Qui peut paramétrer le scan d’Active Directory ?
N’importe quel end-point connecté à l’Active Directory suffit pour faire tourner le script, il n’y a pas besoin de l’exécuter depuis un compte administrateur. Il est possible de le faire tourner sur une machine connectée à l’AD, ou sur l’AD directement.
Activer le scan d’Active Directory
L'installation de l'outil se fait en 3 étapes :
- Depuis Stoïk Protect, rendez-vous dans l'onglet « Active Directory » ;
- Téléchargez le script ;
- Exécutez-le sur une console Powershell. Durant l'exécution, l'outil PingCastle sera téléchargé.
Les résultats de cet audit mettent en lumière de potentielles vulnérabilités, classées en 4 niveaux : faible, moyenne, élevée et critique. Si une faille est détectée à l'issue du scan, les étapes de remédiation nécessaires à sa résolution sont indiquées.
Pour que l’activation du scan fonctionne, il faut vous assurer que :
- L’Active Directory est en local ;
- La machine est connectée à Internet ;
- La machine est reliée à l’AD.
Relancer le scan d’Active Directory
Chaque nouvelle exécution doit être lancée manuellement. Le script téléchargé n’est valable que 24 heures : passé ce délai, il faut le télécharger à nouveau depuis dans l’onglet « Active Directory » puis « Paramètres ».
Le scan peut être relancé autant de fois que nécessaire. En fonctionnement normal, nous recommandons de l'exécuter tous les mois. En phase de durcissement de la sécurité de l’infrastructure, il peut être lancé plus fréquemment, afin de vérifier que les mauvaises configurations ont bien été corrigées.