Tokens, UAC et mitigations
Méthode d’identification des mauvaises permissions, services, tâches, tokens et configurations sans exploitation destructive.
Tokens
whoami /priv affiche les privilèges attribués. Leur présence, état et contexte déterminent le risque. Certains privilèges sont nécessaires à des services légitimes.
UAC
UAC sépare le token standard du token élevé pour les administrateurs locaux. Ce n’est pas une frontière de sécurité complète entre deux utilisateurs ; il réduit les élévations accidentelles et améliore la visibilité.
Contrôles
- comptes standard pour l’usage quotidien ;
- LAPS/Windows LAPS ;
- Credential Guard et LSA protection ;
- WDAC/AppLocker ;
- réduction des administrateurs locaux ;
- permissions de services ;
- mises à jour ;
- EDR et audit 4688/Sysmon.
Preuve de risque
Documente le droit dangereux, le processus qui l’utilise et le niveau obtenu dans un lab. En production, évite les outils d’abus de token ou les bypass UAC sans validation spécifique.
Les outils d’élévation automatisée peuvent contourner des contrôles, déposer des binaires et déclencher l’EDR. Le portail limite volontairement les exemples à l’identification et à la validation en laboratoire.