Grosse mise à jour en octobre 2024 pour la posture de sécurité liée à Active Directory Domain Services et disponible dans Microsoft Defender for Identity. 10 nouvelles recommandations voient le jour et enrichissent ainsi le Microsoft Secure Score.

Accounts with non-default Primary Group ID
Cette recommandation répertorie tous les comptes utilisateurs et machine dont l’attribut PrimaryGroupId (PGID) n’est pas à la valeur par défaut.
L’attribut primaryGroupId d’un compte utilisateur ou machine accorde une appartenance implicite à un groupe. L’appartenance via cet attribut n’apparaît pas dans la liste des membres du groupe dans certaines interfaces. Cet attribut peut donc être utilisé pour tenter de masquer l’appartenance à un groupe.

Change Domain Controller computer account old password
Cette recommandation répertorie tous les comptes d’ordinateur de contrôleur de domaine dont le mot de passe a été défini pour la dernière fois il y a plus de 45 jours.

GPO assigns unprivileged identities to local groups with elevated privileges
Cette recommandation répertorie les utilisateurs non privilégiés bénéficiant d’autorisations élevées via GPO.
L’utilisation de GPO pour ajouter une appartenance à un groupe local peut créer un risque de sécurité si le groupe cible dispose de privilèges importants. Pour atténuer ce risque, il est important d’identifier tous les groupes locaux, tels que les administrateurs locaux ou l’accès distant, auxquels les Authenticated Users ou Everyone se voient accorder l’accès par GPO.

GPO can be modified by unprivileged accounts
Cette recommandation répertorie tous les objets de stratégie de groupe de l’environnement qui peuvent être modifiés par des utilisateurs standard, ce qui peut potentiellement conduire à la compromission du domaine.

Reversible passwords found in GPOs
Cette recommandation répertorie tous les objets de stratégie de groupe de l’environnement qui contiennent des mot de passe.

Built-in Active Directory Guest account is enabled
Cette recommandation indique si un compte Invité AD (guest) est activé dans l’environnement.

Unsafe permissions on the DnsAdmins group
Cette recommandation répertorie tout membre du groupe DNS Admins qui n’est pas un utilisateur privilégié

Ensure that all privileged accounts have the configuration flag « this account is sensitive and cannot be delegated”
Cette recommandation répertorie tous les comptes à privilèges pour lesquels le flag « account is sensitive and cannot be delegated » n’est pas positionné.

Change password of krbtgt account
Cette recommandation répertorie tous les comptes krbtgt de l’environnement dont le mot de passe a été défini pour la dernière fois il y a plus de 180 jours.

Change password of built-in domain Administrator account
Cette recommandation répertorie tous les comptes d’administrateur de domaine de l’environnement avec un mot de passe défini pour la dernière fois il y a plus de 180 jours.