必要以上の権限で実行されているドメインサービスアカウントがいくつかあり、権限を減らしてすべてのパスワードを変更する必要があります。
会社全体でドメインサービスアカウントが使用されているすべての場所を監査するにはどうすればよいですか?
これを行うのはかなり難しいです。最も効果的な方法は、ドメイン化されたすべてのマシンのセキュリティイベントログを解析して、そのドメインサービスアカウントによるログインを探すことです。ログインを確認したマシンを特定したら、それらを使用するように構成されている可能性のあるサービスを探すことができます。イベントログの解析は、マシンの数が少ない場合を除いて、スクリプトを作成する必要があります。
残念ながら、Win XPには、セキュリティログがデフォルトでオンになっているわけではありません(私は信じています)。
個人的には、Windows Vista/7またはServer2008からスクリプトを実行します。イベントログデータを取得するための大幅に改善されたツール、wevtutil
があります。ログオンイベント(4624)をフィルタリングし、XMLにダンプして解析を容易にすることができます。
wevtutil qe Security /r:$MachineName /q:"*[System[(EventID=4624)]" > $MachineName-Events.xml
ドメインコントローラーを最初に実行すると、少なくともログイン元のIPアドレスがわかりますが、ドメイン全体を実行することが100%確実である唯一の方法です。
セキュリティイベントログの検索は、ログオンイベントが監査されている場合にのみ役立ちます。これは、デフォルトで有効になっているとは思いません。 DC以外のサーバーで監査を有効にするには、既定のドメインポリシーで監査を有効にする必要があります(サーバー専用のOUとGPO)があり、ブロックしている場合を除く)継承またはGPOを強制するように設定する場合は、該当するGPOを編集する必要があります)。それに加えて、ドメインアカウントを使用するように構成されたサービスは、サーバーのセキュリティログに記録されます。 DCのセキュリティログではなく、サービスが開始されます。
ドメインユーザーアカウントを使用するように構成されたサービスは、サービスの開始時にログオンタイプ5のセキュリティイベントログにイベントID 528を生成するため、イベントID528イベントのセキュリティイベントログをフィルタリングして結果を絞り込むことができます。
私は自分の環境でこれを検証したばかりなので(テストに基づいて検証したと思います)、この情報は正しいと思います。
確認するもう1つの項目は、各サーバーのスケジュールされたタスクであり、それらのいずれかがサービスアカウントのいずれかを使用するように構成されているかどうかを確認します。その場合は、スケジュールされたタスクのパスワードも変更する必要があります。
@joeqwertyを拡張するには、関心のあるすべてのマシンでサービスとスケジュールされたタスクの監査を実行して、それらが使用する資格情報を確認する方がよいと思います。 WMIがその情報を公開していると確信しているので、VBSまたはPowerShellを使用して数行でこれを実行し、マシンのリストに対してリモートで実行することができます。
すべてのイベントログの監査とトロールをオンにすると、作業が増えるようです。