ユーザーにコンピューターをドメインに参加させることが許可されている
medium
Language:
説明
デフォルトでは、特権ユーザーおよび非特権ユーザーは誰でも、Active Directory に新しくコンピューターアカウントを作成すれば、ドメインにコンピューターを追加できます。そのコンピューターが機密性の高い情報を保持している場合はセキュリティリスクとなり、追加したユーザーはそのコンピューターに特権を保持した状態でバックドアを作成することになります。この機能によって、脆弱性 (CVE-2021-42278 / CVE-2021-42287) の悪用が簡単になることもあります。この機能を無効にし、また、この機能を使用して追加された既存のコンピューターを検証するようお勧めします。
sAMAccountName なりすまし攻撃インジケーターで攻撃を検出できても、問題の修正はできません。
ソリューション
セキュリティを確実にするために、Active Directory のドメインにコンピューターを追加できるのは、認可された管理者のみであることを確認してください。また、一部の既存コンピューターは、許可されていない手段でドメインに追加されているかもしれません。この場合は、そのコンピューターを再インストールし、組織の Windows マスターファイルを適用することが必要です。この作業はコストが掛かる可能性もありますが、このようなコンピューターによる潜在的なリスクを考慮することが重要です。適切なセキュリティ堅牢化が不十分だったり、攻撃に対するドメインの脆弱性を放置する隠れたバックドアを含んだりするようなリスクがあります。