マイクロソフト セキュリティ アドバイザリ 3062591

Local Administrator Password Solution (LAPS) の提供を開始

公開日: 2015 年 5 月 2 日

バージョン: 1.0

概要

マイクロソフトは、ドメイン上のすべてのコンピューターにおいて、同一パスワードで共通のローカル アカウントを使用する際の問題を解決する Local Administrator Password Solution (LAPS) の提供を開始しました。 LAPS は、ドメイン上のすべてのコンピューターにおける共通のローカルの管理者アカウントに対して、異なる無作為なパスワードを設定することでこの問題を解決します。 このソリューションを使用するドメイン管理者は、ヘルプデスク管理者など、どのユーザーにパスワードを読み取り権限を付与するかを決定することができます。

攻撃者が侵害された同一のローカル アカウントの認証情報を利用した場合、ローカルのユーザー / 管理者からドメイン / エンタープライズの管理者へ特権が昇格される可能性があります。 ドメイン アクセスなしでログオンを要求された場合は、ローカル管理者の認証情報が必要です。 大規模な環境では、パスワード管理が複雑化し、セキュリティ対策を不十分にし、またこのような環境が Pass-the-Hash 認証情報リプレイ攻撃のリスクを著しく増加します。

LAPS は、サイバー攻撃に対する推奨された防御策を実装し、パスワード管理を簡素化します。 特に、このソリューションは、ユーザーがコンピューター上で同じ管理用ローカル アカウントとパスワードの組み合わせを使用した時に起こる横方向へ拡大するリスクを緩和します。

推奨事項: LAPS をインストールし、ドメインに参加しているコンピューター上でローカル管理者アカウント パスワードを自動管理することで、パスワードは管理された各コンピューター専用で、無作為に生成され、また Active Directory インフラストラクチャに集約して保存されます。

LAPS は Active Directory 内で各コンピューターのローカル管理者アカウント用にパスワードを保存し、コンピューター対応の Active Directory オブジェクト内で機密属性で保存します。 コンピューターは、Active Directory 内でコンピューター専用のパスワード データを更新することができ、ドメイン管理者はワークステーション ヘルプデスク管理者など、許可されたユーザーやグループに対して読み取り権限を付与することができます。

このソリューションは、Active Directory インフラストラクチャ上で構築されており、他の支援技術を必要としません。 LAPS は、すべての管理タスクを実行するために管理コンピューターにインストールしたグループ ポリシーのクライアント側拡張機能 (CSE) を使用します。 このソリューションの管理ツールは、容易な構成と管理を提供します。

詳細については、以下を参照してください。

• マイクロソフト サポート技術情報 3062591
• マイクロソフト ダウンロードセンター (英語情報)

アドバイザリの「よく寄せられる質問」

このアドバイザリの目的は何ですか？
このアドバイザリは、Active Directoryに参加しているコンピューター向けです。 各組織のドメイン管理者は、ヘルプデスク管理者など、どのユーザーにパスワードを読み取りおよびリセットの権限を付与するかを決定することができます。

なぜ LAPS をその他のパスワード管理の代替えで利用するのですか？
その他のパスワード管理は、一般的に追加のハードウェア、信頼済みのサードパーティ製品、または Excel ワークシートのパスワード管理などの安全ではない対策のいづれかを必要とします。

LAPS は、「administrator」と命名されていないローカル管理者アカウントを管理できますか？
はい、できます。

LAPS を利用してパスワードを保存および管理することで得られるメリットは何ですか？
LAPS は、以下の合理化されたアプローチを提供します:

• ローカル シークレットとパスワードの修正前に Active Directory のパスワード更新の成功を保証するため、定期的にローカル管理者パスワードをランダム化します。
• 既存の Active Directory インフラストラクチャ内でシークレットを集約保存します。
• Active Directory のアクセス制御リスト (ACL) 許可を通して、アクセスを制御します。
• 既定で Kerberos version 5 プロトコルと Advanced Encryption Standard (AES) 暗号を使用して暗号化し、コンピューターから Active Directory へ暗号化されたパスワードを送信します。

LAPS カスタマーサポートは、マイクロソフト プレミア サポートサービスからご利用ください。

LAPS はどのように機能しますか？
LAPS ソリューションの主な機能は、以下のタスクを履行し、GPO の更新中に以下のアクションを強制できる GPO クライアント側拡張機能 (CSE) です：

1. ローカル管理者アカウントのパスワード期限を確認します。
2. 古いパスワードの期限切れ、または期限が切れる前に変更を要求された場合に、新規パスワードを作成します。
3. 新規パスワードがパスワード規定に反していないかを検証
4. Active Directory へパスワードを報告し、Active Directory 上のコンピューター アカウントにおける機密属性でパスワードを保存します。
5. Active Directory へパスワードの次期期限を報告し、Active Directory 上のコンピューター アカウントにおける機密属性でパスワードを保存します。
6. 管理者アカウントのパスワードを変更します。

パスワードは、権限を持つユーザーのみが Active Directory から読み取ることができます。対象のユーザーは、コンピューターに対してパスワードの変更を要請できます。

LAPS の特長は何ですか？
LAPS には、以下の機能があります。

以下のセキュリティ機能を提供：

• 管理コンピューター上で自動的に変更されたパスワードをランダムに生成します。
• 同一のローカル アカウント パスワードに依存している PtH 攻撃を効果的に緩和します。
• Kerberos version 5 プロトコルを使用した暗号化の送信時においてパスワードの保護を強化します。
• アクセス制御リスト (ACL) を使用してActive Directory内でパスワードを保護し、細部にわたるセキュリティ モデルを容易に実装できます。

以下の管理容易性を提供：

• 期間、複雑性、長さといった、パスワード パラメータを構成できます。
• コンピューター単位でパスワードのリセットを強制できます。
• Active Directory 内のアクセス制御リスト (ACL) と統合されたセキュリティ モデルを使用できます。
• 任意の Active Directory 管理ツールを使用できます。Windows PowerShell などの提供されたカスタム ツール。
• コンピューター アカウントの削除から保護できます。
• 最小限の痕跡を伴うソリューションを容易に実装できます。

このソリューションの必須要件は何ですか？
LAPS は以下の必須要件があります。

Active Directory:

• Windows Server 2003 Service Pack 1 (SP1) 以降

管理コンピューター:

• Windows Server 2003 SP2 以降、または Windows Server 2003 x64 Edition SP2 以降

  注: Itanium-based コンピューターはサポート対象外です。

管理ツール:

• NET Framework 4.0
• Windows PowerShell 2.0 以降

関連情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

• フィードバックをご提供いただく際は、マイクロソフトへのご意見・ご要望のフォームへ入力をお願いします。

サポート

• セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。 For more information, see Microsoft Help and Support.
• その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。 For more information, see International Support.
• Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

• V1.0 (2015/05/02):このアドバイザリを公開しました。

Page generated 2015-05-05 11:37Z-07:00.