Honeypot accounts #16
Comments
|
Bonjour, Ce ne serait pas une bonne idée. On ne va pas débattre ici sur l'utilité ou non de ce type de compte. Cependant, nous avons vu des implémentations où ces comptes mettaient réellement en danger l'AD. Il semble donc important de relever la configuration des AD dans leur globalité et d'être sûr que ces comptes induisent seulement des défauts, mais pas des vulnérabilités exploitables. De plus, ce mécanisme pourrait être utilisé pour ne pas relever des comptes ayant des défauts : il serait plus facile d'éviter l'analyse que de corriger les problèmes relevés. Enfin, ORADAD n'est qu'un simple outil de relevé. S'il fallait faire une exception, ce serait à faire dans le moteur d'analyse utilisant les données issues d'ORADAD. |
|
Très bien, merci pour votre réponse |
Bonjour,
Serait-ce possible d'ajouter une configuration pour exclure de l'analyse les comptes honeypots, volontairement vulnérables dans un objectif de détection d'attaque ?
Par exemple, un compte utilisateur avec un SPN, ou un compte sans pré-authentification Kerberos.
En exemple, l'outil PingCastle le permet : https://github.com/vletoux/pingcastle/blob/master/app.config#L59
Merci !
The text was updated successfully, but these errors were encountered: