AD Starter Scan - 有効期限がないアカウントパスワード

medium Nessus プラグイン ID 150483

Language:

概要

期限切れにならないパスワードを持つアカウント

説明

Active Directoryアカウントは、グローバルパスワード更新ポリシーを回避するように構成できます。このように設定されたアカウントは、パスワードを変更せずに無期限に使用できます。ユーザーアカウントと管理者アカウントには、この属性を設定しないでください。

デフォルトでは、このチェックは無効なアカウントをスキップします。無効にしたアカウントもチェックするには、完全なテストを有効にしてください。

注: このプラグインはActive Directory Starter Scan Templateの一部であり、ADホストの予備的な分析に使用されることを意図しています。Active Directory Starter Scanプラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

ソリューション

パスワード失効ポリシーは、変更前に攻撃者がパスワードを推測または解読するリスクを抑えます。すべてのユーザーアカウントおよび管理者アカウントは、例外なくこのポリシーに従う必要があります。

サービスアカウントは処理がより困難になる可能性があります: パスワードの期限が切れ、且つアプリケーション開発者によって考慮されていない場合、サービスが機能を停止する可能性があります。それで、特別な手順を作成し、手動で定期的にパスワードを変更できるようにする必要があります。

注意: AD Starter Scan および関連するプラグインは、予備的な分析を目的とした小規模の AD デプロイメントでの使用を意図しています。ユーザー、グループ、マシンが最大 5000 の AD デプロイメントでは正確な予備分析が期待できますが、Nessus、Security Center、Vulnerability Management を使用した大規模な AD デプロイメントでは不完全な結果が返されます。Active Directory Starter Scan プラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations