Accès aux objets ou conteneurs AD

Rôle utilisateur requis : administrateur de domaine Active Directory

Remarque : cette section s'applique uniquement à une licence Tenable Identity Exposure du module Indicateur d'exposition.

Tenable Identity Exposure ne nécessite pas de privilèges administratifs pour assurer sa surveillance de la sécurité.

Cette approche repose le fait que le compte utilisateur employé par Tenable Identity Exposure est capable de lire tous les objets Active Directory stockés dans un domaine (y compris les comptes utilisateur, les unités d'organisation, les groupes, etc.).

Par défaut, la plupart des objets ont un accès en lecture pour le groupe Utilisateurs de domaine que le compte de service Tenable Identity Exposure utilise. Cependant, vous devez configurer manuellement certains conteneurs pour autoriser l'accès en lecture pour le compte utilisateur Tenable Identity Exposure.

Le tableau suivant détaille les objets et conteneurs Active Directory qui nécessitent une configuration manuelle pour un accès en lecture sur chaque domaine que Tenable Identity Exposure doit surveiller.

Localisation du conteneur

Description

CN=Objets supprimés,DC=<DOMAINE>,DC=<TLD>

Conteneur qui héberge les objets supprimés.

CN=Conteneur de paramètres de mot de passe,CN=Système, DC=<DOMAINE>,DC=<TLD>

(Facultatif) Conteneur qui héberge les objets de paramètres de mot de passe.

Pour accorder l'accès aux objets et aux conteneurs AD :

  • Dans la console PowerShell du contrôleur de domaine, exécutez les commandes suivantes pour accorder l'accès aux objets ou conteneurs Active Directory :

    Remarque : vous devez exécuter ces commandes sur chaque domaine surveillé par Tenable Identity Exposure.
    Remarque : lorsque vous utilisez la commande takeownership, elle réattribue la propriété d'un conteneur. L'utilisateur actuel peut ainsi modifier des autorisations qui étaient auparavant trop restrictives.
    Si l'utilisateur actuel appartient aux groupes recommandés par Tenable, tels que les administrateurs de domaine ou les administrateurs d'entreprise, l'un de ces groupes deviendra le nouveau propriétaire. Cette pratique est considérée comme une attribution de propriété sécurisée.
    Toutefois, si l'utilisateur ne fait pas partie de l'un de ces groupes, le compte utilisateur lui-même devient le nouveau propriétaire. Cette pratique n'est pas recommandée et vous devrez réattribuer manuellement la propriété à un groupe plus sécurisé.

    Si l'utilisateur actuel appartient aux groupes recommandés, tels que les administrateurs de domaine ou les administrateurs d'entreprise, l'un de ces groupes deviendra le nouveau propriétaire. Cette pratique est considérée comme une attribution de propriété sécurisée.

    Toutefois, si l'utilisateur ne fait *pas* partie de l'un de ces groupes, le compte utilisateur lui-même devient le nouveau propriétaire. Cette pratique n'est pas recommandée et vous devrez réattribuer manuellement la propriété à un groupe plus sécurisé.

    Copier 
    #Set Service Account
    $serviceAccount = "<SERVICE_ACCOUNT>"

    #Don't Edit after here
    $domain = Get-ADDomain
    @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object {
        & dsacls $_ /takeownership
        & dsacls $_ /g "$($serviceAccount):LCRP" /I:T
    }
    <__SERVICE_ACCOUNT__> désigne le compte de service utilisé par Tenable Identity Exposure.

Autrement, si PowerShell n'est pas disponible, vous pouvez également exécuter ces commandes pour chaque conteneur :

Copier 
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

Dans ces commandes :

  • <__CONTAINER__> désigne le conteneur qui nécessite un accès.

  • <__SERVICE_ACCOUNT__> désigne le compte de service que Tenable Identity Exposure utilise.