Configuration de l'analyse AD

Prérequis

Le point de terminaison (poste de travail ou serveur) utilisé pour le déploiement de l'analyse doit satisfaire aux prérequis suivants :

Version de Windows
- Windows 10 ou ultérieur sur un poste de travail
- Windows Server 2012 R2 ou ultérieur sur un serveur
Accès à Internet
Inscription dans Active Directory et connexion au contrôleur de domaine
Connecté avec un compte administrateur de domaine
Autoriser l'exécution de scripts non signés
- Première solution -> Exécuter la commande suivante : Set-ExecutionPolicy Unrestricted -Scope LocalMachine
- Deuxième solution -> Ajouter le fichier binaire à la liste d'exclusion dans Defender ou une solution similaire. Ensuite, modifier la stratégie d'exécution : Set-ExecutionPolicy Bypass -Scope Process, puis exécuter le script.
Utiliser un script téléchargé au cours des dernières 24 heures
Avoir la dernière version de PowerShell installée
- Exécuter la commande suivante pour vérifier la version actuelle : $PSVersionTable.PSVersion

Configuration initiale

Cliquez sur page Active Directory
Télécharger le script

Si le script d'analyse AD ne se télécharge pas, vos paramètres de sécurité peuvent le bloquer. Vérifiez si le fichier apparaît dans l'onglet « Téléchargements » de l'explorateur de fichiers. Si le problème persiste, modifiez vos paramètres de sécurité pour autoriser les téléchargements.

Exécuter le script dans une console PowerShell depuis un point de terminaison qui respecte les prérequis mentionnés ci-dessus.

Relancer l'analyse

La mise à jour de l'analyse AD est manuelle : chaque nouvelle exécution doit être lancée manuellement. Le script téléchargé n'est valide que 24 heures : après ce délai, vous devez le télécharger à nouveau.

L'analyse peut être relancée autant de fois que nécessaire :

En fonctionnement normal, nous recommandons de l'exécuter mensuellement
Lors des phases de durcissement de la sécurité de l'infrastructure, elle peut être exécutée plus fréquemment pour vérifier que les mauvaises configurations ont été corrigées.

L'analyse AD est automatiquement relancée quotidiennement pour les clients Stoïk MDR.

Débogage de l'analyse AD

Fermeture du script après exécution

Cela signifie que l'exécution du script est restreinte dans le terminal. Voici une solution en trois étapes :

Téléchargez le script et allez dans Téléchargements, puis tapez powershell -ep bypass dans la barre de recherche :
La console PowerShell devrait s'ouvrir automatiquement. Une fois ouverte, tapez & et appuyez sur Tab jusqu'à ce que le bon fichier de script soit visible :
Appuyez sur Entrée.

Interruption de PingCastle

Dans ce cas, assurez-vous que ces deux conditions sont remplies :

Vous avez une connexion Internet vers son contrôleur de domaine
Votre pare-feu ne bloque pas l'accès à https://api.prod.ad-scan.cyber.stoik.io

Supprimer les données après l'exécution du script

Si vous souhaitez supprimer les données après l'exécution du script, vous pouvez exécuter la commande suivante :

Enfin {
    Remove-Item -Recurse -Force -ErrorAction SilentlyContinue "$Directory", "ad_hc_*"
    }
}

PrécédentQu'est-ce que l'analyse Active Directory ?SuivantComment lire les résultats de l'analyse AD ?

Mis à jour il y a 2 mois

Ce contenu vous a-t-il été utile ?

hashtagPrérequis

hashtagConfiguration initiale

hashtagRelancer l'analyse

hashtagDébogage de l'analyse AD

hashtagFermeture du script après exécution

hashtagInterruption de PingCastle

hashtagSupprimer les données après l'exécution du script