セキュリティ評価: 脆弱な暗号の使用
脆弱な暗号とは
暗号化は暗号に依存してデータを暗号化します。 たとえば、RC4 (Rivest Cipher 4 は ARC4 または ARCFOUR という意味で呼ばれます) は 1 つです。 RC4はシンプルさとスピードで顕著ですが、RC4の元のリリース以来、複数の脆弱性が発見され、安全ではありません。 RC4 は、出力キー ストリームの先頭が破棄されない場合、または非ランダムまたは関連するキーが使用される場合に特に脆弱です。
このセキュリティ評価を使用して、組織のセキュリティ体制を改善操作方法。
弱い暗号の使用については、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認してください。
特定されたクライアントとサーバーが脆弱な暗号を使用している理由を調査します。
問題を修復し、RC4 やその他の脆弱な暗号 (DES/3DES など) の使用を無効にします。
RC4 の無効化の詳細については、 Microsoft セキュリティ アドバイザリを参照してください。
注:
この評価は、ほぼリアルタイムで更新されます。 レポートには、過去 30 日間の影響を受けたエンティティが表示されます。 その後、影響を受けなくなったエンティティは、公開されているエンティティの一覧から削除されます。
修復
運用環境で有効にする前に、制御された環境で次の設定をテストしてください。
脆弱な暗号の使用を修復するには、該当するデバイスとアカウントの msDS-SupportedEncryptionTypes AD 属性を変更し、 これらのビット フラグに基づいて脆弱な暗号を削除します。
デバイスとアカウントが脆弱な暗号を使用しなくなったことを確認した後、ドメイン コントローラーのセキュリティ ポリシーを変更して、ネットワーク セキュリティから脆弱な暗号を削除します 。Kerberos 設定で許可される暗号化の種類を構成 します。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。