ユーザーにコンピューターをドメインに参加させることが許可されている

デフォルトでは、特権ユーザーおよび非特権ユーザーは誰でも、Active Directory に新しくコンピューターアカウントを作成すれば、ドメインにコンピューターを追加できます。そのコンピューターが機密性の高い情報を保持している場合はセキュリティリスクとなり、追加したユーザーはそのコンピューターに権限を保持した状態でバックドアを作成することになります。この機能によって、脆弱性 (CVE-2021-42278 / CVE-2021-42287) の悪用が簡単になることもあります。この機能を無効にし、この機能を使用して追加された既存のコンピューターを検証するようお勧めします。
sAMAccountName のなりすまし​攻撃インジケーターで攻撃を検出できても、問題は修正されません。

指定された管理者のみを認可するために、悪名高い ms-DS-MachineAccountQuota 属性 (「MachineAccountQuota」とも呼ばれる) のデフォルト値を変更し、一部のユーザーだけが Active Directory ドメインにコンピューターを追加できるようにします。また、一部の既存コンピューターは、許可されていない手段でドメインに追加されているかもしれません。この場合は、そのコンピューターを再インストールし、組織の Windows マスターファイルを適用することが必要です。この作業はコストが掛かる可能性もありますが、このようなコンピューターによる潜在的なリスクを考慮することが重要です。適切なセキュリティ堅牢化が不十分だったり、攻撃に対するドメインの脆弱性を放置する隠れたバックドアを含んだりするようなリスクがあります。

名前: ユーザーにコンピューターをドメインに参加させることが許可されている

コード名: C-USERS-CAN-JOIN-COMPUTERS

深刻度: Medium

タイプ: Active Directory Indicator of Exposure

Family: ポリシーと設定