検出

オンプレミス環境でパスワード保護が有効になっていない

MEDIUM

Language:

説明

この IoE は、Entra ID P1 または P2 ライセンスを持つテナントに対してのみ実行されます。このセキュリティ機能にはこれらのプレミアムライセンスが必須だからです。

Entra ID は、Microsoft Entra パスワード保護を活用して、ブルートフォースアタックを受けやすい、簡単に推測できるパスワードを設定するユーザーのリスクを軽減します。この機能は、デフォルトで有効になっており無効にすることができないグローバル禁止パスワードリストを使用します。これには、Microsoft が維持管理し、定期的に更新している、よく使用される弱いパスワードが含まれます。

Microsoft Entra パスワード保護はクラウドベースの機能ですが、組織は従来のオンプレミス Active Directory (「Windows Server Active Directory」としても知られる) に拡張することができます。詳しくは、「Active Directory Domain Services にオンプレミスの Microsoft Entra パスワード保護を適用する」をご覧ください。オンプレミスの Active Directory ドメインコントローラーに専用の Microsoft エージェントをインストールし、さらにクラウドベースの Entra ポータルを介してパスワード保護ポリシーを設定することで、この統合を効率的に行えます。

この露出インジケーター (IoE) は、次の 2 つの Microsoft Entra パスワード保護設定を評価して、オンプレミス環境でのこの設定が強制されているかを判断します。

  • [Enable password protection on Windows Server Active Directory] (Windows Server Active Directory でパスワード保護を有効にする) ([Yes] (はい) が想定値)
  • [Mode] (モード) ([Enforced] (強制) が想定値)

注意:

  1. この IoE は、オンプレミスの Active Directory (例: Microsoft Entra Connect または Microsoft Entra Cloud Sync) と同期されているテナントに対してのみ実行されます。組織onPremisesSyncEnabled プロパティに基づいて分析します。
  2. オンプレミスの Active Directory ドメインに対して Microsoft Entra パスワード保護を有効にする (推奨セクションで概説) には、組織がオンプレミス環境内のすべてのドメインコントローラーにエージェントをデプロイする必要があります。この IoE は、Entra ID ポータル内の関連する設定をチェックしますが、オンプレミスの Active Directory ドメインコントローラーにエージェントが実際にデプロイメントされているかどうかを検証することはできません。そのため、検出漏れが発生する可能性があります。エージェントがすべての Active Directory ドメインコントローラーで完全にデプロイしていないか、正しく機能していなくても、Entra 内では設定が準拠しているように見えます。

ソリューション

オンプレミスの Active Directory ドメインへの拡張を含め、Microsoft Entra パスワード保護を有効にすると、組織は弱いパスワードの使用を排除でき、それによって攻撃者がこれらの認証情報を推測して組織のインフラへの不正アクセスを取得する可能性が低くなります。

この機能は、クラウドの Entra ID に対してはデフォルトで有効になっていますが、オンプレミス環境の Active Directory ドメインコントローラーには自動的に拡張されません。テナントがプレミアムライセンス (Entra ID P1 または P2) からの恩恵を受けている場合、この機能を Active Directory に拡張することで、組織はオンプレミスの AD ユーザーも保護することができます。

Tenable では、次のことを推奨しています。

  1. 概念を理解する
  2. 手順に従って、オンプレミスのドメインコントローラーに、パスワードフィルター DLL を実装する専用の Microsoft エージェントをデプロイする
  3. [Enable password protection on Windows Server Active Directory] を [Yes] に、[Mode] を [Audit] そして評価後に [Enforced] に設定することで、オンプレミスのパスワード保護を有効にする

インジケーターの詳細

名前: オンプレミス環境でパスワード保護が有効になっていない

コード名: PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: