden Tickets verwendet werden, wodurch die gesamte Domain kompromittiert wird.
Das Abrufen dieses Geheimnisses hat bei einem Angriff höchste Priorität, da dieses Passwort selten geändert wird und eine langfristige Hintertür bietet.
Auch dieser Angriff kann mit dem früheren Passwort des krbtgt-Kontos durchgeführt werden. Aus diesem Grund sollte das krbtgt-Passwort zweimal geändert werden, um sein Leak ungültig zu machen.

Advised Solution:

Das Passwort des krbtgt-Kontos sollte zweimal geändert werden, um den Golden-Ticket-Angriff zu entkräften.
Achtung: Zwei Änderungen des krbtgt-Passworts, die nicht auf Domänencontroller repliziert werden, können diese Domänencontroller beschädigen Sie sollten zwischen jeder Änderung des krbtgt-Passworts mindestens 10 Stunden warten (das ist die Dauer der Gültigkeitsdauer eines Tickets).

Es gibt mehrere Möglichkeiten, das krbtgt-Passwort zu ändern.
Zunächst kann ein Microsoft-Skript ausgeführt werden, um die Korrektheit zu garantieren Replikation dieser Geheimnisse.
Zweitens besteht ein manuellerer Weg darin, das Kennwort im Wesentlichen einmal manuell zurückzusetzen, dann 3 Tage zu warten (dies ist eine Replikationssicherheitsverzögerung) und es dann erneut zurückzusetzen. Dies ist der sicherste Weg, da dadurch sichergestellt wird, dass das Passwort durch den Golden-Ticket-Angriff nicht mehr verwendet werden kann.

Title:

Mitigar el ataque del ticket dorado mediante un cambio regular de la contraseña krbtgt

Description:

El propósito es alertar cuando la contraseña de la cuenta krbtgt se puede usar para comprometer todo el dominio. Esta contraseña se puede utilizar para firmar cada ticket de Kerberos. Monitorearlo de cerca a menudo mitiga en gran medida el riesgo de ataques de boletos dorados.

Technical Explanation:

Kerberos es un protocolo de autenticación. Está utilizando un secreto, almacenado como la contraseña de la cuenta krbtgt, para firmar sus boletos. Si se recupera el hash de la contraseña de la cuenta krbtgt, se puede utilizar para generar tickets de autenticación a voluntad.
Para mitigar este ataque, se recomienda cambiar la contraseña de krbtgt entre 40 días y 6 meses. Si este no es el caso, cada copia de seguridad realizada hasta el último cambio de contraseña de la cuenta krbtgt puede utilizarse para emitir boletos dorados, comprometiendo todo el dominio.
La recuperación de este secreto es una de las prioridades más altas en un ataque, ya que esta contraseña rara vez se cambia y ofrece una puerta trasera a largo plazo.
Además, este ataque se puede realizar utilizando la contraseña anterior de la cuenta krbtgt. Es por eso que la contraseña de krbtgt debe cambiarse dos veces para invalidar su fuga.

Advised Solution:

La contraseña de la cuenta krbtgt debe cambiarse dos veces para invalidar el ataque del boleto dorado.
Cuidado: dos cambios de la contraseña de krbtgt que no se replican en los controladores de dominio pueden romper estos controladores de dominio Debe esperar al menos 10 horas entre cada cambio de contraseña de krbtgt (esta es la duración de la vida de un ticket).

Hay varias posibilidades para cambiar la contraseña krbtgt.
Primero, se puede ejecutar un secuencia de comandos de Microsoft para garantizar la correcta replicación de estos secretos.
En segundo lugar, una forma más manual es esencialmente restablecer la contraseña manualmente una vez, luego esperar 3 días (este es un retraso de seguridad de replicación) y luego restablecerla nuevamente. Esta es la forma más segura, ya que garantiza que el ataque Golden Ticket ya no pueda utilizar la contraseña.

Points:

50 points if the occurence is greater than or equals than 1464
then 40 points if the occurence is greater than or equals than 1098
then 30 points if the occurence is greater than or equals than 732
then 20 points if the occurence is greater than or equals than 366

Documentation:

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/faqs-from-the-field-on-krbtgt-reset/ba-p/2367838
https://github.com/microsoft/New-KrbtgtKeys.ps1
https://github.com/PSSecTools/Krbtgt
[MITRE]T1558.001 Steal or Forge Kerberos Tickets: Golden Ticket
[FR]ANSSI - Krbtgt account password unchanged for more than a year (vuln2_krbtgt)2
[FR]ANSSI CERTFR-2014-ACT-032

Local group vulnerability

The GPO deployed settings are applied to computers locally and they can be abused to take control of individual computers.

Title (fr-FR): Local group vulnerability

Description (fr-FR): Les paramètres déployés GPO sont appliqués localement aux ordinateurs et peuvent être utilisés de manière abusive pour prendre le contrôle d'ordinateurs individuels.

Title (de-DE): Local group vulnerability

Description (de-DE): Die bereitgestellten GPO-Einstellungen werden lokal auf Computer angewendet und können missbraucht werden, um die Kontrolle über einzelne Computer zu übernehmen.

Title (es-ES): Local group vulnerability

Description (es-ES): La configuración implementada de GPO se aplica a las computadoras localmente y se puede abusar de ellas para tomar el control de las computadoras individuales.

Check if access to a restricted group is given to anyone by a GPO

Rule ID:

A-MembershipEveryone

Description:

The purpose is to identify if there are restricted groups such as local administrators, terminal server access, where Authenticated Users or Everyone is being granted access by a GPO

Technical Explanation:

It is possible that a GPO adds local membership of a restricted group. In this case the rule triggers if one is found with "Everyone" or "Authenticated Users" as members. It basically means that the Restricted Group has no restriction on belongs to it. This represents a security risk as Restricted Group are supposed to have more accesses or rights

Advised Solution:

In order to correct the issue, you should edit the GPO and remove the "Members" security access rule. Another solution is to change the group to a more targeted one containing a limited set of users.

Title:

Vérifier si l'accès à un groupe restreint est donné à quiconque par un GPO

Description:

Le but est d'identifier s'il existe des groupes restreints tels que les administrateurs locaux, l'accès au serveur terminal, où les utilisateurs authentifiés ou tout le monde se voient accorder l'accès par un GPO

Technical Explanation:

Il est possible qu'un objet de stratégie de groupe ajoute l'appartenance locale à un groupe restreint. Dans ce cas, la règle se déclenche si une règle est trouvée avec "Tout le monde" ou "Utilisateurs authentifiés" comme membres. Cela signifie essentiellement que le groupe restreint n'a aucune restriction sur son appartenance. Cela représente un risque de sécurité car les groupes restreints sont censés avoir plus d'accès ou de droits

Advised Solution:

Afin de corriger le problème, vous devez modifier le GPO et supprimer la règle d'accès de sécurité "Membres". Une autre solution consiste à remplacer le groupe par un groupe plus ciblé contenant un ensemble limité d'utilisateurs.

Title:

Überprüfen Sie, ob jemandem durch ein Gruppenrichtlinienobjekt Zugriff auf eine eingeschränkte Gruppe gewährt wird

Description:

Der Zweck besteht darin, festzustellen, ob es eingeschränkte Gruppen gibt, wie z. B. lokale Administratoren, Zugriff auf Terminalserver, wo authentifizierten Benutzern oder jedem Zugriff durch ein Gruppenrichtlinienobjekt gewährt wird

Technical Explanation:

Es ist möglich, dass ein GPO die lokale Mitgliedschaft einer eingeschränkten Gruppe hinzufügt. In diesem Fall löst die Regel aus, wenn einer mit „Jeder“ oder „Authentifizierte Benutzer“ als Mitglieder gefunden wird. Es bedeutet im Grunde, dass die eingeschränkte Gruppe keine Beschränkung hat, ihr anzugehören. Dies stellt ein Sicherheitsrisiko dar, da eingeschränkte Gruppen mehr Zugriffe oder Rechte haben sollen

Advised Solution:

Um das Problem zu beheben, sollten Sie das Gruppenrichtlinienobjekt bearbeiten und die Sicherheitszugriffsregel „Mitglieder“ entfernen. Eine andere Lösung besteht darin, die Gruppe in eine zielgerichtetere Gruppe mit einer begrenzten Anzahl von Benutzern zu ändern.

Title:

Compruebe si un GPO otorga acceso a un grupo restringido a alguien

Description:

El propósito es identificar si hay grupos restringidos, como administradores locales, acceso al servidor de terminales, donde un GPO otorga acceso a usuarios autenticados o a todos.

Technical Explanation:

Es posible que un GPO agregue membresía local de un grupo restringido. En este caso, la regla se activa si se encuentra uno con "Todos" o "Usuarios autenticados" como miembros. Básicamente significa que el Grupo Restringido no tiene restricción para pertenecer a él. Esto representa un riesgo de seguridad ya que se supone que los grupos restringidos tienen más accesos o derechos

Advised Solution:

Para corregir el problema, debe editar el GPO y eliminar la regla de acceso de seguridad "Miembros". Otra solución es cambiar el grupo a uno más específico que contenga un conjunto limitado de usuarios.

Points:

15 points per discovery

Documentation:

http://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Network sniffing

Network attacks such as interception or modification can be used to run commands on behalf an administrator.

Title (fr-FR): Network sniffing

Description (fr-FR): Les attaques réseau telles que l'interception ou la modification peuvent être utilisées pour exécuter des commandes au nom d'un administrateur.

Title (de-DE): Network sniffing

Description (de-DE): Netzwerkangriffe wie Abfangen oder Modifizieren können verwendet werden, um Befehle im Auftrag eines Administrators auszuführen.

Title (es-ES): Network sniffing

Description (es-ES): Los ataques de red, como la intercepción o la modificación, se pueden utilizar para ejecutar comandos en nombre de un administrador.

Check for GPO enabling the unsafe algorithm LM hash

Rule ID:

A-LMHashAuthorized

Description:

The authentication protocol NTLM v1 can use the LM password hash algorithm which is very weak if enabled by a GPO.

Technical Explanation:

LM hash, or LAN Manager hash is a hash algorithm developed by Microsoft since Windows 3.1. Due to a flawed design, hashes retrieved from the network can be reverted to the clear text password in a matter of seconds.

Advised Solution:

A GPO explicitly disabled the default security policy LmCompatibilityLevel or NoLMHash. Using the information provided, identify the setting modified in the GPO and fix it.
All security settings should be modified in the Domain GPO Editor and are located in Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options
For NoLMHash the setting is located in: Network security: Do not store LAN Manager hash value on next password change
For LmCompatibilityLevel the setting is located in: Network security: LAN Manager authentication level

Title:

Vérifiez si GPO active le hachage LM de l'algorithme non sécurisé

Description:

Le protocole d'authentification NTLM v1 peut utiliser l'algorithme de hachage de mot de passe LM qui est très faible s'il est activé par un GPO.

Technical Explanation:

Le hachage LM, ou hachage LAN Manager est un algorithme de hachage développé par Microsoft depuis Windows 3.1. En raison d'une conception défectueuse, les hachages récupérés sur le réseau peuvent être remplacés par le mot de passe en texte clair en quelques secondes.

Advised Solution:

Un GPO a explicitement désactivé la stratégie de sécurité par défaut LmCompatibilityLevel ou NoLMHash. À l'aide des informations fournies, identifiez le paramètre modifié dans le GPO et corrigez-le.
Tous les paramètres de sécurité doivent être modifiés dans l'éditeur de GPO de domaine et se trouvent dans Configuration ordinateur/Politiques/Paramètres Windows/Paramètres de sécurité/Politiques locales/Options de sécurité
Pour NoLMHash, le paramètre se trouve dans : Sécurité réseau : ne pas stocker la valeur de hachage LAN Manager lors du prochain changement de mot de passe
Pour LmCompatibilityLevel, le paramètre se trouve dans : Sécurité réseau : niveau d'authentification LAN Manager

Title:

Suchen Sie nach GPO, das den unsicheren Algorithmus LM-Hash aktiviert

Description:

Das Authentifizierungsprotokoll NTLM v1 kann den LM-Passwort-Hash-Algorithmus verwenden, der sehr schwach ist, wenn er durch ein Gruppenrichtlinienobjekt aktiviert wird.

Technical Explanation:

LM-Hash oder LAN Manager-Hash ist ein von Microsoft seit Windows 3.1 entwickelter Hash-Algorithmus. Aufgrund eines fehlerhaften Designs können aus dem Netzwerk abgerufene Hashes innerhalb von Sekunden wieder in das Klartext-Passwort umgewandelt werden.

Advised Solution:

Ein Gruppenrichtlinienobjekt hat explizit die Standardsicherheitsrichtlinie LmCompatibilityLevel oder NoLMHash deaktiviert. Identifizieren Sie anhand der bereitgestellten Informationen die im Gruppenrichtlinienobjekt geänderte Einstellung und beheben Sie sie.
Alle Sicherheitseinstellungen sollten im Domänen-GPO-Editor geändert werden und befinden sich unter Computerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien / Sicherheitsoptionen
Für NoLMHash befindet sich die Einstellung in: Netzwerksicherheit: LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht speichern
Für LmCompatibilityLevel befindet sich die Einstellung in: Netzwerksicherheit: LAN Manager-Authentifizierungsebene

Title:

Compruebe si hay GPO que habilite el hash LM del algoritmo inseguro

Description:

El protocolo de autenticación NTLM v1 puede usar el algoritmo hash de contraseña LM, que es muy débil si está habilitado por un GPO.

Technical Explanation:

LM hash, o LAN Manager hash es un algoritmo hash desarrollado por Microsoft desde Windows 3.1. Debido a un diseño defectuoso, los hashes recuperados de la red se pueden revertir a la contraseña de texto claro en cuestión de segundos.

Advised Solution:

Un GPO deshabilitó explícitamente la política de seguridad predeterminada LmCompatibilityLevel o NoLMHash. Con la información proporcionada, identifique la configuración modificada en el GPO y corríjala.
Todas las configuraciones de seguridad deben modificarse en el Editor de GPO de dominio y se encuentran en Configuración del equipo/Políticas/Configuración de Windows/Configuración de seguridad/Políticas locales/Opciones de seguridad
Para NoLMHash, la configuración se encuentra en: Seguridad de la red: no almacenar el valor hash de LAN Manager en el próximo cambio de contraseña
Para LmCompatibilityLevel, la configuración se encuentra en: Seguridad de red: nivel de autenticación de LAN Manager

Points:

5 points if present

Documentation:

[US]STIG V-3379 - The system is configured to store the LAN Manager hash of the password in the SAM.
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R37 [paragraph.3.6.2.1]
[MITRE]T1110.002 Brute Force: Password Cracking

Check if Authenticated Users can create DNS records

Rule ID:

A-DnsZoneAUCreateChild

Description:

The purpose is to check if Authenticated Users has the right to create DNS records

Technical Explanation:

When a computer is joined to a domain, a DNS record is created in the DnsZone to allow the computer to update its DNS settings.
By design, Microsoft choose to grant to the group Authenticated Users (aka every computers and users) the right to create DNS records.
Once created, only the owner keeps the right to edit the new object.

The vulnerability is that specific DNS records can be created to perform man-in-the-middle attacks.
One example is to create a wildcard record (a record with the name "*"), a failover DNS record or anticipating the creation of a DNS record with the right permissions.

Advised Solution:

As of today, this rule is considered "informative" because the default configuration where Authenticated Users can create DNS records is considered safe.
The reason for this classification is that no exploitation of that vulnerability has been reported.

The proposed enhancement is to replace the identity who has been granted the right to create DNS Records (permission CreateChild) from Authenticated Users to Domain Computers.
To perform this change, you have to edit the permission of the DNSZone whose object is located in the container CN=MicrosoftDNS,DC=DomainDnsZones.

It should be noticed that if there is a privilege escalation on a computer, an attacker can impersonate the computer account and bypass this mitigation.

The best mitigation is to create the DNS records manually as part as the domain join process and to revoke the permission granted to Authenticated Users.

Title:

Vérifiez si les utilisateurs authentifiés peuvent créer des enregistrements DNS

Description:

Le but est de vérifier si les utilisateurs authentifiés ont le droit de créer des enregistrements DNS

Technical Explanation:

Lorsqu'un ordinateur est joint à un domaine, un enregistrement DNS est créé dans la DnsZone pour permettre à l'ordinateur de mettre à jour ses paramètres DNS.
De par sa conception, Microsoft a choisi d'accorder au groupe Utilisateurs authentifiés (c'est-à-dire tous les ordinateurs et utilisateurs) le droit de créer des enregistrements DNS.
Une fois créé, seul le propriétaire conserve le droit de modifier le nouvel objet.

La vulnérabilité est que des enregistrements DNS spécifiques peuvent être créés pour effectuer des attaques de type "man-in-the-middle".
Un exemple est de créer un enregistrement générique (un enregistrement avec le nom "*"), un enregistrement DNS de basculement ou d'anticiper la création d'un enregistrement DNS avec les bonnes autorisations.

Advised Solution:

À ce jour, cette règle est considérée comme "informative" car la configuration par défaut dans laquelle les utilisateurs authentifiés peuvent créer des enregistrements DNS est considérée comme sûre.
La raison de cette classification est qu'aucune exploitation de cette vulnérabilité n'a été signalée.

L'amélioration proposée consiste à remplacer l'identité qui a obtenu le droit de créer des enregistrements DNS (autorisation CreateChild) des utilisateurs authentifiés aux ordinateurs du domaine.
Pour effectuer ce changement, vous devez modifier la permission de la DNSZone dont l'objet est situé dans le conteneur CN=MicrosoftDNS,DC=DomainDnsZones.

Il convient de noter que s'il y a une élévation de privilèges sur un ordinateur, un attaquant peut usurper l'identité du compte de l'ordinateur et contourner cette atténuation.

La meilleure solution consiste à créer les enregistrements DNS manuellement dans le cadre du processus de jonction de domaine et à révoquer l'autorisation accordée aux utilisateurs authentifiés.

Title:

Überprüfen Sie, ob authentifizierte Benutzer DNS-Einträge erstellen können

Description:

Der Zweck besteht darin, zu überprüfen, ob authentifizierte Benutzer das Recht haben, DNS-Einträge zu erstellen

Technical Explanation:

Wenn ein Computer einer Domäne beitritt, wird in der DnsZone ein DNS-Eintrag erstellt, damit der Computer seine DNS-Einstellungen aktualisieren kann.
Standardmäßig gewährt Microsoft der Gruppe der authentifizierten Benutzer (auch bekannt als alle Computer und Benutzer) das Recht, DNS-Einträge zu erstellen.
Einmal erstellt, behält nur der Eigentümer das Recht, das neue Objekt zu bearbeiten.

Die Schwachstelle besteht darin, dass bestimmte DNS-Einträge erstellt werden können, um Man-in-the-Middle-Angriffe durchzuführen.
Ein Beispiel ist das Erstellen eines Wildcard-Eintrags (ein Eintrag mit dem Namen „*“), ein Failover-DNS-Eintrag oder das Vorwegnehmen der Erstellung eines DNS-Eintrags mit den richtigen Berechtigungen.

Advised Solution:

Ab heute wird diese Regel als "informativ" angesehen, da die Standardkonfiguration, in der authentifizierte Benutzer DNS-Einträge erstellen können, als sicher gilt.
Der Grund für diese Klassifizierung ist, dass keine Ausnutzung dieser Schwachstelle gemeldet wurde.

Die vorgeschlagene Erweiterung soll die Identität ersetzen, der das Recht zum Erstellen von DNS-Einträgen (Berechtigung CreateChild) von authentifizierten Benutzern zu Domänencomputern gewährt wurde.
Um diese Änderung durchzuführen, müssen Sie die Berechtigung der DNSZone bearbeiten, deren Objekt sich im Container CN=MicrosoftDNS,DC=DomainDnsZones befindet.

Es sollte beachtet werden, dass ein Angreifer bei einer Rechteausweitung auf einem Computer die Identität des Computerkontos annehmen und diese Abwehr umgehen kann.

Die beste Abhilfe besteht darin, die DNS-Einträge manuell als Teil des Domänenbeitrittsprozesses zu erstellen und die Berechtigung zu widerrufen, die authentifizierten Benutzern gewährt wurde.

Title:

Compruebe si los usuarios autenticados pueden crear registros DNS

Description:

El propósito es verificar si los usuarios autenticados tienen derecho a crear registros DNS

Technical Explanation:

Cuando una computadora se une a un dominio, se crea un registro DNS en DnsZone para permitir que la computadora actualice su configuración de DNS.
Por diseño, Microsoft elige otorgar al grupo Usuarios autenticados (también conocidos como todas las computadoras y usuarios) el derecho de crear registros DNS.
Una vez creado, solo el propietario conserva el derecho de editar el nuevo objeto.

La vulnerabilidad es que se pueden crear registros DNS específicos para realizar ataques man-in-the-middle.
Un ejemplo es crear un registro comodín (un registro con el nombre "*"), un registro DNS de conmutación por error o anticipar la creación de un registro DNS con los permisos adecuados.

Advised Solution:

A partir de hoy, esta regla se considera "informativa" porque la configuración predeterminada en la que los usuarios autenticados pueden crear registros DNS se considera segura.
El motivo de esta clasificación es que no se ha informado sobre la explotación de esa vulnerabilidad.

La mejora propuesta es reemplazar la identidad a la que se le ha otorgado el derecho de crear registros DNS (permiso CreateChild) de usuarios autenticados a computadoras de dominio.
Para realizar este cambio, debe editar el permiso de la DNSZone cuyo objeto se encuentra en el contenedor CN=MicrosoftDNS,DC=DomainDnsZones.

Debe tenerse en cuenta que si hay una escalada de privilegios en una computadora, un atacante puede hacerse pasar por la cuenta de la computadora y eludir esta mitigación.

La mejor mitigación es crear los registros DNS manualmente como parte del proceso de unión al dominio y revocar el permiso otorgado a los usuarios autenticados.

Introduced in:

2.10.1.0

Points:

Informative rule (0 point)

Documentation:

https://www.ws-its.de/gegenmassnahme-zum-angriff-dns-wildcard/
https://www.netspi.com/blog/technical/network-penetration-testing/exploiting-adidns/
[MITRE]T1557 Man-in-the-Middle

Check if DNS Zones are configured with insecure update.

Rule ID:

A-DnsZoneUpdate1

Description:

The purpose is to ensure that the DNS Zones are configured to accept only secure update.

Technical Explanation:

When the insecure update mechanism is enabled, an attacker can update a DNS record anonymously.
He can then use this feature to add new entries or perform a man in the middle attack to capture credentials.

Please note that the rule A-DnsZoneUpdate1 is the companion of A-DnsZoneUpdate2 and it is used to report anomalies related to the local domain zone or the main _msdcs zone. A-DnsZoneUpdate2 reports all the other zones.

Advised Solution:

You have to enable secure updates.
Identify the faulty zone in the details below.
Go to the DNS console and select a zone in the "Forward Lookup Zones".
Right click on it and switch to the "General" tab.
Then change Dynamic updates from "Nonsecure and secure" to "Secure only".
You can also run: dnscmd servername /Config zone /AllowUpdate 2

Title:

Vérifiez si les zones DNS sont configurées avec une mise à jour non sécurisée.

Description:

L'objectif est de s'assurer que les zones DNS sont configurées pour n'accepter que les mises à jour sécurisées.

Technical Explanation:

Lorsque le mécanisme de mise à jour non sécurisée est activé, un attaquant peut mettre à jour un enregistrement DNS de manière anonyme.
Il peut ensuite utiliser cette fonctionnalité pour ajouter de nouvelles entrées ou effectuer une attaque de l'homme du milieu pour capturer les informations d'identification.

Veuillez noter que la règle A-DnsZoneUpdate1 est le compagnon de A-DnsZoneUpdate2 et qu'elle est utilisée pour signaler des anomalies liées à la zone de domaine local ou à la zone principale _msdcs. A-DnsZoneUpdate2 signale toutes les autres zones.

Advised Solution:

Vous devez activer les mises à jour sécurisées.
Identifiez la zone défectueuse dans les détails ci-dessous.
Allez dans la console DNS et sélectionnez une zone dans les "Zones de recherche directe".
Faites un clic droit dessus et passez à l'onglet "Général".
Modifiez ensuite les mises à jour dynamiques de "Non sécurisé et sécurisé" à "Sécurisé uniquement".
Vous pouvez également exécuter : dnscmd servername /Config zone /AllowUpdate 2

Title:

Überprüfen Sie, ob DNS-Zonen mit unsicherem Update konfiguriert sind.

Description:

Damit soll sichergestellt werden, dass die DNS-Zonen so konfiguriert sind, dass sie nur sichere Updates akzeptieren.

Technical Explanation:

Wenn der unsichere Aktualisierungsmechanismus aktiviert ist, kann ein Angreifer einen DNS-Eintrag anonym aktualisieren.
Er kann diese Funktion dann verwenden, um neue Einträge hinzuzufügen oder einen Man-in-the-Middle-Angriff durchzuführen, um Anmeldeinformationen zu erfassen.

Bitte beachten Sie, dass die Regel A-DnsZoneUpdate1 der Begleiter von A-DnsZoneUpdate2 ist und verwendet wird, um Anomalien im Zusammenhang mit der lokalen Domänenzone oder der Hauptzone _msdcs zu melden. A-DnsZoneUpdate2 meldet alle anderen Zonen.

Advised Solution:

Sie müssen sichere Updates aktivieren.
Identifizieren Sie die fehlerhafte Zone in den Details unten.
Gehen Sie zur DNS-Konsole und wählen Sie eine Zone in den "Forward Lookup Zones" aus.
Klicken Sie mit der rechten Maustaste darauf und wechseln Sie auf die Registerkarte "Allgemein".
Ändern Sie dann Dynamische Updates von "Nicht sicher und sicher" auf "Nur sicher".
Sie können auch Folgendes ausführen: dnscmd Servername /Config Zone /AllowUpdate 2

Title:

Compruebe si las zonas DNS están configuradas con una actualización no segura.

Description:

El propósito es garantizar que las zonas DNS estén configuradas para aceptar solo actualizaciones seguras.

Technical Explanation:

Cuando el mecanismo de actualización inseguro está habilitado, un atacante puede actualizar un registro DNS de forma anónima.
Luego puede usar esta función para agregar nuevas entradas o realizar un ataque de hombre en el medio para capturar credenciales.

Tenga en cuenta que la regla A-DnsZoneUpdate1 es la compañera de A-DnsZoneUpdate2 y se usa para informar anomalías relacionadas con la zona de dominio local o la zona _msdcs principal. A-DnsZoneUpdate2 informa de todas las demás zonas.

Advised Solution:

Tienes que habilitar las actualizaciones seguras.
Identifique la zona defectuosa en los detalles a continuación.
Vaya a la consola DNS y seleccione una zona en las "Zonas de búsqueda directa".
Haga clic derecho sobre él y cambie a la pestaña "General".
Luego, cambie las actualizaciones dinámicas de "no seguras y seguras" a "solo seguras".
También puede ejecutar: dnscmd servername /Config zone /AllowUpdate 2

Introduced in:

2.9.0.0

Points:

15 points if present

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-dnsp/f97756c9-3783-428b-9451-b376f877319a
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/dnscmd
[MITRE]T1557 Man-in-the-Middle
[FR]ANSSI - Misconfigured DNS zones (vuln1_dnszone_bad_prop)1

Check if DNS Zones are configured with insecure update.

Rule ID:

A-DnsZoneUpdate2

Description:

The purpose is to ensure that the DNS Zones are configured to accept only secure update.

Technical Explanation:

Advised Solution:

Title:

Vérifiez si les zones DNS sont configurées avec une mise à jour non sécurisée.

Description:

L'objectif est de s'assurer que les zones DNS sont configurées pour n'accepter que les mises à jour sécurisées.

Technical Explanation:

Advised Solution:

Title:

Überprüfen Sie, ob DNS-Zonen mit unsicherem Update konfiguriert sind.

Description:

Damit soll sichergestellt werden, dass die DNS-Zonen so konfiguriert sind, dass sie nur sichere Updates akzeptieren.

Technical Explanation:

Advised Solution:

Title:

Compruebe si las zonas DNS están configuradas con una actualización no segura.

Description:

El propósito es garantizar que las zonas DNS estén configuradas para aceptar solo actualizaciones seguras.

Technical Explanation:

Advised Solution:

Introduced in:

2.9.0.0

Points:

1 points if present

Documentation:

Check if LLMNR can be used to steal credentials

Rule ID:

A-NoGPOLLMNR

Description:

The purpose is to ensure that local name resolution protocol (LLMNR) cannot be used to collect credentials by performing a network attack

Technical Explanation:

LLMNR is a protocol which translates names such as foo.bar.com into an ip address. LLMNR has been designed to translate name locally in case the default protocol DNS is not available.
Regarding Active Directory, DNS is mandatory which makes LLMNR useless.
LLMNR exploits typo mistakes or faster response time to redirect users to a specially designed share, server or website.
Being trusted, this service will trigger the single sign on procedure which can be abused to retrieve the user credentials.

LLMNR is enabled by default on all OS except starting from Windows 10 v1903 and Windows Server v1903 where it is disabled.

Advised Solution:

Enable the GPO Turn off multicast name resolution and check that no GPO overrides this setting.
(if it is the case, the policy involved will be displayed below)

Title:

Vérifiez si LLMNR peut être utilisé pour voler des informations d'identification

Description:

Le but est de s'assurer que le protocole de résolution de noms local (LLMNR) ne peut pas être utilisé pour collecter des informations d'identification en effectuant une attaque réseau

Technical Explanation:

LLMNR est un protocole qui traduit des noms tels que foo.bar.com en une adresse IP. LLMNR a été conçu pour traduire le nom localement au cas où le protocole DNS par défaut n'est pas disponible.
Concernant Active Directory, DNS est obligatoire ce qui rend LLMNR inutile.
LLMNR exploite les fautes de frappe ou un temps de réponse plus rapide pour rediriger les utilisateurs vers un partage, un serveur ou un site Web spécialement conçu.
Étant de confiance, ce service déclenchera la procédure d'authentification unique qui peut être utilisée abusivement pour récupérer les informations d'identification de l'utilisateur.

LLMNR est activé par défaut sur tous les systèmes d'exploitation, sauf à partir de Windows 10 v1903 et Windows Server v1903 où il est désactivé.

Advised Solution:

Activer le GPO Désactiver off multicast name resolution et vérifiez qu'aucun GPO ne remplace ce paramètre.
(si c'est le cas, la politique concernée sera affichée ci-dessous)

Title:

Überprüfen Sie, ob LLMNR zum Stehlen von Anmeldeinformationen verwendet werden kann

Description:

Der Zweck besteht darin, sicherzustellen, dass das lokale Namensauflösungsprotokoll (LLMNR) nicht verwendet werden kann, um Anmeldeinformationen durch einen Netzwerkangriff zu sammeln

Technical Explanation:

LLMNR ist ein Protokoll, das Namen wie foo.bar.com in eine IP-Adresse übersetzt. LLMNR wurde entwickelt, um Namen lokal zu übersetzen, falls das Standardprotokoll DNS nicht verfügbar ist.
In Bezug auf Active Directory ist DNS obligatorisch, was LLMNR nutzlos macht.
LLMNR nutzt Tippfehler oder schnellere Antwortzeiten aus, um Benutzer auf eine speziell entwickelte Freigabe, einen Server oder eine Website umzuleiten.
Da dieser Dienst vertrauenswürdig ist, löst er das einmalige Anmeldeverfahren aus, das missbraucht werden kann, um die Anmeldeinformationen des Benutzers abzurufen.

LLMNR ist standardmäßig auf allen Betriebssystemen aktiviert, außer ab Windows 10 v1903 und Windows Server v1903, wo es deaktiviert ist.

Advised Solution:

Aktivieren Sie das GPO turn Deaktivieren Sie die Multicast-Namensauflösung und prüfen Sie, ob diese Einstellung von keinem GPO außer Kraft gesetzt wird.
(falls dies der Fall ist, wird die betroffene Police unten angezeigt)

Title:

Compruebe si LLMNR se puede usar para robar credenciales

Description:

El propósito es garantizar que el protocolo de resolución de nombres locales (LLMNR) no se pueda usar para recopilar credenciales mediante la realización de un ataque a la red.

Technical Explanation:

LLMNR es un protocolo que traduce nombres como foo.bar.com en una dirección IP. LLMNR ha sido diseñado para traducir el nombre localmente en caso de que el protocolo DNS predeterminado no esté disponible.
Con respecto a Active Directory, el DNS es obligatorio, lo que hace que LLMNR sea inútil.
LLMNR aprovecha los errores tipográficos o el tiempo de respuesta más rápido para redirigir a los usuarios a un recurso compartido, servidor o sitio web especialmente diseñado.
Al ser de confianza, este servicio activará el procedimiento de inicio de sesión único del que se puede abusar para recuperar las credenciales del usuario.

LLMNR está habilitado de forma predeterminada en todos los sistemas operativos, excepto a partir de Windows 10 v1903 y Windows Server v1903, donde está deshabilitado.

Advised Solution:

Habilite el GPO Desactive desactive la resolución de nombres de multidifusión y verifique que ningún GPO anule esta configuración.
(si es el caso, la póliza involucrada se mostrará a continuación)

Introduced in:

2.7.0.0

Points:

Informative rule (0 point)

Documentation:

https://youtu.be/Fg2gvk0qgjM
[MITRE]T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay

Check if NTFRS is used to replicate SYSVOL

Rule ID:

A-NTFRSOnSysvol

Description:

The purpose is to ensure that the old NTFRS protocol is not used to replicate the SYSVOL share.

Technical Explanation:

NTFRS is an old protocol and is considered insecure.
The SYSVOL share is mainly hosted on domain controllers to host GPO files and login scripts.
If the content can be modified, it can be used to grant to a hacker the control of the computers reading these configuration files.
To know if the setting is enabled, PingCastle read the following LDAP entry: CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System
If there is any entry found, the program consider that NTFRS is in use for SYSVOL replication.

Starting in Windows Server 2019, promoting new domain controllers requires the DFS Replication (DFSR) to replicate the contents in the SYSVOL share.
As a consequence this rule become informative if at least one Windows Server 2019 or more recent is installed as a Domain Controller.

Please note that at the time of writing, Microsoft supports it until Windows Server 2022 (see the Open Specification link in the documentation section below)

Advised Solution:

You have to migrate from NTFRS to DFS replication. See the documentation below for more details.

Title:

Vérifier si NTFRS est utilisé pour répliquer SYSVOL

Description:

L'objectif est de s'assurer que l'ancien protocole NTFRS n'est pas utilisé pour répliquer le partage SYSVOL.

Technical Explanation:

NTFRS est un ancien protocole et est considéré comme non sécurisé.
Le partage SYSVOL est principalement hébergé sur des contrôleurs de domaine pour héberger des fichiers GPO et des scripts de connexion.
Si le contenu peut être modifié, il peut être utilisé pour accorder à un pirate le contrôle des ordinateurs lisant ces fichiers de configuration.
Pour savoir si le paramètre est activé, PingCastle lit l'entrée LDAP suivante : CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System
Si une entrée est trouvée, le programme considère que NTFRS est utilisé pour la réplication SYSVOL.

À partir de Windows Server 2019, la promotion de nouveaux contrôleurs de domaine nécessite la réplication DFS (DFSR) pour répliquer le contenu du partage SYSVOL.
Par conséquent, cette règle devient informative si au moins un serveur Windows Server 2019 ou plus récent est installé en tant que contrôleur de domaine.

Veuillez noter qu'au moment de la rédaction, Microsoft le prend en charge jusqu'à Windows Server 2022 (voir le lien Open Specification dans la section documentation ci-dessous)

Advised Solution:

Vous devez migrer de la réplication NTFRS vers la réplication DFS. Voir la documentation ci-dessous pour plus de détails.

Title:

Überprüfen Sie, ob NTFRS zum Replizieren von SYSVOL verwendet wird

Description:

Damit soll sichergestellt werden, dass das alte NTFRS-Protokoll nicht zum Replizieren der SYSVOL-Freigabe verwendet wird.

Technical Explanation:

NTFRS ist ein altes Protokoll und gilt als unsicher.
Die SYSVOL-Freigabe wird hauptsächlich auf Domänencontrollern gehostet, um GPO-Dateien und Anmeldeskripts zu hosten.
Wenn der Inhalt geändert werden kann, kann er verwendet werden, um einem Hacker die Kontrolle über die Computer zu geben, die diese Konfigurationsdateien lesen.
Um zu wissen, ob die Einstellung aktiviert ist, hat PingCastle den folgenden LDAP-Eintrag gelesen: CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System
Wenn ein Eintrag gefunden wird, geht das Programm davon aus, dass NTFRS für die SYSVOL-Replikation verwendet wird.

Ab Windows Server 2019 erfordert das Heraufstufen neuer Domänencontroller, dass die DFS-Replikation (DFSR) die Inhalte in der SYSVOL-Freigabe repliziert.
Folglich wird diese Regel informativ, wenn mindestens ein Windows Server 2019 oder neuer als Domänencontroller installiert ist.

Bitte beachten Sie, dass Microsoft es zum Zeitpunkt des Schreibens bis Windows Server 2022 unterstützt (siehe den Link „Offene Spezifikation“ im Abschnitt „Dokumentation“ unten).

Advised Solution:

Sie müssen von NTFRS zur DFS-Replikation migrieren. Weitere Informationen finden Sie in der folgenden Dokumentation.

Title:

Compruebe si NTFRS se utiliza para replicar SYSVOL

Description:

El objetivo es garantizar que el antiguo protocolo NTFRS no se utilice para replicar el recurso compartido SYSVOL.

Technical Explanation:

NTFRS es un protocolo antiguo y se considera inseguro.
El recurso compartido SYSVOL se aloja principalmente en controladores de dominio para alojar archivos GPO y scripts de inicio de sesión.
Si el contenido se puede modificar, se puede usar para otorgar a un pirata informático el control de las computadoras que leen estos archivos de configuración.
Para saber si la configuración está habilitada, PingCastle lee la siguiente entrada LDAP: CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System
Si se encuentra alguna entrada, el programa considera que NTFRS está en uso para la replicación de SYSVOL.

A partir de Windows Server 2019, la promoción de nuevos controladores de dominio requiere la replicación DFS (DFSR) para replicar el contenido en el recurso compartido SYSVOL.
Como consecuencia, esta regla se vuelve informativa si se instala al menos un Windows Server 2019 o más reciente como controlador de dominio.

Tenga en cuenta que, en el momento de escribir este artículo, Microsoft lo admite hasta Windows Server 2022 (consulte el enlace Especificación abierta en la sección de documentación a continuación)

Advised Solution:

Tiene que migrar de NTFRS a replicación DFS. Consulte la documentación a continuación para obtener más detalles.

Introduced in:

2.9.0.0

Points:

5 points if the occurence is greater than or equals than 2
then Informative rule (0 point)

Documentation:

https://docs.microsoft.com/en-us/windows-server/storage/dfs-replication/migrate-sysvol-to-dfsr
https://support.microsoft.com/en-us/help/312862/recovering-missing-frs-objects-and-frs-attributes-in-active-directory
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-frs1/d18cc589-677e-4133-97e5-113641792c5e
https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/sysvol-dfsr-migration-fails-after-in-place-upgrade
[FR]ANSSI - SYSVOL replication through NTFRS (vuln2_sysvol_ntfrs)2
[MITRE]T1563 Remote Service Session Hijacking

Check if signing is really required for LDAP

Rule ID:

A-DCLdapSign

Description:

The purpose is to check if signing is really required for LDAP

Technical Explanation:

If the the request for signing of each LDAP request is not enforced, a man in the middle can be performed on an LDAP connection.
For example to add a user to the admin group.

This test is made by ignoring the local computer security policies.
Signature enforcement is done by setting the flag ISC_REQ_INTEGRITY when initializig the Negotiate / NTLM / Kerberos authentication.
The opposite test is made with the flag ISC_REQ_NO_INTEGRITY set.

PingCastle is testing if this setting is in place by performing a LDAP authentication with and without signature enforcement.
False positives may exists if the PingCastle program is run on the server tested. That's why, if PingCastle is run on a DC, the DC will not be tested.

Advised Solution:

You have to make sure that ALL LDAP clients are compatible with LDAP signature.
All versions of Windows since XP support this and also most of the Unix clients.

You have to follow the Microsoft article quoted in reference to enable LDAP signing.
This includes auditing the clients which are not compatible and instructions on how to enforce this policy.

Title:

Vérifier si la signature est vraiment requise pour LDAP

Description:

Le but est de vérifier si la signature est vraiment requise pour LDAP

Technical Explanation:

Si la demande de signature de chaque requête LDAP n'est pas appliquée, un man in the middle peut être effectué sur une connexion LDAP.
Par exemple pour ajouter un utilisateur au groupe admin.

Ce test est effectué en ignorant les politiques de sécurité de l'ordinateur local.
L'application de la signature est effectuée en définissant le drapeau ISC_REQ_INTEGRITY lors de l'initialisation de l'authentification Negotiate / NTLM / Kerberos.
Le test inverse est fait avec le drapeau ISC_REQ_NO_INTEGRITY activé.

PingCastle teste si ce paramètre est en place en effectuant une authentification LDAP avec et sans application de signature.
Des faux positifs peuvent exister si le programme PingCastle est exécuté sur le serveur testé. C'est pourquoi, si PingCastle est exécuté sur un DC, le DC ne sera pas testé.

Advised Solution:

Vous devez vous assurer que TOUS les clients LDAP sont compatibles avec la signature LDAP.
Toutes les versions de Windows depuis XP le supportent ainsi que la plupart des clients Unix.

Vous devez suivre l'article Microsoft cité en référence pour activer la signature LDAP.
Cela inclut l'audit des clients qui ne sont pas compatibles et des instructions sur la façon d'appliquer cette politique.

Title:

Überprüfen Sie, ob die Signierung für LDAP wirklich erforderlich ist

Description:

Der Zweck besteht darin, zu überprüfen, ob die Signierung für LDAP wirklich erforderlich ist

Technical Explanation:

Wenn die Anforderung zum Signieren jeder LDAP-Anforderung nicht erzwungen wird, kann ein Man-in-the-Middle auf einer LDAP-Verbindung ausgeführt werden.
Zum Beispiel, um einen Benutzer zur Admin-Gruppe hinzuzufügen.

Dieser Test wird durchgeführt, indem die lokalen Computersicherheitsrichtlinien ignoriert werden.
Die Signaturerzwingung erfolgt durch Setzen des Flags ISC_REQ_INTEGRITY bei der Initialisierung der Negotiate/NTLM/Kerberos-Authentifizierung.
Der entgegengesetzte Test wird mit gesetztem Flag ISC_REQ_NO_INTEGRITY durchgeführt.

PingCastle testet, ob diese Einstellung vorhanden ist, indem es eine LDAP-Authentifizierung mit und ohne Signaturerzwingung durchführt.
Falsch positive Ergebnisse können auftreten, wenn das PingCastle-Programm auf dem getesteten Server ausgeführt wird. Wenn PingCastle auf einem DC ausgeführt wird, wird der DC daher nicht getestet.

Advised Solution:

Sie müssen sicherstellen, dass ALLE LDAP-Clients mit der LDAP-Signatur kompatibel sind.
Alle Windows-Versionen seit XP unterstützen dies und auch die meisten Unix-Clients.

Sie müssen dem referenzierten Microsoft-Artikel folgen, um die LDAP-Signierung zu aktivieren.
Dazu gehören die Prüfung der Clients, die nicht kompatibel sind, und Anweisungen zur Durchsetzung dieser Richtlinie.

Title:

Compruebe si realmente se requiere la firma para LDAP

Description:

El propósito es verificar si realmente se requiere la firma para LDAP

Technical Explanation:

Si no se aplica la solicitud de firma de cada solicitud LDAP, se puede realizar un intermediario en una conexión LDAP.
Por ejemplo, para agregar un usuario al grupo de administración.

Esta prueba se realiza ignorando las políticas locales de seguridad informática.
La aplicación de la firma se realiza configurando el indicador ISC_REQ_INTEGRITY al inicializar la autenticación Negotiate / NTLM / Kerberos.
La prueba opuesta se realiza con la bandera ISC_REQ_NO_INTEGRITY activada.

PingCastle está probando si esta configuración está en su lugar realizando una autenticación LDAP con y sin aplicación de firma.
Pueden existir falsos positivos si el programa PingCastle se ejecuta en el servidor probado. Por eso, si PingCastle se ejecuta en un DC, el DC no se probará.

Advised Solution:

Debe asegurarse de que TODOS los clientes LDAP sean compatibles con la firma LDAP.
Todas las versiones de Windows desde XP soportan esto y también la mayoría de los clientes Unix.

Debe seguir el artículo de Microsoft citado en la referencia para habilitar la firma LDAP.
Esto incluye auditar a los clientes que no son compatibles e instrucciones sobre cómo hacer cumplir esta política.

Introduced in:

2.11.0.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-US/troubleshoot/windows-server/identity/enable-ldap-signing-in-windows-server
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-2020/ba-p/921536/page/4
https://github.com/zyn3rgy/LdapRelayScan
[MITRE]T1557 Man-in-the-Middle

Check if the Channel Binding is enabled for LDAPS

Rule ID:

A-DCLdapsChannelBinding

Description:

The purpose is to check if the Channel Binding feature of LDAPS is enforced

Technical Explanation:

LDAPS (opposed to LDAP) does not allow message signature because this protection is made by the TLS layer.
As a consequence, forged LDAP packets can be relayed in a TLS tunnel, thus becoming LDAPS and without any protection against relay.

To avoid this attack, a feature named Channel Binding exists. It consists of passing to the authentication layer a property of the TLS channel (typically a hash of the server certificate) to bind the outer channel (TLS) and the inner channel (LDAP).
This protection is also called "Extended Protection".

PingCastle is testing if this binding is in place by performing a LDAPS authentication with Channel Binding enabled and disabled.
False positives may exists if the PingCastle program is run on the server tested. That's why, if PingCastle is run on a DC, the DC will not be tested.

Advised Solution:

You have to make sure that ALL LDAPS clients are compatible with Channel Binding.
All supported Windows have been updated since March 2020 to take this into account and also most of the Unix clients (see the RedHat bulletin link below).

You can start auditing via registry, on each domain controller
Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Then monitor the Windows event IDs 3039 and 3040.

Once it has been verified that all clients are compatible, Channel Binding can be enforced:
create the key LdapEnforceChannelBinding in HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters and set its value to 1 or 2

Title:

Vérifiez si la liaison de canal est activée pour LDAPS

Description:

Le but est de vérifier si la fonctionnalité Channel Binding de LDAPS est appliquée

Technical Explanation:

LDAPS (par opposition à LDAP) ne permet pas la signature des messages car cette protection est faite par la couche TLS.
En conséquence, les paquets LDAP falsifiés peuvent être relayés dans un tunnel TLS, devenant ainsi LDAPS et sans aucune protection contre le relais.

Pour éviter cette attaque, une fonctionnalité nommée Channel Binding existe. Il consiste à passer à la couche d'authentification une propriété du canal TLS (typiquement un hash du certificat du serveur) pour lier le canal externe (TLS) et le canal interne (LDAP).
Cette protection est également appelée "Protection étendue".

PingCastle teste si cette liaison est en place en effectuant une authentification LDAPS avec la liaison de canal activée et désactivée.
Des faux positifs peuvent exister si le programme PingCastle est exécuté sur le serveur testé. C'est pourquoi, si PingCastle est exécuté sur un DC, le DC ne sera pas testé.

Advised Solution:

Vous devez vous assurer que TOUS les clients LDAPS sont compatibles avec Channel Binding.
Tous les Windows pris en charge ont été mis à jour depuis mars 2020 pour en tenir compte ainsi que la plupart des clients Unix (voir le lien du bulletin RedHat ci-dessous).

Vous pouvez commencer l'audit via le registre, sur chaque contrôleur de domaine
Reg Ajouter HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 événements d'interface LDAP" /t REG_DWORD /d 2
Surveillez ensuite les ID d'événement Windows 3039 et 3040.

Une fois qu'il a été vérifié que tous les clients sont compatibles, la liaison de canal peut être appliquée :
créez la clé LdapEnforceChannelBinding dans HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters et définissez sa valeur sur 1 ou 2

Title:

Überprüfen Sie, ob die Kanalbindung für LDAPS aktiviert ist

Description:

Der Zweck besteht darin, zu überprüfen, ob die Kanalbindungsfunktion von LDAPS erzwungen wird

Technical Explanation:

LDAPS (im Gegensatz zu LDAP) erlaubt keine Nachrichtensignatur, da dieser Schutz durch die TLS-Schicht erfolgt.
Infolgedessen können gefälschte LDAP-Pakete in einem TLS-Tunnel weitergeleitet werden, wodurch sie zu LDAPS werden und keinen Schutz vor Weiterleitung bieten.

Um diesen Angriff zu vermeiden, existiert eine Funktion namens Channel Binding. Es besteht darin, eine Eigenschaft des TLS-Kanals (normalerweise ein Hash des Serverzertifikats) an die Authentifizierungsschicht zu übergeben, um den äußeren Kanal (TLS) und den inneren Kanal (LDAP) zu binden.
Dieser Schutz wird auch „Erweiterter Schutz“ genannt.

PingCastle testet, ob diese Bindung vorhanden ist, indem es eine LDAPS-Authentifizierung mit aktivierter und deaktivierter Kanalbindung durchführt.
Falsch positive Ergebnisse können auftreten, wenn das PingCastle-Programm auf dem getesteten Server ausgeführt wird. Wenn PingCastle auf einem DC ausgeführt wird, wird der DC daher nicht getestet.

Advised Solution:

Sie müssen sicherstellen, dass ALLE LDAPS-Clients mit Channel Binding kompatibel sind.
Alle unterstützten Windows wurden seit März 2020 aktualisiert, um dies zu berücksichtigen, und auch die meisten Unix-Clients (siehe den Link zum RedHat-Bulletin unten).

Sie können die Überwachung über die Registrierung auf jedem Domänencontroller starten
Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2
Überwachen Sie dann die Windows-Ereignis-IDs 3039 und 3040.

Sobald überprüft wurde, dass alle Clients kompatibel sind, kann die Kanalbindung erzwungen werden:
Erstellen Sie den Schlüssel LdapEnforceChannelBinding in HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters und setzen Sie seinen Wert auf 1 oder 2

Title:

Compruebe si Channel Binding está habilitado para LDAPS

Description:

El propósito es verificar si se aplica la función de enlace de canales de LDAPS

Technical Explanation:

LDAPS (a diferencia de LDAP) no permite la firma de mensajes porque esta protección la realiza la capa TLS.
Como consecuencia, los paquetes LDAP falsificados pueden retransmitirse en un túnel TLS, convirtiéndose así en LDAPS y sin ninguna protección contra la retransmisión.

Para evitar este ataque, existe una función llamada Channel Binding. Consiste en pasar a la capa de autenticación una propiedad del canal TLS (típicamente un hash del certificado del servidor) para vincular el canal externo (TLS) y el canal interno (LDAP).
Esta protección también se denomina "Protección extendida".

PingCastle está probando si este enlace está en su lugar realizando una autenticación LDAPS con Channel Binding habilitado y deshabilitado.
Pueden existir falsos positivos si el programa PingCastle se ejecuta en el servidor probado. Por eso, si PingCastle se ejecuta en un DC, el DC no se probará.

Advised Solution:

Debe asegurarse de que TODOS los clientes LDAPS sean compatibles con Channel Binding.
Todos los Windows compatibles se han actualizado desde marzo de 2020 para tener esto en cuenta y también la mayoría de los clientes de Unix (consulte el enlace del boletín de RedHat a continuación).

Puede comenzar a auditar a través del registro, en cada controlador de dominio
Agregar registro HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 Eventos de interfaz LDAP" /t REG_DWORD /d 2
Luego monitoree los ID de eventos de Windows 3039 y 3040.

Una vez que se haya verificado que todos los clientes son compatibles, se puede aplicar Channel Binding:
cree la clave LdapEnforceChannelBinding en HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters y establezca su valor en 1 o 2

Introduced in:

2.11.0.0

Points:

5 points if present

Documentation:

https://support.microsoft.com/en-us/topic/use-the-ldapenforcechannelbinding-registry-entry-to-make-ldap-authentication-over-ssl-tls-more-secure-e9ecfa27-5e57-8519- 6ba3-d2c06b21812e
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ldap-channel-binding-and-ldap-signing-requirements-march-2020/ba-p/921536/page/4
https://oxfordcomputergroup.com/resources/ldap-channel-binding-signing-requirements/
https://github.com/zyn3rgy/LdapRelayScan
https://access.redhat.com/articles/4661861
http://gary-nebbett.blogspot.com/2020/01/ldap-channel-binding.html
[MITRE]T1557 Man-in-the-Middle

Check if the file share protocol can sign its network dialog

Rule ID:

A-SMB2SignatureNotEnabled

Description:

The purpose is to ensure that the SMB version 2 protocol has signing enabled when communicating with domain controllers

Technical Explanation:

Python responder is a tool used to compromise a domain by listening for SMB connections and injecting rogue data into the communications at the network level. SMB v1 does not provide a mechanism to enforce integrity and thus is compromised easily. SMB v2 (and subsequent version SMB v3) provides a way to guarantee the integrity of the network communication via a signature of each packet. By establishing a SMB v2 dialog with domain controllers, PingCastle checks the signature capability by looking at the SMB options provided by the server.

Advised Solution:

Enable the group policy "Digitally sign communications (if client agrees)" or check for any policy, which may alter the server settings. See the official documentation for more information.

Title:

Vérifiez si le protocole de partage de fichiers peut signer sa boîte de dialogue réseau

Description:

Le but est de s'assurer que la signature du protocole SMB version 2 est activée lors de la communication avec les contrôleurs de domaine

Technical Explanation:

Le répondeur Python est un outil utilisé pour compromettre un domaine en écoutant les connexions SMB et en injectant des données malveillantes dans les communications au niveau du réseau. SMB v1 ne fournit pas de mécanisme pour appliquer l'intégrité et est donc facilement compromis. SMB v2 (et la version ultérieure SMB v3) fournit un moyen de garantir l'intégrité de la communication réseau via une signature de chaque paquet. En établissant un dialogue SMB v2 avec les contrôleurs de domaine, PingCastle vérifie la capacité de signature en examinant les options SMB fournies par le serveur.

Advised Solution:

Activez la stratégie de groupe « Signer numériquement les communications (si le client accepte) » ou recherchez toute stratégie susceptible de modifier les paramètres du serveur. Voir le documentation officielle pour plus d'informations.

Title:

Überprüfen Sie, ob das Dateifreigabeprotokoll seinen Netzwerkdialog signieren kann

Description:

Damit soll sichergestellt werden, dass für das SMB-Version-2-Protokoll bei der Kommunikation mit Domänencontrollern die Signierung aktiviert ist

Technical Explanation:

Python Responder ist ein Tool, das verwendet wird, um eine Domäne zu kompromittieren, indem es auf SMB-Verbindungen lauscht und Rogue-Daten in die Kommunikation auf Netzwerkebene einfügt. SMB v1 bietet keinen Mechanismus zur Durchsetzung der Integrität und ist daher leicht zu kompromittieren. SMB v2 (und die nachfolgende Version SMB v3) bietet eine Möglichkeit, die Integrität der Netzwerkkommunikation über eine Signatur jedes Pakets zu garantieren. Durch die Einrichtung eines SMB v2-Dialogs mit Domänencontrollern überprüft PingCastle die Signaturfähigkeit, indem es die vom Server bereitgestellten SMB-Optionen betrachtet.

Advised Solution:

Aktivieren Sie die Gruppenrichtlinie „Kommunikation digital signieren (falls der Client zustimmt)“ oder suchen Sie nach einer Richtlinie, die die Servereinstellungen ändern könnte. Siehe offizielle Dokumentation für weitere Informationen.

Title:

Compruebe si el protocolo de uso compartido de archivos puede firmar su cuadro de diálogo de red

Description:

El propósito es garantizar que el protocolo SMB versión 2 tenga la firma habilitada al comunicarse con los controladores de dominio.

Technical Explanation:

Python respondedor es una herramienta que se utiliza para comprometer un dominio al escuchar conexiones SMB e inyectar datos no autorizados en las comunicaciones a nivel de red. SMB v1 no proporciona un mecanismo para hacer cumplir la integridad y, por lo tanto, se compromete fácilmente. SMB v2 (y la versión posterior SMB v3) proporciona una forma de garantizar la integridad de la comunicación de la red a través de una firma de cada paquete. Al establecer un cuadro de diálogo SMB v2 con los controladores de dominio, PingCastle verifica la capacidad de firma al observar las opciones SMB proporcionadas por el servidor.

Advised Solution:

Habilite la política de grupo "Firmar digitalmente las comunicaciones (si el cliente está de acuerdo)" o verifique cualquier política que pueda alterar la configuración del servidor. Consulte el documentación oficial para obtener más información.

Introduced in:

2.5.0.0

Points:

5 points if present

Documentation:

https://msdn.microsoft.com/en-us/library/cc246675.aspx
[MITRE]T1557 Man-in-the-Middle
[FR]ANSSI CERTFR-2015-ACT-021

Check if the file share protocol requires its client to sign its network dialog

Rule ID:

A-SMB2SignatureNotRequired

Description:

The purpose is to ensure that the SMB version 2 protocol has signing enforced when communicating with domain controllers

Technical Explanation:

Advised Solution:

Enable the group policy "Digitally sign communications (always)" or check for any policy which may alter the server settings. See the official documentation for more information.

Title:

Vérifiez si le protocole de partage de fichiers exige que son client signe sa boîte de dialogue réseau

Description:

L'objectif est de garantir que la signature du protocole SMB version 2 est appliquée lors de la communication avec les contrôleurs de domaine

Technical Explanation:

Advised Solution:

Activez la stratégie de groupe « Signer numériquement les communications (toujours) » ou recherchez toute stratégie susceptible de modifier les paramètres du serveur. Voir documentation officielle pour plus d'informations.

Title:

Überprüfen Sie, ob das Dateifreigabeprotokoll von seinem Client verlangt, seinen Netzwerkdialog zu signieren

Description:

Damit soll sichergestellt werden, dass das SMB-Version-2-Protokoll bei der Kommunikation mit Domänencontrollern eine Signierung erzwingt

Technical Explanation:

Advised Solution:

Aktivieren Sie die Gruppenrichtlinie „Kommunikation digital signieren (immer)“ oder suchen Sie nach einer Richtlinie, die die Servereinstellungen ändern könnte. Siehe offizielle Dokumentation für weitere Informationen.

Title:

Compruebe si el protocolo de uso compartido de archivos requiere que su cliente firme su diálogo de red

Description:

El propósito es garantizar que el protocolo SMB versión 2 tenga la firma aplicada al comunicarse con los controladores de dominio.

Technical Explanation:

Advised Solution:

Habilite la política de grupo "Firmar digitalmente las comunicaciones (siempre)" o busque cualquier política que pueda alterar la configuración del servidor. Consulte documentación oficial para más información.

Introduced in:

2.5.0.0

Points:

Informative rule (0 point)

Documentation:

https://msdn.microsoft.com/en-us/library/cc246675.aspx
[MITRE]T1557 Man-in-the-Middle
[FR]ANSSI CERTFR-2015-ACT-021

Ensure LDAP signing requirements is not set to None

Rule ID:

A-LDAPSigningDisabled

Description:

The purpose is to check that the integrity of the network protocol LDAP as not been endangered by explicitly disabling LDAP signing.

Technical Explanation:

The LDAP signature feature enables the integrity of the network communication between the computer and the domain controller.
Hackers aim at intercepting the communication at the network layer and modify the network dialog to grant themselves admin privileges.
The goal of this feature is to defeat these attacks.
Unfortunately, not all devices support LDAP signature. That's why the best practice is to Require Signature if possible or to, at least, try to negotiate it.
In this case, the LDAP signature feature is configured to None (no negotiation), which can enable hackers to perform their attacks.

Advised Solution:

Locate the GPO specified in Details and change the setting in "Network security: LDAP client signing requirements".
Disable this setting, or set it to "Negotiate signing" or "Require Signature".
The setting is located in :
Computer configuration -> Policies -> Windows Settings ->Security Settings -> Local Policies -> Security Options.
As an alternative, the file GptTmpl.inf can be manually edited.

Title:

Assurez-vous que les exigences de signature LDAP ne sont pas définies sur Aucune

Description:

Le but est de vérifier que l'intégrité du protocole réseau LDAP n'a pas été mise en danger par la désactivation explicite de la signature LDAP.

Technical Explanation:

La fonctionnalité de signature LDAP permet l'intégrité de la communication réseau entre l'ordinateur et le contrôleur de domaine.
Les pirates visent à intercepter la communication au niveau de la couche réseau et à modifier la boîte de dialogue réseau pour s'accorder des privilèges d'administrateur.
Le but de cette fonctionnalité est de vaincre ces attaques.
Malheureusement, tous les appareils ne prennent pas en charge la signature LDAP. C'est pourquoi la meilleure pratique consiste à exiger la signature si possible ou, au moins, à essayer de la négocier.
Dans ce cas, la fonctionnalité de signature LDAP est configurée sur Aucun (pas de négociation), ce qui peut permettre aux pirates d'effectuer leurs attaques.

Advised Solution:

Localisez l'objet de stratégie de groupe spécifié dans Détails et modifiez le paramètre dans "Sécurité réseau : exigences de signature du client LDAP".
Désactivez ce paramètre ou définissez-le sur "Négocier la signature" ou "Exiger la signature".
Le cadre se situe dans :
Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité.
Comme alternative, le fichier GptTmpl.inf peut être édité manuellement.

Title:

Stellen Sie sicher, dass die Anforderungen für die LDAP-Signatur nicht auf „Keine“ gesetzt sind

Description:

Damit soll überprüft werden, dass die Integrität des Netzwerkprotokolls LDAP nicht durch explizites Deaktivieren der LDAP-Signierung gefährdet wird.

Technical Explanation:

Die LDAP-Signaturfunktion ermöglicht die Integrität der Netzwerkkommunikation zwischen dem Computer und dem Domänencontroller.
Hacker zielen darauf ab, die Kommunikation auf der Netzwerkebene abzufangen und modifizieren den Netzwerkdialog, um sich selbst Administratorrechte zu gewähren.
Das Ziel dieser Funktion ist es, diese Angriffe abzuwehren.
Leider unterstützen nicht alle Geräte die LDAP-Signatur. Aus diesem Grund besteht die beste Vorgehensweise darin, nach Möglichkeit eine Signatur anzufordern oder zumindest zu versuchen, darüber zu verhandeln.
In diesem Fall ist die LDAP-Signaturfunktion auf None (keine Aushandlung) konfiguriert, wodurch Hacker ihre Angriffe ausführen können.

Advised Solution:

Suchen Sie das in Details angegebene Gruppenrichtlinienobjekt und ändern Sie die Einstellung in „Netzwerksicherheit: Signaturanforderungen für LDAP-Clients“.
Deaktivieren Sie diese Einstellung oder setzen Sie sie auf „Signatur aushandeln“ oder „Signatur erforderlich“.
Die Einstellung befindet sich in:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen.
Alternativ kann die Datei GptTmpl.inf manuell bearbeitet werden.

Title:

Asegúrese de que los requisitos de firma de LDAP no estén establecidos en Ninguno

Description:

El propósito es verificar que la integridad del protocolo de red LDAP no se haya puesto en peligro al deshabilitar explícitamente la firma de LDAP.

Technical Explanation:

La función de firma LDAP permite la integridad de la comunicación de red entre la computadora y el controlador de dominio.
Los piratas informáticos tienen como objetivo interceptar la comunicación en la capa de red y modificar el cuadro de diálogo de la red para otorgarse privilegios de administrador.
El objetivo de esta característica es derrotar estos ataques.
Lamentablemente, no todos los dispositivos admiten la firma LDAP. Es por eso que la mejor práctica es Requerir Firma si es posible o, al menos, tratar de negociarla.
En este caso, la función de firma LDAP está configurada en Ninguno (sin negociación), lo que puede permitir que los piratas informáticos realicen sus ataques.

Advised Solution:

Localice el GPO especificado en Detalles y cambie la configuración en "Seguridad de la red: requisitos de firma del cliente LDAP".
Deshabilite esta configuración o establézcala en "Negociar firma" o "Requerir firma".
El ajuste se encuentra en:
Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad.
Como alternativa, el archivo GptTmpl.inf se puede editar manualmente.

Introduced in:

2.7.0.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-ldap-client-signing-requirements
[MITRE]T1557 Man-in-the-Middle

Hardened Paths weakness

Rule ID:

A-HardenedPaths

Description:

The purpose is to ensure that there is no weakness related to hardened paths

Technical Explanation:

Two vulnerabilities have been reported in 2015 (MS15-011 and MS15-014) which allows a domain takeover via GPO modifications done with a man-in-the-middle attack.
To mitigate these vulnerabilites, Microsoft has designed a workaround named "Hardened Paths". It forces connection settings to enforce Integrity, Mutual Authentication or Privacy.
By default if this policy is empty, if will enforce Integrity and Mutual Authentication on the SYSVOL or NETLOGON shares.
This rule checks if there have been any overwrite to disable this protection.

Advised Solution:

You have to edit the Hardened Path section in the GPO.
This section is located in Computer Configuration/Policies/Administrative Templates/Network/Network Provider.
Check each value reported here and make sure that entries containing SYSVOL or NETLOGON have RequireIntegrity and RequireMutualAuthentication set to 1.
In addition to that, check entries having the pattern \\DCName\* and apply the same solution.

Title:

Faiblesse des chemins durcis

Description:

Le but est de s'assurer qu'il n'y a pas de faiblesse liée aux chemins durcis

Technical Explanation:

Deux vulnérabilités ont été signalées en 2015 (MS15-011 et MS15-014) qui permettent une prise de contrôle de domaine via des modifications de GPO effectuées avec une attaque man-in-the-middle.
Pour atténuer ces vulnérabilités, Microsoft a conçu une solution de contournement nommée "Hardened Paths". Il force les paramètres de connexion à appliquer l'intégrité, l'authentification mutuelle ou la confidentialité.
Par défaut, si cette stratégie est vide, elle appliquera l'intégrité et l'authentification mutuelle sur les partages SYSVOL ou NETLOGON.
Cette règle vérifie s'il y a eu un écrasement pour désactiver cette protection.

Advised Solution:

Vous devez modifier la section Hardened Path dans le GPO.
Cette section se trouve dans Configuration ordinateur/Politiques/Modèles d'administration/Réseau/Fournisseur réseau.
Vérifiez chaque valeur signalée ici et assurez-vous que les entrées contenant SYSVOL ou NETLOGON ont RequireIntegrity et RequireMutualAuthentication définis sur 1.
En plus de cela, vérifiez les entrées ayant le modèle \\DCName\* et appliquez la même solution.

Title:

Schwäche der Gehärteten Pfade

Description:

Der Zweck besteht darin, sicherzustellen, dass es keine Schwachstellen im Zusammenhang mit gehärteten Pfaden gibt

Technical Explanation:

Im Jahr 2015 wurden zwei Sicherheitslücken gemeldet (MS15-011 und MS15-014), die eine Domänenübernahme über GPO-Änderungen ermöglichen, die mit einem Man-in-the-Middle-Angriff durchgeführt werden.
Um diese Schwachstellen zu mindern, hat Microsoft einen Workaround namens „Hardened Paths“ entwickelt. Es erzwingt Verbindungseinstellungen, um Integrität, gegenseitige Authentifizierung oder Datenschutz zu erzwingen.
Wenn diese Richtlinie leer ist, erzwingt sie standardmäßig Integrität und gegenseitige Authentifizierung auf den SYSVOL- oder NETLOGON-Freigaben.
Diese Regel prüft, ob es Überschreibungen gegeben hat, um diesen Schutz zu deaktivieren.

Advised Solution:

Sie müssen den Abschnitt Hardened Path im GPO bearbeiten.
Dieser Abschnitt befindet sich unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Netzwerk/Netzwerkanbieter.
Überprüfen Sie jeden hier gemeldeten Wert und stellen Sie sicher, dass bei Einträgen, die SYSVOL oder NETLOGON enthalten, RequireIntegrity und RequireMutualAuthentication auf 1 gesetzt sind.
Überprüfen Sie außerdem Einträge mit dem Muster \\DCName\* und wenden Sie dieselbe Lösung an.

Title:

Debilidad de Caminos endurecidos

Description:

El propósito es garantizar que no haya debilidades relacionadas con rutas endurecidas.

Technical Explanation:

Se informaron dos vulnerabilidades en 2015 (MS15-011 y MS15-014) que permiten la adquisición de un dominio a través de modificaciones de GPO realizadas con un ataque de intermediario.
Para mitigar estas vulnerabilidades, Microsoft ha diseñado una solución llamada "Rutas reforzadas". Fuerza la configuración de la conexión para hacer cumplir la integridad, la autenticación mutua o la privacidad.
De forma predeterminada, si esta política está vacía, aplicará la integridad y la autenticación mutua en los recursos compartidos de SYSVOL o NETLOGON.
Esta regla comprueba si ha habido alguna sobrescritura para desactivar esta protección.

Advised Solution:

Tiene que editar la sección Ruta reforzada en el GPO.
Esta sección se encuentra en Configuración del equipo/Políticas/Plantillas administrativas/Red/Proveedor de red.
Verifique cada valor informado aquí y asegúrese de que las entradas que contengan SYSVOL o NETLOGON tengan RequireIntegrity y RequireMutualAuthentication establecidos en 1.
Además de eso, verifique las entradas que tengan el patrón \\DCName\* y aplique la misma solución.

Introduced in:

2.10.1.0

Points:

5 points if present

Documentation:

https://labs.f-secure.com/archive/how-to-own-any-windows-network-with-group-policy-hijacking-attacks/
https://talubu.wordpress.com/2018/02/28/configuring-unc-hardened-access-through-group-policy/
https://adsecurity.org/?p=1405
https://support.microsoft.com/en-us/topic/ms15-011-vulnerability-in-group-policy-could-allow-remote-code-execution-febrero-10-2015-91b4bda2-945d-455b- ebbb-01d1ec191328
[MITRE]T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay
[US]STIG V-63577 - Hardened UNC Paths must be defined to require mutual authentication and integrity for at least the \\*\SYSVOL and \\*\NETLOGON shares.

Pass-the-credential

If the password is a secret, which protects its derivatives, such as the fingerprint named hash, it can be used as if it was the password itself.

Title (fr-FR): Pass-the-credential

Description (fr-FR): Si le mot de passe est un secret, qui protège ses dérivés, comme l'empreinte digitale nommée hash, il peut être utilisé comme s'il s'agissait du mot de passe lui-même.

Title (de-DE): Pass-the-credential

Description (de-DE): Wenn das Passwort ein Geheimnis ist, das seine Derivate schützt, wie etwa den Fingerabdruck namens Hash, kann es so verwendet werden, als ob es das Passwort selbst wäre.

Title (es-ES): Pass-the-credential

Description (es-ES): Si la contraseña es un secreto, que protege sus derivados, como la huella dactilar denominada hash, se puede utilizar como si fuera la propia contraseña.

Check for accounts using smart card with unchanged password for a long time

Rule ID:

A-SmartCardRequired

Description:

The purpose is to make sure the requirement of Smart Cards doesn't degrade password rotation

Technical Explanation:

Using smart cards to protected sensitive accounts is a good thing. Nevertheless, when the "Smart Card required" flag is set, the password of the account is not changed anymore by default. Internally the hash of this password is used to sign the user's Kerberos tickets, making this account vulnerable to Silver ticket attacks. The rule is triggered 90 days after the last change of the attribute unicodePwd. This value is collected using the replication metadata of the attribute 589914

Advised Solution:

There are 3 solutions to fix this issue, the most obvious being to change the user password on a regular basis. The fastest way is to check if the domain has the attribute msDS-ExpirePasswordsOnSmartCardOnlyAccounts, which is available for Windows Server 2016 and later versions and handles periodically hash change. Another possibility, instead of changing the password, is to disable the flag "this account requires a smart card" then re-enable it, which will trigger an internal password hash change.

Title:

Vérifier les comptes utilisant une carte à puce avec un mot de passe inchangé pendant une longue période

Description:

Le but est de s'assurer que l'exigence des cartes à puce ne dégrade pas la rotation des mots de passe

Technical Explanation:

Utiliser des cartes à puce pour protéger des comptes sensibles est une bonne chose. Néanmoins, lorsque le drapeau "Carte à puce requise" est activé, le mot de passe du compte n'est plus modifié par défaut. En interne, le hachage de ce mot de passe est utilisé pour signer les tickets Kerberos de l'utilisateur, ce qui rend ce compte vulnérable aux attaques par ticket Silver. La règle est déclenchée 90 jours après la dernière modification de l'attribut unicodePwd. Cette valeur est collectée à l'aide des métadonnées de réplication de l'attribut 589914

Advised Solution:

Il existe 3 solutions pour résoudre ce problème, la plus évidente étant de changer régulièrement le mot de passe de l'utilisateur. Le moyen le plus rapide consiste à vérifier si le domaine possède l'attribut msDS-ExpirePasswordsOnSmartCardOnlyAccounts, qui est disponible pour Windows Server 2016 et les versions ultérieures et gère périodiquement le changement de hachage. Une autre possibilité, au lieu de changer le mot de passe, consiste à désactiver le drapeau "ce compte nécessite une carte à puce" puis à le réactiver, ce qui déclenchera un changement de mot de passe interne.

Title:

Suchen Sie nach Konten, die eine Smartcard mit unverändertem Passwort für eine lange Zeit verwenden

Description:

Damit soll sichergestellt werden, dass die Anforderung von Smartcards die Kennwortrotation nicht beeinträchtigt

Technical Explanation:

Die Verwendung von Smartcards zum Schutz vertraulicher Konten ist eine gute Sache. Wenn das Flag „Smart Card erforderlich“ gesetzt ist, wird das Kennwort des Kontos jedoch standardmäßig nicht mehr geändert. Intern wird der Hash dieses Passworts verwendet, um die Kerberos-Tickets des Benutzers zu signieren, wodurch dieses Konto anfällig für Silver-Ticket-Angriffe wird. Die Regel wird 90 Tage nach der letzten Änderung des Attributs unicodePwd ausgelöst. Dieser Wert wird mithilfe der Replikationsmetadaten des Attributs 589914 erfasst

Advised Solution:

Es gibt 3 Lösungen, um dieses Problem zu beheben, wobei die naheliegendste darin besteht, das Benutzerkennwort regelmäßig zu ändern. Am schnellsten prüfen Sie, ob die Domäne über das Attribut msDS-ExpirePasswordsOnSmartCardOnlyAccounts verfügt, das für Windows Server 2016 und neuere Versionen verfügbar ist und regelmäßige Hash-Änderungen verarbeitet. Eine andere Möglichkeit, anstatt das Passwort zu ändern, besteht darin, das Flag "Dieses Konto erfordert eine Smartcard" zu deaktivieren und es dann wieder zu aktivieren, was eine interne Passwort-Hash-Änderung auslöst.

Title:

Verifique las cuentas que usan una tarjeta inteligente con una contraseña sin cambios durante mucho tiempo

Description:

El propósito es asegurarse de que el requisito de las tarjetas inteligentes no degrade la rotación de contraseñas.

Technical Explanation:

Usar tarjetas inteligentes para proteger cuentas confidenciales es algo bueno. Sin embargo, cuando se establece el indicador "Se requiere tarjeta inteligente", la contraseña de la cuenta ya no se cambia de forma predeterminada. Internamente, el hash de esta contraseña se usa para firmar los tickets de Kerberos del usuario, lo que hace que esta cuenta sea vulnerable a los ataques de Silver Ticket. La regla se activa 90 días después del último cambio del atributo unicodePwd. Este valor se recopila utilizando los metadatos de replicación del atributo 589914

Advised Solution:

Hay 3 soluciones para solucionar este problema, la más obvia es cambiar la contraseña de usuario de forma regular. La forma más rápida es verificar si el dominio tiene el atributo msDS-ExpirePasswordsOnSmartCardOnlyAccounts, que está disponible para Windows Server 2016 y versiones posteriores y maneja el cambio de hash periódicamente. Otra posibilidad, en lugar de cambiar la contraseña, es deshabilitar el indicador "esta cuenta requiere una tarjeta inteligente" y luego volver a habilitarlo, lo que activará un cambio interno de hash de contraseña.

Points:

30 points if present

Documentation:

https://blogs.technet.microsoft.com/positivesecurity/2017/05/17/smartcard-and-pass-the-hash/
[US]STIG V-72821 - All accounts, privileged and unprivileged, that require smart cards must have the underlying NT hash rotated at least every 60 days.
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R38 [paragraph.3.6.2.2]
[MITRE]T1110.002 Brute Force: Password Cracking

Check for presence of the Protected Users group

Rule ID:

A-ProtectedUsers

Description:

The purpose is to ensure that the schema has been updated for the creation of the Protected Users group.

Technical Explanation:

The Protected Users group is a special group, which is a very effective mitigation solution to counter attacks using credential theft starting with Windows 8.1. Older Operating System must be updated to use this protection, such as the Windows 7 KB2871997 patch.

Advised Solution:

The Protected Users group is automatically created when the PDC (primary DC) emulator role is transferred to Windows Server 2012 R2 or newer domain controller. The group is then automatically replicated to all other domain controllers.
Warning: Do not add service accounts into this group as this will result in "authentication failure" messages. Use "protected accounts" instead

Title:

Vérifier la présence du groupe Utilisateurs protégés

Description:

L'objectif est de s'assurer que le schéma a été mis à jour pour la création du groupe Utilisateurs protégés.

Technical Explanation:

Le groupe Utilisateurs protégés est un groupe spécial, qui est une solution d'atténuation très efficace pour contrer les attaques utilisant le vol d'informations d'identification à partir de Windows 8.1. L'ancien système d'exploitation doit être mis à jour pour utiliser cette protection, comme le correctif Windows 7 KB2871997.

Advised Solution:

Le groupe Utilisateurs protégés est automatiquement créé lorsque le rôle d'émulateur PDC (DC principal) est transféré vers le contrôleur de domaine Windows Server 2012 R2 ou plus récent. Le groupe est ensuite automatiquement répliqué sur tous les autres contrôleurs de domaine.
Avertissement : N'ajoutez pas de comptes de service à ce groupe, car cela entraînerait des messages d'"échec d'authentification". Utilisez plutôt des "comptes protégés"

Title:

Prüfen Sie, ob die Gruppe der geschützten Benutzer vorhanden ist

Description:

Damit soll sichergestellt werden, dass das Schema für die Erstellung der geschützten Benutzergruppe aktualisiert wurde.

Technical Explanation:

Die Gruppe „Geschützte Benutzer“ ist eine spezielle Gruppe, die ab Windows 8.1 eine sehr effektive Abwehrlösung darstellt, um Angriffen durch Diebstahl von Anmeldeinformationen entgegenzuwirken. Ältere Betriebssysteme müssen aktualisiert werden, um diesen Schutz zu verwenden, z. B. den Patch Windows 7 KB2871997.

Advised Solution:

Die Gruppe „geschützte Benutzer“ wird automatisch erstellt, wenn die PDC-Emulatorrolle (primärer DC) auf Windows Server 2012 R2 oder einen neueren Domänencontroller übertragen wird. Die Gruppe wird dann automatisch auf alle anderen Domänencontroller repliziert.
Warnung: Fügen Sie dieser Gruppe keine Dienstkonten hinzu, da dies zu Meldungen über „Authentifizierungsfehler“ führt. Verwenden Sie stattdessen "geschützte Konten"

Title:

Comprobar la presencia del grupo de Usuarios protegidos

Description:

El propósito es garantizar que el esquema se haya actualizado para la creación del grupo de Usuarios protegidos.

Technical Explanation:

El grupo de Usuarios protegidos es un grupo especial, que es una solución de mitigación muy eficaz para contrarrestar los ataques que utilizan el robo de credenciales a partir de Windows 8.1. El sistema operativo anterior debe actualizarse para usar esta protección, como el parche Windows 7 KB2871997.

Advised Solution:

El grupo de usuarios protegidos se crea automáticamente cuando la función de emulador de PDC (DC principal) se transfiere a Windows Server 2012 R2 o un controlador de dominio más reciente. A continuación, el grupo se replica automáticamente en todos los demás controladores de dominio.
Advertencia: no agregue cuentas de servicio a este grupo, ya que esto generará mensajes de "fallo de autenticación". Utilice "cuentas protegidas" en su lugar

Points:

Informative rule (0 point)

Documentation:

https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[US]STIG V-78131 - Accounts with domain level administrative privileges must be members of the Protected Users group in domains with a domain functional level of Windows 2012 R2 or higher.
[FR]ANSSI CERTFR-2017-ALE-012

Check if LAPS passwords can be retrieved from computers that have been added manually by users.

Rule ID:

A-LAPS-Joined-Computers

Description:

The purpose of this rule is to ensure that there is no LAPS permission problems with computers that have been added manually to the domain by a user

Technical Explanation:

By default, every domain user can add up to 10 computers to the domain (see the rule S-ADRegistration for more information).
When a computer is added to the domain, the owner of the computer object is the user who joined the computer.
To trace this insertion, a special attribute mS-DS-CreatorSID is added, whose value is the SID of its creator.
When LAPS is installed, the local admin account has its password stored in a special attribute named, by default, ms-mcs-AdmPwd. Its access is retricted.
Because the user who created it is the owner of the underlying object, it can retrieve the LAPS attribute and get the local admin password.

In addition to check if the owner of the computer object is the user which added it, this program checks also if this user have an explicit permission on this object to write the owner, write the security descriptor, or "all extended rights".
Indeed, the right "all extended rights" allows to read the LAPS password and write access to these attributes can cancel the security hardening of changing the owner.

Advised Solution:

Review the security of the computer objects listed in the LAPS section below to change their ownership (you can give it to the domain admins group).
Check if the creator has also write permissions to change the owner or the security descriptor and if he has the right "all extended rights" on this object.
If it is the case, remove the permissions granted to this user.

Title:

Vérifiez si les mots de passe LAPS peuvent être récupérés à partir d'ordinateurs qui ont été ajoutés manuellement par les utilisateurs.

Description:

Le but de cette règle est de s'assurer qu'il n'y a pas de problèmes d'autorisation LAPS avec les ordinateurs qui ont été ajoutés manuellement au domaine par un utilisateur

Technical Explanation:

Par défaut, chaque utilisateur du domaine peut ajouter jusqu'à 10 ordinateurs au domaine (voir la règle S-ADRegistration pour plus d'informations).
Lorsqu'un ordinateur est ajouté au domaine, le propriétaire de l'objet ordinateur est l'utilisateur qui a rejoint l'ordinateur.
Pour tracer cette insertion, un attribut spécial mS-DS-CreatorSID est ajouté, dont la valeur est le SID de son créateur.
Lorsque LAPS est installé, le compte administrateur local a son mot de passe stocké dans un attribut spécial nommé, par défaut, ms-mcs-AdmPwd. Son accès est restreint.
Étant donné que l'utilisateur qui l'a créé est le propriétaire de l'objet sous-jacent, il peut récupérer l'attribut LAPS et obtenir le mot de passe de l'administrateur local.

En plus de vérifier si le propriétaire de l'objet ordinateur est l'utilisateur qui l'a ajouté, ce programme vérifie également si cet utilisateur a une permission explicite sur cet objet pour écrire le propriétaire, écrire le descripteur de sécurité, ou "tous les droits étendus".
En effet, le droit "tous droits étendus" permet de lire le mot de passe LAPS et d'accéder en écriture à ces attributs peut annuler le durcissement de sécurité du changement de propriétaire.

Advised Solution:

Passez en revue la sécurité des objets ordinateur répertoriés dans la section LAPS ci-dessous pour modifier leur propriétaire (vous pouvez le donner au groupe d'administrateurs du domaine).
Vérifiez si le créateur a également les permissions en écriture pour changer le propriétaire ou le descripteur de sécurité et s'il a le droit "tous les droits étendus" sur cet objet.
Si c'est le cas, supprimez les autorisations accordées à cet utilisateur.

Title:

Überprüfen Sie, ob LAPS-Passwörter von Computern abgerufen werden können, die von Benutzern manuell hinzugefügt wurden.

Description:

Der Zweck dieser Regel besteht darin, sicherzustellen, dass es keine LAPS-Berechtigungsprobleme bei Computern gibt, die manuell von einem Benutzer zur Domäne hinzugefügt wurden

Technical Explanation:

Standardmäßig kann jeder Domänenbenutzer bis zu 10 Computer zur Domäne hinzufügen (weitere Informationen finden Sie in der Regel S-ADRegistration).
Wenn der Domäne ein Computer hinzugefügt wird, ist der Besitzer des Computerobjekts der Benutzer, der dem Computer beigetreten ist.
Um diese Einfügung zu verfolgen, wird ein spezielles Attribut mS-DS-CreatorSID hinzugefügt, dessen Wert die SID seines Erstellers ist.
Wenn LAPS installiert ist, wird das Kennwort des lokalen Administratorkontos in einem speziellen Attribut namens standardmäßig ms-mcs-AdmPwd gespeichert. Sein Zugriff ist eingeschränkt.
Da der Benutzer, der es erstellt hat, der Eigentümer des zugrunde liegenden Objekts ist, kann es das LAPS-Attribut abrufen und das lokale Administratorkennwort abrufen.

Zusätzlich zur Prüfung, ob der Besitzer des Computerobjekts der Benutzer ist, der es hinzugefügt hat, prüft dieses Programm auch, ob dieser Benutzer eine ausdrückliche Berechtigung für dieses Objekt hat, den Besitzer, die Sicherheitsbeschreibung oder "alle erweiterten Rechte" zu schreiben.
Tatsächlich erlaubt das Recht „alle erweiterten Rechte“, das LAPS-Passwort zu lesen, und der Schreibzugriff auf diese Attribute kann die Sicherheitshärtung des Eigentümerwechsels aufheben.

Advised Solution:

Überprüfen Sie die Sicherheit der Computerobjekte, die unten im LAPS-Abschnitt aufgeführt sind, um ihren Besitz zu ändern (Sie können sie der Gruppe der Domänenadministratoren übergeben).
Überprüfen Sie, ob der Ersteller auch Schreibrechte hat, um den Eigentümer oder die Sicherheitsbeschreibung zu ändern, und ob er das Recht "alle erweiterten Rechte" auf dieses Objekt hat.
Wenn dies der Fall ist, entfernen Sie die diesem Benutzer erteilten Berechtigungen.

Title:

Verifique si las contraseñas de LAPS se pueden recuperar de las computadoras que los usuarios agregaron manualmente.

Description:

El propósito de esta regla es garantizar que no haya problemas de permisos LAPS con las computadoras que un usuario ha agregado manualmente al dominio.

Technical Explanation:

De forma predeterminada, cada usuario del dominio puede agregar hasta 10 equipos al dominio (consulte la regla S-ADRegistration para obtener más información).
Cuando se agrega una computadora al dominio, el propietario del objeto de la computadora es el usuario que se unió a la computadora.
Para rastrear esta inserción, se agrega un atributo especial mS-DS-CreatorSID, cuyo valor es el SID de su creador.
Cuando se instala LAPS, la cuenta de administrador local tiene su contraseña almacenada en un atributo especial denominado, de forma predeterminada, ms-mcs-AdmPwd. Su acceso es restringido.
Dado que el usuario que lo creó es el propietario del objeto subyacente, puede recuperar el atributo LAPS y obtener la contraseña de administrador local.

Además de verificar si el propietario del objeto de la computadora es el usuario que lo agregó, este programa también verifica si este usuario tiene un permiso explícito sobre este objeto para escribir el propietario, escribir el descriptor de seguridad o "todos los derechos extendidos".
De hecho, el derecho "todos los derechos extendidos" permite leer la contraseña de LAPS y el acceso de escritura a estos atributos puede cancelar el endurecimiento de la seguridad de cambiar el propietario.

Advised Solution:

Revise la seguridad de los objetos de la computadora enumerados en la sección LAPS a continuación para cambiar su propiedad (puede dársela al grupo de administradores del dominio).
Compruebe si el creador también tiene permisos de escritura para cambiar el propietario o el descriptor de seguridad y si tiene el derecho "todos los derechos extendidos" sobre este objeto.
Si es el caso, elimine los permisos otorgados a este usuario.

Introduced in:

2.9.3.0

Points:

5 points if present

Documentation:

https://azurecloudai.blog/2019/10/01/laps-security-concern-computers-joiners-are-able-to-see-laps-password/
https://www.securityinsider-wavestone.com/2020/01/take-over-windows-workstations-pxe-laps.html
[MITRE]T1555.005 Credentials from Password Stores: Password Managers

Check if the LAPS tool to handle the native local administrator passwords is installed

Rule ID:

A-LAPS-Not-Installed

Description:

The purpose is to make sure that there is a proper password policy in place for the native local administrator account.

Technical Explanation:

LAPS (Local Administrator Password Solution) is the advised solution to handle passwords for the native local administrator account on all workstations, as it is a simple way to handle most of the subject.

Advised Solution:

If you don't have any provisioning process or password solution to manage local administrators, you should install the LAPS solution. If you mitigate the risk differently, you should add this rule as an exception, as the risk is covered.

Title:

Vérifiez si l'outil LAPS pour gérer les mots de passe natifs de l'administrateur local est installé

Description:

L'objectif est de s'assurer qu'une stratégie de mot de passe appropriée est en place pour le compte d'administrateur local natif.

Technical Explanation:

LAPS (Local Administrator Password Solution) est la solution conseillée pour gérer les mots de passe du compte administrateur local natif sur tous les postes de travail, car c'est un moyen simple de gérer la plupart du sujet.

Advised Solution:

Si vous ne disposez d'aucun processus d'approvisionnement ou d'une solution de mot de passe pour gérer les administrateurs locaux, vous devez installer la solution LAPS. Si vous atténuez le risque différemment, vous devez ajouter cette règle comme exception, car le risque est couvert.

Title:

Überprüfen Sie, ob das LAPS-Tool zur Verarbeitung der nativen lokalen Administratorkennwörter installiert ist

Description:

Damit soll sichergestellt werden, dass für das native lokale Administratorkonto eine ordnungsgemäße Kennwortrichtlinie vorhanden ist.

Technical Explanation:

LAPS (Local Administrator Password Solution) ist die empfohlene Lösung zum Umgang mit Passwörtern für das native lokale Administratorkonto auf allen Workstations, da es eine einfache Möglichkeit ist, die meisten Probleme zu lösen.

Advised Solution:

Wenn Sie keinen Bereitstellungsprozess oder keine Kennwortlösung zum Verwalten lokaler Administratoren haben, sollten Sie die LAPS-Lösung installieren. Wenn Sie das Risiko anders mindern, sollten Sie diese Regel als Ausnahme hinzufügen, da das Risiko abgedeckt ist.

Title:

Compruebe si está instalada la herramienta LAPS para manejar las contraseñas de administrador locales nativas

Description:

El propósito es asegurarse de que exista una política de contraseña adecuada para la cuenta de administrador local nativa.

Technical Explanation:

LAPS (Solución de contraseña de administrador local) es la solución recomendada para manejar contraseñas para la cuenta de administrador local nativa en todas las estaciones de trabajo, ya que es una forma sencilla de manejar la mayor parte del tema.

Advised Solution:

Si no tiene ningún proceso de aprovisionamiento o solución de contraseña para administrar administradores locales, debe instalar la solución LAPS. Si mitiga el riesgo de otra manera, debe agregar esta regla como una excepción, ya que el riesgo está cubierto.

Points:

15 points if present

Documentation:

https://www.microsoft.com/en-us/download/details.aspx?id=46899
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management
[FR]ANSSI CERTFR-2015-ACT-046
[MITRE]T1078.003 Valid Accounts: Local Accounts
[US]STIG V-36438 - Local administrator accounts on domain systems must not share the same password.

Ensure that Domain Controllers don't deny the change of computer account passwords.

Rule ID:

A-DCRefuseComputerPwdChange

Description:

The purpose is to check that the computer account password can be changed as usual.

Technical Explanation:

For each computer, there is a hidden user account. This account is used to maintain the computer inside the Active Directory domain.
The password of this account is changed every 30 days automatically except if the Domain Controller prohibits this.
This is the case when this GPO setting is enabled.

Advised Solution:

Locate the GPO specified in Details and change the setting in "Domain controller: Refuse machine account password changes".
Disable this setting, or set it to "Disabled".
The setting is located in :
Computer configuration -> Policies -> Windows Settings ->Security Settings -> Local Policies -> Security Options.
As an alternative, the file GptTmpl.inf can be manually edited.

Title:

Assurez-vous que les contrôleurs de domaine ne refusent pas la modification des mots de passe des comptes d'ordinateur.

Description:

Le but est de vérifier que le mot de passe du compte de l'ordinateur peut être changé comme d'habitude.

Technical Explanation:

Pour chaque ordinateur, il existe un compte utilisateur caché. Ce compte est utilisé pour maintenir l'ordinateur à l'intérieur du domaine Active Directory.
Le mot de passe de ce compte est changé tous les 30 jours automatiquement sauf si le contrôleur de domaine l'interdit.
C'est le cas lorsque ce paramètre GPO est activé.

Advised Solution:

Localisez l'objet de stratégie de groupe spécifié dans Détails et modifiez le paramètre dans "Contrôleur de domaine : Refuser les modifications du mot de passe du compte de l'ordinateur".
Désactivez ce paramètre ou réglez-le sur "Désactivé".
Le cadre se situe dans :
Configuration ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité.
Comme alternative, le fichier GptTmpl.inf peut être édité manuellement.

Title:

Stellen Sie sicher, dass Domänencontroller die Änderung von Kennwörtern für Computerkonten nicht verweigern.

Description:

Der Zweck besteht darin, zu überprüfen, ob das Kennwort des Computerkontos wie gewohnt geändert werden kann.

Technical Explanation:

Für jeden Computer gibt es ein verstecktes Benutzerkonto. Dieses Konto wird verwendet, um den Computer innerhalb der Active Directory-Domäne zu verwalten.
Das Passwort dieses Kontos wird alle 30 Tage automatisch geändert, außer wenn der Domänencontroller dies verbietet.
Dies ist der Fall, wenn diese GPO-Einstellung aktiviert ist.

Advised Solution:

Suchen Sie das in Details angegebene Gruppenrichtlinienobjekt und ändern Sie die Einstellung in „Domänencontroller: Kennwortänderungen des Computerkontos ablehnen“.
Deaktivieren Sie diese Einstellung oder setzen Sie sie auf „Deaktiviert“.
Die Einstellung befindet sich in:
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen.
Alternativ kann die Datei GptTmpl.inf manuell bearbeitet werden.

Title:

Asegúrese de que los controladores de dominio no nieguen el cambio de contraseñas de cuentas de computadora.

Description:

El propósito es verificar que la contraseña de la cuenta de la computadora se pueda cambiar como de costumbre.

Technical Explanation:

Para cada computadora, hay una cuenta de usuario oculta. Esta cuenta se utiliza para mantener la computadora dentro del dominio de Active Directory.
La contraseña de esta cuenta se cambia cada 30 días automáticamente, excepto si el controlador de dominio lo prohíbe.
Este es el caso cuando esta configuración de GPO está habilitada.

Advised Solution:

Localice el GPO especificado en Detalles y cambie la configuración en "Controlador de dominio: Rechazar cambios de contraseña de cuenta de máquina".
Deshabilite esta configuración o establézcala en "Deshabilitado".
El ajuste se encuentra en:
Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Opciones de seguridad.
Como alternativa, el archivo GptTmpl.inf se puede editar manualmente.

Introduced in:

2.7.0.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/domain-controller-refuse-machine-account-password-changes
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration
[US]STIG V-4408 - The domain controller must be configured to allow reset of machine account passwords.

Ensure that the Print Spooler service cannot be abused to get the DC credentials

Rule ID:

A-DC-Spooler

Description:

The purpose is to ensure that credentials cannot be extracted from the DC via its Print Spooler service

Technical Explanation:

When there's an account with unconstrained delegation configured (which is fairly common) and the Print Spooler service running on a computer, you can get that computers credentials sent to the system with unconstrained delegation as a user. With a domain controller, the TGT of the DC can be extracted allowing an attacker to reuse it with a DCSync attack and obtain all user hashes and impersonate them.

Advised Solution:

The Print Spooler service should be deactivated on domain controllers. Please note as a consequence that the Printer Pruning functionality (rarely used) will be unavailable.

Title:

Assurez-vous que le service Print Spooler ne peut pas être abusé pour obtenir les informations d'identification DC

Description:

Le but est de s'assurer que les informations d'identification ne peuvent pas être extraites du DC via son service Print Spooler

Technical Explanation:

Lorsqu'un compte avec une délégation sans contrainte est configuré (ce qui est assez courant) et que le service Print Spooler s'exécute sur un ordinateur, vous pouvez obtenir les informations d'identification de cet ordinateur envoyées au système avec une délégation sans contrainte en tant qu'utilisateur. Avec un contrôleur de domaine, le TGT du DC peut être extrait, ce qui permet à un attaquant de le réutiliser avec une attaque DCSync et d'obtenir tous les hachages utilisateur et de se faire passer pour eux.

Advised Solution:

Le service Print Spooler doit être désactivé sur les contrôleurs de domaine. Veuillez noter en conséquence que la fonctionnalité d'élagage de l'imprimante (rarement utilisée) ne sera pas disponible.

Title:

Stellen Sie sicher, dass der Druckwarteschlangendienst nicht missbraucht werden kann, um die DC-Anmeldeinformationen zu erhalten

Description:

Der Zweck besteht darin, sicherzustellen, dass Anmeldeinformationen nicht über den Druckwarteschlangendienst aus dem DC extrahiert werden können

Technical Explanation:

Wenn ein Konto mit uneingeschränkter Delegierung konfiguriert ist (was ziemlich häufig vorkommt) und der Druckwarteschlangendienst auf einem Computer ausgeführt wird, können Sie die Anmeldeinformationen dieses Computers mit uneingeschränkter Delegierung als Benutzer an das System senden lassen. Mit einem Domänencontroller kann das TGT des DC extrahiert werden, sodass ein Angreifer es mit einem DCSync-Angriff wiederverwenden und alle Benutzerhashes abrufen und sich für sie ausgeben kann.

Advised Solution:

Auf Domänencontrollern sollte der Druckwarteschlangendienst deaktiviert werden. Bitte beachten Sie, dass die Druckerbereinigungsfunktion (selten verwendet) folglich nicht verfügbar ist.

Title:

Asegúrese de que no se pueda abusar del servicio Print Spooler para obtener las credenciales de DC

Description:

El propósito es garantizar que las credenciales no se puedan extraer del DC a través de su servicio Print Spooler.

Technical Explanation:

Cuando hay una cuenta con delegación sin restricciones configurada (que es bastante común) y el servicio Print Spooler ejecutándose en una computadora, puede hacer que las credenciales de las computadoras se envíen al sistema con delegación sin restricciones como usuario. Con un controlador de dominio, el TGT del DC se puede extraer, lo que permite que un atacante lo reutilice con un ataque DCSync y obtenga todos los hashes de los usuarios y se haga pasar por ellos.

Advised Solution:

El servicio de cola de impresión debe desactivarse en los controladores de dominio. Tenga en cuenta que, como consecuencia, la función de borrado de la impresora (rara vez se usa) no estará disponible.

Introduced in:

2.6.0.0

Points:

10 points if present

Documentation:

https://adsecurity.org/?p=4056
https://www.slideshare.net/harmj0y/derbycon-the-unintended-risks-of-trusting-active-directory
[MITRE]T1187 Forced Authentication

Ensure that the WebClient client cannot be abused to force a DC connection to a HTTP server

Rule ID:

A-DC-WebClient

Description:

The purpose is to ensure that DC cannot connect with normal command line to a HTTP server

Technical Explanation:

By default, Windows computers supports only UNC paths (aka \\server\path).
The WebDAV protocol, implemented with HTTP, enables files on webserver to be managed as on a classic file share.
The role of the WebClient service is to provide as a native API call a service to manage files located on a WebDAV server (HTTP URLs).
If the WebClient service is active, command line tools and services can access files on a webserver without any specifc action.

When forced authentication attacks are being used (Print Spooler, PetitPotam, ...) and if this service is in use, the DC can connect to webservers.
An attacker can abuse this service to bypass classic detection rules but this does not represent a vulnerability in itself.

It is not expected that Domain Controllers access WebDAV services but please note that some backup software is known to use cloud connection and thus, requires it.
This is why this rule is classify as informative.

Also please note that WebClient can be remotely started using a 'Search Connector' file. See the details in the link below.

Advised Solution:

If the WebClient service is in official use (typically from backup applications), disable the service.

Title:

Assurez-vous que le client WebClient ne peut pas être abusé pour forcer une connexion DC à un serveur HTTP

Description:

Le but est de s'assurer que DC ne peut pas se connecter avec une ligne de commande normale à un serveur HTTP

Technical Explanation:

Par défaut, les ordinateurs Windows ne prennent en charge que les chemins UNC (alias \\server\path).
Le protocole WebDAV, implémenté avec HTTP, permet de gérer les fichiers sur le serveur web comme sur un partage de fichiers classique.
Le rôle du service WebClient est de fournir sous la forme d'un appel d'API natif un service de gestion de fichiers situés sur un serveur WebDAV (URL HTTP).
Si le service WebClient est actif, les outils et services de ligne de commande peuvent accéder aux fichiers sur un serveur Web sans aucune action spécifique.

Lorsque des attaques d'authentification forcée sont utilisées (Print Spooler, PetitPotam, ...) et si ce service est utilisé, le DC peut se connecter aux serveurs web.
Un attaquant peut abuser de ce service pour contourner les règles de détection classiques mais cela ne représente pas une vulnérabilité en soi.

Il n'est pas prévu que les contrôleurs de domaine accèdent aux services WebDAV, mais veuillez noter que certains logiciels de sauvegarde sont connus pour utiliser une connexion cloud et l'exigent donc.
C'est pourquoi cette règle est classée comme informative.

Veuillez également noter que WebClient peut être démarré à distance à l'aide d'un fichier 'Search Connector'. Voir les détails dans le lien ci-dessous.

Advised Solution:

Si le service WebClient est utilisé officiellement (généralement à partir d'applications de sauvegarde), désactivez le service.

Title:

Stellen Sie sicher, dass der WebClient-Client nicht missbraucht werden kann, um eine DC-Verbindung zu einem HTTP-Server zu erzwingen

Description:

Der Zweck besteht darin, sicherzustellen, dass DC keine Verbindung mit der normalen Befehlszeile zu einem HTTP-Server herstellen kann

Technical Explanation:

Standardmäßig unterstützen Windows-Computer nur UNC-Pfade (auch bekannt als \\Server\Pfad).
Das mit HTTP implementierte WebDAV-Protokoll ermöglicht es, Dateien auf Webservern wie auf einer klassischen Dateifreigabe zu verwalten.
Die Rolle des WebClient-Dienstes besteht darin, als nativen API-Aufruf einen Dienst bereitzustellen, um Dateien zu verwalten, die sich auf einem WebDAV-Server (HTTP-URLs) befinden.
Wenn der WebClient-Dienst aktiv ist, können Befehlszeilentools und -dienste ohne besondere Aktion auf Dateien auf einem Webserver zugreifen.

Wenn erzwungene Authentifizierungsangriffe verwendet werden (Print Spooler, PetitPotam, ...) und dieser Dienst verwendet wird, kann sich der DC mit Webservern verbinden.
Ein Angreifer kann diesen Dienst missbrauchen, um klassische Erkennungsregeln zu umgehen, was jedoch keine Schwachstelle an sich darstellt.

Es wird nicht erwartet, dass Domänencontroller auf WebDAV-Dienste zugreifen, aber bitte beachten Sie, dass einige Backup-Software dafür bekannt ist, Cloud-Verbindungen zu verwenden, und dies daher erfordern.
Deshalb ist diese Regel als informativ einzustufen.

Bitte beachten Sie auch, dass der WebClient mit einer 'Search Connector'-Datei remote gestartet werden kann. Siehe die Details im Link unten.

Advised Solution:

Wenn der WebClient-Dienst offiziell verwendet wird (normalerweise von Sicherungsanwendungen), deaktivieren Sie den Dienst.

Title:

Asegúrese de que no se pueda abusar del cliente WebClient para forzar una conexión DC a un servidor HTTP

Description:

El propósito es garantizar que DC no pueda conectarse con una línea de comando normal a un servidor HTTP

Technical Explanation:

De manera predeterminada, las computadoras con Windows solo admiten rutas UNC (también conocidas como \\server\path).
El protocolo WebDAV, implementado con HTTP, permite que los archivos en el servidor web se administren como en un recurso compartido de archivos clásico.
La función del servicio WebClient es proporcionar como una llamada API nativa un servicio para administrar archivos ubicados en un servidor WebDAV (URL HTTP).
Si el servicio WebClient está activo, las herramientas y los servicios de la línea de comandos pueden acceder a los archivos en un servidor web sin ninguna acción específica.

Cuando se están utilizando ataques de autenticación forzada (Print Spooler, PetitPotam, ...) y si este servicio está en uso, el DC puede conectarse a servidores web.
Un atacante puede abusar de este servicio para eludir las reglas de detección clásicas, pero esto no representa una vulnerabilidad en sí mismo.

No se espera que los controladores de dominio accedan a los servicios WebDAV, pero tenga en cuenta que se sabe que algunos programas de copia de seguridad utilizan la conexión a la nube y, por lo tanto, la requieren.
Es por esto que esta regla se clasifica como informativa.

También tenga en cuenta que WebClient se puede iniciar de forma remota utilizando un archivo 'Search Connector'. Consulta los detalles en el siguiente enlace.

Advised Solution:

Si el servicio WebClient está en uso oficial (generalmente de aplicaciones de respaldo), deshabilite el servicio.

Introduced in:

2.11.0.0

Points:

Informative rule (0 point)

Documentation:

https://gist.github.com/gladiatx0r/1ffe59031d42c08603a3bde0ff678feb#rpc-to-rce-steps
[MITRE]T1187 Forced Authentication

Password retrieval

Passwords stored in clear text or obfuscated can be retrieved. By reusing the user's identity, an attacker's login appears like from any legitimate user. There's no need to perform a potentially detectable exploit for intrusion or lateral movement.

Title (fr-FR): Password retrieval

Description (fr-FR): Les mots de passe stockés en texte clair ou masqués peuvent être récupérés. En réutilisant l'identité de l'utilisateur, la connexion d'un attaquant apparaît comme celle de n'importe quel utilisateur légitime. Il n'est pas nécessaire d'effectuer un exploit potentiellement détectable pour une intrusion ou un mouvement latéral.

Title (de-DE): Password retrieval

Description (de-DE): Im Klartext gespeicherte oder verschleierte Passwörter können abgerufen werden. Durch die Wiederverwendung der Identität des Benutzers erscheint die Anmeldung eines Angreifers wie die eines beliebigen legitimen Benutzers. Es besteht keine Notwendigkeit, einen potenziell erkennbaren Exploit für Eindringlinge oder seitliche Bewegungen durchzuführen.

Title (es-ES): Password retrieval

Description (es-ES): Las contraseñas almacenadas en texto claro u ofuscadas se pueden recuperar. Al reutilizar la identidad del usuario, el inicio de sesión de un atacante aparece como el de cualquier usuario legítimo. No hay necesidad de realizar un exploit potencialmente detectable por intrusión o movimiento lateral.

Check for GPO which enables reversible passwords

Rule ID:

A-ReversiblePwd

Description:

The purpose is to verify if a GPO alters the password policy of the domain to enable reversible passwords

Technical Explanation:

The policy "Store passwords using reversible encryption" is enabled. In this case, it means that the password is actually stored in clear text in the supplementalCredential attribute of the account and that it can be retrieved using a DCSync attack.

Advised Solution:

In order to remove the reversible passwords, we advise to identify the GPO indicated by the program and change the setting "Store passwords using reversible encryption"

Title:

Recherchez GPO qui permet des mots de passe réversibles

Description:

Le but est de vérifier si un GPO modifie la politique de mot de passe du domaine pour permettre des mots de passe réversibles

Technical Explanation:

La stratégie "Stocker les mots de passe à l'aide d'un chiffrement réversible" est activée. Dans ce cas, cela signifie que le mot de passe est effectivement stocké en texte clair dans l'attribut supplementalCredential du compte et qu'il peut être récupéré à l'aide d'une attaque DCSync.

Advised Solution:

Afin de supprimer les mots de passe réversibles, nous vous conseillons d'identifier le GPO indiqué par le programme et de modifier le paramètre "Stocker les mots de passe à l'aide d'un cryptage réversible"

Title:

Suchen Sie nach GPO, das umkehrbare Kennwörter ermöglicht

Description:

Der Zweck besteht darin, zu überprüfen, ob ein Gruppenrichtlinienobjekt die Kennwortrichtlinie der Domäne ändert, um umkehrbare Kennwörter zu aktivieren

Technical Explanation:

Die Richtlinie „Passwörter mit umkehrbarer Verschlüsselung speichern“ ist aktiviert. In diesem Fall bedeutet dies, dass das Passwort tatsächlich im Klartext im Attribut supplementalCredential des Kontos gespeichert ist und mithilfe eines DCSync-Angriffs abgerufen werden kann.

Advised Solution:

Um die umkehrbaren Passwörter zu entfernen, empfehlen wir, das vom Programm angegebene GPO zu identifizieren und die Einstellung „Passwörter mit umkehrbarer Verschlüsselung speichern“ zu ändern.

Title:

Compruebe si hay GPO que habilite contraseñas reversibles

Description:

El propósito es verificar si un GPO altera la política de contraseñas del dominio para habilitar contraseñas reversibles

Technical Explanation:

La política "Almacenar contraseñas usando cifrado reversible" está habilitada. En este caso, significa que la contraseña en realidad se almacena en texto claro en el atributo supplementalCredential de la cuenta y que se puede recuperar mediante un ataque DCSync.

Advised Solution:

Para eliminar las contraseñas reversibles, recomendamos identificar el GPO indicado por el programa y cambiar la configuración "Almacenar contraseñas usando cifrado reversible"

Points:

10 points if present

Documentation:

https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption
[MITRE]T1110.002 Brute Force: Password Cracking
[FR]ANSSI - Accounts with passwords stored using reversible encryption (vuln3_reversible_password)3

Check if attributes unixUserPassword and userPassword are set

Rule ID:

A-UnixPwd

Description:

The purpose is to check if password information may be stored in AD attributes

Technical Explanation:

To perform Single Sign On (SSO) systems need to share secrets with Active Directory.
This is not the case for all systems such as Unix and Mainframe and designers have found a workaround by storing this secret into a user account attribute.
However not all systems did implement a proper and cryptographically safe protocol and they are checking the password submitted in their system with an AD attribute.
At that time, it was not known that these attributes can be queried by everyone and as consequence, they did not enforce a robust protection.
Looking at the attribute unixUserPassword, the password can be retrieved either in clear text (encoded as ASCII) or with a weak algorithm such as ROT 13.

In addition to that, the way to change a password in LDAP system is to modify the value of the special attribute userPassword.
This attribute is not supposed to be visible. However Active Directory is using another attribute named unicodePwd (unless the heuristic fUserPwdSupport is set).
That means that the attribute userPassword is not special anymore and that a change of its value is displayed in clear text, considered as a normal attribute.
A misconfigured application can change the user password using this old mechanism, and as a consequence, set the user password in clear text.

Advised Solution:

The attributes unixUserPassword and userPassword from the mentioned user accounts should be cleared, unless the remote system is known to have a strong cryptographic protocol.

Title:

Vérifiez si les attributs unixUserPassword et userPassword sont définis

Description:

Le but est de vérifier si les informations de mot de passe peuvent être stockées dans les attributs AD

Technical Explanation:

Pour effectuer l'authentification unique (SSO), les systèmes doivent partager des secrets avec Active Directory.
Ce n'est pas le cas pour tous les systèmes tels qu'Unix et Mainframe et les concepteurs ont trouvé une solution de contournement en stockant ce secret dans un attribut de compte d'utilisateur.
Cependant, tous les systèmes n'ont pas implémenté un protocole approprié et sécurisé sur le plan cryptographique et ils vérifient le mot de passe soumis dans leur système avec un attribut AD.
A cette époque, on ne savait pas que ces attributs pouvaient être interrogés par tout le monde et par conséquent, ils n'appliquaient pas une protection robuste.
En regardant l'attribut unixUserPassword, le mot de passe peut être récupéré soit en texte clair (encodé en ASCII) soit avec un algorithme faible tel que ROT 13.

En plus de cela, la façon de changer un mot de passe dans le système LDAP est de modifier la valeur de l'attribut spécial userPassword.
Cet attribut n'est pas censé être visible. Cependant, Active Directory utilise un autre attribut nommé unicodePwd (sauf si l'heuristique fUserPwdSupport est définie).
Cela signifie que l'attribut userPassword n'est plus spécial et qu'un changement de sa valeur est affiché en clair, considéré comme un attribut normal.
Une application mal configurée peut modifier le mot de passe de l'utilisateur à l'aide de cet ancien mécanisme et, par conséquent, définir le mot de passe de l'utilisateur en texte clair.

Advised Solution:

Les attributs unixUserPassword et userPassword des comptes d'utilisateurs mentionnés doivent être effacés, sauf si le système distant est connu pour avoir un protocole cryptographique fort.

Title:

Überprüfen Sie, ob die Attribute unixUserPassword und userPassword gesetzt sind

Description:

Der Zweck besteht darin, zu prüfen, ob Kennwortinformationen in AD-Attributen gespeichert werden dürfen

Technical Explanation:

Um Single Sign On (SSO) durchzuführen, müssen Systeme Geheimnisse mit Active Directory teilen.
Dies ist nicht bei allen Systemen wie Unix und Mainframe der Fall, und Designer haben eine Problemumgehung gefunden, indem sie dieses Geheimnis in einem Benutzerkontoattribut gespeichert haben.
Allerdings haben nicht alle Systeme ein korrektes und kryptografisch sicheres Protokoll implementiert und sie überprüfen das in ihrem System übermittelte Passwort mit einem AD-Attribut.
Damals war nicht bekannt, dass diese Attribute von jedem abgefragt werden können und somit keinen robusten Schutz durchsetzten.
Mit Blick auf das Attribut unixUserPassword kann das Passwort entweder im Klartext (codiert als ASCII) oder mit einem schwachen Algorithmus wie ROT 13 abgerufen werden.

Darüber hinaus besteht die Möglichkeit, ein Passwort im LDAP-System zu ändern, darin, den Wert des speziellen Attributs userPassword zu ändern.
Dieses Attribut soll nicht sichtbar sein. Active Directory verwendet jedoch ein anderes Attribut namens unicodePwd (es sei denn, die Heuristik fUserPwdSupport ist festgelegt).
Das bedeutet, dass das Attribut userPassword nichts Besonderes mehr ist und dass eine Änderung seines Wertes als normales Attribut im Klartext angezeigt wird.
Eine falsch konfigurierte Anwendung kann das Benutzerpasswort mit diesem alten Mechanismus ändern und folglich das Benutzerpasswort im Klartext setzen.

Advised Solution:

Die Attribute unixUserPassword und userPassword der erwähnten Benutzerkonten sollten gelöscht werden, es sei denn, das entfernte System verfügt bekanntermaßen über ein starkes kryptografisches Protokoll.

Title:

Compruebe si los atributos unixUserPassword y userPassword están establecidos

Description:

El propósito es verificar si la información de la contraseña se puede almacenar en los atributos de AD

Technical Explanation:

Para realizar el inicio de sesión único (SSO), los sistemas deben compartir secretos con Active Directory.
Este no es el caso para todos los sistemas como Unix y Mainframe y los diseñadores han encontrado una solución al almacenar este secreto en un atributo de cuenta de usuario.
Sin embargo, no todos los sistemas implementaron un protocolo adecuado y criptográficamente seguro y están verificando la contraseña enviada en su sistema con un atributo AD.
En ese momento, no se sabía que estos atributos podían ser consultados por todos y, en consecuencia, no aplicaban una protección sólida.
Mirando el atributo unixUserPassword, la contraseña se puede recuperar en texto claro (codificado como ASCII) o con un algoritmo débil como ROT 13.

Además de eso, la forma de cambiar una contraseña en el sistema LDAP es modificar el valor del atributo especial userPassword.
No se supone que este atributo sea visible. Sin embargo, Active Directory utiliza otro atributo denominado unicodePwd (a menos que se establezca la heurística fUserPwdSupport).
Eso significa que el atributo userPassword ya no es especial y que un cambio de su valor se muestra en texto claro, considerado como un atributo normal.
Una aplicación mal configurada puede cambiar la contraseña de usuario utilizando este antiguo mecanismo y, como consecuencia, establecer la contraseña de usuario en texto claro.

Advised Solution:

Los atributos unixUserPassword y userPassword de las cuentas de usuario mencionadas deben borrarse, a menos que se sepa que el sistema remoto tiene un protocolo criptográfico fuerte.

Points:

Informative rule (0 point)

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/f3adda9f-89e1-4340-a3f2-1f0a6249f1f8
https://www.blackhillsinfosec.com/domain-goodness-learned-love-ad-explorer/
[MITRE]T1552 Unsecured Credentials
[FR]ANSSI - Accounts with passwords stored using reversible encryption (vuln3_reversible_password)3

Find Password GPO

Rule ID:

A-PwdGPO

Description:

The purpose is to alert when a password is present in a GPO. If a password is in a GPO, the password should be considered compromised and reset.

Technical Explanation:

PingCastle attempts to identify passwords stored in GPOs. If PingCastle was able to retrieve a password, attackers can also obtain it and so the account should be considered compromised. Note that Microsoft published the AES key used to encrypt passwords in GPOs, which is why even an encrypted password is insecure.

Advised Solution:

To solve this issue, you should manually change the password to a new one. If this password is shared on many systems, each system should have a different password. If the GPO was used to define the native local administrator account, it is recommended to install a password solution manager such as LAPS.

Title:

Rechercher un mot de passe GPO

Description:

Le but est d'alerter lorsqu'un mot de passe est présent dans un GPO. Si un mot de passe se trouve dans un GPO, le mot de passe doit être considéré comme compromis et réinitialisé.

Technical Explanation:

PingCastle tente d'identifier les mots de passe stockés dans les GPO. Si PingCastle a pu récupérer un mot de passe, les attaquants peuvent également l'obtenir et le compte doit donc être considéré comme compromis. Notez que Microsoft a publié la clé AES utilisée pour crypter les mots de passe dans les GPO, c'est pourquoi même un mot de passe crypté n'est pas sécurisé.

Advised Solution:

Pour résoudre ce problème, vous devez remplacer manuellement le mot de passe par un nouveau. Si ce mot de passe est partagé sur plusieurs systèmes, chaque système doit avoir un mot de passe différent. Si le GPO a été utilisé pour définir le compte administrateur local natif, il est recommandé d'installer un gestionnaire de solution de mot de passe tel que LAPS.

Title:

Finden Sie das Passwort-Gruppenrichtlinienobjekt

Description:

Der Zweck besteht darin, zu warnen, wenn ein Kennwort in einem Gruppenrichtlinienobjekt vorhanden ist. Wenn sich ein Kennwort in einem GPO befindet, sollte das Kennwort als kompromittiert betrachtet und zurückgesetzt werden.

Technical Explanation:

PingCastle versucht, in GPOs gespeicherte Passwörter zu identifizieren. Wenn PingCastle ein Passwort abrufen konnte, können Angreifer es auch erhalten, und daher sollte das Konto als kompromittiert angesehen werden. Beachten Sie, dass Microsoft den AES-Schlüssel veröffentlicht hat, der zum Verschlüsseln von Passwörtern in GPOs verwendet wird, weshalb selbst ein verschlüsseltes Passwort unsicher ist.

Advised Solution:

Um dieses Problem zu lösen, sollten Sie das Passwort manuell in ein neues ändern. Wenn dieses Passwort auf vielen Systemen geteilt wird, sollte jedes System ein anderes Passwort haben. Wenn das GPO zum Definieren des nativen lokalen Administratorkontos verwendet wurde, wird empfohlen, einen Kennwortlösungsmanager wie LAPS zu installieren.

Title:

Buscar contraseña GPO

Description:

El propósito es alertar cuando una contraseña está presente en un GPO. Si una contraseña está en un GPO, la contraseña debe considerarse comprometida y restablecerse.

Technical Explanation:

PingCastle intenta identificar las contraseñas almacenadas en los GPO. Si PingCastle pudo recuperar una contraseña, los atacantes también pueden obtenerla, por lo que la cuenta debe considerarse comprometida. Tenga en cuenta que Microsoft publicó la clave AES utilizada para cifrar contraseñas en GPO, razón por la cual incluso una contraseña cifrada es insegura.

Advised Solution:

Para resolver este problema, debe cambiar manualmente la contraseña por una nueva. Si esta contraseña se comparte en muchos sistemas, cada sistema debe tener una contraseña diferente. Si se utilizó el GPO para definir la cuenta de administrador local nativa, se recomienda instalar un administrador de soluciones de contraseñas como LAPS.

Points:

20 points per discovery

Documentation:

https://msdn.microsoft.com/en-us/library/cc422924.aspx
[MITRE]T1552.006 Unsecured Credentials: Group Policy Preferences
[FR]ANSSI CERTFR-2015-ACT-046

Reconnaissance

At the beginning of an attack, a hacker tries to collect as much data as possible. Leaking information just reduces the time an attacker needs to gain control of the domain.

Title (fr-FR): Reconnaissance

Description (fr-FR): Au début d'une attaque, un pirate essaie de collecter le plus de données possible. La fuite d'informations réduit simplement le temps dont un attaquant a besoin pour prendre le contrôle du domaine.

Title (de-DE): Reconnaissance

Description (de-DE): Zu Beginn eines Angriffs versucht ein Hacker, so viele Daten wie möglich zu sammeln. Das Durchsickern von Informationen verkürzt lediglich die Zeit, die ein Angreifer benötigt, um die Kontrolle über die Domäne zu erlangen.

Title (es-ES): Reconnaissance

Description (es-ES): Al comienzo de un ataque, un pirata informático intenta recopilar la mayor cantidad de datos posible. La filtración de información solo reduce el tiempo que un atacante necesita para hacerse con el control del dominio.

Check for access without any account to the Name Service Provider Interface (NSPI) protocol

Rule ID:

A-DsHeuristicsAllowAnonNSPI

Description:

The purpose is to identify domains having the NSPI protocol exposed without any required account

Technical Explanation:

The way an Active Directory behaves can be controlled via the attribute DsHeuristics of CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. A parameter stored in its attribute and whose value is fAllowAnonNSPI can be set to allow access to the NSPI protocol without any account.
The NSPI protocol is used internally by Exchange to resolve addresses, and thus can be used to dump all the users of the forest. It can be exposed to the internet via RPC over HTTP.

Advised Solution:

The easiest and fastest way to correct this issue is to replace the eighth (8th) character of the DsHeuristics attribute. If it is not a 0, replace by 0 to fix the issue.

Title:

Vérifier l'accès sans compte au protocole NSPI (Name Service Provider Interface)

Description:

Le but est d'identifier les domaines ayant le protocole NSPI exposé sans aucun compte requis

Technical Explanation:

Le comportement d'un Active Directory peut être contrôlé via l'attribut DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. Un paramètre stocké dans son attribut et dont la valeur est fAllowAnonNSPI peut être défini pour autoriser l'accès au protocole NSPI sans aucun compte.
Le protocole NSPI est utilisé en interne par Exchange pour résoudre les adresses et peut donc être utilisé pour vider tous les utilisateurs de la forêt. Il peut être exposé à Internet via RPC sur HTTP.

Advised Solution:

Le moyen le plus simple et le plus rapide de corriger ce problème consiste à remplacer le huitième (8e) caractère de l'attribut DsHeuristics. Si ce n'est pas un 0, remplacez-le par 0 pour résoudre le problème.

Title:

Suchen Sie nach Zugriff ohne Konto auf das Name Service Provider Interface (NSPI)-Protokoll

Description:

Der Zweck besteht darin, Domänen zu identifizieren, bei denen das NSPI-Protokoll ohne erforderliches Konto verfügbar gemacht wird

Technical Explanation:

Das Verhalten eines Active Directory kann über das Attribut DsHeuristics von CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration gesteuert werden. Ein Parameter, der in seinem Attribut gespeichert ist und dessen Wert fAllowAnonNSPI ist, kann so eingestellt werden, dass er den Zugriff auf das NSPI-Protokoll ohne Konto erlaubt.
Das NSPI-Protokoll wird intern von Exchange zum Auflösen von Adressen verwendet und kann daher zum Sichern aller Benutzer der Gesamtstruktur verwendet werden. Es kann über RPC über HTTP dem Internet zugänglich gemacht werden.

Advised Solution:

Der einfachste und schnellste Weg, dieses Problem zu beheben, besteht darin, das achte (8.) Zeichen des DsHeuristics-Attributs zu ersetzen. Wenn es keine 0 ist, ersetzen Sie es durch 0, um das Problem zu beheben.

Title:

Comprobar el acceso sin ninguna cuenta al protocolo Name Service Provider Interface (NSPI)

Description:

El propósito es identificar dominios que tengan el protocolo NSPI expuesto sin ninguna cuenta requerida

Technical Explanation:

El comportamiento de Active Directory se puede controlar a través del atributo DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. Se puede configurar un parámetro almacenado en su atributo y cuyo valor es fAllowAnonNSPI para permitir el acceso al protocolo NSPI sin ninguna cuenta.
Exchange usa internamente el protocolo NSPI para resolver direcciones y, por lo tanto, puede usarse para volcar a todos los usuarios del bosque. Se puede exponer a Internet a través de RPC sobre HTTP.

Advised Solution:

La forma más fácil y rápida de corregir este problema es reemplazar el octavo (8vo) carácter del atributo DsHeuristics. Si no es un 0, reemplácelo por 0 para solucionar el problema.

Introduced in:

2.9.0.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nspi/6dd0a3ea-b4d4-4a73-a857-add03a89a543
[MITRE]T1110.003 Brute Force: Password Spraying
[US]STIG V-8555 - Anonymous Access to AD forest data above the rootDSE level must be disabled.
[FR]ANSSI - Dangerous dsHeuristics settings (vuln1_dsheuristics_bad)1

Check for access without any account via a forest wide setting

Rule ID:

A-DsHeuristicsAnonymous

Description:

The purpose is to identify domains having a forest setting which allows access to the domain without any account

Technical Explanation:

The way an Active Directory behaves can be controlled via the attribute DsHeuristics of CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. A parameter stored in its attribute and whose value is fLDAPBlockAnonOps can be set to allow access without any account on the whole forest level.
It is possible to verify the results provided by the PingCastle solution by using a Kali Linux distribution. You should run rpcclient -U " target_ip_address and press enter at the password prompt to finally type enumdomusers.

Advised Solution:

The easiest and fastest way to correct this issue is to replace the seventh (7th) character of the DsHeuristics attribute. If it is a 2, replace by 0 to fix the issue.

Title:

Vérifier l'accès sans compte via un paramètre à l'échelle de la forêt

Description:

Le but est d'identifier les domaines ayant un paramètre de forêt qui permet l'accès au domaine sans aucun compte

Technical Explanation:

Le comportement d'un Active Directory peut être contrôlé via l'attribut DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. Un paramètre stocké dans son attribut et dont la valeur est fLDAPBlockAnonOps peut être défini pour autoriser l'accès sans compte sur l'ensemble du niveau de la forêt.
Il est possible de vérifier les résultats fournis par la solution PingCastle en utilisant une distribution Kali Linux. Vous devez exécuter rpcclient -U " target_ip_address et appuyer sur Entrée à l'invite du mot de passe pour enfin saisir enumdomusers.

Advised Solution:

Le moyen le plus simple et le plus rapide de corriger ce problème consiste à remplacer le septième (7e) caractère de l'attribut DsHeuristics. S'il s'agit d'un 2, remplacez-le par 0 pour résoudre le problème.

Title:

Überprüfen Sie den Zugriff ohne Konto über eine gesamtstrukturweite Einstellung

Description:

Der Zweck besteht darin, Domänen mit einer Gesamtstruktureinstellung zu identifizieren, die den Zugriff auf die Domäne ohne Konto ermöglicht

Technical Explanation:

Advised Solution:

Der einfachste und schnellste Weg, dieses Problem zu beheben, besteht darin, das siebte (7.) Zeichen des DsHeuristics-Attributs zu ersetzen. Wenn es eine 2 ist, ersetzen Sie sie durch 0, um das Problem zu beheben.

Title:

Verifique el acceso sin ninguna cuenta a través de una configuración de todo el bosque

Description:

El propósito es identificar dominios que tengan una configuración de bosque que permita el acceso al dominio sin ninguna cuenta.

Technical Explanation:

El comportamiento de Active Directory se puede controlar a través del atributo DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. Se puede configurar un parámetro almacenado en su atributo y cuyo valor es fLDAPBlockAnonOps para permitir el acceso sin ninguna cuenta en el nivel de bosque completo.
Es posible verificar los resultados proporcionados por la solución PingCastle utilizando una distribución Kali Linux. Debe ejecutar rpcclient -U " target_ip_address y presionar Intro en la solicitud de contraseña para finalmente escribir enumdomusers.

Advised Solution:

La forma más fácil y rápida de corregir este problema es reemplazar el séptimo (7º) carácter del atributo DsHeuristics. Si es un 2, reemplácelo por 0 para solucionar el problema.

Points:

5 points if present

Documentation:

https://msdn.microsoft.com/en-us/library/cc223560.aspx
https://support.microsoft.com/en-us/help/326690/anonymous-ldap-operations-to-active-directory-are-disabled-on-windows
[FR]ANSSI - Dangerous dsHeuristics settings (vuln2_dsheuristics_bad)2
[MITRE]T1110.003 Brute Force: Password Spraying
[US]STIG V-8555 - Anonymous Access to AD forest data above the rootDSE level must be disabled.

Check for GPO granting access to the domain without any account

Rule ID:

A-AnonymousAuthorizedGPO

Description:

The purpose is to identify domains having a GPO which allows access to the domain without any account

Technical Explanation:

It is possible that domains are set to authorize connection without any account, which represents a security breach. It allows potential attackers to enumerate all the users and computers belonging to a domain, in order to identify very efficiently future weak targets.
It is possible to verify the results provided by the PingCastle solution by using a Kali Linux distribution. You should run [rpcclient -U " target_ip_address] and press enter at the password prompt to finally type [enumdomusers].

Advised Solution:

In order to remove the anonymous access, we advise to identify the GPO indicated by the program and change the setting restrictanonymous and restrictanonymoussam

Title:

Vérifiez si GPO accorde l'accès au domaine sans compte

Description:

Le but est d'identifier les domaines ayant un GPO qui permet d'accéder au domaine sans aucun compte

Technical Explanation:

Il est possible que des domaines soient configurés pour autoriser la connexion sans aucun compte, ce qui représente une faille de sécurité. Il permet aux attaquants potentiels d'énumérer tous les utilisateurs et ordinateurs appartenant à un domaine, afin d'identifier très efficacement les futures cibles faibles.
Il est possible de vérifier les résultats fournis par la solution PingCastle en utilisant une distribution Kali Linux. Vous devez exécuter [rpcclient -U " target_ip_address] et appuyer sur Entrée à l'invite du mot de passe pour enfin taper [enumdomusers].

Advised Solution:

Afin de supprimer l'accès anonyme, nous vous conseillons d'identifier le GPO indiqué par le programme et de modifier le paramètre restrictanonymous et restrictanonymoussam

Title:

Suchen Sie nach GPO, das Zugriff auf die Domäne ohne Konto gewährt

Description:

Der Zweck besteht darin, Domänen mit einem GPO zu identifizieren, das den Zugriff auf die Domäne ohne Konto ermöglicht

Technical Explanation:

Es ist möglich, dass Domänen so eingestellt sind, dass sie Verbindungen ohne Konto autorisieren, was eine Sicherheitslücke darstellt. Es ermöglicht potenziellen Angreifern, alle Benutzer und Computer aufzulisten, die zu einer Domäne gehören, um sehr effizient zukünftige schwache Ziele zu identifizieren.
Es ist möglich, die von der PingCastle-Lösung bereitgestellten Ergebnisse mit einer Kali-Linux-Distribution zu überprüfen. Sie sollten [rpcclient -U " target_ip_address] ausführen und bei der Passwortabfrage die Eingabetaste drücken, um schließlich [enumdomusers] einzugeben.

Advised Solution:

Um den anonymen Zugriff zu entfernen, empfehlen wir, das vom Programm angegebene GPO zu identifizieren und die Einstellungen „restrictanonymous“ und „restrictanonymoussam“ zu ändern

Title:

Verifique si GPO otorga acceso al dominio sin ninguna cuenta

Description:

El propósito es identificar dominios que tengan un GPO que permita el acceso al dominio sin ninguna cuenta.

Technical Explanation:

Es posible que los dominios estén configurados para autorizar la conexión sin ninguna cuenta, lo que representa una brecha de seguridad. Permite a los posibles atacantes enumerar todos los usuarios y equipos pertenecientes a un dominio, con el fin de identificar de manera muy eficiente futuros objetivos débiles.
Es posible verificar los resultados proporcionados por la solución PingCastle utilizando una distribución Kali Linux. Debe ejecutar [rpcclient -U " target_ip_address] y presionar enter en el indicador de contraseña para finalmente escribir [enumdomusers].

Advised Solution:

Para eliminar el acceso anónimo, recomendamos identificar el GPO indicado por el programa y cambiar la configuración restrictanonymous y restrictanonymoussam

Points:

5 points if present

Documentation:

https://technet.microsoft.com/en-us/library/cc963223.aspx
https://technet.microsoft.com/en-us/library/jj852184.aspx
[MITRE]T1110.003 Brute Force: Password Spraying
[US]STIG V-14798 - Directory data (outside the root DSE) of a non-public directory must be configured to prevent anonymous access.

Check for Windows 2000 compatibility which allows access to the domain without any account

Rule ID:

A-PreWin2000Anonymous

Description:

The purpose is to identify domains which allow access without any account because of a Pre-Windows 2000 compatibility

Technical Explanation:

When a Windows Server 2003 DC is promoted, a pre-Windows 2000 compatibility setting can be enabled through the wizard. If it is enabled, the wizard will add "Everyone" and "Anonymous" to the pre-Windows 2000 compatible access group, and by doing so, it will authorize the domain to be queried without an account (null session)
It is possible to verify the results provided by the PingCastle solution by using a Kali distribution. You should run [rpcclient -U " target_ip_address] and press enter at the password prompt to finally type [enumdomusers].

Advised Solution:

Remove the "Everyone" and "Anonymous" from the PreWin2000 group while making sure that the group "Authenticated Users" is present, then reboot each DC.
Note: removing the group "Authenticated Users" (and not keep it like advised here) is an advanced recommendation quoted in the rule A-PreWin2000AuthenticatedUsers

Title:

Vérifier la compatibilité Windows 2000 qui permet l'accès au domaine sans compte

Description:

Le but est d'identifier les domaines qui autorisent l'accès sans compte en raison d'une compatibilité pré-Windows 2000

Technical Explanation:

Lorsqu'un contrôleur de domaine Windows Server 2003 est promu, un paramètre de compatibilité pré-Windows 2000 peut être activé via l'assistant. S'il est activé, l'assistant ajoutera "Tout le monde" et "Anonyme" au groupe d'accès compatible pré-Windows 2000, et ce faisant, il autorisera l'interrogation du domaine sans compte (null session)
Il est possible de vérifier les résultats fournis par la solution PingCastle en utilisant une distribution de Kali. Vous devez exécuter [rpcclient -U " target_ip_address] et appuyer sur Entrée à l'invite du mot de passe pour enfin taper [enumdomusers].

Advised Solution:

Supprimez "Tout le monde" et "Anonyme" du groupe PreWin2000 en vous assurant que le groupe "Utilisateurs authentifiés" est présent, puis redémarrez chaque DC.
Remarque : supprimer le groupe "Utilisateurs authentifiés" (et ne pas le conserver comme conseillé ici) est une recommandation avancée citée dans la règle A-PreWin2000AuthenticatedUsers

Title:

Überprüfen Sie die Windows 2000-Kompatibilität, die den Zugriff auf die Domäne ohne Konto ermöglicht

Description:

Der Zweck besteht darin, Domänen zu identifizieren, die aufgrund einer Prä-Windows 2000-Kompatibilität den Zugriff ohne Konto erlauben

Technical Explanation:

Wenn ein Windows Server 2003-DC heraufgestuft wird, kann eine Prä-Windows 2000-Kompatibilitätseinstellung über den Assistenten aktiviert werden. Wenn es aktiviert ist, fügt der Assistent "Jeder" und "Anonym" zur vor Windows 2000 kompatiblen Zugriffsgruppe hinzu und autorisiert damit die Domäne, ohne Konto abgefragt zu werden (Nullsitzung).
Es ist möglich, die von der PingCastle-Lösung bereitgestellten Ergebnisse mithilfe einer Kali-Verteilung zu überprüfen. Sie sollten [rpcclient -U " target_ip_address] ausführen und bei der Passwortabfrage die Eingabetaste drücken, um schließlich [enumdomusers] einzugeben.

Advised Solution:

Entfernen Sie „Everyone“ und „Anonymous“ aus der PreWin2000-Gruppe, während Sie sicherstellen, dass die Gruppe „Authenticated Users“ vorhanden ist, und starten Sie dann jeden DC neu.
Hinweis: Das Entfernen der Gruppe "Authenticated Users" (und nicht wie hier empfohlen beibehalten) ist eine erweiterte Empfehlung, die in der Regel A-PreWin2000AuthenticatedUsers zitiert wird

Title:

Compruebe la compatibilidad con Windows 2000 que permite el acceso al dominio sin ninguna cuenta

Description:

El propósito es identificar los dominios que permiten el acceso sin ninguna cuenta debido a una compatibilidad Pre-Windows 2000

Technical Explanation:

Cuando se promueve un controlador de dominio de Windows Server 2003, se puede habilitar una configuración de compatibilidad anterior a Windows 2000 a través del asistente. Si está habilitado, el asistente agregará "Todos" y "Anónimo" al grupo de acceso compatible anterior a Windows 2000 y, al hacerlo, autorizará la consulta del dominio sin una cuenta (sesión nula)
Es posible verificar los resultados proporcionados por la solución PingCastle utilizando una distribución Kali. Debe ejecutar [rpcclient -U " target_ip_address] y presionar enter en el indicador de contraseña para finalmente escribir [enumdomusers].

Advised Solution:

Elimine "Todos" y "Anónimos" del grupo PreWin2000 mientras se asegura de que el grupo "Usuarios autenticados" esté presente, luego reinicie cada DC.
Nota: eliminar el grupo "Usuarios autenticados" (y no mantenerlo como se recomienda aquí) es una recomendación avanzada citada en la regla A-PreWin2000AuthenticatedUsers

Points:

5 points if present

Documentation:

https://msdn.microsoft.com/en-us/library/cc223672.aspx
[MITRE]T1110.003 Brute Force: Password Spraying
[US]STIG V-8547 - The Anonymous Logon and Everyone groups must not be members of the Pre-Windows 2000 Compatible Access group.
[FR]ANSSI - The "Pre - Windows 2000 Compatible Access" group includes "Anonymous" (vuln2_compatible_2000_anonymous)2

Check if DNS Zones are configured with Zone Transfers.

Rule ID:

A-DnsZoneTransfert

Description:

The purpose is to ensure that no DNS Zones are configured with Zone Transfers.

Technical Explanation:

When the Zone Transfers mechanism is enabled, an attacker can retrieve all DNS records anonymously.
He can then use this feature to generate network noise to trigger a man in the middle attack and capture credentials.

This setting is domain wide, meaning that all servers share the same setting.
Please note that PingCastle does this check to only one DNS Server of the zone.

To test if the Zone Transfers is enabled, issue the following command:
on Linux:

host -t axfr domain.name dns-server

dig axfr @dns-server domain.name

on Windows:

nslookup

then

server dns-server

then

set type=any

then

ls -d domain.name

Advised Solution:

You have to disable Zone Transfers.
Identify the faulty zone in the details below.
Go to the DNS console and select a zone in the "Forward Lookup Zones".
Right click on it and switch to the "Zone Transfers" tab.
Then ensure "Allow zone transfers" is not enabled "To any server".
You can also run: dnscmd /zoneresetsecondaries zone /noxfr

Title:

Vérifiez si les zones DNS sont configurées avec les transferts de zone.

Description:

L'objectif est de s'assurer qu'aucune zone DNS n'est configurée avec les transferts de zone.

Technical Explanation:

Lorsque le mécanisme Zone Transfers est activé, un attaquant peut récupérer tous les enregistrements DNS de manière anonyme.
Il peut ensuite utiliser cette fonctionnalité pour générer du bruit sur le réseau afin de déclencher une attaque de l'homme du milieu et capturer les informations d'identification.

Ce paramètre s'applique à l'ensemble du domaine, ce qui signifie que tous les serveurs partagent le même paramètre.
Veuillez noter que PingCastle effectue cette vérification sur un seul serveur DNS de la zone.

Pour tester si les transferts de zone sont activés, exécutez la commande suivante :
sous Linux :

host -t axfr domain.name dns-server

dig axfr @dns-server domain.name

sous Windows :

nslookup

puis

server dns-server

puis

set type=any

puis

ls -d domain.name

Advised Solution:

Vous devez désactiver les transferts de zone.
Identifiez la zone défectueuse dans les détails ci-dessous.
Allez dans la console DNS et sélectionnez une zone dans les "Zones de recherche directe".
Faites un clic droit dessus et passez à l'onglet "Transferts de zone".
Assurez-vous ensuite que "Autoriser les transferts de zone" n'est pas activé "Vers n'importe quel serveur".
Vous pouvez également exécuter : dnscmd /zoneresetsecondaries zone /noxfr

Title:

Überprüfen Sie, ob DNS-Zonen mit Zonenübertragungen konfiguriert sind.

Description:

Damit soll sichergestellt werden, dass keine DNS-Zonen mit Zonenübertragungen konfiguriert werden.

Technical Explanation:

Wenn der Zonenübertragungsmechanismus aktiviert ist, kann ein Angreifer alle DNS-Einträge anonym abrufen.
Er kann diese Funktion dann verwenden, um Netzwerkrauschen zu erzeugen, um einen Man-in-the-Middle-Angriff auszulösen und Anmeldeinformationen zu erfassen.

Diese Einstellung ist domänenweit, was bedeutet, dass alle Server dieselbe Einstellung verwenden.
Bitte beachten Sie, dass PingCastle diese Überprüfung nur an einem DNS-Server der Zone durchführt.

Um zu testen, ob die Zonenübertragungen aktiviert sind, geben Sie den folgenden Befehl ein:
unter Linux:

host -t axfr domain.name dns-server

oder

dig axfr @dns-server domain.name

unter Windows:

nslookup

dann

server dns-server

dann

set type=any

dann

ls -d domain.name

Advised Solution:

Sie müssen Zonentransfers deaktivieren.
Identifizieren Sie die fehlerhafte Zone in den Details unten.
Gehen Sie zur DNS-Konsole und wählen Sie eine Zone in den "Forward Lookup Zones" aus.
Klicken Sie mit der rechten Maustaste darauf und wechseln Sie zur Registerkarte "Zonentransfers".
Stellen Sie dann sicher, dass "Zonenübertragungen zulassen" nicht "Zu jedem Server" aktiviert ist.
Sie können auch Folgendes ausführen: dnscmd /zoneresetsecondaries zone /noxfr

Title:

Compruebe si las Zonas DNS están configuradas con Transferencias de zona.

Description:

El propósito es garantizar que no se configuren zonas DNS con transferencias de zona.

Technical Explanation:

Cuando el mecanismo de transferencias de zona está habilitado, un atacante puede recuperar todos los registros DNS de forma anónima.
Luego puede usar esta función para generar ruido de red para activar un ataque de hombre en el medio y capturar credenciales.

Esta configuración es para todo el dominio, lo que significa que todos los servidores comparten la misma configuración.
Tenga en cuenta que PingCastle realiza esta verificación solo en un servidor DNS de la zona.

Para probar si las transferencias de zona están habilitadas, emita el siguiente comando:
en Linux:

host -t axfr dominio.nombre dns-server

dig axfr @dns-server dominio.nombre

en Windows:

nslookup

luego

server dns-server

luego

set type=any

luego

ls -d domain.name

Advised Solution:

Tienes que deshabilitar las Transferencias de Zona.
Identifique la zona defectuosa en los detalles a continuación.
Vaya a la consola DNS y seleccione una zona en las "Zonas de búsqueda directa".
Haga clic derecho sobre él y cambie a la pestaña "Transferencias de zona".
Luego, asegúrese de que "Permitir transferencias de zona" no esté habilitado "A cualquier servidor".
También puede ejecutar: dnscmd /zoneresetsecondaries zone /noxfr

Introduced in:

2.9.3.0

Points:

5 points if present

Documentation:

Check if NetCease has been put in place to mitigate Bloodhound

Rule ID:

A-NoNetSessionHardening

Description:

The purpose is to ensure that mitigations are in place against the Bloodhound tool

Technical Explanation:

By default, Windows computers allow any authenticated user to enumerate network sessions to it.
This means an attacker could enumerate network sessions to a file share hosting home directories or a Domain Controller to see who's connected to SYSVOL (to apply Group Policy) and determine which workstations each user and admin account is logged into.
Bloodhound uses this capability extensively to map out credentials in the network.

Disabling Net Session Enumeration removes the capability for any user to enumerate net session info (Recon).

Advised Solution:

If this mitigation is not part of the computer image, apply the following recommendations:
Run the NetCease PowerShell script (referenced below) on a reference workstation.
Open the Group Policy Management Console. Right-click the Group Policy object (GPO) that should contain the new preference item, and then click Edit .
In the console tree under Computer Configuration, expand the Preferences folder, and then expand the Windows Settings folder.
Right-click the Registry node, point to New, and select Registry Wizard.
Select the reference workstation on which the desired registry settings exist, then click Next .
Browse to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\DefaultSecurity\
and select the check box for “SrvsvcSessionInfo” from which you want to create a Registry preference item. Select the check box for a key only if you want to create a Registry item for the key rather than for a value within the key.
Click Finish.
The settings that you selected appear as preference items in the Registry Wizard Values collection

Title:

Vérifiez si NetCease a été mis en place pour atténuer Bloodhound

Description:

Le but est de s'assurer que des mesures d'atténuation sont en place contre l'outil Bloodhound

Technical Explanation:

Par défaut, les ordinateurs Windows permettent à tout utilisateur authentifié d'énumérer les sessions réseau.
Cela signifie qu'un attaquant pourrait énumérer les sessions réseau sur un partage de fichiers hébergeant des répertoires personnels ou un contrôleur de domaine pour voir qui est connecté à SYSVOL (pour appliquer la stratégie de groupe) et déterminer à quels postes de travail chaque utilisateur et compte administrateur est connecté.
Bloodhound utilise largement cette capacité pour cartographier les informations d'identification dans le réseau.

La désactivation de l'énumération de session réseau supprime la possibilité pour tout utilisateur d'énumérer les informations de session réseau (Recon).

Advised Solution:

Si cette atténuation ne fait pas partie de l'image de l'ordinateur, appliquez les recommandations suivantes :
Exécutez le script NetCease PowerShell (référencé ci-dessous) sur un poste de travail de référence.
Ouvrez la console de gestion des stratégies de groupe. Cliquez avec le bouton droit sur l'objet de stratégie de groupe (GPO) qui doit contenir le nouvel élément de préférence, puis cliquez sur Modifier .
Dans l'arborescence de la console sous Configuration ordinateur, développez le dossier Préférences, puis développez le dossier Paramètres Windows.
Cliquez avec le bouton droit sur le nœud Registre, pointez sur Nouveau et sélectionnez Assistant Registre.
Sélectionnez le poste de travail de référence sur lequel les paramètres de registre souhaités existent, puis cliquez sur Suivant .
Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\DefaultSecurity\
et cochez la case "SrvsvcSessionInfo" à partir de laquelle vous souhaitez créer un élément de préférence de registre. Cochez la case d'une clé uniquement si vous souhaitez créer un élément de registre pour la clé plutôt que pour une valeur dans la clé.
Cliquez sur Terminer.
Les paramètres que vous avez sélectionnés s'affichent en tant qu'éléments de préférence dans la collection Valeurs de l'assistant de registre

Title:

Überprüfen Sie, ob NetCease eingerichtet wurde, um Bloodhound abzuschwächen

Description:

Der Zweck besteht darin, sicherzustellen, dass Gegenmaßnahmen gegen das Bloodhound-Tool vorhanden sind

Technical Explanation:

Standardmäßig erlauben Windows-Computer jedem authentifizierten Benutzer, ihm Netzwerksitzungen aufzuzählen.
Dies bedeutet, dass ein Angreifer Netzwerksitzungen zu einer Dateifreigabe auflisten kann, die Home-Verzeichnisse oder einen Domänencontroller hostet, um zu sehen, wer mit SYSVOL verbunden ist (um Gruppenrichtlinien anzuwenden) und um festzustellen, bei welchen Arbeitsstationen jeder Benutzer und jedes Administratorkonto angemeldet ist.
Bloodhound nutzt diese Fähigkeit ausgiebig, um Zugangsdaten im Netzwerk abzubilden.

Durch das Deaktivieren der Net Session Enumeration wird jedem Benutzer die Möglichkeit genommen, Net Session-Informationen aufzuzählen (Recon).

Advised Solution:

Wenn diese Risikominderung nicht Teil des Computerabbilds ist, wenden Sie die folgenden Empfehlungen an:
Führen Sie das NetCease PowerShell-Skript (siehe unten) auf einer Referenz-Workstation aus.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt (GPO), das das neue Einstellungselement enthalten soll, und klicken Sie dann auf Bearbeiten .
Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration den Ordner Preferences und erweitern Sie dann den Ordner Windows Settings.
Klicken Sie mit der rechten Maustaste auf den Registrierungsknoten, zeigen Sie auf Neu, und wählen Sie Registrierungsassistent aus.
Wählen Sie die Referenzarbeitsstation aus, auf der die gewünschten Registrierungseinstellungen vorhanden sind, und klicken Sie dann auf Weiter .
Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\DefaultSecurity\
und aktivieren Sie das Kontrollkästchen für „SrvsvcSessionInfo“, aus dem Sie ein Registrierungseinstellungselement erstellen möchten. Aktivieren Sie das Kontrollkästchen für einen Schlüssel nur, wenn Sie ein Registrierungselement für den Schlüssel und nicht für einen Wert innerhalb des Schlüssels erstellen möchten.
Klicken Sie auf Fertig stellen.
Die ausgewählten Einstellungen werden als Einstellungselemente in der Wertesammlung des Registrierungsassistenten angezeigt

Title:

Compruebe si se ha implementado NetCease para mitigar Bloodhound

Description:

El propósito es garantizar que se implementen mitigaciones contra la herramienta Bloodhound.

Technical Explanation:

De manera predeterminada, las computadoras con Windows permiten que cualquier usuario autenticado le enumere sesiones de red.
Esto significa que un atacante podría enumerar sesiones de red en directorios de inicio de alojamiento compartido de archivos o un controlador de dominio para ver quién está conectado a SYSVOL (para aplicar la política de grupo) y determinar en qué estaciones de trabajo está conectado cada usuario y cuenta de administrador.
Bloodhound usa esta capacidad ampliamente para mapear credenciales en la red.

Deshabilitar la enumeración de sesión de red elimina la capacidad de cualquier usuario de enumerar información de sesión de red (Recon).

Advised Solution:

Si esta mitigación no es parte de la imagen de la computadora, aplique las siguientes recomendaciones:
Ejecute el script NetCease PowerShell (mencionado a continuación) en una estación de trabajo de referencia.
Abra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el objeto de directiva de grupo (GPO) que debe contener el nuevo elemento de preferencia y luego haga clic en Editar .
En el árbol de la consola, en Configuración del equipo, expanda la carpeta Preferencias y luego expanda la carpeta Configuración de Windows.
Haga clic con el botón derecho en el nodo Registro, señale Nuevo y seleccione Asistente de registro.
Seleccione la estación de trabajo de referencia en la que existen las configuraciones de registro deseadas, luego haga clic en Siguiente.
Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\DefaultSecurity\
y seleccione la casilla de verificación "SrvsvcSessionInfo" a partir de la cual desea crear un elemento de preferencia del Registro. Seleccione la casilla de verificación de una clave solo si desea crear un elemento de registro para la clave en lugar de un valor dentro de la clave.
Haga clic en Finalizar.
La configuración que seleccionó aparece como elementos de preferencia en la colección de Valores del Asistente del Registro

Introduced in:

2.9.0.0

Points:

Informative rule (0 point)

Documentation:

https://github.com/p0w3rsh3ll/NetCease
https://adsecurity.org/?p=3299
[MITRE]T1087.001 Account Discovery: Local Account

Check if the mitigation for CVE-2021-42291 has been enabled

Rule ID:

A-DsHeuristicsLDAPSecurity

Description:

The purpose is to identify domains having mitigation for CVE-2021-42291 not set to enabled

Technical Explanation:

The way an Active Directory behaves can be controlled via the attribute DsHeuristics of CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration.
A parameter stored in its attribute and whose value is LDAPAddAutZVerifications and LDAPOwnerModify can be set to modify the mitigatation of CVE-2021-42291.
The KB5008383 has introduced changes to default security descriptor of Computer containers to add audit and limit computer creation without being admin.
Indeed, it is recommended to not let anyone create computer accounts as they can be used to abuse Kerberos or to perform relay attacks.

Mitigations in CVE-2021-42291 consist of 3 choices to be set on 2 settings.
They are named LDAPAddAutZVerifications and LDAPOwnerModify and are respectively the 28th and 29th character of this string.
For the expected values:
- With the value 0 (the default), it enables an additional audit mechanism
- With the value 1 (recommended), it enforces new security permissions, especially to require an action of the domain admin when unusual actions are performed
- With the value 2 (not recommended), it disables the audit mechanism that has been added by default and do not enable the new security permissions

Advised Solution:

The easiest and fastest way to correct this issue is to replace the 28th and 29th character of the DsHeuristics attribute.
The value of LDAPAddAutZVerifications and LDAPOwnerModify should be set to 1.

Open the procedure embedded into the KB5008383 to apply this mitigation and change the DsHeuristics value.

Note: You have to pay attention that there are control characters at the 10th and 20th position to avoid undesired changes of the DsHeuristics attribute.
Typically if the DsHeuristics is empty, the expected new value is 00000000010000000002000000011

Title:

Vérifiez si l'atténuation pour CVE-2021-42291 a été activée

Description:

L'objectif est d'identifier les domaines dont l'atténuation pour CVE-2021-42291 n'est pas activée

Technical Explanation:

Le comportement d'un Active Directory peut être contrôlé via l'attribut DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration.
Un paramètre stocké dans son attribut et dont la valeur est LDAPAddAutZVerifications et LDAPOWnerModify peut être défini pour modifier l'atténuation de CVE-2021-42291.
Le KB5008383 a introduit des modifications dans le descripteur de sécurité par défaut des conteneurs d'ordinateurs pour ajouter un audit et limiter la création d'ordinateurs sans être administrateur.
En effet, il est recommandé de ne laisser personne créer des comptes d'ordinateur car ils peuvent être utilisés pour abuser de Kerberos ou pour effectuer des attaques par relais.

Les atténuations dans CVE-2021-42291 consistent en 3 choix à définir sur 2 paramètres.
Ils sont nommés LDAPAddAutZVerifications et LDAPOwnerModify et sont respectivement le 28ème et le 29ème caractère de cette chaîne.
Pour les valeurs attendues :
- Avec la valeur 0 (la valeur par défaut), il active un mécanisme d'audit supplémentaire
- Avec la valeur 1 (recommandé), il applique de nouvelles autorisations de sécurité, notamment pour exiger une action de l'administrateur du domaine lorsque des actions inhabituelles sont effectuées
- Avec la valeur 2 (non recommandé), il désactive le mécanisme d'audit qui a été ajouté par défaut et n'active pas les nouvelles autorisations de sécurité

Advised Solution:

Le moyen le plus simple et le plus rapide de corriger ce problème consiste à remplacer les 28e et 29e caractères de l'attribut DsHeuristics.
La valeur de LDAPAddAutZVerifications et LDAPOwnerModify doit être définie sur 1.

Ouvrez la procédure intégrée dans KB5008383 pour appliquer cette atténuation et modifier la valeur DsHeuristics.

Remarque : Vous devez faire attention à ce qu'il y ait des caractères de contrôle à la 10e et 20e position pour éviter des modifications indésirables de l'attribut DsHeuristics.
Généralement, si DsHeuristics est vide, la nouvelle valeur attendue est 00000000010000000002000000011

Title:

Überprüfen Sie, ob die Risikominderung für CVE-2021-42291 aktiviert wurde

Description:

Der Zweck besteht darin, Domänen zu identifizieren, bei denen die Risikominderung für CVE-2021-42291 nicht aktiviert ist

Technical Explanation:

Das Verhalten eines Active Directory kann über das Attribut DsHeuristics von CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration gesteuert werden.
Ein Parameter, der in seinem Attribut gespeichert ist und dessen Wert LDAPAddAutZVerifications und LDAPOwnerModify ist, kann so eingestellt werden, dass er die Minderung von CVE-2021-42291 ändert.
In KB5008383 wurden Änderungen an der Standardsicherheitsbeschreibung von Computercontainern eingeführt, um Audits hinzuzufügen und die Computererstellung einzuschränken, ohne Administrator zu sein.
Tatsächlich wird empfohlen, niemanden Computerkonten erstellen zu lassen, da diese zum Missbrauch von Kerberos oder zur Durchführung von Relay-Angriffen verwendet werden können.

Abschwächungen in CVE-2021-42291 bestehen aus 3 Auswahlmöglichkeiten, die auf 2 Einstellungen festgelegt werden können.
Sie heißen LDAPAddAutZVerifications und LDAPOwnerModify und sind jeweils das 28. und 29. Zeichen dieser Zeichenfolge.
Für die Erwartungswerte:
- Mit dem Wert 0 (Standardwert) wird ein zusätzlicher Prüfmechanismus aktiviert
- Mit dem Wert 1 (empfohlen) erzwingt es neue Sicherheitsberechtigungen, insbesondere um eine Aktion des Domänenadministrators zu verlangen, wenn ungewöhnliche Aktionen ausgeführt werden
- Mit dem Wert 2 (nicht empfohlen) deaktiviert es den standardmäßig hinzugefügten Prüfmechanismus und aktiviert die neuen Sicherheitsberechtigungen nicht

Advised Solution:

Der einfachste und schnellste Weg, dieses Problem zu beheben, besteht darin, das 28. und 29. Zeichen des DsHeuristics-Attributs zu ersetzen.
Der Wert von LDAPAddAutZVerifications und LDAPOwnerModify sollte auf 1 gesetzt werden.

Öffnen Sie die in KB5008383 eingebettete Prozedur, um diese Risikominderung anzuwenden und den DsHeuristics-Wert zu ändern.

Hinweis: Es ist darauf zu achten, dass an der 10. und 20. Stelle Steuerzeichen stehen, um ungewollte Änderungen des DsHeuristics-Attributs zu vermeiden.
Wenn DsHeuristics leer ist, ist der erwartete neue Wert normalerweise 00000000010000000002000000011

Title:

Compruebe si se ha habilitado la mitigación para CVE-2021-42291

Description:

El propósito es identificar los dominios que tienen la mitigación para CVE-2021-42291 no configurada como habilitada

Technical Explanation:

El comportamiento de Active Directory se puede controlar a través del atributo DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration.
Se puede configurar un parámetro almacenado en su atributo y cuyo valor es LDAPAddAutZVerifications y LDAPOwnerModify para modificar la mitigación de CVE-2021-42291.
El KB5008383 ha introducido cambios en el descriptor de seguridad predeterminado de los contenedores de equipos para agregar auditoría y limitar la creación de equipos sin ser administrador.
De hecho, se recomienda no permitir que nadie cree cuentas de computadora, ya que pueden usarse para abusar de Kerberos o para realizar ataques de retransmisión.

Las mitigaciones en CVE-2021-42291 consisten en 3 opciones para configurar en 2 configuraciones.
Se denominan LDAPAddAutZVerifications y LDAPOwnerModify y son, respectivamente, el carácter 28 y 29 de esta cadena.
Para los valores esperados:
- Con el valor 0 (por defecto), habilita un mecanismo de auditoría adicional
- Con el valor 1 (recomendado), aplica nuevos permisos de seguridad, especialmente para requerir una acción del administrador del dominio cuando se realizan acciones inusuales
- Con el valor 2 (no recomendado), deshabilita el mecanismo de auditoría que se ha agregado por defecto y no habilita los nuevos permisos de seguridad

Advised Solution:

La forma más fácil y rápida de corregir este problema es reemplazar los caracteres 28 y 29 del atributo DsHeuristics.
El valor de LDAPAddAutZVerifications y LDAPOwnerModify debe establecerse en 1.

Abra el procedimiento integrado en KB5008383 para aplicar esta mitigación y cambiar el valor de DsHeuristics.

Nota: debe prestar atención a que haya caracteres de control en la posición 10 y 20 para evitar cambios no deseados del atributo DsHeuristics.
Normalmente, si DsHeuristics está vacío, el nuevo valor esperado es 00000000010000000002000000011

Introduced in:

2.10.1.0

Points:

Informative rule (0 point)

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5
https://support.microsoft.com/en-au/topic/kb5008383-active-directory-permissions-updates-cve-2021-42291-536d5555-ffba-4248-a60e-d6cbc849cde1
[FR]ANSSI - Dangerous dsHeuristics settings (vuln3_dsheuristics_bad)3
[MITRE]T1187 Forced Authentication

Check if the UPN and SPN uniqueness check has been disabled

Rule ID:

A-DsHeuristicsDoNotVerifyUniqueness

Description:

The purpose is to identify domains having the SPN and UPN uniqueness check disabled

Technical Explanation:

The way an Active Directory behaves can be controlled via the attribute DsHeuristics of CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. A parameter stored in its attribute and whose value is DoNotVerifyUPNAndOrSPNUniqueness can be set to disable the UPN or SPN check.
This setting has been introduced to overwrite the mitigation of the vulnerability CVE-2021-42282 fixed by the KB5008382.

Advised Solution:

The easiest and fastest way to correct this issue is to replace the 21th character of the DsHeuristics attribute. If it is not a 0, replace by 0 to fix the issue.

Title:

Vérifier si le contrôle d'unicité UPN et SPN a été désactivé

Description:

Le but est d'identifier les domaines dont le contrôle d'unicité SPN et UPN est désactivé

Technical Explanation:

Le comportement d'un Active Directory peut être contrôlé via l'attribut DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. Un paramètre stocké dans son attribut et dont la valeur est DoNotVerifyUPNAndOrSPNUniqueness peut être défini pour désactiver la vérification UPN ou SPN.
Ce paramètre a été introduit pour remplacer l'atténuation de la vulnérabilité CVE-2021-42282 corrigée par le KB5008382.

Advised Solution:

Le moyen le plus simple et le plus rapide de corriger ce problème consiste à remplacer le 21e caractère de l'attribut DsHeuristics. Si ce n'est pas un 0, remplacez-le par 0 pour résoudre le problème.

Title:

Überprüfen Sie, ob die UPN- und SPN-Eindeutigkeitsprüfung deaktiviert wurde

Description:

Der Zweck besteht darin, Domänen zu identifizieren, bei denen die SPN- und UPN-Eindeutigkeitsprüfung deaktiviert ist

Technical Explanation:

Advised Solution:

Der einfachste und schnellste Weg, dieses Problem zu beheben, besteht darin, das 21. Zeichen des DsHeuristics-Attributs zu ersetzen. Wenn es keine 0 ist, ersetzen Sie es durch 0, um das Problem zu beheben.

Title:

Compruebe si la verificación de unicidad de UPN y SPN se ha deshabilitado

Description:

El propósito es identificar dominios que tengan deshabilitada la verificación de unicidad de SPN y UPN.

Technical Explanation:

El comportamiento de Active Directory se puede controlar a través del atributo DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. Un parámetro almacenado en su atributo y cuyo valor es DoNotVerifyUPNAndOrSPNUniqueness se puede configurar para deshabilitar la comprobación de UPN o SPN.
Esta configuración se introdujo para sobrescribir la mitigación de la vulnerabilidad CVE-2021-42282 corregida por KB5008382.

Advised Solution:

La forma más fácil y rápida de corregir este problema es reemplazar el carácter 21 del atributo DsHeuristics. Si no es un 0, reemplácelo por 0 para solucionar el problema.

Introduced in:

2.10.1.0

Points:

5 points if present

Documentation:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/e5899be4-862e-496f-9a38-33950617d2c5
https://support.microsoft.com/en-us/topic/kb5008382-verification-of-uniqueness-for-user-principal-name-service-principal-name-and-the-service-principal-name-alias- cve-2021-42282-4651b175-290c-4e59-8fcb-e4e5cd0cdb29
[FR]ANSSI - Dangerous dsHeuristics settings (vuln2_dsheuristics_bad)2
[MITRE]T1187 Forced Authentication

Check that the "Pre-Windows 2000 Compatible Access" group does not contain "Authenticated Users"

Rule ID:

A-PreWin2000AuthenticatedUsers

Description:

The purpose is checking if the "Pre-Windows 2000 Compatible Access" group contains "Authenticated Users"

Technical Explanation:

The pre-Windows 2000 compatible access group grants access to some RPC calls.
Its default and secure value is the "Authenticated Users" group which allows users to perform group look-up using legacy protocols.

If this group contains "Authenticated Users", it increases the impact of the exploitation of vulnerabilities in legacy protocols such as the Print Spooler service.
Indeed, in the #PrintNightmare attack, it enables a patch bypass on domain controllers because the property Elevated Token is on when establishing a session to the DC.
Removing the group can have side impacts and as a consequence, this is reported here as a special hardening measure.

Advised Solution:

Remove "Authenticated Users" from the PreWin2000 group.

Title:

Vérifiez que le groupe "Accès compatible pré-Windows 2000" ne contient pas "Utilisateurs authentifiés"

Description:

Le but est de vérifier si le groupe "Accès compatible pré-Windows 2000" contient des "Utilisateurs authentifiés"

Technical Explanation:

Le groupe d'accès compatible pré-Windows 2000 accorde l'accès à certains appels RPC.
Sa valeur par défaut et sécurisée est le groupe "Utilisateurs authentifiés" qui permet aux utilisateurs d'effectuer une recherche de groupe à l'aide de protocoles hérités.

Si ce groupe contient des "Utilisateurs authentifiés", cela augmente l'impact de l'exploitation des vulnérabilités dans les protocoles hérités tels que le service Print Spooler.
En effet, dans l'attaque #PrintNightmare, il permet un contournement de patch sur les contrôleurs de domaine car la propriété Elevated Token est activée lors de l'établissement d'une session vers le DC.
Le retrait du groupe peut avoir des impacts secondaires et, par conséquent, cela est signalé ici comme une mesure de durcissement spéciale.

Advised Solution:

Supprimez "Utilisateurs authentifiés" du groupe PreWin2000.

Title:

Stellen Sie sicher, dass die Gruppe „Prä-Windows 2000-kompatibler Zugriff“ nicht „Authentifizierte Benutzer“ enthält.

Description:

Der Zweck besteht darin, zu überprüfen, ob die Gruppe "Prä-Windows 2000-kompatibler Zugriff" "Authentifizierte Benutzer" enthält.

Technical Explanation:

Die vor Windows 2000 kompatible Zugriffsgruppe gewährt Zugriff auf einige RPC-Aufrufe.
Sein standardmäßiger und sicherer Wert ist die Gruppe "Authentifizierte Benutzer", die es Benutzern ermöglicht, eine Gruppensuche mit Legacy-Protokollen durchzuführen.

Wenn diese Gruppe „Authentifizierte Benutzer“ enthält, erhöht dies die Auswirkungen der Ausnutzung von Schwachstellen in Legacy-Protokollen wie dem Druckwarteschlangendienst.
Tatsächlich ermöglicht es beim #PrintNightmare-Angriff eine Patch-Umgehung auf Domänencontrollern, da die Eigenschaft Elevated Token aktiviert ist, wenn eine Sitzung mit dem DC aufgebaut wird.
Das Entfernen der Gruppe kann Nebenwirkungen haben und wird daher hier als besondere Härtungsmaßnahme ausgewiesen.

Advised Solution:

Entfernen Sie "Authentifizierte Benutzer" aus der PreWin2000-Gruppe.

Title:

Verifique que el grupo "Acceso compatible con versiones anteriores a Windows 2000" no contenga "Usuarios autenticados"

Description:

El propósito es comprobar si el grupo "Acceso compatible con versiones anteriores a Windows 2000" contiene "Usuarios autenticados".

Technical Explanation:

El grupo de acceso compatible anterior a Windows 2000 otorga acceso a algunas llamadas RPC.
Su valor predeterminado y seguro es el grupo "Usuarios autenticados", que permite a los usuarios realizar búsquedas de grupos utilizando protocolos heredados.

Si este grupo contiene "Usuarios autenticados", aumenta el impacto de la explotación de vulnerabilidades en protocolos heredados como el servicio Print Spooler.
De hecho, en el ataque #PrintNightmare, permite una omisión de parches en los controladores de dominio porque la propiedad Elevated Token está activada cuando se establece una sesión en el DC.
Quitar el grupo puede tener impactos secundarios y, como consecuencia, esto se informa aquí como una medida de endurecimiento especial.

Advised Solution:

Elimine "Usuarios autenticados" del grupo PreWin2000.

Introduced in:

2.9.3.0

Points:

Informative rule (0 point)

Documentation:

https://msdn.microsoft.com/en-us/library/cc223672.aspx
https://www.gradenegger.eu/?p=1132
[MITRE]T1210 Exploitation of Remote Services

Check that the "Pre-Windows 2000 Compatible Access" group has not been modified from its default

Rule ID:

A-PreWin2000Other

Description:

The purpose is checking that no additional account has been added to the "Pre-Windows 2000 Compatible Access" group

Technical Explanation:

The pre-Windows 2000 compatible access group grants access to some RPC calls which should not be available to users or computers.

Advised Solution:

Remove the members from the PreWin2000 group while making sure that the group "Authenticated Users" is present. Then reboot each DC.

Title:

Vérifiez que le groupe "Accès compatible pré-Windows 2000" n'a pas été modifié par rapport à sa valeur par défaut

Description:

Le but est de vérifier qu'aucun compte supplémentaire n'a été ajouté au groupe "Accès compatible pré-Windows 2000"

Technical Explanation:

Le groupe d'accès compatible pré-Windows 2000 accorde l'accès à certains appels RPC qui ne devraient pas être disponibles pour les utilisateurs ou les ordinateurs.

Advised Solution:

Supprimez les membres du groupe PreWin2000 en vous assurant que le groupe "Utilisateurs authentifiés" est présent. Redémarrez ensuite chaque DC.

Title:

Stellen Sie sicher, dass die Gruppe „Prä-Windows 2000-kompatibler Zugriff“ nicht von ihrer Standardeinstellung geändert wurde

Description:

Der Zweck besteht darin, zu prüfen, ob der Gruppe „Prä-Windows 2000-kompatibler Zugriff“ kein zusätzliches Konto hinzugefügt wurde

Technical Explanation:

Die vor Windows 2000 kompatible Zugriffsgruppe gewährt Zugriff auf einige RPC-Aufrufe, die Benutzern oder Computern nicht zur Verfügung stehen sollten.

Advised Solution:

Entfernen Sie die Mitglieder aus der PreWin2000-Gruppe und stellen Sie dabei sicher, dass die Gruppe "Authenticated Users" vorhanden ist. Starten Sie dann jeden DC neu.

Title:

Compruebe que el grupo "Acceso compatible con versiones anteriores a Windows 2000" no se haya modificado de su valor predeterminado

Description:

El propósito es verificar que no se haya agregado ninguna cuenta adicional al grupo "Acceso compatible con versiones anteriores a Windows 2000".

Technical Explanation:

El grupo de acceso compatible anterior a Windows 2000 otorga acceso a algunas llamadas RPC que no deberían estar disponibles para usuarios o computadoras.

Advised Solution:

Elimine los miembros del grupo PreWin2000 mientras se asegura de que el grupo "Usuarios autenticados" esté presente. Luego reinicie cada DC.

Introduced in:

2.9.0.0

Points:

2 points if present

Documentation:

https://msdn.microsoft.com/en-us/library/cc223672.aspx
[FR]ANSSI - Use of the "Pre-Windows 2000 Compatible Access" group (vuln3_compatible_2000_not_default)3
[MITRE]T1110.003 Brute Force: Password Spraying

Retrieve data from the domain without any account

Rule ID:

A-NullSession

Description:

The purpose is to check if access without any account, aka NULL Sessions, is possible within the Active Directory. A NULL Session is a session opened anonymously to access the AD, often used by attackers to perform a recon operation on the AD, to identify weaknesses

Technical Explanation:

Unlike other rules, which check for known cause of anonymous access, this rule tries to enumerate accounts from the domain without any account. The program uses two methods: MS-SAMR with a NULL connection and MS-LSAT, which forces SID resolution with a well known SID.
NULL sessions are deactivated by default since Windows Server 2003 and Windows XP. For compatibility reasons a setting enabling them may be still active years after.
It is possible to verify the results provided by the PingCastle solution by using a Kali distribution. You should run [rpcclient -U " target_ip_address] and press enter at the password prompt to finally type [enumdomusers].

Advised Solution:

Locate other PingCastle rules such as A-PreWin2000Anonymous or A-DsHeuristicsAnonymous which triggered and apply the solutions. You can use the PingCastle scanner mode to do a manual check and prove the extraction of the data.

Title:

Récupérer les données du domaine sans compte

Description:

Le but est de vérifier si l'accès sans compte, c'est-à-dire les sessions NULL, est possible dans l'Active Directory. Une session NULL est une session ouverte anonymement pour accéder à l'AD, souvent utilisée par les attaquants pour effectuer une opération de reconnaissance sur l'AD, afin d'identifier les faiblesses

Technical Explanation:

Contrairement à d'autres règles, qui vérifient la cause connue de l'accès anonyme, cette règle tente d'énumérer les comptes du domaine sans aucun compte. Le programme utilise deux méthodes : MS-SAMR avec une connexion NULL et MS-LSAT, qui force la résolution SID avec un SID bien connu.
Les sessions NULL sont désactivées par défaut depuis Windows Server 2003 et Windows XP. Pour des raisons de compatibilité, un paramètre les permettant peut être encore actif des années après.
Il est possible de vérifier les résultats fournis par la solution PingCastle en utilisant une distribution de Kali. Vous devez exécuter [rpcclient -U " target_ip_address] et appuyer sur Entrée à l'invite du mot de passe pour enfin taper [enumdomusers].

Advised Solution:

Localisez d'autres règles PingCastle telles que A-PreWin2000Anonymous ou A-DsHeuristicsAnonymous qui ont déclenché et appliqué les solutions. Vous pouvez utiliser le mode scanner PingCastle pour effectuer une vérification manuelle et prouver l'extraction des données.

Title:

Daten von der Domäne ohne Konto abrufen

Description:

Der Zweck ist zu prüfen, ob ein Zugriff ohne Konto, auch bekannt als NULL Sessions, innerhalb des Active Directory möglich ist. Eine NULL-Sitzung ist eine Sitzung, die anonym geöffnet wird, um auf das AD zuzugreifen, was häufig von Angreifern verwendet wird, um eine Aufklärungsoperation auf dem AD durchzuführen, um Schwachstellen zu identifizieren

Technical Explanation:

Im Gegensatz zu anderen Regeln, die nach bekannter Ursache für anonymen Zugriff suchen, versucht diese Regel, Konten aus der Domäne ohne Konto aufzulisten. Das Programm verwendet zwei Methoden: MS-SAMR mit einer NULL-Verbindung und MS-LSAT, das eine SID-Auflösung mit einer bekannten SID erzwingt.
Seit Windows Server 2003 und Windows XP sind NULL-Sessions standardmäßig deaktiviert. Aus Kompatibilitätsgründen kann eine Einstellung, die sie aktiviert, noch Jahre danach aktiv sein.
Es ist möglich, die von der PingCastle-Lösung bereitgestellten Ergebnisse mithilfe einer Kali-Verteilung zu überprüfen. Sie sollten [rpcclient -U " target_ip_address] ausführen und bei der Passwortabfrage die Eingabetaste drücken, um schließlich [enumdomusers] einzugeben.

Advised Solution:

Suchen Sie andere PingCastle-Regeln wie A-PreWin2000Anonymous oder A-DsHeuristicsAnonymous, die die Lösungen ausgelöst haben, und wenden Sie sie an. Sie können den PingCastle-Scannermodus verwenden, um eine manuelle Überprüfung durchzuführen und die Extraktion der Daten nachzuweisen.

Title:

Recuperar datos del dominio sin ninguna cuenta

Description:

El propósito es verificar si el acceso sin ninguna cuenta, también conocido como NULL Sessions, es posible dentro de Active Directory. Una sesión NULL es una sesión abierta de forma anónima para acceder al AD, a menudo utilizada por los atacantes para realizar una operación de reconocimiento en el AD, para identificar las debilidades.

Technical Explanation:

A diferencia de otras reglas, que verifican la causa conocida de acceso anónimo, esta regla intenta enumerar cuentas del dominio sin ninguna cuenta. El programa utiliza dos métodos: MS-SAMR con una conexión NULL y MS-LSAT, que fuerza la resolución de SID con un SID conocido.
Las sesiones NULL están desactivadas por defecto desde Windows Server 2003 y Windows XP. Por razones de compatibilidad, una configuración que los habilite puede seguir activa años después.
Es posible verificar los resultados proporcionados por la solución PingCastle utilizando una distribución Kali. Debe ejecutar [rpcclient -U " target_ip_address] y presionar enter en el indicador de contraseña para finalmente escribir [enumdomusers].

Advised Solution:

Localice otras reglas de PingCastle, como A-PreWin2000Anonymous o A-DsHeuristicsAnonymous, que activaron y aplicaron las soluciones. Puede usar el modo de escáner PingCastle para hacer una verificación manual y probar la extracción de los datos.

Points:

10 points if present

Documentation:

https://www.sans.org/reading-room/whitepapers/windows/null-sessions-nt-2000-286
[US]STIG V-14798 - Directory data (outside the root DSE) of a non-public directory must be configured to prevent anonymous access.
[MITRE]T1110.003 Brute Force: Password Spraying

Temporary admins

Administrators grant sometimes privileged rights to colleagues without any approval from a security officer.

Title (fr-FR): Temporary admins

Description (fr-FR): Les administrateurs accordent parfois des droits privilégiés à des collègues sans aucune approbation d'un responsable de la sécurité.

Title (de-DE): Temporary admins

Description (de-DE): Administratoren gewähren Kollegen manchmal privilegierte Rechte ohne Zustimmung eines Sicherheitsbeauftragten.

Title (es-ES): Temporary admins

Description (es-ES): Los administradores a veces otorgan derechos privilegiados a colegas sin la aprobación de un oficial de seguridad.

Check for suspicious account(s) used in administrator activities

Rule ID:

A-AdminSDHolder

Description:

The purpose is to ensure that there are no rogue admin accounts in the Active Directory

Technical Explanation:

A check is performed on non-admin accounts in order to identify if they have an attribute admincount set. If they have this attribute, it means that this account, which is not supposed to be admin, has been granted administrator rights in the past. This typically happens when an administrator gives temporary rights to a normal account, off process.

Advised Solution:

These accounts should be reviewed, especially in regards with their past activities and have the admincount attribute removed. In order to identify which accounts are detected by this rule, we advise to run a PowerShell command that will show you all users having this flag set: get-adobject -ldapfilter "(admincount=1)"
Do not forget to look at the section AdminSDHolder below.

Title:

Rechercher les comptes suspects utilisés dans les activités de l'administrateur

Description:

Le but est de s'assurer qu'il n'y a pas de comptes d'administrateur escrocs dans l'Active Directory

Technical Explanation:

Une vérification est effectuée sur les comptes non-administrateurs afin d'identifier s'ils ont un attribut admincount défini. S'ils ont cet attribut, cela signifie que ce compte, qui n'est pas censé être administrateur, a reçu des droits d'administrateur dans le passé. Cela se produit généralement lorsqu'un administrateur accorde des droits temporaires à un compte normal, hors processus.

Advised Solution:

Ces comptes doivent être examinés, en particulier en ce qui concerne leurs activités passées, et l'attribut admincount doit être supprimé. Afin d'identifier les comptes détectés par cette règle, nous vous conseillons d'exécuter une commande PowerShell qui vous montrera tous les utilisateurs ayant cet indicateur défini : get-adobject -ldapfilter "(admincount=1)"
N'oubliez pas de regarder la section AdminSDHolder ci-dessous.

Title:

Suchen Sie nach verdächtigen Konten, die bei Administratoraktivitäten verwendet werden

Description:

Der Zweck besteht darin, sicherzustellen, dass es keine betrügerischen Administratorkonten im Active Directory gibt

Technical Explanation:

Bei Nicht-Admin-Konten wird eine Überprüfung durchgeführt, um festzustellen, ob für sie ein Attribut admincount festgelegt ist. Wenn sie dieses Attribut haben, bedeutet dies, dass diesem Konto, das kein Administrator sein soll, in der Vergangenheit Administratorrechte gewährt wurden. Dies geschieht normalerweise, wenn ein Administrator einem normalen Konto außerhalb des Prozesses vorübergehende Rechte erteilt.

Advised Solution:

Diese Konten sollten überprüft werden, insbesondere in Bezug auf ihre vergangenen Aktivitäten, und das Attribut admincount entfernt werden. Um festzustellen, welche Konten von dieser Regel erkannt werden, empfehlen wir, einen PowerShell-Befehl auszuführen, der Ihnen alle Benutzer anzeigt, bei denen dieses Flag gesetzt ist: get-adobject -ldapfilter "(admincount=1)"
Vergessen Sie nicht, sich den Abschnitt AdminSDHolder unten anzusehen.

Title:

Compruebe si hay cuentas sospechosas utilizadas en actividades de administrador

Description:

El propósito es garantizar que no haya cuentas de administrador no autorizadas en Active Directory.

Technical Explanation:

Se realiza una verificación en las cuentas que no son de administrador para identificar si tienen un atributo admincount establecido. Si tienen este atributo, significa que a esta cuenta, que no se supone que sea administrador, se le han otorgado derechos de administrador en el pasado. Esto suele suceder cuando un administrador otorga derechos temporales a una cuenta normal, fuera del proceso.

Advised Solution:

Estas cuentas deben revisarse, especialmente en lo que respecta a sus actividades pasadas y eliminar el atributo admincount. Para identificar qué cuentas detecta esta regla, recomendamos ejecutar un comando de PowerShell que le mostrará todos los usuarios que tienen esta marca establecida: get-adobject -ldapfilter "(admincount=1)"
No olvide consultar la sección AdminSDHolder a continuación.

Points:

50 points if the occurence is greater than or equals than 50
then 45 points if the occurence is greater than or equals than 45
then 40 points if the occurence is greater than or equals than 40
then 35 points if the occurence is greater than or equals than 35
then 30 points if the occurence is greater than or equals than 30
then 25 points if the occurence is greater than or equals than 25
then 20 points if the occurence is greater than or equals than 20
then 15 points if present

Documentation:

https://msdn.microsoft.com/en-us/library/ms675212(v=vs.85).aspx
[FR]ANSSI - Recommandations de sécurité relatives à Active Directory - R40 [paragraph.3.6.3.1]
[MITRE]Mitre Att&ck - Mitigation - Privileged Account Management

Weak password

Misprotected credentials can be abused to be retrieved in plain text and then, impersonate the user.

Title (fr-FR): Weak password

Description (fr-FR): Les informations d'identification mal protégées peuvent être utilisées de manière abusive pour être récupérées en texte brut, puis usurper l'identité de l'utilisateur.

Title (de-DE): Weak password

Description (de-DE): Falsch geschützte Anmeldeinformationen können missbraucht werden, um im Klartext abgerufen zu werden und sich dann als Benutzer auszugeben.

Title (es-ES): Weak password

Description (es-ES): Se puede abusar de las credenciales mal protegidas para recuperarlas en texto sin formato y luego hacerse pasar por el usuario.

Check for GPO allowing accounts without password to be accessed from the network

Rule ID:

A-LimitBlankPasswordUse

Description:

The purpose is to identify if accounts without password are allowed to be accessed from the network. This represents a high risk, as an account without a password is essentially an account that cannot be assigned to anyone.

Technical Explanation:

This rule verifies if there is a GPO with the setting "Limit local account use of blank passwords to console logon only" disabled.

Advised Solution:

Locate the policy having the setting "Limit local account use of blank passwords to console logon only" disabled and enabled the setting.

Title:

Vérifiez les GPO permettant d'accéder aux comptes sans mot de passe depuis le réseau

Description:

Le but est d'identifier si les comptes sans mot de passe sont autorisés à être accessibles depuis le réseau. Cela représente un risque élevé, car un compte sans mot de passe est essentiellement un compte qui ne peut être attribué à personne.

Technical Explanation:

Cette règle vérifie s'il existe un objet de stratégie de groupe avec le paramètre "Limiter l'utilisation de mots de passe vides par le compte local à la connexion à la console uniquement" désactivé.

Advised Solution:

Localisez la stratégie ayant le paramètre "Limiter l'utilisation de comptes locaux de mots de passe vides à la connexion à la console uniquement" désactivé et activé le paramètre.

Title:

Suchen Sie nach GPO, das den Zugriff auf Konten ohne Kennwort über das Netzwerk zulässt

Description:

Der Zweck besteht darin, festzustellen, ob der Zugriff auf Konten ohne Kennwort vom Netzwerk aus zulässig ist. Dies stellt ein hohes Risiko dar, da ein Konto ohne Passwort grundsätzlich ein Konto ist, das niemandem zugeordnet werden kann.

Technical Explanation:

Diese Regel überprüft, ob ein Gruppenrichtlinienobjekt vorhanden ist, bei dem die Einstellung „Verwendung leerer Kennwörter für lokale Konten nur auf Konsolenanmeldung beschränken“ deaktiviert ist.

Advised Solution:

Suchen Sie die Richtlinie, bei der die Einstellung „Verwendung leerer Passwörter für lokale Konten nur auf die Konsolenanmeldung beschränken“ deaktiviert ist, und aktivieren Sie die Einstellung.

Title:

Compruebe si hay GPO que permita el acceso a cuentas sin contraseña desde la red

Description:

El propósito es identificar si las cuentas sin contraseña pueden acceder desde la red. Esto representa un alto riesgo, ya que una cuenta sin contraseña es esencialmente una cuenta que no se puede asignar a nadie.

Technical Explanation:

Esta regla verifica si hay un GPO con la configuración "Limitar el uso de contraseñas en blanco de la cuenta local solo para el inicio de sesión de la consola" deshabilitada.

Advised Solution:

Ubique la política que tiene la configuración "Limitar el uso de contraseñas en blanco de la cuenta local solo para el inicio de sesión de la consola" deshabilitada y habilite la configuración.

Points:

5 points if present

Documentation:

https://technet.microsoft.com/en-us/library/jj852174.aspx
[MITRE]T1110.003 Brute Force: Password Spraying

Check for short password length in password policy

Rule ID:

A-MinPwdLen

Description:

The purpose is to verify if the password policy of the domain enforces users to have at least 8 characters in their password

Technical Explanation:

A check is performed to identify if the GPO regarding password policy allows less than 8 characters password. Short passwords represent a high risk because they can fairly easily be brute-forced or password sprayed. Most CERT and agencies advise for at least 8 characters (and often this number goes up to 12)

Advised Solution:

To solve the issue, the best way is to either remove the GPO enabling short password, or to modify it in order to increase the password length to at least 8 characters

Title:

Vérifier la longueur courte du mot de passe dans la politique de mot de passe

Description:

Le but est de vérifier si la politique de mot de passe du domaine oblige les utilisateurs à avoir au moins 8 caractères dans leur mot de passe

Technical Explanation:

Une vérification est effectuée pour identifier si le GPO concernant la politique de mot de passe autorise un mot de passe de moins de 8 caractères. Les mots de passe courts représentent un risque élevé car ils peuvent assez facilement être forcés ou pulvérisés par mot de passe. La plupart des CERT et des agences conseillent au moins 8 caractères (et souvent ce nombre va jusqu'à 12)

Advised Solution:

Pour résoudre le problème, le meilleur moyen est soit de supprimer le mot de passe court d'activation du GPO, soit de le modifier afin d'augmenter la longueur du mot de passe à au moins 8 caractères.

Title:

Überprüfen Sie die Kennwortrichtlinie auf kurze Kennwortlänge

Description:

Der Zweck besteht darin, zu überprüfen, ob die Kennwortrichtlinie der Domäne Benutzer erzwingt, mindestens 8 Zeichen in ihrem Kennwort zu haben

Technical Explanation:

Es wird überprüft, ob das GPO bezüglich der Kennwortrichtlinie weniger als 8 Zeichen für das Kennwort zulässt. Kurze Passwörter stellen ein hohes Risiko dar, da sie relativ leicht durch Brute-Force oder Passwort-Spraying ausgenutzt werden können. Die meisten CERT und Agenturen empfehlen mindestens 8 Zeichen (und oft geht diese Zahl bis zu 12)

Advised Solution:

Um das Problem zu lösen, entfernen Sie am besten entweder das GPO, das das kurze Passwort aktiviert, oder ändern es, um die Passwortlänge auf mindestens 8 Zeichen zu erhöhen

Title:

Verifique la longitud de la contraseña corta en la política de contraseñas

Description:

El propósito es verificar si la política de contraseñas del dominio obliga a los usuarios a tener al menos 8 caracteres en su contraseña.

Technical Explanation:

Se realiza una verificación para identificar si el GPO con respecto a la política de contraseñas permite una contraseña de menos de 8 caracteres. Las contraseñas cortas representan un alto riesgo porque pueden ser forzadas o rociadas con bastante facilidad. La mayoría de los CERT y las agencias recomiendan al menos 8 caracteres (y, a menudo, este número sube a 12)

Advised Solution:

Para resolver el problema, la mejor manera es eliminar la contraseña corta de habilitación de GPO o modificarla para aumentar la longitud de la contraseña a al menos 8 caracteres.

Points:

10 points if present

Documentation:

https://www.microsoft.com/en-us/research/publication/password-guidance/
[MITRE]T1201 Password Policy Discovery
[FR]ANSSI - Privileged group members with weak password policy (vuln2_privileged_members_password)2

Check if the guest account is enabled

Rule ID:

A-Guest

Description:

The purpose is to ensure that the Guest account of the domain is not enabled

Technical Explanation:

The Guest account is a special account whose SID is S-1-5-domain-501. It is used as a non-nominative account to allow anyone to connect to the Active Directory.
Unless there is a justification about its activation, this represents a security issue because anybody can use this account to connect to any computer without any trace.

Advised Solution:

You have to find the Guest account and disable it.

Title:

Vérifiez si le compte invité est activé

Description:

Le but est de s'assurer que le compte Invité du domaine n'est pas activé

Technical Explanation:

Le compte Invité est un compte spécial dont le SID est S-1-5-domain-501. Il est utilisé comme un compte non nominatif pour permettre à quiconque de se connecter à l'Active Directory.
À moins qu'il y ait une justification de son activation, cela représente un problème de sécurité car n'importe qui peut utiliser ce compte pour se connecter à n'importe quel ordinateur sans aucune trace.

Advised Solution:

Vous devez trouver le compte Invité et le désactiver.

Title:

Überprüfen Sie, ob das Gastkonto aktiviert ist

Description:

Damit soll sichergestellt werden, dass das Gastkonto der Domäne nicht aktiviert ist

Technical Explanation:

Das Gastkonto ist ein spezielles Konto, dessen SID S-1-5-Domäne-501 ist. Es wird als nicht namentliches Konto verwendet, damit jeder eine Verbindung zum Active Directory herstellen kann.
Sofern es keine Begründung für die Aktivierung gibt, stellt dies ein Sicherheitsproblem dar, da jeder dieses Konto verwenden kann, um sich spurlos mit jedem Computer zu verbinden.

Advised Solution:

Sie müssen das Gastkonto finden und deaktivieren.

Title:

Comprobar si la cuenta de invitado está habilitada

Description:

El propósito es asegurarse de que la cuenta de invitado del dominio no esté habilitada

Technical Explanation:

La cuenta de invitado es una cuenta especial cuyo SID es S-1-5-dominio-501. Se utiliza como una cuenta no nominativa para permitir que cualquier persona se conecte a Active Directory.
A menos que haya una justificación sobre su activación, esto representa un problema de seguridad porque cualquiera puede usar esta cuenta para conectarse a cualquier computadora sin dejar rastro.

Advised Solution:

Tienes que encontrar la cuenta de invitado y desactivarla.

Introduced in:

2.10.1.0

Points:

15 points if present

Documentation:

[MITRE]T1078.003 Valid Accounts: Local Accounts
[MITRE]Mitre Att&ck - Mitigation - Active Directory Configuration

Check the Password Policy for Service Accounts (Information)

Rule ID:

A-NoServicePolicy

Description:

The purpose is to give information regarding a best practice for the Service Account password policy. Indeed, having a 20+ characters password for this account greatly helps reducing the risk of Kerberoasting attacks (offline cracking of the TGS tickets)
Note: PSO (Password Settings Objects) will be visible only if the user, which collected the information, has the permission to view it.

Technical Explanation:

The rule is purely informative, as it gives insights regarding a best practice. It verifies if there is a GPO or PSO enforcing a 20+ characters password for the Service Accounts.

Advised Solution:

The recommended way to handle service accounts is to use "Managed service accounts" introduced since Windows Server 2008 R2 (search for "msDS-ManagedServiceAccount").
To solve the anomaly, you should implement a PSO or GPO password guarantying a 20+ length password.

Title:

Vérifier la politique de mot de passe pour les comptes de service (informations)

Description:

Le but est de donner des informations concernant une meilleure pratique pour la politique de mot de passe du compte de service. En effet, avoir un mot de passe de plus de 20 caractères pour ce compte aide grandement à réduire le risque d'attaques Kerberoasting (craquage hors ligne des tickets TGS)
Remarque : PSO (Password Settings Objects) ne sera visible que si l'utilisateur, qui a collecté les informations, est autorisé à les visualiser.

Technical Explanation:

La règle est purement informative, car elle donne un aperçu d'une meilleure pratique. Il vérifie s'il existe un GPO ou un PSO appliquant un mot de passe de plus de 20 caractères pour les comptes de service.

Advised Solution:

La méthode recommandée pour gérer les comptes de service consiste à utiliser les "comptes de service gérés" introduits depuis Windows Server 2008 R2 (recherchez "msDS-ManagedServiceAccount").
Pour résoudre l'anomalie, vous devez implémenter un mot de passe PSO ou GPO garantissant un mot de passe de longueur 20+.

Title:

Überprüfen Sie die Kennwortrichtlinie für Dienstkonten (Informationen)

Description:

Der Zweck besteht darin, Informationen zu bewährten Verfahren für die Kennwortrichtlinie für Dienstkonten bereitzustellen. In der Tat trägt ein Passwort mit mehr als 20 Zeichen für dieses Konto erheblich dazu bei, das Risiko von Kerberoasting-Angriffen (Offline-Cracking der TGS-Tickets) zu verringern.
Hinweis: PSO (Password Settings Objects) sind nur sichtbar, wenn der Benutzer, der die Informationen gesammelt hat, die Berechtigung hat, sie anzuzeigen.

Technical Explanation:

Die Regel ist rein informativ, da sie Einblicke in eine bewährte Vorgehensweise gibt. Es überprüft, ob es ein GPO oder PSO gibt, das ein Kennwort mit mehr als 20 Zeichen für die Dienstkonten erzwingt.

Advised Solution:

Die empfohlene Methode zum Umgang mit Dienstkonten ist die Verwendung von „verwalteten Dienstkonten“, die seit Windows Server 2008 R2 eingeführt wurden (suchen Sie nach „msDS-ManagedServiceAccount“).
Um die Anomalie zu beheben, sollten Sie ein PSO- oder GPO-Passwort implementieren, das ein Passwort mit einer Länge von über 20 garantiert.

Title:

Consultar la Política de Contraseñas para Cuentas de Servicio (Información)

Description:

El propósito es brindar información sobre las mejores prácticas para la política de contraseñas de la cuenta de servicio. De hecho, tener una contraseña de más de 20 caracteres para esta cuenta ayuda en gran medida a reducir el riesgo de ataques Kerberoasting (descifrado fuera de línea de los tickets TGS)
Nota: PSO (Objetos de configuración de contraseña) será visible solo si el usuario que recopiló la información tiene permiso para verla.

Technical Explanation:

La regla es puramente informativa, ya que brinda información sobre una mejor práctica. Verifica si hay un GPO o PSO que impone una contraseña de más de 20 caracteres para las cuentas de servicio.

Advised Solution:

La forma recomendada de manejar las cuentas de servicio es usar "Cuentas de servicio administradas" introducidas desde Windows Server 2008 R2 (busque "msDS-ManagedServiceAccount").
Para solucionar la anomalía, debe implementar una contraseña PSO o GPO que garantice una contraseña de más de 20 longitud.

Points:

Informative rule (0 point)

Documentation:

https://www.microsoft.com/en-us/research/publication/password-guidance/
[MITRE]T1201 Password Policy Discovery

Mitre Att&ck mapping

This is the mapping of the Mitre Att&ck framework with PingCastle rules.

Number of rules covered: 170

Number of rules not covered: 0

Techniques

Number of Mitre rules matched: 26

Number of PingCastle rules not covered: 77

Initial Access

T1078.003 Valid Accounts: Local Accounts [2]

A-Guest A-LAPS-Not-Installed

Execution

T1569 System Services [1]

P-DisplaySpecifier

Privilege Escalation

T1134.005 Access Token Manipulation: SID-History Injection [5]

S-SIDHistory T-SIDFiltering T-SIDHistoryDangerous T-SIDHistorySameDomain T-SIDHistoryUnknownDomain

Defense Evasion

T1207 Rogue Domain Controller [2]

P-RODCSYSVOLWrite S-DCRegistration

T1600.001 Weaken Encryption: Reduce Key Space [17]

A-CertROCA A-CertWeakDSA A-CertWeakRsaComponent A-DCLdapsProtocol A-MD2IntermediateCert A-MD2RootCert A-MD4IntermediateCert A-MD4RootCert A-MD5IntermediateCert A-MD5RootCert A-SHA0IntermediateCert A-SHA0RootCert A-SHA1IntermediateCert A-SHA1RootCert A-WSUS-SslProtocol A-WeakRSARootCert A-WeakRSARootCert2

Credential Access

T1003 OS Credential Dumping [1]

T-AzureADSSO

T1003.004 OS Credential Dumping: LSA Secrets [1]

P-ServiceDomainAdmin

T111 Two-Factor Authentication Interception [1]

P-DelegationKeyAdmin

T1110.002 Brute Force: Password Cracking [5]

A-LMHashAuthorized A-ReversiblePwd A-SmartCardRequired S-C-Reversible S-Reversible

T1110.003 Brute Force: Password Spraying [7]

A-AnonymousAuthorizedGPO A-DsHeuristicsAllowAnonNSPI A-DsHeuristicsAnonymous A-LimitBlankPasswordUse A-NullSession A-PreWin2000Anonymous A-PreWin2000Other

T1187 Forced Authentication [11]

A-DC-Spooler A-DC-WebClient A-DsHeuristicsDoNotVerifyUniqueness A-DsHeuristicsLDAPSecurity P-DelegationDCa2d2 P-DelegationDCsourcedeleg P-DelegationDCt2a4d P-DelegationEveryone P-UnconstrainedDelegation P-UnkownDelegation T-TGTDelegation

T1552 Unsecured Credentials [1]

A-UnixPwd

T1552.006 Unsecured Credentials: Group Policy Preferences [1]

A-PwdGPO

T1555.005 Credentials from Password Stores: Password Managers [1]

A-LAPS-Joined-Computers

T1557 Man-in-the-Middle [11]

A-CertEnrollChannelBinding A-CertEnrollHttp A-DCLdapSign A-DCLdapsChannelBinding A-DnsZoneAUCreateChild A-DnsZoneUpdate1 A-DnsZoneUpdate2 A-LDAPSigningDisabled A-SMB2SignatureNotEnabled A-SMB2SignatureNotRequired T-Inactive

T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay [4]

A-HardenedPaths A-NoGPOLLMNR S-OldNtlm S-SMB-v1

T1558 Steal or Forge Kerberos Tickets [7]

A-CertTempAgent A-CertTempAnyPurpose A-CertTempAnyone A-CertTempCustomSubject A-CertTempNoSecurity S-KerberosArmoring S-KerberosArmoringDC

T1558.001 Steal or Forge Kerberos Tickets: Golden Ticket [1]

A-Krbtgt

T1558.003 Steal or Forge Kerberos Tickets: Kerberoasting [1]

P-Kerberoasting

T1558.004 Steal or Forge Kerberos Tickets: AS-REP Roasting [3]

S-DesEnabled S-NoPreAuth S-NoPreAuthAdmin

Discovery

T1018 Remote System Discovery [1]

A-DnsZoneTransfert

T1069.002 Permission Groups Discovery: Domain Groups [2]

P-ControlPathIndirectEveryone P-ControlPathIndirectMany

T1087.001 Account Discovery: Local Account [1]

A-NoNetSessionHardening

T1201 Password Policy Discovery [2]

A-MinPwdLen A-NoServicePolicy

Lateral Movement

T1210 Exploitation of Remote Services [3]

A-PreWin2000AuthenticatedUsers T-FileDeployedOutOfDomain T-ScriptOutOfDomain

T1563 Remote Service Session Hijacking [1]

A-NTFRSOnSysvol

Mitigations

Number of Mitre rules matched: 7

Number of PingCastle rules not covered: 76

Mitre Att&ck - Mitigation - Active Directory Configuration [42]

A-DCRefuseComputerPwdChange A-Guest A-MembershipEveryone P-DangerousExtendedRight P-Delegated P-DelegationDCa2d2 P-DelegationDCsourcedeleg P-DelegationDCt2a4d P-DelegationEveryone P-DelegationFileDeployed P-DelegationGPOData P-DelegationKeyAdmin P-DelegationLoginScript P-DsHeuristicsDoListObject P-ExchangeAdminSDHolder P-ExchangePrivEsc P-PrivilegeEveryone P-RODCAdminRevealed P-RODCAllowedGroup P-RODCDeniedGroup P-RODCNeverReveal P-RODCRevealOnDemand P-RODCSYSVOLWrite P-UnconstrainedDelegation P-UnkownDelegation S-C-PrimaryGroup S-DC-SubnetMissing S-Duplicate S-JavaSchema S-PrimaryGroup S-PwdLastSet-45 S-PwdLastSet-90 S-PwdLastSet-DC S-PwdNeverExpires S-PwdNotRequired S-SIDHistory T-AlgsAES T-SIDFiltering T-SIDHistoryDangerous T-SIDHistorySameDomain T-SIDHistoryUnknownDomain T-TGTDelegation

Mitre Att&ck - Mitigation - Audit [3]

A-AuditDC A-AuditPowershell P-RecycleBin

Mitre Att&ck - Mitigation - Data Backup [2]

A-BackupMetadata A-NotEnoughDC

Mitre Att&ck - Mitigation - Privileged Account Management [20]

A-AdminSDHolder A-LAPS-Not-Installed A-ProtectedUsers P-AdminLogin P-AdminNum P-AdminPwdTooOld P-DCOwner P-DNSAdmin P-DNSDelegation P-DsHeuristicsAdminSDExMask P-Inactive P-LoginDCEveryone P-LogonDenied P-OperatorsEmpty P-RecoveryModeUnprotected P-SchemaAdmin P-ServiceDomainAdmin P-TrustedCredManAccessPrivilege S-Domain$$$ T-Downlevel

Mitre Att&ck - Mitigation - Privileged Process Integrity [1]

P-ProtectedUsers

Mitre Att&ck - Mitigation - Update Software [21]

S-DC-2000 S-DC-2003 S-DC-2008 S-DC-NotUpdated S-FunctionalLevel1 S-FunctionalLevel3 S-FunctionalLevel4 S-OS-2000 S-OS-2003 S-OS-2008 S-OS-NT S-OS-Vista S-OS-W10 S-OS-Win7 S-OS-Win8 S-OS-XP S-Vuln-MS14-068 S-Vuln-MS17_010 S-WSUS-HTTP S-WSUS-NoPinning S-WSUS-UserProxy

Mitre Att&ck - Mitigation - User Account Management [5]

S-ADRegistration S-ADRegistrationSchema S-C-Inactive S-DC-Inactive S-Inactive

ANSSI Rules mapping

This is the mapping of the ANSSI rules with PingCastle rules.

Number of ANSSI rules matched: 48

1: 20

2: 14

3: 13

4: 1

1Constrained authentication delegation to a domain controller service (link)

ANSSI ID : vuln1_delegation_a2d2

PingCastle ID : P-DelegationDCa2d2

1Constrained delegation with protocol transition to a domain controller service (link)

ANSSI ID : vuln1_delegation_t2a4d

PingCastle ID : P-DelegationDCt2a4d

1Dangerous Display Specifiers (link)

ANSSI ID : vuln1_vuln_display_specifier

PingCastle ID : P-DisplaySpecifier

123Dangerous dsHeuristics settings (link)

ANSSI ID : vuln1_dsheuristics_bad vuln2_dsheuristics_bad vuln3_dsheuristics_bad

PingCastle ID : A-DsHeuristicsAllowAnonNSPI A-DsHeuristicsAnonymous A-DsHeuristicsDoNotVerifyUniqueness A-DsHeuristicsLDAPSecurity P-DsHeuristicsAdminSDExMask

1Dangerous enrollment permission on authentication certificate templates (link)

ANSSI ID : vuln1_vuln_adcs_template_auth_enroll_with_name

PingCastle ID : A-CertTempAgent A-CertTempAnyPurpose A-CertTempAnyone A-CertTempCustomSubject A-CertTempNoSecurity

1Domain controllers in inconsistent state (link)

ANSSI ID : vuln1_dc_inconsistent_uac

PingCastle ID : S-DCRegistration

1Domain controllers with passwords unchanged for more than 45 days (link)

ANSSI ID : vuln1_password_change_dc_no_change

PingCastle ID : S-PwdLastSet-DC

1Dormant accounts (link)

ANSSI ID : vuln1_user_accounts_dormant

PingCastle ID : S-Inactive

1Inactive domain controllers (link)

ANSSI ID : vuln1_password_change_inactive_dc

PingCastle ID : S-DC-Inactive

13Insufficient forest and domains functional levels (link)

ANSSI ID : vuln1_vuln_functional_level vuln3_vuln_functional_level

PingCastle ID : S-FunctionalLevel1 S-FunctionalLevel3 S-FunctionalLevel4

1Kerberos pre-authentication disabled for privileged accounts (link)

ANSSI ID : vuln1_kerberos_properties_preauth_priv

PingCastle ID : S-NoPreAuthAdmin

1Large privileged group member count (link)

ANSSI ID : vuln1_privileged_members

PingCastle ID : P-AdminNum

13Misconfigured DNS zones (link)

ANSSI ID : vuln1_dnszone_bad_prop vuln3_dnszone_bad_prop

PingCastle ID : A-DnsZoneUpdate1 A-DnsZoneUpdate2

1Outbound forest trust relationships with sID History enabled (link)

ANSSI ID : vuln1_trusts_forest_sidhistory

PingCastle ID : T-SIDFiltering

1Privileged account passwords age too old (link)

ANSSI ID : vuln1_password_change_priv

PingCastle ID : P-AdminPwdTooOld

1Privileged accounts with SPN (link)

ANSSI ID : vuln1_spn_priv

PingCastle ID : P-Kerberoasting

1Privileged accounts with never-expiring passwords (link)

ANSSI ID : vuln1_dont_expire_priv

PingCastle ID : P-ServiceDomainAdmin

1Resource-based constrained delegation on domain controlers (link)

ANSSI ID : vuln1_delegation_sourcedeleg

PingCastle ID : P-DelegationDCsourcedeleg

1Unfiltered outbound domain trust relationship (link)

ANSSI ID : vuln1_trusts_domain_notfiltered

PingCastle ID : T-SIDFiltering

13Weak or vulnerable certificates (link)

ANSSI ID : vuln1_certificates_vuln vuln3_certificates_vuln

PingCastle ID : A-CertROCA A-CertWeakDSA A-CertWeakRsaComponent A-MD2IntermediateCert A-MD2RootCert A-MD4IntermediateCert A-MD4RootCert A-MD5IntermediateCert A-MD5RootCert A-SHA0IntermediateCert A-SHA0RootCert A-SHA1IntermediateCert A-SHA1RootCert A-WeakRSARootCert A-WeakRSARootCert2

2Accounts or groups with unexpected SID history (link)

ANSSI ID : vuln2_sidhistory_dangerous

PingCastle ID : T-SIDHistoryDangerous

2Accounts with never-expiring passwords (link)

ANSSI ID : vuln2_dont_expire

PingCastle ID : S-PwdNeverExpires

2Bad Active Directory versions (link)

ANSSI ID : vuln2_adupdate_bad

PingCastle ID : P-DelegationKeyAdmin

2Kerberos pre-authentication disabled (link)

ANSSI ID : vuln2_kerberos_properties_preauth

PingCastle ID : S-NoPreAuth

2Krbtgt account password unchanged for more than a year (link)

ANSSI ID : vuln2_krbtgt

PingCastle ID : A-Krbtgt

2Privileged group members with weak password policy (link)

ANSSI ID : vuln2_privileged_members_password

PingCastle ID : A-MinPwdLen

2Privileged users revealed on RODC (link)

ANSSI ID : vuln2_rodc_priv_revealed

PingCastle ID : P-RODCAdminRevealed

2SYSVOL replication through NTFRS (link)

ANSSI ID : vuln2_sysvol_ntfrs

PingCastle ID : A-NTFRSOnSysvol

2Schema class allowing dangerous object creation (link)

ANSSI ID : vuln2_warning_schema_posssuperiors

PingCastle ID : S-ADRegistrationSchema

2Servers with passwords unchanged for more than 90 days (link)

ANSSI ID : vuln2_password_change_server_no_change_90

PingCastle ID : S-PwdLastSet-90

2The "Pre - Windows 2000 Compatible Access" group includes "Anonymous" (link)

ANSSI ID : vuln2_compatible_2000_anonymous

PingCastle ID : A-PreWin2000Anonymous

2Trust account passwords unchanged for more than a year (link)

ANSSI ID : vuln2_trusts_accounts

PingCastle ID : T-AzureADSSO T-Inactive

2Unconstrained authentication delegation (link)

ANSSI ID : vuln2_delegation_t4d

PingCastle ID : P-UnconstrainedDelegation

2Use of Kerberos with weak encryption (link)

ANSSI ID : vuln2_kerberos_properties_deskey

PingCastle ID : S-DesEnabled

3Accounts or groups with SID history set (link)

ANSSI ID : vuln3_sidhistory_present

PingCastle ID : T-SIDHistorySameDomain T-SIDHistoryUnknownDomain

3Accounts with modified PrimaryGroupID (link)

ANSSI ID : vuln3_primary_group_id_nochange

PingCastle ID : S-C-PrimaryGroup S-PrimaryGroup

3Accounts with passwords stored using reversible encryption (link)

ANSSI ID : vuln3_reversible_password

PingCastle ID : A-ReversiblePwd A-UnixPwd S-C-Reversible S-Reversible

3Dangerous configuration of read-only domain controllers (RODC) (neverReveal) (link)

ANSSI ID : vuln3_rodc_never_reveal

PingCastle ID : P-RODCNeverReveal

3Dangerous configuration of read-only domain controllers (RODC) (reveal) (link)

ANSSI ID : vuln3_rodc_reveal

PingCastle ID : P-RODCRevealOnDemand

3Dangerous configuration of replication groups for read-only domain controllers (RODCs) (allow) (link)

ANSSI ID : vuln3_rodc_allowed_group

PingCastle ID : P-RODCAllowedGroup

3Dangerous configuration of replication groups for read-only domain controllers (RODCs) (denied) (link)

ANSSI ID : vuln3_rodc_denied_group

PingCastle ID : P-RODCDeniedGroup

3Inactive servers (link)

ANSSI ID : vuln3_password_change_inactive_servers

PingCastle ID : S-C-Inactive

3Inbound trust relationships with delegation (link)

ANSSI ID : vuln3_trusts_tgt_deleg

PingCastle ID : T-TGTDelegation

3Incorrect object owners (link)

ANSSI ID : vuln3_owner

PingCastle ID : P-DCOwner

3Privileged accounts outside of the Protected Users group (link)

ANSSI ID : vuln3_protected_users

PingCastle ID : P-ProtectedUsers

3Servers with passwords unchanged for more than 45 days (link)

ANSSI ID : vuln3_password_change_server_no_change_45

PingCastle ID : S-PwdLastSet-45

3Use of the "Pre-Windows 2000 Compatible Access" group (link)

ANSSI ID : vuln3_compatible_2000_not_default

PingCastle ID : A-PreWin2000Other

4DnsAdmins group members (link)

ANSSI ID : vuln4_dnsadmins

PingCastle ID : P-DNSAdmin

Rules evaluated during PingCastle Healthcheck

Date: 2023-04-22 - Engine version: 3.0.0.3 Beta

Risk model

Stale Objects

Inactive user or computer

Check if all computers are using regular password change practices.

Check if all computers have changed their passwords in the last 3 months.

Check if all DC are active.

Check if all DC are using regular password change practices.

Inactive account check

Inactive computer check

Network topography

Check for completeness of network declaration

Object configuration

Check for hidden group membership for computer accounts

Check for hidden group membership for user accounts

Check for reversible password used for user accounts

Check for reversible passwords used for computer accounts

Check if all accounts require Kerberos pre-authentication

Check if all admin accounts require Kerberos pre-authentication

Check that every account requires a password

Check that there is no account with never-expiring passwords

Ensure that clients support Kerberos armoring when the domain functional level is at least Windows Server 2012

Ensure that DC supports Kerberos armoring when functional level is at least Windows Server 2012

Search for Java schema extension RFC 2713

SIDHistory check

Obsolete OS

Ensure that the functional level of the domain and the forest are up to date to use the latest security features

Ensure that the functional level of the domain and the forest are up to date to use the latest security features

Ensure that the functional level of the domain and the forest are up to date to use the latest security features

Obsolete Domain Controller (Windows 2000)

Obsolete Domain Controller (Windows Server 2003)

Obsolete Domain Controller (Windows Server 2008)

Obsolete OS (Windows 10 or Windows 11)

Obsolete OS (Windows 2000)

Obsolete OS (Windows 7)

Obsolete OS (Windows 8)

Obsolete OS (Windows NT)

Obsolete OS (Windows Server 2003)

Obsolete OS (Windows Server 2008)

Obsolete OS (Windows Vista)

Obsolete OS (Windows XP)

Old authentication protocols

Check the use of Kerberos with weak encryption (DES algorithm)

DC vulnerability (SMB v1)

Ensure that the NTLMv1 and old LM protocols are banned

Provisioning

Check if all DC are well registered.

Check the process of registration of computers to the domain

Vulnerable Schema Class check

Replication

Duplicate account check

Vulnerability management

DC vulnerability (MS14-068)

DC vulnerability (MS17-010)

Domain controller update

Search for WSUS configuration enabling the use of a user proxy

Search for WSUS configuration using HTTP instead of HTTPS

Search for WSUS configuration where certificate pinning has been disabled

Privileged Accounts

Account take over

At least one administrator account can be delegated

Check if admin accounts are vulnerable to the Kerberoast attack.

Check if all admin passwords are changed on the field.

Check if all privileged accounts are in the special group Protected Users.

Check if there is a policy preventing administrators to connect to lower tier systems.

Ensure that custom Display Specifiers are stored in SYSVOL

ACL Check

At least one domain controller is not owned correctly

Check for Dangerous rights found in OU delegation

Check if the behavior DoListObject has been enabled

Check if the Dns Admins group is not empty

Check if there is an explicit delegation on DNS servers.

Ensure that all login scripts cannot be modified by any user

Ensure that bogus Windows Server 2016 AD prep did not introduce vulnerabilities

Ensure that Exchange did not introduce security vulnerabilities

Ensure that Exchange did not modify the AdminSDHolder object to introduce vulnerabilities

Ensure that files deployed by a GPO cannot be modified by everyone.

Ensure that GPO items cannot be modified by any user

Ensure that the AdminSDHolder protection has not been disabled for some critical groups