<p>特定のユーザーアカウントに適用されている一部のパスワードポリシーは、十分に強力なものではなく、資格情報の盗取につながる可能性があります。</p>


<p>弱いパスワードポリシーにより、ユーザーが弱いパスワードを作成するリスクが増大し、攻撃者がブルートフォースアタック、認証チャレンジ盗取といった汎用の技法で簡単にユーザーパスワードを盗めるようになる可能性があります。</p>


資格情報アクセス

初期アクセス

権限昇格

ブルートフォース

有効なアカウント

ユーザーに対する弱いパスワードポリシーの適用

パスワードが短すぎると、攻撃者は簡単に推測できてしまいます。

パスワードの最小文字数が短すぎる

アカウントが盗まれた場合、長期間にわたって攻撃者によって使用される可能性があります。

パスワードの有効期間が古すぎる

特権PSOがドメインに適用されていないと、特権ユーザーのパスワード設定管理で強度を十分に保てません。

特権PSOがドメインに適用されていない

パスワードが短すぎると、攻撃者は簡単に推測できてしまいます。特権ユーザーの場合、危険度はさらに高くなります。

パスワードの最小文字数が短すぎる特権PSO

アカウントが盗まれた場合、長期間にわたって攻撃者によって使用される可能性があります。特権ユーザーの場合、危険度はさらに高くなります。

パスワードの有効期間が古すぎる特権PSO

既に使用したパスワードは、期間を空けずに再度使用すべきではありません。特権ユーザーの場合、危険度はさらに高くなります。

パスワード履歴の最小期間が短すぎる特権PSO

可逆的なアルゴリズムで保存されているパスワードは、すぐに漏洩してしまう可能性があります。特権ユーザーの場合、危険度はさらに高くなります。

パスワードに可逆暗号化が使用されている特権PSO

ローカルアカウントのパスワードの最小文字数が短すぎる

ローカルアカウントのパスワードの有効期間が古すぎる

既に使用したパスワードは、期間を空けずに再度使用すべきではありません。

パスワード履歴の最小期間が短すぎる

パスワードの複雑度が十分でないと、攻撃者は単純な辞書攻撃を使用して、パスワードを見破ることができます。

パスワードの複雑度が十分でない

ロックアウトしきい値が低すぎると、ブルートフォースアタックによってパスワードが漏洩してしまう可能性が増します。

アカウントロックアウトしきい値が低すぎる

ロックアウト期間が短すぎると、ブルートフォースアタックによってパスワードが漏洩してしまう可能性が増します。

アカウントロックアウト期間が短すぎる

可逆的なアルゴリズムで保存されているパスワードは、すぐに漏洩してしまう可能性があります。

パスワードに可逆暗号化が使用されている

PSOのない特権グループでは、精度が十分でない、強度が劣る可能性のあるドメインパスワード設定が使用されます。

PSOのない特権グループ

ドメインに適用されている PSO がない場合、特権ユーザーと標準ユーザーのパスワード設定は同じ方法で GPO によって管理されます。

ドメインに適用されているPSOがない

パスワードの複雑度が十分でないと、攻撃者は単純な辞書攻撃を使用して、パスワードを見破ることができます。特権ユーザーの場合、危険度はさらに高くなります。

パスワードの複雑度が十分でない特権PSO

ロックアウトしきい値が低すぎると、ブルートフォースアタックによってパスワードが漏洩してしまう可能性が増します。特権ユーザーの場合、危険度はさらに高くなります。

アカウントロックアウトしきい値が低すぎる特権PSO

ロックアウト期間が短すぎると、ブルートフォースアタックによってパスワードが漏洩してしまう可能性が増します。特権ユーザーの場合、危険度はさらに高くなります。

アカウントロックアウト期間が短すぎる特権PSO

ローカルアカウントのパスワードに可逆暗号化が使用されている

ドメインのパスワード設定の1 つを定義しているGPOがありません。

GPO パスワードパラメーターが欠落しています。

この OU では継承がブロックされ、パスワードパラメーターは再定義されません。このため、この OU に配置されているすべてのコンピューターには、ローカルパスワードポリシーに関連する OS のデフォルトの設定が適用されます。

パスワードパラメーターは伝播も再定義もされません

ローカルアカウントのパスワード履歴の最小期間が短すぎる

ローカルアカウントのパスワードの複雑度が十分でない

ローカルアカウントのアカウントロックアウトしきい値が低すぎる

ローカルアカウントのアカウントロックアウト期間が短すぎる

セキュリティフィルタリングのため、関連するリンク可能なコンテナにあるすべてのコンピューターにパスワードパラメーターを適用できません。このため、これらのパスワードパラメーターの値は定義されておらず、OS のデフォルトが使用されます。

検出

ユーザーに対する弱いパスワードポリシーの適用

critical

説明

ソリューション

参考資料

インジケーターの詳細