\r\n\r\n

いいえ、windows 10のパスワード回復の問題を無効にする必要はありません

最近、ある研究者グループが、パスワード回復の問題を利用してwindows 10コンピュータに侵入するシナリオを説明しました。そのため、この機能を無効化することを提案する人もいました。でも、家庭のPCユーザーなら、こんなことしなくても...。

最近、ある研究者グループが、パスワード回復の問題を利用してWindows 10コンピュータに侵入するシナリオを説明しました。そのため、この機能を無効化することを提案する人もいました。しかし、家庭のPCユーザーであれば、このようなことは必要ないでしょう。

それで、どうしたんですか?

Ars Technicaが最初に報じたように、windows 10は、過去1年間にローカルアカウントのパスワード回復問題を設定するオプションを追加しました。セキュリティ研究者がこれを詳しく調べたところ、商用ネットワークではこれが潜在的な脆弱性につながる可能性があることがわかった。

すぐに、2つのことに気がつくことができます。

  • まず、シナリオ全体がドメインネットワークに接続されたコンピュータに依存しており、これはホストコンピュータを持つビジネスネットワークに見られるものである。
  • 第二に、この脆弱性はローカルアカウントに適用されます。お使いのコンピュータがドメインの一部である場合、ほとんどの場合、ローカルアカウントではなく、集中管理されたドメインユーザーアカウントを使用しているため、これは特に興味深いことです。デフォルトでは、ドメインアカウントでのセキュリティ問題は許可されていません。

さらに重要な3つ目のポイントがあります。いずれも、悪意のある参加者がまずネットワークの管理者レベルのアクセス権を取得する必要があります。そこから、ネットワークに接続されているマシンのうち、ローカルアカウントが残っているマシンを特定し、そのアカウントにセキュリティ上の問題を追加することができます。

なぜ悩むのか?

管理者が悪意のある参加者を見つけてアクセス権を剥奪し、その後すべてのパスワードを変更した場合、その参加者は理論上、それらのマシンのネットワークに戻り、カスタム質問を使用してパスワードをリセットし、フルアクセスを回復することができるというものです。

研究者は、ハッシュ化ツールを使って以前のパスワードを割り出し、古いパスワードを復元してアクセスを隠蔽することも可能だと提案した。ここで問題なのは、ほとんどのドメインネットワークでは、デフォルトでパスワードの再利用を許可していないことです。

Ars Technicaがマイクロソフトにコメントを求めたところ、回答は簡潔なものだった。

この手法では、攻撃者がすでに管理者権限を持っていることが必要です。

最初は少し遅く感じるかもしれませんが、マイクロソフトの提案は正しく、問題の本質に迫っています。悪意のある参加者がネットワークの管理者レベルのアクセス権を取得すると、潜在的な危険性と攻撃の手段は、単純なパスワードリセットのトリックをはるかに超えるものになります。悪意のある参加者が管理者レベルを獲得できないような強力なネットワークであれば、これらすべては無意味なものとなります。

つまり、悪意のある攻撃者は、Windowsドメインを使用するビジネスネットワークに管理者レベルでアクセスし、ローカルアカウントを持つ可能性のあるコンピュータを見つけ、発見されてロックアウトされても、それらのコンピュータに再びアクセスできるようなセキュリティ問題を作り出す必要があるのです。彼らの管理者レベルのアクセスによって、すでに被害が拡大している場合は心配する必要があります。

なるほど。では、これは私に当てはまるのでしょうか?

もし、あなたが自宅でwindows10のパソコンを使っているのであれば、単純に考えても答えは「No」です。

  • ご自宅のパソコンがドメインのメンバーになっていない可能性があります。
  • その場合でも、ローカルアカウントを使用する必要があり、Windows 10ではほとんどのユーザーがMicrosoftアカウントでログインしていると思われます。これは、Windows 10では、多くの機能を正常に動作させるために、Microsoftアカウントの使用が必要なためです。ローカルアカウントを作成するための追加手順がいくつかありますが、マイクロソフトはそれを最もわかりやすい選択とはしていません。Microsoftアカウントをご利用の場合、パスワードリセット発行はご利用いただけません。
  • これを利用するには、誰かがあなたのコンピュータにリモートアクセスするか、物理的にアクセスする必要があります。このレベルのアクセスでは、パスワードリセットの問題は心配する必要はありません。

ですから、これらの研究のどれもがあなたには当てはまらない可能性があります。しかし、ドメインに参加するローカルアカウントを使用している場合でも、すべては昔からの疑問に帰結する。セキュリティの名の下に、どこまで利便性をあきらめるべきか。逆に言えば、利便性のためにどれだけのセキュリティをあきらめるべきか。

この場合、悪質な業者があなたのマシンにアクセスし、セキュリティ質問を使用して完全な制御を得る可能性は非常に低くなります。そして、パスワードを忘れてしまい、質問が必要になる可能性も高くなります。あなたの状況を評価し、あなたにとって最適な選択をしてください。

あなたが興味を持っているかもしれない記事

匿名者
匿名者

0 件の投稿

作家リスト

  1. admin 0 投稿
  2. 匿名者 0 投稿

おすすめ