PingCastle sur une nouvelle forêt Active Directory

A l’image des audits proposés par Microsoft sur Active Directory (ADRaaS, OAADS, ADRaP…), il existe de plus en plus d’outils pour générer soi même un état de santé des plateformes. Il existe par exemple PingCastle, un utilitaire gratuit et open source qui vérifie, sans besoin d’installation ou de droit particulier, les points de sécurité les plus importants.

Passage d’une forêt 2019 à l’outil

Alors, pour voir, j’ai vérifié une forêt toute neuve composée de deux contrôleurs de domaine en Windows Server 2019.

PingCastle-Lancement

Et ce n’est pas si mauvais que je le pensais. Les principales recommandations semblent maintenant être appliquées par défaut avec le dernier système d’exploitation de Microsoft.

Le rapport généré

Visualisez le résultat du Healthcheck analysis (page html) par PingCastle

Et bizarrement, même après avoir importé et appliquée la GPO « Domain Controller » de la Security baseline 2019, il y a encore des paramètres à corriger.

Il reste principalement

  • Restreindre le droit d’ajouter des machines au domaine
  • Créer au moins un sous-réseau (même si toutes les machines sont dans le même)
  • Flagguer le(s) compte(s) administrateurs avec « Le compte est sensible et ne peut être délégué »
  • Ajouter le(s) compte(s) administrateurs au groupe « Protected Users »
  • Vider le groupe « Administrateurs du schéma »
  • Activer la corbeille Active Directory
  • Mettre en place l’audit
  • Mettre en place l’audit PowerShell
  • Désactiver le service « Spouleur d’impression »
  • Désactiver la résolution de noms multidiffusion (LLMNR)

Restreindre le droit d’ajouter des machines au domaine

Il faut modifier la GPO (ou en ajouter une) qui s’applique aux contrôleurs de domaine pour limiter le droit « Ajouter des stations de travail au domaine » à « Administrateurs » à la place de « Utilisateurs authentifiés ».

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateur

Ajouter des stations de travail au domaine

Mettre en place l’audit

Microsoft fourni un article avec les bonnes pratiques d’audit à mettre en place : Audit Policy Recommendations

Audit Policy Recommendations

Mettre en place l’audit PowerShell

Encore une fois, il faut modifier la GPO (ou en ajouter une) qui s’applique au domaine pour « Activer l’enregistrement des modules » et « Activer la journalisation de blocs de scripts PowerShell »

Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Windows PowerShell

Mettre en place l'audit PowerShell

Désactiver le service « Spouleur d’impression »

Vous pouvez le faire localement sur chacun des contrôleurs de domaine. Cependant pour ne pas en oublier, vous pouvez modifier la GPO (ou en ajouter une) qui s’applique aux contrôleurs de domaine et forcer la désactivation du service.

Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Désactiver le service Spooler

Désactiver la résolution de noms multidiffusion (LLMNR)

Il faut modifier la GPO (ou en ajouter une) qui s’applique au domaine pour activer la désactivation LLMNR.

Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Client DNS
Désactiver la résolution de noms multidiffusion

Les points testés ?

L’outil PingCastle contient une option (Advanced puis Rules) pour générer une page HTML dynamique avec tous les points qu’il vérifie. Et la liste est longue : Rules evaluated during PingCastle Healthcheck

Les articles les plus visités

  • Windows Management Framework 5.1Installer PowerShell 5.1 sur Windows Server 2008 R2, 2012 ou 2012 R2En standard, Windows Server 2008 R2 contient PowerShell 2.0, Windows Server 2012 contient PowerShell 3.0 et Windows Server 2012 R2 contient PowerShell 4.0. Il est possible de d’installer PowerShell 5....Publié le 7 mai 2018, mis à jour le 7 septembre 2024
  • Pas de miniatureMigrer la réplication SYSVOL de FRS à DFSRAvec la fin du support de Windows Server 2003 pour juillet 2015, la migration des serveurs devient urgente et les derniers jours des contrôleurs de domaine en 2003 sont arrivés. Si l'on a tous en tête...Publié le 24 février 2013, mis à jour le 7 septembre 2024
  • Dashboard OCS 2.7Installer OCS Inventory NG 2.7 sous CentOS 8Cet article est une mise à jour de l'installation suite à la sortie d'OCS Inventory NG 2.7 : Mise à jour des modules PHP et Perl requis, utilisation de dnf au lieu de yum, passage sous PHP 7.4......Publié le 4 juillet 2020, mis à jour le 7 septembre 2024
  • Pas de miniatureInstaller OCS Inventory NG sous CentOS (suite)Après avoir installé OCS Inventory NG, on s’attaque maintenant à sa configuration : La création de la base de données et d’un compte d’accès, la configuration du portail web d’OCS, la connexion au por...Publié le 19 mai 2018, mis à jour le 7 septembre 2024
  • Fichiers de modèles d'administration pour Windows 10 (2004)Récapitulatif des modèles d’administration (ADMX et ADML)Avec la sortie des Administrative Templates pour Windows 10 20H2, voici un récapitulatif des modèles d’administration (packages ADMX et ADML) disponibles sur le site de Microsoft depuis Windows Vista ...Publié le 11 octobre 2020, mis à jour le 7 septembre 2024