Rapport d'évaluation des risques liés à l'identité

    Le rapport d'évaluation des risques liés à l'identité dans ADManager Plus identifie les indicateurs de risque d'identité potentiels dans votre organisation. Il offre une visibilité sur la santé et la posture de risque de vos environnements Active Directory (AD) et Microsoft 365. ADManager Plus met en œuvre les directives de NIST SP 800-30 pour évaluer la probabilité d'occurrence et le niveau d'impact des indicateurs de risque afin de calculer un score de risque. Il localise les indicateurs de risque plausibles dans votre organisation, offre des informations sur les raisons pour lesquelles ils pourraient être un indicateur de risque, et ce qui peut être fait pour sécuriser votre organisation contre eux. ADManager Plus calcule également et affiche un score de risque pour résumer l'importance des risques identifiés.

    En résumé, ADManager Plus évalue votre environnement AD et Microsoft 365, identifie les indicateurs de risque potentiels, les évalue, fournit des mesures de correction, et vous aide à maintenir les risques à distance avec ce rapport.

    Dans ce document, vous apprendrez ce qui suit :

    Comprendre les termes clés

    Voici quelques termes que vous rencontrerez dans ce rapport, et il est impératif de les connaître :

    Terme Description
    Score de risque Un indicateur de votre posture de risque globale. Il peut être faible, moyen, élevé ou critique. Il est recommandé d'avoir un score de risque faible pour sécuriser votre organisation.
    Exposition au risque Elle signifie le pourcentage d'objets vulnérables à un risque particulier.
    Probabilité d'occurrence La possibilité d'une occurrence pour l'indicateur de risque identifié, accompagnée d'informations sur les dommages potentiels qu'il pourrait causer.
    Mesures de correction Actions qui peuvent être prises pour éliminer et éviter l'indicateur de risque identifié.
    Vue du tableau de bord Une vue complète et unique de tous les indicateurs de risque identifiés, catégorisés en fonction des objets identifiés, ainsi qu'un indicateur graphique du score de risque.
    Vue en mosaïque Une vue en mosaïque de tous les indicateurs de risque identifiés, catégorisés en fonction de leur gravité, ainsi que des indicateurs graphiques.
    Tendance du score Suivez comment votre score de risque global change au fil du temps avec des graphiques visuels pour surveiller l'efficacité des efforts de correction et identifier les modèles d'exposition aux risques.

    Étapes pour afficher un rapport d'évaluation des risques dans ADManager Plus

    1. Connectez-vous à ADManager Plus.
    2. Accédez à l'onglet Gouvernance .
    3. Dans le volet de gauche, cliquez sur le rapport Évaluation des risques liés à l'identité .
    4. Sélectionnez le domaine pour lequel vous souhaitez afficher le rapport sous Gestion des risques.
    5. Un tableau de bord affichera alors votre score de risque, ainsi que les risques identifiés dans votre réseau.
    6. La section Tendance du score affiche comment votre score de risque a changé au fil du temps grâce à un graphique visuel, vous aidant à suivre les améliorations et à identifier les nouvelles vulnérabilités dans votre environnement AD.

    Afficher, exporter et gérer les risques

    • Exporter le rapport: Le rapport peut être exporté en cliquant sur le bouton Exporter sous . Le rapport d'évaluation des risques global et les objets à risque peuvent être exportés en cliquant sur les boutons appropriés.
    • Afficher le rapport: Vous pouvez basculer entre la Vue en mosaïque et la Vue du tableau de bord en cliquant sur les boutons appropriés.
    • Filtrer les risques: Les risques dans la vue Tableau de bord peuvent être affinés à l'aide du Filtre menu déroulant en fonction de leur gravité.
    • Gérer les risques: Cliquez sur un risque pour afficher les objets à risque et les corriger à l'aide des actions de gestion. Les données de risque peuvent être actualisées en cliquant sur le Actualiser bouton.

    Remarque: Seuls les techniciens auxquels le Évaluation des risques liés à l'identité rôle a été délégué peuvent afficher ce rapport et uniquement dans les unités d'organisation déléguées. Pour déléguer ce rôle, Délégation > Rôles du support technique > Modifier un rôle de support technique/Créer un nouveau rôle > Administration > Général > Vérifier Évaluation des risques liés à l'identité.

    Comment le score de risque est-il calculé ?

    ADManager Plus évalue les risques actifs dans votre environnement d'identité. Tous les indicateurs de risque passent par trois phases de calcul. Cette évaluation combine des techniques qualitatives et quantitatives, ce qui la rend semi-quantitative. Le résultat final est de dériver un score de risque qui représente la posture de sécurité de votre AD.

    Ce qui suit est une explication de la méthodologie de notation des risques, des facteurs utilisés pour calculer le score de risque et de la logique qui le sous-tend.

    Phase 1 : Détermination de la gravité

    Dans la première phase, chaque indicateur de risque est évalué en suivant un processus de calcul en trois étapes : détermination de la probabilité, analyse de l'impact et détermination de la gravité.

    Étape 1 : Détermination de la probabilité

    La probabilité d'occurrence est la probabilité ou la chance qu'un événement de menace ou un risque particulier se produise ou se matérialise. La probabilité globale est déterminée en corrélant la « Probabilité d'initiation d'attaque » et la « Probabilité de réussite de l'attaque initiée ».

    Probabilité d'initiation d'attaque: La probabilité qu'une source de menace initie un événement de menace ou une exploitation de vulnérabilité. Les facteurs pertinents pour la capacité considérés dans la probabilité d'initiation d'attaque sont :

    • Niveau de compétence requis
    • Opportunité requise

    Probabilité de réussite de l'attaque initiée: La probabilité qu'une attaque initiée ou un événement de menace entraîne un impact négatif sur les actifs, les opérations ou les objectifs de l'organisation. Les facteurs considérés dans la probabilité de réussite de l'attaque initiée sont la « Capacité » et la « Gravité de la vulnérabilité ».

    Capacité: Fait allusion aux compétences, ressources et opportunités à la disposition des attaquants potentiels qu'ils peuvent exploiter pour tirer parti des vulnérabilités, escalader les privilèges et orchestrer des activités malveillantes ultérieures au sein de l'AD ou de l'environnement d'identité. Les facteurs de capacité sont mentionnés dans la probabilité d'initiation d'attaque.

    Gravité de la vulnérabilité: Le degré ou le niveau de préjudice qui pourrait résulter de l'exploitation d'un indicateur de risque spécifique. Les facteurs considérés pour dériver la gravité de la vulnérabilité sont :

    • Facilité de découverte
    • Facilité d'exploitation

    Pour chaque indicateur de risque, une valeur numérique est attribuée à chaque capacité et la facteurs de gravité de la vulnérabilité. La moyenne de tous les facteurs de capacité entraînera la capacité globale tandis que la moyenne de tous les facteurs de gravité de la vulnérabilité entraînera la gravité globale de la vulnérabilité.

    Par la suite, la capacité globale et la gravité de la vulnérabilité sont moyennées pour dériver la probabilité d'initiation d'attaque.

    Probabilité globale: Un résultat d'évaluation dérivé en corrélant les résultats de la probabilité d'initiation d'attaque et de la probabilité de réussite de l'attaque initiée pour chaque indicateur de risque à l'aide d'une matrice de corrélation 4x4.

    Étape 2 : Analyse de l'impact

    Cette étape évalue les conséquences potentielles d'un risque ou d'une exploitation de vulnérabilité. Les conséquences potentielles peuvent inclure des dommages aux opérations commerciales d'une entreprise, une perte financière, un dommage à la réputation, ou tout autre aspect jugé pertinent par l'organisation. Les facteurs considérés dans l'analyse de l'impact sont :

    • Confidentialité
    • Intégrité
    • Aisponibilité

    Similairement à l'étape précédente, pour chaque indicateur de risque, une valeur numérique est attribuée à chaque analyse de l'impact facteurs et la moyenne de tous ces facteurs entraînera l'impact global.

    Étape 3 : Détermination de la gravité

    Cette étape détermine la gravité des risques en fonction de leur probabilité et de leur impact à l'aide d'une matrice de corrélation 4x4.

    Matrice de risque : Probabilité par rapport à l'impact

    risk-matrix

    *L'échelle verticale est la probabilité et l'échelle horizontale est l'impact

    Phase 2 : Attribution de pondérations et calcul de l'exposition au risque

    Dans la deuxième phase, chaque indicateur de risque se voit attribuer une pondération en fonction de son impact et de sa gravité de risque. L'échelle de pondération varie de 1 à 10.

    Une fois la pondération attribuée, l'étape suivante consiste à calculer l'exposition au risque pour chaque indicateur de risque. Cela implique d'utiliser la formule : nombre d'objets à risque liés à un risque spécifique divisé par le nombre total d'objets dans le champ d'application de ce risque dans l'environnement.

    Voici quelques exemples :

    • Exposition au risque pour les utilisateurs non privilégiés désactivés = Nombre d'utilisateurs non privilégiés désactivés/Nombre total d'utilisateurs non privilégiés
    • Exposition au risque pour les utilisateurs privilégiés inactifs = Nombre d'utilisateurs privilégiés inactifs/Nombre total d'utilisateurs privilégiés
    • Exposition au risque pour les groupes vides = Nombre de groupes vides/Nombre total de groupes

    Phase 3 : Détermination du score de risque

    Dans la phase finale, le score de risque global pour votre environnement d'identité est calculé à l'aide d'une méthode de moyenne pondérée composée de valeurs de pondération et d'expositions au risque en tant que variables.

    Remarque: Le score de risque et le rapport deviennent obsolètes lorsqu'un rapport plus récent est généré. Seuls les indicateurs de risque inclus dans l'évaluation sont notés, et les n'ont pas pu exécuter les indicateurs ne sont pas inclus dans le score de risque final. Il est conseillé d'inclure tous les domaines dans la forêt sélectionnée avant d'effectuer une évaluation pour une analyse précise de votre environnement d'identité.

    ADManager Plus identifie les risques dans les environnements Active Directory et Microsoft 365 en analysant les indicateurs de risque clés. Ces indicateurs révèlent des vulnérabilités potentielles, permettant aux organisations de catégoriser les risques et de prendre des mesures proactives pour améliorer la sécurité. Les catégories suivantes sont incluses :

    Indicateurs de risque dans AD Indicateurs de risque dans Microsoft 365

    Indicateurs de risque dans AD

    Utilisateurs :

    Utilisateurs privilégiés Utilisateurs non privilégiés Général
    • Utilisateurs inactifs
    • Utilisateurs qui ne se sont jamais connectés
    • Utilisateurs avec des mots de passe inchangés
    • Utilisateurs dont le mot de passe n'expire jamais
    • Utilisateurs avec l'option « Mot de passe non requis » activée
    • Utilisateurs désactivés
    • Membres de groupes privilégiés
    • Utilisateurs avec historique SID
    • Utilisateurs avec pré-authentification Kerberos désactivée
    • Utilisateurs sans stratégie de mot de passe affinée
    • Comptes avec des mots de passe stockés à l'aide du chiffrement réversible
    • Utilisateurs avec chiffrement Kerberos DES activé
    • Comptes avec noms de principal du service (SPN)
    • Comptes d'utilisateur avec stratégie de mot de passe faible
    • Utilisateurs inactifs
    • Utilisateurs qui ne se sont jamais connectés
    • Utilisateurs avec des mots de passe inchangés
    • Utilisateurs dont le mot de passe n'expire jamais
    • Utilisateurs avec l'option « Mot de passe non requis » activée
    • Utilisateurs désactivés
    • Utilisateurs avec historique SID
    • Utilisateurs avec pré-authentification Kerberos désactivée
    • Utilisateurs avec valeur AdminCount
    • Comptes avec des mots de passe stockés à l'aide du chiffrement réversible
    • Utilisateurs avec chiffrement Kerberos DES activé
    • Comptes d'utilisateur avec stratégie de mot de passe faible
    • Comptes avec ID de groupe principal anormal
    • Utilisateurs sans ID de groupe principal lisible

    Comptes de service

    • Comptes de service avec des mots de passe inchangés
    • Comptes de service utilisant des algorithmes de chiffrement faibles
    • Comptes de service inactifs

    Ordinateur

    Ordinateur Contrôleur de domaine
    • Ordinateurs désactivés
    • Ordinateurs inactifs
    • Ordinateurs approuvés avec délégation sans contrainte
    • Ordinateurs exécutant des versions de système d'exploitation obsolètes
    • Ordinateurs avec BitLocker désactivé
    • Comptes d'ordinateur avec des mots de passe inchangés
    • Serveurs avec des mots de passe inchangés
    • Délégation avec contrainte avec transition de protocole vers un service privilégié
    • Ordinateurs avec ID de groupe principal anormal
    • Serveurs avec SMB version 1.0
    • Ordinateurs avec ID de groupe principal illisible
    • Contrôleurs de domaine avec délégation avec contrainte basée sur les ressources configurée
    • Contrôleurs de domaine avec des configurations inhabituelles
    • Contrôleurs de domaine inactifs

    Groupes

    • Groupes vides
    • Groupes privilégiés
    • Grands groupes privilégiés
    • Groupes avec un seul membre
    • Grands groupes
    • Groupes avec historique SID

    GPOs

    • Objets stratégie de groupe non liés
    • Objets stratégie de groupe désactivés

    Sécurité

    • Objets avec des autorisations pour réinitialiser les mots de passe des comptes privilégiés
    • Objets avec des autorisations pour modifier les appartenances à des groupes pour les comptes privilégiés
    • Objets sans autorisations héritées
    • Comptes non-administrateur avec des autorisations sur les contrôleurs de domaine
    • Comptes inhabituels autorisés pour la réplication des contrôleurs de domaine
    • Comptes non autorisés avec autorisations AdminSDHolder
    • Comptes non privilégiés avec des autorisations sur les objets stratégie de groupe
    • Administrateurs fantômes

    Erreurs de configuration

    • Expiration du mot de passe manquante pour les utilisateurs de carte à puce
    • gMSA non utilisé dans le domaine
    • Niveaux fonctionnels de forêt et de domaine bas
    • Niveau d'authentification LAN Manager hérité
    • Réplication SYSVOL utilisant NTFRS
    • Mot de passe du compte Krbtgt inchangé depuis plus d'un an
    • Paramètres dsHeuristics dangereux
    • Client WinRM configuré pour utiliser l'authentification de base
    • Windows Installer défini pour installer toujours avec des privilèges élevés
    • Stockage du hachage LAN Manager non désactivé
    • Signature LDAP non appliquée sur les contrôleurs de domaine
    • Transcription PowerShell non activée
    • Rôle serveur Fax installé
    • La tolérance de synchronisation de l'horloge dépasse cinq minutes
    • Approbation de domaine sortante vers un domaine tiers sans mise en quarantaine
    • Client Telnet installé
    • Mode d'approbation du contrôle de compte d'utilisateur (UAC) pour l'administrateur intégré désactivé
    • PowerShell 2.0 installé
    • Protocole PNRP (Peer Name Resolution Protocol) installé
    • Services TCP/IP simples installés
    • Durée du verrouillage du compte inférieure à 15 minutes
    • La durée de vie du ticket de service Kerberos dépasse 600 minutes
    • La durée de vie du ticket utilisateur Kerberos dépasse 10 heures
    • Compte invité activé
    • Service Spooler d'impression activé sur le contrôleur de domaine
    • Groupe Utilisateurs protégés non utilisé
    • sIDHistory activé dans les approbations de forêt
    • Les contrôleurs de domaine ont accès à Internet
    • Traduction anonyme de SID ou de nom autorisée
    • Liaison de canal LDAP non appliquée
    • Restrictions de connexion utilisateur Kerberos non appliquées
    • Compte administrateur intégré non renommé
    • Compte invité intégré non renommé
    • Démarrage sécurisé désactivé
    • Droits de connexion Bureau à distance attribués aux utilisateurs non administrateurs
    • Impression Internet activée
    • Packages de pilotes d'impression téléchargés via HTTP
    • Client Bureau à distance sauvegardant les mots de passe
    • Droits de sauvegarde attribués aux utilisateurs non administrateurs
    • Connexion automatique après redémarrage activée
    • Options d'installation non restreintes pour les utilisateurs
    • Écran intelligent Microsoft Defender Antivirus désactivé
    • Connexions Bureau à distance autorisées sans invite de mot de passe
    • Redirection de lecteur Bureau à distance activée
    • Authentification par carte à puce non appliquée pour les utilisateurs AD

    Indicateurs de risque dans Microsoft 365

    Utilisateurs :

    Utilisateurs privilégiés Utilisateurs non privilégiés Général
    • Utilisateurs sans authentification multifacteur
    • Multitude d'utilisateurs privilégiés
    • Multitude d'administrateurs globaux
    • Utilisateurs inactifs
    • Utilisateurs jamais connectés
    • Utilisateurs bloqués
    • Compte utilisateur synchronisé
    • Utilisateurs sans authentification multifacteur
    • Utilisateurs inactifs
    • Utilisateurs jamais connectés
    • Utilisateurs bloqués
    • Utilisateurs inactifs sur des services Microsoft 365 spécifiques

    Groupes

    • Groupes vides

    Remarque: Lorsqu'ADManager Plus accède aux détails des objets de domaine pour analyser les risques via des requêtes LDAP, il peut déclencher des alertes de sécurité dans vos systèmes de sécurité existants.

    Vous ne trouvez pas ce que vous cherchez ?

    •  

      Visitez notre communauté

      Posez vos questions sur le forum.

       
    •  

      Demander des ressources supplémentaires

      Envoyez-nous vos exigences.

       
    •  

      Avez-vous besoin d'assistance pour la mise en œuvre ?

      Essayez OnboardPro

       
    Copyright © © 2025, ZOHO Corporation.Tous droits réservés.