PasswordIQは、Active Directoryのユーザーをスキャンし、11種類のパスワードの脆弱性を調査します。スキャン結果を受け取ったら、ユーザーと協力して、PasswordIQで検出されたパスワードの脆弱性を解決できます。スキャン結果の表示方法については、「PasswordIQダッシュボードの使用方法」の記事を参照してください。
パスワードの脆弱性を解決する方法については、以下のセクションを参照してください。PasswordIQの一般的な情報については、「PasswordIQ製品マニュアル」を参照してください。
強度の低いパスワード
PasswordIQが強度の低いパスワードを検出した場合、この脆弱性を解決するための以下の推奨事項を参照してください。
- 現在のパスワードの強度が低いことをユーザーに通知します。
- ユーザーにパスワードの変更を依頼します。
- 強度の高いパスワードの作成方法を教えるトレーニングを実施します。KnowBe4では、ModStoreでユーザーに割り当てることができるトレーニングモジュールとして、「強度の高いパスワードの作成方法 - セキュリティ意識トレーニング」、「クイズを使用した強度の高いパスワードの作成方法」、および「パスワードのセキュリティ」などを提供しています。ModStoreのトレーニングコンテンツについては、「ModStoreとライブラリのガイド」を参照してください。
共有されたパスワード
PasswordIQが共有されたパスワードを検出した場合、この脆弱性を解決するための以下の推奨事項を参照してください。
- 現在のパスワードが共有されていることをユーザーに通知します。
- 共有パスワードを使用している全てのアカウントのパスワードを変更するよう、ユーザーに依頼します。
一意のパスワードの作成方法を教えるトレーニングを実施します。KnowBe4では、ModStoreでユーザーに割り当てることができるトレーニングモジュールとして、「強度の高いパスワードの作成方法 - セキュリティ意識トレーニング」、「クイズを使用した強度の高いパスワードの作成方法」、および「パスワードのセキュリティ」などを提供しています。ModStoreのトレーニングコンテンツについては、「ModStoreとライブラリのガイド」を参照してください。
クリアテキストパスワード
PasswordIQによりユーザーまたはユーザーグループがクリアテキストのパスワードを使用していることが検出された場合、そのアカウントの可逆暗号化設定が有効になっている可能性があります。PasswordIQがこの脆弱性を検出すると、細かい設定が可能なパスワードポリシー(Fine-Grained Password Policies:FGPP)も評価されます。特定のユーザーに対して、可逆暗号化に関連する細かい設定が可能なパスワードポリシーが適用されているかどうかをチェックする必要がある場合もあります。
以下の表は、ユーザー個別の設定、FGPP、およびグループポリシーオブジェクト(GPO)の組み合わせに基づいて、クリアテキストの脆弱性がどのように判定されるかを示しています。適用されるポリシーは、以下の順序で評価されます。
- [暗号化を元に戻せる状態でパスワードを保存する]フラグがユーザーレベルで有効になっている場合、その他のポリシーはオーバーライドされます。PasswordIQは、クリアテキストの脆弱性を検出します。
- FGPPが適用されており、[暗号化を元に戻せる状態でパスワードを保存する]オプションが有効になっている場合、この設定はドメインGPOよりも優先されます。PasswordIQは、グループポリシードメインの設定に関わらず、クリアテキストの脆弱性を検出します。
- FGPPが適用されていない場合、ドメインGPO設定のみが適用されます。[暗号化を元に戻せる状態でパスワードを保存する]ポリシーが有効な場合、PasswordIQはクリアテキストの脆弱性を検出します。
| ユーザー設定 | 細かい設定が可能なパスワードポリシー(FGPP) | デフォルトドメインポリシー(GPO) | 有効なポリシー | クリアテキストの脆弱性の検出 | |
|---|---|---|---|---|---|
| ユーザーが[元に戻せる暗号化を使用してパスワードを保存する]フラグを有効にしている | 有効 | 任意のFGPP設定 | 任意のGPO設定 | ユーザー設定が適用される | 検出 |
| ユーザーが[元に戻せる暗号化を使用してパスワードを保存する]を選択していないが、FGPPが適用されている | 無効 | [元に戻せる暗号化を使用してパスワードを保存する]設定が有効 | 任意のGPO設定 | FGPPが適用される | 検出 |
| ユーザーが[元に戻せる暗号化を使用してパスワードを保存する]を選択しておらず、ドメインGPOのみが存在する | 無効 | FGPPなし | [元に戻せる暗号化を使用してパスワードを保存する]設定が有効 | ドメインGPOが適用される | 検出 |
この設定を確認するには、以下のステップに従って操作します。
- Active Directoryを開きます。
- ユーザーのアカウントプロパティに移動します。
- [アカウント]タブを選択します。
- [アカウントオプション]セクションで、[元に戻せる暗号化を使用してパスワードを保存する]設定を見つけます。このオプションが選択されていないことを確認します。
- パスワードを変更するようユーザーに警告します。
PasswordIQにより全てのユーザーがクリアテキストのパスワードを使用していることが検出された場合、グループポリシーで可逆暗号化が設定されている場合があります。
この設定を確認するには、以下のステップに従って操作します。
- グループポリシー管理エディタを開きます。
- 次のパスに移動します。Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
- [元に戻せる暗号化を使用してパスワードを保存する]ポリシーを開きます。このポリシーが無効になっていることを確認します。
- 自社で適用しているグループポリシーを強制的に更新します。
- パスワードを変更するようユーザーに警告します。
PasswordIQがクリアテキストのパスワードを検出する場合、STORE_CLEARTEXTフラグが組織全体で有効になっている可能性があります。
このフラグを有効にするかどうかを決定するには、以下のステップに従って操作します。
- ドメインコントローラーから、Active Directoryユーザーとコンピューター(ADUC) を開きます。
- ドメイン名を右クリックして、[プロパティ]を開きます。
- [属性エディタ]タブを選択して、[pwdProperties]属性を見つけます。この属性にSTORE_CLEARTEXTフラグが含まれている場合、そのドメインはクリアテキストのパスワードを許可するように設定されています。この設定は、デフォルトドメインポリシーまたは別のドメインポリシーを適用して無効にできます。
空のパスワード
PasswordIQが空のパスワードを検出した場合、グループポリシーで[最小パスワード長]が0に設定されている場合があります。このように設定されていると、文字数がゼロのパスワードが許可されます。
この設定を確認するには、以下のステップに従って操作します。
- グループポリシー管理エディタを開きます。
- 次のパスに移動します。Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy
- [最小パスワード長]ポリシーを開きます。
DESのみの暗号化
PasswordIQがDESのみの暗号化を検出した場合、DES暗号化設定がアカウントで有効になっている場合があります。
この設定を確認するには、以下のステップに従って操作します。
- Active Directoryを開きます。
- ユーザーのアカウントプロパティに移動します。
- [アカウント]タブを選択します。
- [アカウントオプション]セクションで、 [このアカウントに Kerberos DES 暗号化の種類を使用する]設定を見つけます。
侵害されたパスワード
PasswordIQが侵害されたパスワードを検出した場合、以下のこの脆弱性を解決するための推奨事項を参照してください。
- データ侵害が発生しており、現在のパスワードにアクセスできないことを通知します。
- そのパスワードを使用している全てのアカウントのパスワードを変更するよう、ユーザーに依頼します。
- ソーシャルエンジニアリング攻撃への備えとして、「KnowBe4セキュリティ意識向上トレーニング」の最新版をユーザーに配布します。サイバー犯罪者は、データが漏洩したユーザーを標的にすることが多くあります。
パスワードの要求がない
PasswordIQによってパスワードが要求されていないケースが検出された場合、アカウントのuserAccountControl属性にPASSWD_NOTREQDフラグを設定されている場合があります。この設定を確認するには、以下のステップに従って操作します。
- Active Directoryを開きます。
- [高度な機能]([表示] > [高度な機能])を有効にします。
- ユーザーのアカウントプロパティに移動します。
- [属性エディタ]タブを選択して、[userAccountControl]属性を見つけます。
有効期限がないパスワード
PasswordIQによりユーザーまたはユーザーグループが有効期限がないパスワードを使用していることが検出された場合、[パスワードを無期限にする]設定がそのアカウントで有効になっている可能性があります。
以下の表は、ユーザー個別の設定、Fine-Grained Password Policies (FGPP)、およびグループポリシーオブジェクト(GPO)の組み合わせに基づいて、[有効期限がないパスワード]の脆弱性がどのように判定されるかを示しています。適用されるポリシーは、以下の順序で評価されます。
- ユーザーレベルで[有効期限がないパスワード]フラグが有効になっている場合、他のポリシーがオーバーライドされ、パスワードの有効期限は適用されません。PasswordIQは、有効期限がないパスワードの脆弱性を検出します。
- FGPPが適用されており、[Enforce maximum password age](最大パスワード期間を強制)オプションが無効になっている場合、この設定はドメインGPOよりも優先されます。PasswordIQは、グループポリシードメインの設定に関わらず、ク有効期限がないパスワードの脆弱性を検出します。
- FGPPが適用されていない場合、ドメインGPO設定が適用されます。[パスワードの最大有効期間]ポリシーが0に設定されている場合、パスワードが無期限であると、PasswordIQは脆弱性を検出します。
| ユーザー設定 | 細かい設定が可能なパスワードポリシー(PSO) | デフォルトドメインポリシー(GPO) | 有効なポリシー | 有効期限がないパスワードの脆弱性の検出 | |
|---|---|---|---|---|---|
| ユーザーが[有効期限がないパスワード]設定を選択していない | 有効 | 任意のFGPP設定 | 任意のGPO設定 | ユーザー設定が適用される | 検出 |
| ユーザーが[有効期限がないパスワード]設定を選択していないが、FGPPが適用されている | 無効 | [最大パスワード期間を強制]設定が無効 | 任意のGPO設定 | FGPPが適用される | 検出 |
| ユーザーが[有効期限がないパスワード]設定を選択しておらず、ドメインGPOのみが存在する | 無効 | FGPPなし | [最大パスワード期間を強制]設定が0に設定されている | ドメインGPOが適用される | 検出 |
この設定を確認するには、以下のステップに従って操作します。
- Active Directoryを開きます。
- ユーザーのアカウントプロパティに移動します。
- [アカウント]タブを選択します。
- [アカウントオプション]セクションで、[パスワードを無期限にする]設定を見つけます。
PasswordIQによって全てのユーザーのパスワードの有効期限が設定されていないことが検出された場合、グループポリシーで[パスワードの最大有効期間]設定が0になっている可能性があります。
この設定を確認するには、以下のステップに従って操作します。
- グループポリシー管理エディタを開きます。
- Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Security Optionsに移動します。
- [パスワードの最大有効期間]ポリシーを開きます。
- 自社で適用しているグループポリシーを強制的に更新します。
また、パスワードの最大有効期間に関する詳細なパスワードポリシーが、ユーザーのグループに適用されているかどうかをチェックする必要がある場合もあります。
この設定を確認するには、以下のステップに従って操作します。
- Active Directory管理センターを開きます。
- “Domain” \System\Password Settings Containerに移動します。
- 一覧表示されたパスワードポリシーで、オプション[パスワードの最大有効期間を適用する]が無効になっていることを確認します。
LMハッシュパスワード
PasswordIQがLAN Manager(LM)ハッシュパスワードを検出した場合、LMのハッシュ設定がグループポリシーで有効になっている可能性があります。
この設定を確認するには、以下のステップに従って操作します。
- グループポリシー管理エディタを開きます。
- Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Optionsに移動します。
- [ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない]ポリシーを開きます。
- 自社で適用しているグループポリシーを強制的に更新します。
- パスワードを変更するようユーザーに警告します。
AES暗号が未設定
PasswordIQによりユーザーまたはユーザーグループにAdvanced Encryption Standard暗号化が設定されていないことが検出された場合、そのアカウントのAES暗号化設定が有効にする必要がある場合があります。
この設定を確認するには、以下のステップに従って操作します。
- Active Directoryを開きます。
- ユーザーのアカウントプロパティに移動します。
- [アカウント]タブを選択します。
- [アカウントオプション]セクションで、[このアカウントでKerberos AES 128ビット暗号化をサポートする]設定または[このアカウントでKerberos AES 256ビット暗号化をサポートする]設定を見つけます。利用可能なオプションを選択します。
PasswordIQが全てのユーザーのAES暗号化が設定されていないことを検出した場合、グループポリシーでAES暗号化タイプを選択する必要がある場合があります。
この設定を確認するには、以下のステップに従って操作します。
- グループポリシー管理エディタを開きます。
- Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Optionsに移動します。
- [ネットワーク セキュリティ:Kerberosで許可されるる暗号化の種類を構成する]ポリシーを開きます。AESキーはAES128_HMAC_SHA1およびAES256_HMAC_SHA1です。
事前認証の欠落
PasswordIQが事前認証の不足を検出した場合、 [Kerberos 事前認証を必要としない]設定がアカウントで有効になっている可能性があります。
この設定を確認するには、以下のステップに従って操作します。
- Active Directoryを開きます。
- ユーザーのアカウントプロパティに移動します。
- [アカウント]タブを選択します。
- [アカウントオプション]セクションで、 [Kerberos 事前認証を必要としない]設定を見つけます。