パスワードのリセット

説明

ソースセキュリティプリンシパルは、ターゲットのパスワードをリセットできるため、新しい属性のパスワードを使用してターゲットとして認証され、ターゲットの特権を利用できます。

パスワードのリセットはパスワードの変更と同じではありません。変更は現在のパスワードを知っている誰もが行うことができます。通常、パスワードの変更はスワードの有効期限が切れたときに発生します。

悪用

ソースのセキュリティプリンシパルを侵害した攻撃者は、Windows のネイティブコマンド (例: net group/domain)、PowerShell (例: Set-ADAccountPassword -Reset)、管理ツール (例: Active Directory ユーザーとコンピューター)、専用ハッカーツール (例: PowerSploit) を使用して、ターゲットのパスワードをリセットすることができます。

その後、攻撃者は新しく選択したパスワードを使用して正当な認証方法で、Active Directory または標的のリソースに認証されるだけで、ターゲットに完全になりすませます。

ただし、攻撃者は通常、以前のパスワードを知らないので、攻撃後に元のパスワードに戻すことができません。したがって、攻撃はターゲットの背後にいる正当なユーザーが経験する結果になることが多く、サービスアカウントの場合は特にサービス拒否を引き起こす可能性さえあります。

修正方法

IT 管理者およびヘルプデスクスタッフは、パスワードをリセットすることが正当に許可されています。ただし、適切な委任を実装して、許可された範囲内でのみこのアクションを実行できるようにする必要があります。

また、ティアモデルに従い、通常のユーザー向けのヘルプデスクなど、下位レベルのスタッフが、ドメイン管理者などの上位レベルのアカウントのパスワードをリセットできないようにする必要があります。権限昇格の機会となることを防ぐためです。

ターゲットのセキュリティ記述子を変更し、不正なアクセス許可を削除するには

1. 「Active Directory ユーザーとコンピューター」で、右クリックして [プロパティ] > [セキュリティ] の順に選択します。

2. ソースセキュリティプリンシパルの「パスワードのリセット」のアクセス許可を削除します。

注意: このアクセス許可を「パスワードの変更」と混同しないでください。

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• 操作の許可を付与できる

• SID 履歴あり

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• RODC 管理

• DACL の書き込み

• 所有者の書き込み