ドメイン管理者のサインインがある非ドメインコントローラーについての詳細と、この種のアイデンティティ関連リスクを軽減する方法について学びます。
ドメイン管理者は、ドメインコントローラにのみサインイン、ドメインコントローラ以外のデバイスでの日常的な操作には、権限の低いユーザアカウントを使用する必要があります。ドメイン管理者がドメインコントローラ以外のデバイスにログインすると、管理者の認証情報は、次のようなさまざまな方法で認証情報を抽出する可能性のある悪意のある攻撃者に対して脆弱になります。
-
メモリ内の認証情報窃盗 (Pass-the-Hash): 攻撃者はデバイスのメモリからドメイン管理者の認証情報を抽出する手法を使用し、ドメイン内の他のシステムに不正アクセスすることができます。
-
認証情報スニッフィング: 攻撃者はネットワークトラフィックを傍受し、プレーンテキストまたはハッシュ化された認証情報を取得することができます。これにはドメイン管理者の認証情報も含まれ、悪意のある人物が機密アカウントにアクセスできるようになります。
-
中間者攻撃: 攻撃者は、2者間の通信を秘密裏に傍受し、場合によっては改ざんすることができます。ドメイン管理者が暗号化されていないプロトコルを使用してサインインすると、攻撃者は認証プロセスを傍受して認証情報を取得し、操作することができます。
ドメイン管理者がドメインコントローラ以外のデバイスにログインするリスクを軽減するために、 トレンドマイクロ では次のことをお勧めします。
-
デバイスを再起動してメモリをクリアします。通常、メモリに保存されている認証情報はすべて消去されます。
-
影響を受けたドメイン管理者アカウントのパスワードをすぐにリセットします。これにより、侵害された可能性のある認証情報が無効になり、その後のサインインで新たに生成されたパスワードが必要になるようにします。
-
影響を受けるドメイン管理者アカウントで多要素認証 (MFA) を有効にして、セキュリティを強化します。
-
ドメイン管理者アカウントの権限を確認し、役割に必要な最小限の権限に制限します。特にドメインコントローラ以外のデバイスでは、不要な権限を割り当てないようにします。