AD Starter Scan-プライマリグループIDの整合性

high Nessus プラグイン ID 150487

概要

プライマリグループID属性を使用する潜在的なバックドアが、ユーザーアカウントで見つかりました。

説明

グループは、環境内のリソースへのアクセスを提供する標準的な方法です。したがって、グループのメンバーシップは、十分に注意して扱う必要があります。あまり知られていないActive Directory機能を同じ目的で使用できます: プライマリグループID。これはレガシーUNIXアプリケーションをサポートするために作成されたメカニズムで、グループメンバーシップはWindowsと同じように保存されません。リソースへのアクセス権をチェックするとき、グループのメンバーであること、あるいはこのグループに設定されたプライマリグループIDを持っていることは、Active Directoryの見地からまったく同じです。すべてのサードパーティツールとソフトウェアがこのユースケースを考慮しているわけではありません。

プライマリグループIDメカニズムの使用は推奨されず、セキュリティリスクとなります。

注意: AD Starter Scan および関連するプラグインは、予備的な分析を目的とした小規模の AD デプロイメントでの使用を意図しています。ユーザー、グループ、マシンが最大 5000 の AD デプロイメントでは正確な予備分析が期待できますが、Nessus、Security Center、Vulnerability Management を使用した大規模な AD デプロイメントでは不完全な結果が返されます。Active Directory Starter Scan プラグインによって発見された問題の詳細については、このブログの投稿を参照してください- https://www.tenable.com/blog/new-in-nessus-find-and-fix-these-10-active-directory-misconfigurations

ソリューション

セキュリティの見地から、それが提供する隠されたバックドアメカニズムのために、ドメインのアカウントのプライマリグループID値をデフォルト値にリセットする必要があります:

-ドメインのすべてのユーザーアカウントに対して、アカウントの機能の種類 (通常または権限のあるユーザー、サービスアカウント、VIPユーザーなど) に関係なく、PGIDは513に設定される必要があります
-Guestアカウントは、514のPGIDを持つ必要がある特定のユーザーアカウントです
-ドメインコントローラーを除き、コンピューターの機能の種類 (デスクトップまたはサーバー) にかかわらず、ドメインのすべてのコンピューターアカウントで、PGID を 515 に設定する必要があります
-ドメインのすべてのドメインコントローラーに対して、予想されるドメインコントローラーのタイプに応じてPGIDを設定する必要があります:
-- 標準の読み書きドメインコントローラーの場合、PGIDを516に設定する必要があります
-- 読み取り専用ドメインコントローラーの場合、PGIDを521に設定する必要があります
-- エンタープライズ読み取り専用ドメインコントローラーの場合、PGIDを498に設定する必要があります

参考資料

http://www.nessus.org/u?748f1454

http://www.nessus.org/u?dae9d9c5

http://www.nessus.org/u?d5c4c81f

プラグインの詳細

深刻度: High

ID: 150487

ファイル名: adsi_pgid.nbin

バージョン: 1.98

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2021/7/29

更新日: 2024/6/24

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS スコアの根本的理由: Score based on an in-depth analysis by tenable.

CVSS v2

リスクファクター: High

基本値: 7.1

ベクトル: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C

CVSS スコアのソース: manual

CVSS v3

リスクファクター: High

基本値: 7.5

ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:microsoft:active_directory

必要な KB アイテム: ldap_enum_person/available, ldap_enum_computer/available, ldap_enum_domaindns/available