AD Starter Scan-プライマリグループIDの整合性

high Nessus プラグイン ID 150487

Language:

概要

プライマリグループID属性を使用する潜在的なバックドアが、ユーザーアカウントで見つかりました。

説明

グループは、環境内のリソースへのアクセスを提供する標準的な方法です。したがって、グループのメンバーシップは、十分に注意して扱う必要があります。あまり知られていないActive Directory機能を同じ目的で使用できます: プライマリグループID。これはレガシーUNIXアプリケーションをサポートするために作成されたメカニズムで、グループメンバーシップはWindowsと同じように保存されません。リソースへのアクセス権をチェックするとき、グループのメンバーであること、あるいはこのグループに設定されたプライマリグループIDを持っていることは、Active Directoryの見地からまったく同じです。すべてのサードパーティツールとソフトウェアがこのユースケースを考慮しているわけではありません。

プライマリグループIDメカニズムの使用は推奨されず、セキュリティリスクとなります。

注意: AD Starter Scan および関連するプラグインは、予備的な分析を目的とした小規模の AD デプロイメントでの使用を意図しています。ユーザー、グループ、マシンが最大 5000 の AD デプロイメントでは正確な予備分析が期待できますが、Nessus、Security Center、Vulnerability Management を使用した大規模な AD デプロイメントでは不完全な結果が返されます。Active Directory Starter Scan プラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

ソリューション

セキュリティの見地から、それが提供する隠されたバックドアメカニズムのために、ドメインのアカウントのプライマリグループID値をデフォルト値にリセットする必要があります:

-ドメインのすべてのユーザーアカウントに対して、アカウントの機能の種類 (通常または権限のあるユーザー、サービスアカウント、VIPユーザーなど) に関係なく、PGIDは513に設定される必要があります
-Guestアカウントは、514のPGIDを持つ必要がある特定のユーザーアカウントです
-ドメインコントローラーを除き、コンピューターの機能の種類 (デスクトップまたはサーバー) にかかわらず、ドメインのすべてのコンピューターアカウントで、PGID を 515 に設定する必要があります
-ドメインのすべてのドメインコントローラーに対して、予想されるドメインコントローラーのタイプに応じてPGIDを設定する必要があります:
-- 標準の読み書きドメインコントローラーの場合、PGIDを516に設定する必要があります
-- 読み取り専用ドメインコントローラーの場合、PGIDを521に設定する必要があります
-- エンタープライズ読み取り専用ドメインコントローラーの場合、PGIDを498に設定する必要があります