PingCastle Indicators

PingCastle sur une nouvelle forêt Active Directory

A l’image des audits proposés par Microsoft sur Active Directory (ADRaaS, OAADS, ADRaP…), il existe de plus en plus d’outils pour générer soi même un état de santé des plateformes. Il existe par exemple PingCastle, un utilitaire gratuit et open source qui vérifie, sans besoin d’installation ou de droit particulier, les points de sécurité les plus importants.

Passage d’une forêt 2019 à l’outil

Alors, pour voir, j’ai vérifié une forêt toute neuve composée de deux contrôleurs de domaine en Windows Server 2019.

PingCastle-Lancement

Et ce n’est pas si mauvais que je le pensais. Les principales recommandations semblent maintenant être appliquées par défaut avec le dernier système d’exploitation de Microsoft.

Le rapport généré

Visualisez le résultat du Healthcheck analysis (page html) par PingCastle

Et bizarrement, même après avoir importé et appliquée la GPO « Domain Controller » de la Security baseline 2019, il y a encore des paramètres à corriger.

Il reste principalement

  • Restreindre le droit d’ajouter des machines au domaine
  • Créer au moins un sous-réseau (même si toutes les machines sont dans le même)
  • Flagguer le(s) compte(s) administrateurs avec « Le compte est sensible et ne peut être délégué »
  • Vider le groupe « Administrateurs du schéma »
  • Activer la corbeille Active Directory
  • Mettre en place l’audit
  • Mettre en place l’audit PowerShell
  • Désactiver le service « Spouleur d’impression »
  • Désactiver la résolution de noms multidiffusion (LLMNR)

Restreindre le droit d’ajouter des machines au domaine

Il faut modifier la GPO (ou en ajouter une) qui s’applique aux contrôleurs de domaine pour limiter le droit « Ajouter des stations de travail au domaine » à « Administrateurs » à la place de « Utilisateurs authentifiés ».

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur

Ajouter des stations de travail au domaine

Mettre en place l’audit

Microsoft fourni un article avec les bonnes pratiques d’audit à mettre en place : Audit Policy Recommendations

Audit Policy Recommendations

Mettre en place l’audit PowerShell

Encore une fois, il faut modifier la GPO (ou en ajouter une) qui s’applique au domaine pour « Activer l’enregistrement des modules » et « Activer la journalisation de blocs de scripts PowerShell »

Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows PowerShell

Mettre en place l'audit PowerShell

Désactiver le service « Spouleur d’impression »

Vous pouvez le faire localement sur chacun des contrôleurs de domaine. Cependant pour ne pas en oublier, vous pouvez modifier la GPO (ou en ajouter une) qui s’applique aux contrôleurs de domaine et forcer la désactivation du service.

Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Désactiver le service Spooler

Désactiver la résolution de noms multidiffusion (LLMNR)

Il faut modifier la GPO (ou en ajouter une) qui s’applique au domaine pour activer la désactivation LLMNR.

Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Client DNS
Désactiver la résolution de noms multidiffusion

Les points testés ?

L’outil PingCastle contient une option (Advanced puis Rules) pour générer une page HTML dynamique avec tous les points qu’il vérifie. Et la liste est longue : Rules evaluated during PingCastle Healthcheck

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.