セキュリティ評価: GPO で可逆的パスワードが検出された
セキュリティ態勢に関するこの推奨事項には、環境内のグループ ポリシー オブジェクトのうち、パスワード データが含まれているグループ ポリシー オブジェクトの一覧が示されます。
パスワード データを含むグループ ポリシー オブジェクトがリスクになるのはなぜですか?
以前はグループ ポリシー基本設定 (GPP) により、管理者がドメイン ポリシーに埋め込み資格情報を含めることができました。 この機能は、パスワードの安全でない保存に関するセキュリティ上の懸念から、MS14-025 のリリースで削除されました。 ただし、これらの資格情報を含むファイルは SYSVOL フォルダーにまだ存在する可能性があります。つまり、すべてのドメイン ユーザーがこれらのファイルにアクセスし、公開されている AES キーを使用してパスワードを復号化できることを意味します。
攻撃者による悪用の可能性を回避するために、埋め込み資格情報が含まれている既存の基本設定はすべて削除することをお勧めします。
修復手順
パスワード データが含まれている基本設定を削除するには、ドメイン コントローラーか、リモート サーバー管理ツール (RSAT) がインストールされているクライアントから、グループ ポリシー管理コンソール (GPMC) を使用します。 次の手順に従って、基本設定を削除できます。
GPMC で、[公開されたエンティティ] タブに報告されているグループ ポリシーを開きます。
パスワード データが含まれている基本設定の構成に移動し、オブジェクトを削除します。 [適用]、[OK] の順にクリックして変更を保存します。
次に例を示します。
変更がクライアントに反映されるまで、グループ ポリシーの更新サイクルを待ちます (通常は最長 120 分)。
変更がすべてのクライアントに適用されたら、基本設定を削除します。
必要に応じて手順 1 から 5 を繰り返し、環境全体をクリーンアップします。