ID インフラストラクチャの ID セキュリティ体制評価のMicrosoft Defenderについて説明します。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。
組み込みの Active Directory ゲスト アカウントが有効になっている
説明
この推奨事項は、環境内で AD ゲスト アカウントが有効になっているかどうかを示します。
目標は、ドメインのゲスト アカウントが有効になっていないことを確認することです。
ユーザーへの影響
オンプレミスのゲスト アカウントは、Active Directory への匿名アクセスを許可する組み込みの非指名アカウントです。 このアカウントを有効にすると、パスワードを必要とせずにドメインへのアクセスが許可され、セキュリティ上の脅威になる可能性があります。
実装
公開されているエンティティの一覧を確認して、有効になっているゲスト アカウントがあるかどうかを確認します。
アカウントを無効にして、これらのアカウントに対して適切なアクション を 実行します。
以下に例を示します。
ドメイン コントローラー コンピューター アカウントの古いパスワードを変更する
説明
この推奨事項では、45 日前にパスワードが最後に設定されたすべてのドメイン コントローラーのコンピューター アカウントが一覧表示されます。
ドメイン コントローラー (DC) は、ユーザーの認証と承認を管理し、セキュリティ ポリシーを適用し、AD データベースを格納する Active Directory (AD) 環境のサーバーです。 ログインを処理し、アクセス許可を検証し、ネットワーク リソースへの安全なアクセスを確保します。 複数の DC により、高可用性のための冗長性が提供されます。
古いパスワードを持つドメイン コントローラーは、侵害のリスクが高まり、より簡単に引き継がれる可能性があります。 攻撃者は古いパスワードを悪用し、重要なリソースへの長時間のアクセスを取得し、ネットワーク セキュリティを弱めることができます。 ドメインで機能しなくなったドメイン コントローラーを示している可能性があります。
実装
レジストリ値の確認:
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange は 0 に設定されているか、存在しません。
HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge は 30 に設定されています。
正しくない値をリセットする:
- 正しくない値を既定の設定にリセットします。
- グループ ポリシー オブジェクト (GPO) を確認して、これらの設定をオーバーライドしないようにします。
これらの値が正しい場合は、NETLOGON サービスがクエリ netlogon で開始されているかどうかを sc.exe チェックします。
nltest /SC_VERIFY を実行してパスワード同期を検証する: (ドメイン名がドメイン NetBIOS 名である) は同期状態をチェックでき、両方の検証に対して0x0 NERR_Successが 0 個表示されます。
ヒント
コンピューター アカウントのパスワード プロセスの詳細については、このブログ投稿チェックコンピューター アカウントのパスワード プロセスに関するブログ記事を参照してください。
ドメイン コントローラーで印刷スプーラー サービスを無効にする
説明
印刷スプーラーは、印刷プロセスを管理するソフトウェア サービスです。 スプーラーは、コンピューターからの印刷ジョブを受け入れ、プリンター リソースが使用可能であることを確認します。 スプーラーは、印刷ジョブが印刷キューに送信される順序もスケジュールします。 パーソナル コンピューターの初期の頃、ユーザーは他の操作を実行する前にファイルが印刷されるまで待機する必要がありました。 最新の印刷スプーラーにより、印刷がユーザーの全体的な生産性に与える影響を最小限に抑えるようになりました。
一見無害に見えますが、認証されたユーザーは、ドメイン コントローラーの印刷スプーラー サービスにリモートで接続し、新しい印刷ジョブの更新を要求できます。 また、ユーザーは、 制約のない委任を使用してシステムに通知を送信するようにドメイン コントローラーに指示できます。 これらのアクションは、接続をテストし、ドメイン コントローラー コンピューター アカウントの資格情報を公開します (印刷スプーラー は SYSTEM によって所有されています)。
露出の可能性があるため、ドメイン コントローラーと Active Directory 管理システムでは 、印刷スプーラー サービスを無効にする必要があります。 これを行うには、グループ ポリシー オブジェクト (GPO) を使用することをお勧めします。
このセキュリティ評価はドメイン コントローラーに焦点を当てていますが、どのサーバーも、この種の攻撃のリスクにさらされる可能性があります。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、印刷スプーラー サービスが有効になっているドメイン コントローラーを確認します。
危険にさらされているドメイン コントローラーに対して適切なアクションを実行し、GPO やその他の種類のリモート コマンドを使用して、手動で印刷スプーラー サービスをアクティブに削除します。
露出の可能性があるため、ドメイン コントローラーと Active Directory 管理システムでは 、印刷スプーラー サービスを無効にする必要があります。 この特定の問題を解決するには、必要のないすべてのサーバーで印刷スプーラー サービスを無効にします。
注:
- このサービスを無効にし、アクティブな印刷ワークフローを防ぐ前に、 必ず印刷スプーラー の設定、構成、依存関係を調査してください。
- ドメイン コントローラー ロールは、印刷の排除 を実行するスプーラー サービスにスレッドを追加 します。古い印刷キュー オブジェクトを Active Directory から削除します。 したがって、 印刷スプーラー サービスを無効にするためのセキュリティの推奨事項は、セキュリティと印刷の排除を実行する機能との間のトレードオフです。 この問題に対処するには、古い印刷キュー オブジェクトを定期的に排除することを検討する必要があります。
ID 資産のローカル管理者を削除する
説明
AD FS、AD CS、Active Directory など、ID システムを間接的に制御するアカウントには、環境内の特権をエスカレートする権限があり、ドメイン 管理 アクセスまたは同等のアクセス権を取得する可能性があります。
階層 0 システムのすべてのローカル管理者は、攻撃者の観点から見た間接ドメイン 管理です。
実装
ID 資産のローカル管理者を削除するhttps://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認します。
以下に例を示します。
公開されているエンティティの一覧を確認して、ID 資産に対するローカル管理者権限を持つアカウントを確認します。
特権アクセス権を削除して、これらのエンティティに対して適切なアクションを実行します。
フル スコアを達成するには、公開されているすべてのエンティティを修復する必要があります。
監視されていないドメイン コントローラー
説明
ID ソリューションのMicrosoft Defenderの重要な部分では、センサーがすべての組織のドメイン コントローラーに展開され、すべてのデバイスからのすべてのユーザー アクティビティを包括的に表示する必要があります。
このため、Defender for Identity は環境を継続的に監視し、Defender for Identity センサーがインストールされていないドメイン コントローラーを識別し、監視されていないサーバーに関するレポートを作成して、環境の完全なカバレッジを管理できるようにします。
最大限の効率で動作するには、すべてのドメイン コントローラーを Defender for Identity センサーで監視する必要があります。 監視されていないドメイン コントローラーの修復に失敗し、環境の可視性を低下させ、悪意のあるアクターに資産を公開する可能性がある組織。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、監視されていないドメイン コントローラーを検出します。
監視センサーをインストールして構成することで、これらのドメイン コントローラーに対して適切なアクションを実行します。
監視されていない ADCS サーバー
説明
監視されていない Active Directory Certificate Services (AD CS) サーバーは、organizationの ID インフラストラクチャに重大なリスクを与えます。 証明書の発行と信頼のバックボーンである AD CS は、特権のエスカレートや資格情報の偽造を目指す攻撃者にとって価値の高いターゲットです。 適切な監視を行わなければ、攻撃者はこれらのサーバーを悪用して未承認の証明書を発行し、密密な横移動と永続的なアクセスを可能にすることができます。 ID バージョン 2.0 センサーのMicrosoft Defenderをすべての AD CS サーバーにデプロイして、このリスクを軽減します。 これらのセンサーは、疑わしいアクティビティをリアルタイムで可視化し、高度な脅威を検出し、セキュリティ イベントとネットワークの動作に基づいて実用的なアラートを生成します。
実装
注:
このセキュリティ評価は、Microsoft Defender for Endpointが環境内の適格な ADCS サーバーを検出した場合にのみ使用できます。 場合によっては、ADCS を実行しているサーバーが必要な役割で識別されない可能性があるため、環境内に存在する場合でも、この評価には表示されません。
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、監視されていない AD CS サーバーを検出します。
Microsoft Defender ポータルの [>設定] > [ID] > [センサー] に移動します。 環境内に既にインストールされているセンサーを表示し、インストール パッケージをダウンロードして、残りのサーバーに展開できます。
監視センサーを構成して、これらのサーバーに対して適切なアクションを実行します。
監視されていない ADFS サーバー
この記事では、ID の監視されていないActive Directory フェデレーション サービス (AD FS) (ADFS) サーバーのセキュリティ体制評価レポートのMicrosoft Defenderについて説明します。
説明
監視されていないActive Directory フェデレーション サービス (AD FS) (ADFS) サーバーは、組織にとって重大なセキュリティ リスクです。 ADFS は、フェデレーション認証とシングル サインオンのゲートウェイとして、クラウドリソースとオンプレミス リソースの両方へのアクセスを制御します。 攻撃者が ADFS サーバーを侵害した場合、偽造されたトークンを発行し、特権アカウントを含むすべてのユーザーを偽装できます。 このような攻撃は、多要素認証 (MFA)、条件付きアクセス、およびその他のダウンストリーム セキュリティ制御をバイパスする可能性があり、特に危険です。 適切な監視がないと、ADFS サーバー上の疑わしいアクティビティが長時間検出されない可能性があります。 ID バージョン 2.0 センサーのMicrosoft Defenderを ADFS サーバーにデプロイすることが不可欠です。 これらのセンサーは、疑わしい動作をリアルタイムで検出し、トークン偽造、信頼関係の悪用、環境内の密密な横移動を防ぐのに役立ちます。
実装
注:
このセキュリティ評価は、Microsoft Defender for Endpointが環境内の適格な ADFS サーバーを検出した場合にのみ使用できます。 場合によっては、ADFS を実行しているサーバーが必要なロールで識別されない可能性があるため、環境内に存在する場合でも、この評価には表示されません。
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、監視されていない ADFS サーバーを検出します。
Microsoft Defender ポータルの [>設定] > [ID] > [センサー] に移動します。 環境内に既にインストールされているセンサーを表示し、インストール パッケージをダウンロードして、残りのサーバーに展開できます。
監視センサーを構成して、これらのサーバーに対して適切なアクションを実行します。
監視されていないMicrosoft Entraサーバーの接続
説明
監視されていない Microsoft Entra Connect サーバー (旧称 ad Connect Azure) は、ハイブリッド ID 環境で重大なセキュリティ リスクを伴います。 これらのサーバーは、オンプレミスの Active DirectoryとEntra IDの間で ID を同期します。 クラウド アクセスに直接影響するアカウントと属性を導入、変更、または削除できます。
攻撃者が Microsoft Entra Connect サーバーを侵害した場合、従来のアラートをトリガーすることなく、シャドウ管理者を挿入したり、グループ メンバーシップを操作したり、悪意のある変更をクラウドに同期したりできます。
これらのサーバーは、オンプレミスとクラウドの ID の積集合で動作するため、特権エスカレーションとステルス永続化の主要なターゲットになります。 監視を行わないと、このような攻撃が検出されない可能性があります。 Microsoft Entra Connect サーバーに Identity バージョン 2.0 センサーのMicrosoft Defenderをデプロイすることが重要です。 これらのセンサーは、疑わしいアクティビティをリアルタイムで検出し、ハイブリッド ID ブリッジの整合性を保護し、単一障害点からの完全なドメイン侵害を防ぐのに役立ちます。
実装
注:
このセキュリティ評価は、Microsoft Defender for Endpointが環境内の適格なMicrosoft Entra接続サーバーを検出した場合にのみ使用できます。 場合によっては、Entra Connect を実行しているサーバーが必要なロールで識別されない可能性があるため、環境内に存在する場合でも、この評価には表示されません。
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、監視されていないMicrosoft Entra接続サーバーを検出します。
Microsoft Defender ポータルの [>設定] > [ID] > [センサー] に移動します。 環境内に既にインストールされているセンサーを表示し、インストール パッケージをダウンロードして、残りのサーバーに展開できます。
監視センサーを構成して、これらのサーバーに対して適切なアクションを実行します。
セキュリティで保護されていないドメイン構成を解決する
説明
Microsoft Defender for Identity は、セキュリティ リスクを公開する構成値を持つドメインを特定するために環境を継続的に監視し、環境の保護に役立つこれらのドメインに関するレポートを提供します。
ドメイン構成をセキュリティで保護できない組織は、悪意のあるアクターに対してドアのロックを解除したままにします。
悪意のあるアクターは、多くの場合、任意の環境に最も簡単で静かな方法を探します。 セキュリティで保護されていない構成で構成されたドメインは、攻撃者にとってチャンスの窓であり、リスクを公開する可能性があります。
たとえば、LDAP 署名が強制されていない場合、攻撃者はドメイン アカウントを侵害する可能性があります。 これは、KrbRelayUp 攻撃と同様に、アカウントが他のリソースへの特権アクセス権を持っている場合に特に危険です。
実装
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、セキュリティで保護されていない構成を持つドメインを検出します。
関連する構成を変更または削除して、これらのドメインに対して適切なアクションを実行します。
次の表に示すように、関連する構成に適した修復を使用します。
推奨される操作 修復 理由 LDAP 署名ポリシーを "署名が必要" に適用する ドメイン コントローラー レベルの LDAP 署名が必要です。 LDAP サーバーの署名の詳細については、「 ドメイン コントローラー LDAP サーバーの署名要件」を参照してください。 署名されていないネットワーク トラフィックは、中間者攻撃の影響を受けやすいです。 ms-DS-MachineAccountQuota を "0" に設定する MS-DS-Machine-Account-Quota 属性を "0" に設定します。 特権のないユーザーがドメインにデバイスを登録する機能を制限する。 この特定のプロパティとそのデバイス登録への影響の詳細については、「 ユーザーがドメインに参加できるワークステーションの数に対する既定の制限」を参照してください。