フォレスト
Active Directory (AD) フォレストは、共通のスキーマ、設定、信頼関係を共有するドメインの集合体です。リソースを管理して整理できる階層構造が提供されるため、企業内の多数のドメインを集中管理したりセキュアな認証を行ったりすることが可能になります。
フォレストの管理
-
Tenable Identity Exposure で、[システム] > [フォレスト管理] をクリックします。
-
右側の [フォレストの追加] をクリックします。
フォレストの追加ペインが表示されます。
-
[名前] ボックスにフォレスト名を入力します。
- [アカウント] セクションで、Tenable Identity Exposure が使用するサービスアカウントの以下の情報を入力します。
- ログイン: サービスアカウントの名前を入力します 形式: ユーザープリンシパル名 (例: [email protected]) (Kerberos 認証 との互換性を得るために推奨)、または NetBIOS (例: DomainNetBIOSName\SamAccountName
- パスワード: このサービスアカウントのパスワードを入力します
-
[追加] をクリックします。
新しいフォレストの追加を確認するメッセージが表示されます。
-
Tenable Identity Exposure で、[システム] > [フォレスト管理] をクリックします。
-
フォレストのリストで、変更するフォレストにカーソルを合わせ、右側の アイコンをクリックします。
[フォレストの編集] ペインが表示されます。
-
必要に応じて変更します。
-
[編集] をクリックします。
Tenable Identity Exposure がフォレストを更新したことを確認するメッセージが表示されます。
サービスアカウントの保護
Tenable は、ユーザーアカウント制御 (UAC) 属性を正しく設定することでサービスアカウントを保護し、セキュリティを維持することを推奨しています。これにより、委任の防止、事前認証の要求、より強力な暗号化の使用、パスワードの期限切れと要件の強制実行、承認されたパスワードの変更の許可が可能になります。このような手段を講じることにより、認証されていないアクセスや潜在的なセキュリティ侵害のリスクを軽減しつつ、企業のシステムとデータの整合性を確保できます。
適切な管理者権限を使用して Windows のローカルセキュリティポリシーエディターまたはグループポリシーエディターを使用して、ユーザーアカウント制御設定を変更できます。
-
エディターで、[ローカル ポリシー] > [セキュリティ オプション] に進み、次の設定を見つけて設定します (この手順はご使用の Windows のバージョンによって異なる場合があります)。
-
「ネットワーク アクセス: ネットワーク認証のためにパスワードと認証情報の保存を許可しない」 を [有効] に設定します。
-
「アカウント: Kerberos 事前認証を必須にしない」 を [無効]に設定します。
-
「ネットワーク セキュリティ: Kerberos に許可される暗号化タイプの設定」 が 「このアカウントに Kerberos DES 暗号化タイプを使用する」オプションに選択されていないことを確認します。
-
「アカウント: パスワードの最大有効期限」 でパスワードの有効期限を設定します (たとえば、30 日、60 日、または 90 日にすると PasswordNeverExpires = FALSE となります)。
-
「アカウント: ローカル アカウントでの空白のパスワードの使用をコンソールログオンのみに制限」 を [無効] に設定します。
-
「インタラクティブ ログオン: キャッシュする過去のログオン回数 (ドメインコントローラーが使用できない場合)」 でユーザーが自分のパスワードを変更できるようにするには、「10」など希望する値を設定します。
-
-
AD をホストしているマシンで、適切な管理者権限を使用して PowerShell を開き、次のコマンドを実行します。
コピーSet-ADAccountControl -Identity <AD_ACCOUNT> -AccountNotDelegated $true -UseDESKeyOnly $false -DoesNotRequirePreAuth $false -PasswordNeverExpires $false -PasswordNotRequired $false -CannotChangePassword $false
<AD_ACCOUNT> に、変更する Active Directory アカウントの名前を入れます。