注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。
特権グループ内のサービス アカウントを特定する
説明
直接メンバーシップや入れ子になったメンバーシップなど、特権グループのメンバーである環境内の Active Directory サービス アカウントを一覧表示します。
ユーザーへの影響
多くの場合、サービス アカウントには有効期間の長い資格情報があり、アプリケーション、スクリプト、または自動タスクで使用されます。 これらのアカウントが特権の高いグループ (ドメイン管理者やエンタープライズ管理者など) のメンバーである場合、organizationの攻撃対象領域が増えます。 これらのアカウントの 1 つを侵害すると、攻撃者に重要なシステムとデータへの広範な管理アクセス権が付与される可能性があります。 さらに、サービス アカウントは特定のユーザーに関連付けられていないため、対話型の監視がないことが多いため、これらのアカウントで実行される悪意のあるアクティビティは気付かされず、検出と応答が遅れる可能性があります。
実装
公開されているエンティティを確認して、Domain Admins、Enterprise Admins、Administrators などの特権グループのメンバーである Active Directory サービス アカウントを特定します。
昇格されたアクセス権が必要ない場合は特権グループからアカウントを削除するか、使用されていない場合はアカウントを無効にします。
以下に例を示します。
未使用または使用停止のサービス アカウント:
最近のログオンや依存関係がないことを確認した後、Active Directory のアカウントを無効にします。
短い期間 (7 日から 14 日間) を監視します。 非アクティブな場合は、ポリシーに従って削除します。
管理者権限を必要としないアクティブなサービス アカウント:
レポートで公開されている特権グループから削除します。
委任されたアクセス許可またはスコープ付きセキュリティ グループを使用して、最小限必要なアクセスのみを付与します。
従来のアカウントを置き換えます。
- サービス アカウントをグループ管理サービス アカウント (gMSA) に移行して、パスワードの自動ローテーションと資格情報の公開を減らします。
特権を維持する必要があるアカウント
[ログオン先] プロパティを使用してログオンできる場所 を 制限します。
グループ ポリシーを使用して対話型ログオンを制限し、アクティビティに焦点を当てた監査を有効にします。
所有権、ドキュメント、特権メンバーシップの定期的なレビューが必要です。
組み込みのオペレーター グループ内のアカウントを見つける
説明
サーバーオペレーター、バックアップオペレーター、印刷オペレーター、アカウントオペレーターなどの組み込みオペレーター グループのメンバーである Active Directory アカウント (ユーザー、サービス アカウント、およびグループ) を、直接および間接メンバーシップを含む一覧を表示します。 これらのグループは、ドメイン コントローラーまたは機密性の高いサーバーを侵害するために使用できる管理者特権を付与します。
ユーザーへの影響
オペレーター グループを使用すると、サーバー、ファイル、システム操作を幅広く制御できます。 これらのグループのメンバーは、重要なサービスの停止、ファイルの変更、または特権のエスカレートや永続化を得るために利用できるデータの復元などの管理アクションを実行できます。 これらのグループは最新の環境ではめったに必要ないため、アカウントをその中に残しておくと、特権の悪用や横移動のリスクが不必要に高まります。
実装
公開されているエンティティの一覧を確認して、組み込みのオペレーター グループの 1 つのメンバーである AD アカウント (サーバーオペレーター、バックアップ演算子、印刷演算子、アカウント演算子など) を特定します。
管理者特権でアクセスする必要がない場合はオペレーター グループからアカウントを削除するか、未使用の場合はアカウントを無効にします。
以下に例を示します。
実行されなくなった従来のバックアップ プロセスについて、Backup Operators に追加されたメンバーシップまたは管理者アカウントを削除するか、無効にします。
アカウントがまだ運用タスクを実行していても、広範なオペレーター権限が必要ない場合は、必要な特定のアクセス許可 (たとえば、1 台のサーバーでのファイルの復元や印刷管理) のみを委任します。
オペレーター グループメンバーシップが特定の管理機能に不可欠な場合は、アカウントを監視し、必要なホストに制限し、定期的に確認して継続的な必要性を確認します。
既定以外のプライマリ グループ ID を持つアカウント
説明
この推奨事項では、primaryGroupId (PGID) 属性が Active Directory 内のドメイン ユーザーとコンピューターの既定値ではないすべてのコンピューターとユーザー アカウントの一覧を示します。
ユーザーへの影響
ユーザーまたはコンピューター アカウントの primaryGroupId 属性は、暗黙的なメンバーシップをグループに付与します。 この属性を使用したメンバーシップは、一部のインターフェイスのグループ メンバーの一覧には表示されません。 この属性は、グループ メンバーシップを非表示にする試みとして使用される場合があります。 これは、攻撃者がグループ メンバーシップの変更に対する通常の監査をトリガーせずに特権をエスカレートする隠密な方法である可能性があります。
実装
公開されているエンティティの一覧を確認して、疑わしい primaryGroupId を持つアカウントを検出します。
属性を既定値にリセットするか、関連するグループにメンバーを追加して、これらのアカウントに対して適切なアクションを実行します。
ユーザー アカウント: 513 (ドメイン ユーザー) または 514 (ドメイン ゲスト)
コンピューター アカウント: 515 (ドメイン コンピューター);
ドメイン コントローラー アカウント: 516 (ドメイン コントローラー);
読み取り専用ドメイン コントローラー (RODC) アカウント: 521 (読み取り専用ドメイン コントローラー)。
管理 SDHolder アクセス許可を持つ不審なアカウントのアクセス権を削除する
説明
管理 SDHolder (セキュリティ記述子所有者) のアクセス許可を持つ機密性の高いアカウントを持つことは、次のようなセキュリティに大きな影響を与える可能性があります。
- 不正な特権エスカレーションが発生し、攻撃者はこれらのアカウントを悪用して管理アクセスを取得し、機密性の高いシステムまたはデータを侵害する可能性があります
- 攻撃対象領域を増やすと、セキュリティ インシデントの追跡と軽減が困難になり、organizationがより大きなリスクにさらされる可能性があります。
実装
管理 SDHolder アクセス許可を持つ不審なアカウントのアクセス権を削除するには、https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認します。
以下に例を示します。
公開されているエンティティの一覧を確認して、機密でないアカウントのうち、管理 SDHolder アクセス許可を持っているアカウントを確認します。
特権アクセス権を削除して、これらのエンティティに対して適切なアクションを実行します。 以下に例を示します。
- ADSI 編集ツールを使用して、ドメイン コントローラーに接続します。
- CN=System>CN=AdminSDHolder コンテナーを参照し、CN=AdminSDHolder コンテナーのプロパティを開きます。
- [セキュリティ] タブ>[Advanced] を選択し、機密でないエンティティを削除します。 これらは、セキュリティ評価で公開済みとしてマークされたエンティティです。
詳細については、「 Active Directory サービス インターフェイス 」および 「ADSI Edit 」のドキュメントを参照してください。
完全なスコアを達成するには、公開されているすべてのエンティティを修復します。
krbtgt アカウントのパスワードを変更する
説明
この推奨事項では、180 日前にパスワードが最後に設定された環境内の krbtgt アカウントが一覧表示されます。
ユーザーへの影響
Active Directory の krbtgt アカウントは、Kerberos 認証サービスによって使用される組み込みのアカウントです。 すべての Kerberos チケットを暗号化して署名し、ドメイン内でセキュリティで保護された認証を有効にします。 攻撃者が認証チケットを偽造する可能性があるため、アカウントを削除できず、セキュリティで保護することが重要です。
KRBTGT アカウントのパスワードが侵害された場合、攻撃者はそのハッシュを使用して有効な Kerberos 認証チケットを生成し、ゴールデン チケット攻撃を実行し、AD ドメイン内の任意のリソースにアクセスできるようにします。 Kerberos は KRBTGT パスワードを使用してすべてのチケットに署名するため、このような攻撃のリスクを軽減するには、このパスワードを注意深く監視し、定期的に変更することが不可欠です。
実装
公開されているエンティティの一覧を確認して、古いパスワードを持つ krbtgt アカウントを検出します。
パスワードを 2 回 リセットしてゴールデン チケット攻撃を無効にすることで、これらのアカウントに対して適切なアクションを実行します。
注:
すべての Active Directory ドメインの krbtgt Kerberos アカウントでは、すべての Kerberos キー配布センター (KDC) のキー ストレージがサポートされています。 TGT 暗号化の Kerberos キーを更新するには、krbtgt アカウントのパスワードを定期的に変更します。
Microsoft が提供するスクリプトを使用することをお勧めします。
パスワードを 2 回リセットする場合は、リセットの間に少なくとも 10 時間待機して、Kerberos 認証の問題を回避します。 この待機時間はスクリプトによって適用され、ベスト プラクティスに合わせて調整されます。
資格情報が漏洩する可能性があるオンプレミス アカウントのパスワードを変更する (プレビュー)
説明
このレポートには、有効な資格情報が漏洩したユーザーが一覧表示されます。 サイバー犯罪者が正当なユーザーの有効なパスワードを侵害する場合、犯罪者は多くの場合、それらの資格情報を共有します。 これは通常、暗いウェブやペーストサイトに公開したり、闇市場で資格情報を取引または販売することによって行われます。 Microsoft 漏洩した資格情報サービスは、パブリック Web サイトとダーク Web サイトを監視し、Microsoft その他の信頼できるソースの研究者法執行セキュリティ チームと連携することで、ユーザー名とパスワードのペアを取得します。
ユーザーへの影響
サービスがダーク Web からユーザー資格情報を取得したり、サイトまたは上記のソースを貼り付けたりすると、悪意のあるアクターによって資格情報が侵害されたアカウントが悪用され、不正なアクセスが行われる可能性があります。
実装
- 資格情報が漏洩する可能性があるアカウントのパスワードの変更に関するhttps://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認します。
- 公開されているエンティティの一覧を確認して、どのアカウント パスワードが漏洩されたかを確認します。
- サービス アカウントを削除して、これらのエンティティに対して適切なアクションを実行します。
- Active Directory ユーザーとコンピューター (ADUC) コンソールを開き、管理者アカウントでサインインします。
- ユーザー アカウントがある組織単位 (OU) に移動します。
- パスワードの変更が必要なユーザー アカウントを見つけて選択します。
- ユーザー アカウントを右クリックし、[パスワードの リセット] を選択し、新しいパスワードを入力して確認します。
組み込みのドメイン管理者アカウントのパスワードを変更する
説明
この推奨事項では、180 日前にパスワードを最後に設定した環境内の組み込みドメイン管理者アカウントの一覧を示します。
ユーザーへの影響
組み込みのドメイン管理者アカウントは、ドメインを完全に制御する既定の特権の高い AD アカウントです。 これは削除できません。無制限のアクセス権を持ち、ドメインのリソースを管理するために重要です。
組み込みの管理者アカウントのパスワードを定期的に更新することは、特権が高いために不可欠であり、攻撃者の主要なターゲットになります。 侵害された場合は、ドメインに対する承認されていない制御を付与できます。 このアカウントは未使用であることが多く、パスワードが頻繁に更新されない場合があるため、定期的な変更によって露出が減少し、セキュリティが強化されます。
実装
公開されているエンティティの一覧を確認して、組み込みのドメイン管理者アカウントの古いパスワードを検出します。
パスワードをリセットして、これらのアカウントに対して適切なアクションを実行します。
以下に例を示します。
機密グループ内の休止エンティティ
説明
Microsoft Defender for Identityは、特定のユーザーが非アクティブ、無効、または期限切れになった場合に表示される属性の提供と共に機密性が高いかどうかを検出します。
ただし、 機密 アカウントは、180 日間使用されていない場合にも 休止 状態になる可能性があります。 休止中の機密エンティティは、悪意のあるアクターがorganizationに機密性の高いアクセスを得る機会のターゲットです。
詳細については、「Microsoft Defender XDRの Defender for Identity エンティティ タグ」を参照してください。
ユーザーへの影響
休眠しているユーザー アカウントをセキュリティで保護できない組織は、機密データのロックを解除したままにしておきます。
悪意のあるアクターは、多くの場合、任意の環境に最も簡単で静かな方法を探します。 organizationの深い簡単で静かなパスは、使用されなくなった機密性の高いユーザーアカウントとサービス アカウントを通じて行われます。
この手順をスキップすると、organizationの最も機密性の高いエンティティが脆弱で公開される可能性があります。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、どの機密性の高いアカウントが休止状態になっているかを確認します。
特権アクセス権を削除するか、アカウントを削除することで、これらのユーザー アカウントに対して適切なアクションを実行します。
DCSync アクセス許可を持つ管理者以外のアカウントを削除する
説明
DCSync アクセス許可を持つアカウントは、ドメイン レプリケーションを開始できます。 攻撃者は、ドメイン レプリケーションを悪用して、未承認のアクセスを取得したり、ドメイン データを操作したり、Active Directory 環境の整合性と可用性を侵害したりする可能性があります。
ドメイン レプリケーション プロセスのセキュリティと整合性を確保するには、このグループのメンバーシップを慎重に管理および制限することが重要です。
実装
「DCSync アクセス許可を持つ管理者以外のアカウントを削除する」のhttps://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認します。
公開されているエンティティの一覧を確認して、DCSync アクセス許可を持ち、ドメイン以外の管理者でもあるアカウントを確認します。
特権アクセス権を削除して、これらのエンティティに対して適切なアクションを実行します。
最大スコアを達成するには、公開されているすべてのエンティティを修復します。
特権アカウントが委任されていないことを確認する
説明
この推奨事項では、"委任されていない" 設定が有効になっていないすべての特権アカウントが一覧表示され、委任関連のリスクにさらされる可能性のあるアカウントが強調表示されます。 特権アカウントは、ドメイン管理者、スキーマ管理者などの特権グループのメンバーであるアカウントです。
ユーザーへの影響
機密性の高いフラグが無効になっている場合、攻撃者は Kerberos 委任を悪用して特権アカウントの資格情報を悪用し、不正アクセス、横移動、ネットワーク全体のセキュリティ侵害の可能性があります。 特権ユーザー アカウントに機密フラグを設定すると、ユーザーがアカウントにアクセスしたり、システム設定を操作したりできなくなります。
デバイス アカウントの場合、委任シナリオで使用されないようにするには、"委任されていない" に設定することが重要です。これにより、このマシン上の資格情報を転送して他のサービスにアクセスできなくなります。
実装
公開されているエンティティの一覧を確認して、"このアカウントは機密性が高く委任できません" という構成フラグを持たない特権アカウントを検出します。
これらのアカウントに対して適切なアクションを実行します。
ユーザー アカウントの場合: アカウントの制御フラグを "このアカウントは機密性が高く、委任できません" に設定します。[アカウント] タブの [アカウント オプション] セクションで、このフラグの [チェック] ボックスを選択します。 これにより、ユーザーはアカウントにアクセスしてシステム設定を操作できなくなります。
デバイス アカウントの場合:
最も安全な方法は、PowerShell スクリプトを使用して、任意の委任シナリオでデバイスが使用されないようにデバイスを構成し、このマシン上の資格情報を転送して他のサービスにアクセスできないようにすることです。$name = "ComputerA" Get-ADComputer -Identity $name | Set-ADAccountControl -AccountNotDelegated:$trueもう 1 つのオプションは、公開されているデバイスの [属性エディター] タブで、
UserAccountControl属性をNOT_DELEGATED = 0x100000に設定することです。以下に例を示します。
クリア テキストで資格情報を公開するエンティティ
説明
このセキュリティ評価は、クリア テキストで資格情報を公開するすべてのエンティティのトラフィックを監視し、推奨される修復を使用して、organizationの現在の露出リスク (最も影響を受けるエンティティ) にアラートを送信します。
ユーザーへの影響
クリア テキストで資格情報を公開するエンティティは、問題の公開されたエンティティだけでなく、organization全体にとって危険です。
リスクの増加は、LDAP simple-bind などの安全でないトラフィックが、攻撃者の中間攻撃によるインターセプトの影響を非常に受けやすいためです。 これらの種類の攻撃により、資格情報の公開を含む悪意のあるアクティビティが発生し、攻撃者は悪意のある目的で資格情報を利用できます。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認します。
これらのエンティティがクリア テキストで LDAP を使用している理由を調査します。
問題を修復し、公開を停止します。
修復を確認した後、ドメイン コントローラー レベルの LDAP 署名を必要とすることをお勧めします。 LDAP サーバーの署名の詳細については、「 ドメイン コントローラー LDAP サーバーの署名要件」を参照してください。
注:
この評価は、ほぼリアルタイムで更新されます。 レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。
Microsoft LAPS の使用状況
説明
Microsoft の "ローカル管理者パスワード ソリューション" (LAPS) は、ドメインに参加しているコンピューターのローカル管理者アカウント パスワードの管理を提供します。 パスワードはランダム化され、ACL によって保護された Active Directory (AD) に格納されるため、対象ユーザーのみがパスワードを読み取ったり、リセットを要求したりできます。
このセキュリティ評価では、 従来の Microsoft LAPS と Windows LAPS がサポートされています。
ユーザーへの影響
LAPS は、ドメイン内のすべてのコンピューターで同じパスワードで共通のローカル アカウントを使用する問題の解決策を提供します。 LAPS では、ドメイン内のすべてのコンピューターで共通のローカル管理者アカウントに対して異なるローテーションされたランダム パスワードを設定することで、この問題を解決します。
LAPS を使用すると、お客様がサイバー攻撃に対してより推奨される防御を実装するのに役立つ一方で、パスワード管理が簡素化されます。 特に、このソリューションは、お客様が自分のコンピューターで同じ管理ローカル アカウントとパスワードの組み合わせを使用する場合に発生する横エスカレーションのリスクを軽減します。 LAPS は、各コンピューターのローカル管理者アカウントのパスワードを AD に格納し、コンピューターの対応する AD オブジェクトの機密属性にセキュリティで保護します。 コンピューターは AD で独自のパスワード データを更新でき、ドメイン管理者は、ワークステーションのヘルプデスク管理者などの承認されたユーザーまたはグループに読み取りアクセスを許可できます。
注:
場合によっては、Microsoft Entra IDで LAPS が構成されている場合でも、Microsoft Entraハイブリッド参加済みマシンがセキュリティ態勢評価に引き続き表示されることがあります。 これは、ポリシーの適用方法、またはデバイスが状態を報告する方法が原因である可能性があります。 これが発生した場合は、Microsoft Entra IDの LAPS 構成を確認して、すべてが期待どおりに設定されていることを確認することをお勧めします。 詳細については、 こちらを参照してください。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、LAPS によって保護されていない、または過去 60 日間に LAPS 管理パスワードが変更されていない、一部 (またはすべての) 互換性のある Windows デバイスを持つドメインを確認します。
部分的に保護されているドメインの場合は、関連する行を選択して、そのドメイン内の LAPS によって保護されていないデバイスの一覧を表示します。
Microsoft LAPS または Windows LAPS をダウンロード、インストール、構成、またはトラブルシューティングすることで、これらのデバイスに対して適切なアクションを実行します。
Active Directory アカウント属性で検出可能なパスワードを削除する (プレビュー)
説明
一部のフリー テキスト属性は、多くの場合、セキュリティ強化中に見落とされますが、ドメイン内の認証されたユーザーが読み取り可能です。 資格情報または手がかりがこれらの属性に誤って格納されている場合、攻撃者はそれらを悪用して、環境内を横方向に移動したり、特権をエスカレートしたりする可能性があります。
攻撃者は、アクセスを拡大するために低摩擦パスを求めます。 これらの属性で公開されているパスワードは、次のような理由で簡単に成功します。
属性はアクセス制限されません。
既定では監視されません。
攻撃者が横移動と特権エスカレーションのために悪用できるコンテキストを提供します。
これらの属性から公開されている資格情報を削除すると、ID 侵害のリスクが軽減され、organizationのセキュリティ体制が強化されます。
注:
結果には、誤検知が含まれる場合があります。 アクションを実行する前に、常に結果を検証してください。
Microsoft Defender for Identityは、一般的に使用されるフリー テキスト属性を分析することで、Active Directory での潜在的な資格情報の公開を検出します。 これには、一般的なパスワード形式、ヒント、 'description'、 'info'、 'adminComment' フィールド、および資格情報の誤用の存在を示唆するその他のコンテキスト上の手掛かりの検索が含まれます。
この推奨事項では、Active Directory 属性の GenAI を使用した分析を使用して、次の情報を検出します。
プレーンテキスト パスワードまたはバリエーション。 たとえば、 '
Password=Summer2025!'資格情報パターン、リセット ヒント、または機密性の高いアカウント情報。
ディレクトリ フィールドの運用上の誤用を示唆するその他のインジケーター。
検出された一致は、 セキュリティ スコア と、レビューと修復のための セキュリティ評価レポート に表示されます。
実装
このセキュリティ評価に対処するには、次の手順に従います。
[Active Directory アカウント属性で検出可能なパスワードを削除する] の https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。
セキュリティ レポートで公開されているエントリを確認します。 次を含むフィールド コンテンツを特定します。
Cleartext パスワード
手順または資格情報の手がかりをリセットする
機密性の高いビジネス情報またはシステム情報
標準のディレクトリ管理ツール (PowerShell や ADSI 編集など) を使用して、一覧表示されている属性フィールドから機密情報を削除します。
機密情報を完全に削除します。 値をマスクしないでください。 部分的な難読化 (たとえば、P@ssw***) は、攻撃者に役立つ手掛かりを引き続き提供できます。
古いサービス アカウントを削除する (プレビュー)
説明
この推奨事項は、過去 90 日以内に古いとして検出された Active Directory サービス アカウントの一覧です。
ユーザーへの影響
未使用のサービス アカウントでは、一部のアカウントが昇格された特権を持つ可能性があり、重大なセキュリティ リスクが発生します。 攻撃者がアクセス権を取得した場合、その結果、大きな損害が発生する可能性があります。 古いサービス アカウントは、高いアクセス許可または従来のアクセス許可を保持する可能性があります。 侵害されると、攻撃者は重要なシステムへの慎重なエントリ ポイントを提供し、標準ユーザー アカウントよりもはるかに多くのアクセス権を付与します。
この露出により、いくつかのリスクが発生します。
機密性の高いアプリケーションとデータへの未承認のアクセス。
検出なしでネットワークを横断する横方向の動き。
実装
このセキュリティ評価を効果的に使用するには、次の手順に従います。
[古いサービス アカウントを削除する] の https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。
公開されているエンティティの一覧を確認して、古いサービス アカウントのうち、過去 90 日間にログイン アクティビティを実行していないサービス アカウントを確認します。
サービス アカウントを削除して、これらのエンティティに対して適切なアクションを実行します。 以下に例を示します。
アカウントを無効にします。 公開済みとして識別されたアカウントを無効にして、使用を禁止します。
影響を監視する: 数週間待ってから、サービスの中断やエラーなどの運用上の問題を監視します。
アカウントを削除します。 問題が見つからない場合は、アカウントを削除し、そのアクセス権を完全に削除します。
最も危険な横移動パス (LMP)
説明
Microsoft Defender for Identityは、環境を継続的に監視して、セキュリティ リスクを露呈する最も危険な横移動パスを持つ機密性の高いアカウントを特定し、これらのアカウントに関するレポートを作成して環境の管理を支援します。 パスは、悪意のあるアクターによる資格情報の盗難に 機密性 の高いアカウントを公開できる 3 つ以上の機密性の高いアカウントがある場合、危険と見なされます。
横移動パスの詳細については、次を参照してください。
ユーザーへの影響
機密性の高いアカウントをセキュリティで保護できない組織は、悪意のあるアクターに対してドアのロックを解除したままにしておきます。
悪意のあるアクターは、多くの場合、任意の環境に最も簡単で静かな方法を探します。 危険な横移動パスを持つ機密性の高いアカウントは、攻撃者にとってチャンスの窓であり、リスクを公開する可能性があります。
たとえば、最もリスクの高いパスは攻撃者に簡単に表示され、侵害された場合、攻撃者はorganizationの最も機密性の高いエンティティにアクセスできます。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、危険な LMP を持つ機密性の高いアカウントを確認します。
適切なアクションを実行します。
- 推奨事項で指定されているように、グループからエンティティを削除します。
- 推奨事項で指定したデバイスからエンティティのローカル管理者アクセス許可を削除します。
セキュリティで保護されていない Kerberos 委任
説明
Kerberos 委任は、アプリケーションが、元のユーザーに代わってリソースにアクセスするためのエンド ユーザー アクセス資格情報を要求できるようにする委任設定です。
ユーザーへの影響
セキュリティで保護されていない Kerberos 委任を使用すると、エンティティは選択した他のサービスに偽装できます。 たとえば、IIS Web サイトがあり、アプリケーション プール アカウントが制約のない委任で構成されている場合を想像してください。 IIS Web サイトでは Windows 認証も有効になっており、ネイティブ Kerberos 認証が許可されており、サイトではビジネス データにバックエンド SQL Serverが使用されます。 ドメイン 管理 アカウントでは、IIS Web サイトを参照して認証します。 制約のない委任を使用する Web サイトでは、ドメイン コントローラーから SQL サービスへのサービス チケットを取得し、自分の名前で行うことができます。
Kerberos 委任の主な問題は、アプリケーションを信頼して常に正しいことを行う必要があるということです。 悪意のあるアクターは、代わりにアプリケーションに間違った操作を強制することができます。 ドメイン管理者としてログオンしている場合、サイトは、ドメイン管理者として、必要な他のサービスへのチケットを作成できます。たとえば、サイトではドメイン コントローラーを選択し、エンタープライズ管理者グループに変更を加えます。 同様に、サイトは KRBTGT アカウントのハッシュを取得したり、人事部から興味深いファイルをダウンロードしたりできます。 リスクは明らかで、安全でない委任の可能性はほぼ無限です。
さまざまな委任の種類によって発生するリスクの説明を次に示します。
- 制約のない委任: 委任エントリの 1 つが機密性の高い場合、任意のサービスが悪用される可能性があります。
- 制約付き委任: 委任エントリの 1 つが機密性の高い場合、制約付きエンティティが悪用される可能性があります。
- リソース ベースの制約付き委任 (RBCD): エンティティ自体が機密性の高い場合、リソース ベースの制約付きエンティティが悪用される可能性があります。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、セキュリティで保護されていない Kerberos 委任用に構成されているドメイン コントローラー以外のエンティティを検出します。
制約のない属性を削除したり、より安全な制約付き委任に変更したりするなど、リスクの高いユーザーに対して適切なアクションを実行します。
委任の種類に適した修復を使用します。
委任を無効にするか、次のいずれかの Kerberos 制約付き委任 (KCD) の種類を使用します。
制約のない委任
[このコンピューターを信頼する] を選択して、指定されたサービスへの委任のみを行います。
このアカウントが委任された資格情報を提示できるサービスを指定します。
制約付き委任
このアカウントが偽装できるサービスを制限します。
推奨事項に記載されている機密性の高いユーザーを確認し、影響を受けるアカウントが委任された資格情報を提示できるサービスから削除します。
リソース ベースの制約付き委任 (RBCD)
リソースベースの制約付き委任では、このアカウントを偽装できるエンティティが制限されます。 リソース ベースの KCD は、PowerShell を使用して構成されます。
偽装アカウントがコンピューター アカウントかユーザー アカウント/サービス アカウントかに応じて、 Set-ADComputer コマンドレットまたは Set-ADUser コマンドレットを使用できます。
推奨事項に記載されている機密性の高いユーザーを確認し、リソースから削除します。 RBCD の構成の詳細については、「Microsoft Entra Domain Servicesでの Kerberos 制約付き委任 (KCD) の構成」を参照してください。
セキュリティで保護されていない SID 履歴属性
説明
SID 履歴は、 移行シナリオをサポートする属性です。 すべてのユーザー アカウントには、セキュリティ プリンシパルの追跡に使用される セキュリティ IDentifier (SID) が関連付けられています。これは、リソースへの接続時にアカウントが持つアクセス権です。 SID 履歴を使用すると、別のアカウントへのアクセスを効果的に別のアカウントに複製でき、ユーザーがドメイン間で移動 (移行) したときにアクセスを保持するのに非常に便利です。
評価では、プロファイルが危険であるとMicrosoft Defender for Identityする SID 履歴属性を持つアカウントがチェックされます。
ユーザーへの影響
アカウント属性をセキュリティで保護できない組織は、悪意のあるアクターに対してドアのロックを解除したままにしておきます。
悪意のあるアクターは、多くの場合、任意の環境に最も簡単で静かな方法を探します。 セキュリティで保護されていない SID 履歴属性を使用して構成されたアカウントは、攻撃者にとってチャンスの窓であり、リスクを公開する可能性があります。
たとえば、ドメイン内の機密以外のアカウントには、Active Directory フォレスト内の別のドメインからの SID 履歴に Enterprise 管理 SID を含めることができるため、ユーザー アカウントのアクセスをフォレスト内のすべてのドメインの有効なドメイン 管理に "昇格" できます。 また、SID フィルタリングが有効になっていないフォレスト信頼 (検疫とも呼ばれます) がある場合は、別のフォレストから SID を挿入することができ、認証され、アクセス評価に使用されるときにユーザー トークンに追加されます。
実装
セキュリティで保護されていない SID 履歴属性を持つアカウントを検出するには、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。
次の手順を使用して、PowerShell を使用してアカウントから SID 履歴属性を削除するための適切なアクションを実行します。
アカウントの SIDHistory 属性で SID を識別します。
Get-ADUser -Identity <account> -Properties SidHistory | Select-Object -ExpandProperty SIDHistory先ほど指定した SID を使用して SIDHistory 属性を削除します。
Set-ADUser -Identity <account> -Remove @{SIDHistory='S-1-5-21-...'}
セキュリティで保護されていないアカウント属性
説明
Microsoft Defender for Identityは、環境を継続的に監視して、セキュリティ リスクを公開する属性値を持つアカウントを特定し、これらのアカウントをレポートして環境の保護を支援します。
ユーザーへの影響
アカウント属性をセキュリティで保護できない組織は、悪意のあるアクターに対してドアのロックを解除したままにしておきます。
悪意のあるアクターは、多くの場合、任意の環境に最も簡単で静かな方法を探します。 セキュリティで保護されていない属性を使用して構成されたアカウントは、攻撃者にとってチャンスの窓であり、リスクを公開する可能性があります。
たとえば、 PasswordNotRequired 属性が有効になっている場合、攻撃者はアカウントに簡単にアクセスできます。 アカウントが他のリソースへの特権アクセス権を持っている場合、これは特に危険です。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、セキュリティで保護されていない属性を持つアカウントを検出します。
関連する属性を変更または削除して、これらのユーザー アカウントに対して適切なアクションを実行します。
次の表に示すように、関連する属性に適した修復を使用します。
| 推奨される操作 | 修復 | 理由 |
|---|---|---|
| 削除 Kerberos の事前認証を必要としない | Active Directory (AD) のアカウント プロパティからこの設定を削除する | この設定を削除するには、アカウントの Kerberos 事前認証が必要であり、セキュリティが向上します。 |
| 元に戻せる暗号化を使用してストア パスワードを削除する | AD のアカウント プロパティからこの設定を削除する | この設定を削除すると、アカウントのパスワードが簡単に復号化できなくなります。 |
| パスワードを削除する必要はありません | AD のアカウント プロパティからこの設定を削除する | この設定を削除するには、アカウントでパスワードを使用する必要があり、リソースへの不正なアクセスを防ぐのに役立ちます。 |
| 脆弱な暗号化で保存されているパスワードを削除する | アカウントのパスワードをリセットする | アカウントのパスワードを変更すると、より強力な暗号化アルゴリズムを保護に使用できます。 |
| Kerberos AES 暗号化のサポートを有効にする | AD のアカウント プロパティで AES 機能を有効にする | アカウントでAES128_CTS_HMAC_SHA1_96またはAES256_CTS_HMAC_SHA1_96を有効にすると、Kerberos 認証に弱い暗号化暗号が使用されるのを防ぐことができます。 |
| [このアカウントで Kerberos DES 暗号化の種類を使用する] を削除する | AD のアカウント プロパティからこの設定を削除する | この設定を削除すると、アカウントのパスワードに対してより強力な暗号化アルゴリズムを使用できます。 |
| サービス プリンシパル名 (SPN) を削除する | AD のアカウント プロパティからこの設定を削除する | ユーザー アカウントが SPN セットで構成されている場合は、アカウントが 1 つ以上の SPN に関連付けられていることを意味します。 これは通常、特定のユーザー アカウントで実行するためにサービスがインストールまたは登録され、Kerberos 認証のサービス ワークスペースを一意に識別するために SPN が作成された場合に発生します。 この推奨事項は、機密性の高いアカウントに対してのみ示されました。 |
| SmartcardRequired 設定が削除されたため、パスワードをリセットする | アカウントのパスワードをリセットする | SmartcardRequired UAC フラグが削除された後にアカウントのパスワードを変更すると、現在のセキュリティ ポリシーで設定されます。 これは、スマートカードの適用がまだアクティブであったときに作成されたパスワードからの潜在的な露出を防ぐのに役立ちます。 |
UserAccountControl (UAC) フラグを使用して、ユーザー アカウント プロファイルを操作します。 詳細については、以下を参照してください: