Interférence du durcissement SYSVOL avec Tenable Identity Exposure

SYSVOL est un dossier partagé situé sur chaque contrôleur de domaine (DC) dans un domaine Active Directory. Il contient les dossiers et les fichiers des stratégies de groupe (GPO). Le contenu de SYSVOL se réplique sur tous les DC et est accessible via des chemins UNC (Universal Naming Convention) tels que \\<exemple.com>\SYSVOL ou \\<DC_IP_or_FQDN>\SYSVOL.

Le durcissement SYSVOL désigne l'utilisation du paramètre « Chemins d'accès UNC renforcés », également dénommé « chemins UNC renforcés », « Durcissement de chemin UNC », « Chemins renforcés », etc. Cette fonctionnalité répond à la vulnérabilité MS15-011 (KB 3000483) dans la stratégie de groupe. De nombreuses normes de cyber-sécurité, les critères CIS par exemple, imposent de mettre en œuvre cette fonctionnalité.

Lorsque vous appliquez ce paramètre de durcissement aux clients SMB (Server Message Block), il augmente la sécurité des machines jointes au domaine pour veiller à ce que le contenu de GPO obtenu de SYSVOL n'a pas été falsifié par un attaquant sur le réseau. Cependant, dans certains cas, ce paramètre peut également interférer avec le fonctionnement de Tenable Identity Exposure.

Suivez les conseils de cette section de dépannage si vous constatez que des chemins UNC renforcés perturbent la connectivité entre Tenable Identity Exposure et le partage SYSVOL.

Environnements affectés

Les options de déploiement Tenable Identity Exposure suivantes peuvent rencontrer ce problème :

  • Sur site

  • SaaS avec Secure Relay

L'option de déploiement suivante n'est pas affectée :

  • SaaS avec VPN

Le durcissement SYSVOL étant un paramètre côté client, il fonctionne sur les machines qui se connectent au partage SYSVOL et non pas aux contrôleurs de domaine.

Windows active ce paramètre par défaut et il peut interférer avec Tenable Identity Exposure.

Certaines organisations souhaitent également activer ce paramètre et l'appliquer en utilisant le paramètre GPO associé ou en définissant directement la clé de registre correspondante.

  • Les clés de registre liées aux chemins renforcés UNC se trouvent dans « HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths » :

  • Le paramètre GPO correspondant se trouve dans « Configuration ordinateur\Modèles d'administration\Réseau\Fournisseur réseau\Chemins d'accès UNC renforcés » :

L'application du durcissement SYSVOL se produit lorsque les paramètres « RequireMutualAuthentication » et « RequireIntegrity » d'un chemin UNC faisant référence à SYSVOL, par exemple « \\*\SYSVOL », ont la valeur « 1 ».

Signes de problèmes de durcissement SYSVOL

Lorsque vous suspectez que le durcissement SYSVOL interfère avec Tenable Identity Exposure, vérifiez les éléments suivants :

  1. Dans Tenable Identity Exposure, accédez à Système > Gestion des domaines pour afficher le statut d'initialisation LDAP et SYSVOL de chaque domaine.

    Un domaine ayant une connectivité normale affiche un indicateur vert, tandis qu'un domaine ayant des problèmes de connectivité peut afficher un indicateur d'exploration indéfiniment.

  2. Sur le Directory Listener ou la machine Relay, ouvrez le dossier des journaux : <Dossier d'installation>\DirectoryListener\logs.

  3. Ouvrez le fichier journal Ceti et recherchez la chaîne « SMB mapping creation failed » (Échec de la création du mappage SMB) ou « Access is denied » (accès refusé). Les journaux d'erreurs contenant cette phrase indiquent que le durcissement UNC est probablement en place sur le Directory Listener ou la machine Relay.

Options de remédiation

Il existe deux options de remédiation possibles : Passage à l'authentification Kerberos ou Désactivation du durcissement SYSVOL.

Risques liés à la désactivation du durcissement SYSVOL

Le durcissement SYSVOL étant une fonctionnalité de sécurité, sa désactivation peut soulever des inquiétudes légitimes.

  • Machines non jointes à un domaine — La désactivation du durcissement SYSVOL ne présente aucun risque. Étant donné que ces machines n'appliquent pas de GPO, elles ne reçoivent pas de contenu du partage SYSVOL à exécuter.

  • Machines jointes à un domaine (Directory Listener ou machine Relay), ce que Tenable Identity Exposure ne recommande pas — S'il existe un risque potentiel d'attaque par une interception entre le Directory Listener ou la machine Relay et les contrôleurs de domaine, la désactivation du durcissement SYSVOL présente un risque. Dans ce cas, Tenable Identity Exposure recommande de passer plutôt à l'authentification Kerberos.

La désactivation affecte le Directory Listener ou la machine Relay, mais pas les autres ordinateurs de domaine ni les contrôleurs de domaine.