DCSync

説明

DCSync は、ドメインコントローラーが変更を複製するためだけに使用する正当な Active Directory 機能ですが、不正なセキュリティプリンシパルもこれを使用できます。

ソースセキュリティプリンシパルは、DCSync 機能を使用してターゲットドメインから機密性の高いシークレット (パスワードハッシュ、Kerberos キーなど) をリクエストすることができ、最終的にドメインの完全な侵害につながりかねません。

シークレットをフェッチするには、「ディレクトリ変更の複製」(DS-Replication-Get-Changes) と「ディレクトリ変更のすべてを複製」(DS-Replication-Get-Changes-All) の 2 つのセキュリティアクセス許可が必要です。この関係が発生するのは、直接またはネスト化されたグループメンバーシップを使用して、これらのアクセス許可の両方をソースに付与した場合のみです。

悪用

ソースのセキュリティプリンシパルを侵害した攻撃者は、mimikatz や impacketなどの専用のハッカーツールを使用してシークレットをフェッチできます。

• ゴールデンチケット:「krbtgt」アカウントのパスワードハッシュを取得した結果、Kerberos TGT の偽造が可能になり、任意のコンピューター/サービス上の任意の人になりすますことができます。なりしましにより、特にドメイン内の任意のコンピューターに対する管理者権限が付与されます。

• シルバーチケット: コンピューター/サービスアカウントのパスワードハッシュを取得した結果、Kerberos サービスチケットの偽造が可能になり、特定のコンピューター/サービス上の任意の人になりすますことができます。

修正方法

デフォルトで DCSync を利用できる正当なセキュリティプリンシパルは以下のとおりです。

• 管理者

• ドメイン管理者

• エンタープライズ管理者

• システム

さらに、Microsoft Entra IDConnect 設定では、パスワードハッシュ同期サービスアカウント (MSOL _...) が DCSync を利用することを許可しています。

また、特定のセキュリティツール、特にパスワード監査ソリューションのサービスアカウントが見つかる場合もあります。担当者と共にそれらの正当性を検証してください。

DCSync を実行する正当な理由のないソースセキュリティプリンシパルの場合は、このアクセス許可を削除する必要があります。

ターゲットドメインのセキュリティ記述子を変更するには

1. 「Active Directory ユーザーとコンピューター」 で、ドメイン名を右クリックして [プロパティ] > [セキュリティ] の順に選択します。

2. 正当性のないセキュリティプリンシパルの「ディレクトリ変更の複製」および「ディレクトリ変更のすべてを複製」のアクセス許可を削除します。

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• 操作の許可を付与できる

• SID 履歴あり

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• パスワードのリセット

• RODC 管理

• DACL の書き込み

• 所有者の書き込み