長年にわたり、ペンテストやRed Teamの案件において、Active Directory環境でよく見られる脆弱性とその対策をまとめた資料です。
長年にわたり、ペンテストやRed Teamの案件において、Active Directory環境でよく見られる脆弱性とその対策をまとめた資料です。
少し前に App Service Authentication が OpenID Connect に対応したので、様々な IdP を利用することが出来るようになりました。Azure AD B2C も OIDC 対応によって正式利用が可能になった IdP の一つです。 ログアウト後のリダイレクト先を指定する App Service Authentication から使う時にはログインは当然ながら確認すると思いますが、案外確認が漏れがちなのがログアウトです。ここで単純に /.auth/logout にリダイレクトするだけでは、以下のような懐かしさすらある画面が表示されてしまいます。 普通の Web アプリケーションであれば、ログアウトした後は独自のログアウトしたことを知らせる画面や、ログイン画面にリダイレクトするのが一般的なので遷移先を post_logout_redirect_uri クエリ
1. Active Directory 侵害と推奨対策 垣内 由梨香 セキュリティ プログラム マネージャ セキュリティ レスポンス チーム マイクロソフト コーポレーション CISSP 2. セッション概要 目的 マイクロソフト サポート及びインシデント調査サービスで把握している実態、対応事例から得られた知見を共有 マイクロソフトが提唱する対策の解説し Active Directory の保護に役立てていただく 目次 標的型攻撃における Active Directory の侵害の概要 Active Directory の侵害の特徴 1. “のっとりアカウント”を中心とした侵害の展開 2. 複雑なAD環境に起因する問題 3. 侵害の検出が困難 4. 復旧が困難 推奨する Active Directory 保護策 推奨する対策の概要 資格情報の保護 端
2020年8月に修正された脆弱性 CVE-2020-1472はドメインコントローラーが使用するNetlogon リモートプロトコルに欠陥が見つかったもので、その内容からZerologonとも呼称されています。Microsoftをはじめ、セキュリティ組織は深刻な脆弱性であることから早急な対応を行う様呼び掛けています。ここでは関連する情報をまとめます。 Zerologonって何? Windows が実装する Netlogon リモートプロトコル (MS-NRPC)に発見された脆弱性の名前。 脆弱性悪用を通じてパスワードが変更されドメイン管理者権限の取得が行われる恐れあり。 9月11日に技術情報と実証コードが公開され、9月24日には攻撃に悪用されたとMicrosoftが注意喚起。 8月12日に脆弱性に対応するセキュリティ更新プログラムが公開済。非Winデバイス互換性への考慮から2段階に分け対応が
本記事は、 2020 年 4 月 21 日に Azure Active Directory Identity Blog に公開された記事 (Moving towards real time policy and security enforcement) を翻訳したものです。原文は こちら より参照ください。 皆さんこんにちは。 はじめに、世界中でセキュリティおよび ID を担当する皆さんが情報セキュリティを強化しつつ、新しい働き方を実現するために大変な活躍をされていることに驚かされるばかりです。今まさにゼロ トラストのモデルが急激に導入されつつあり、その一端を担えることを本当に光栄に思います。本日は、セッションの有効期間を最小限に抑えるための重要な新機能についてお知らせします。 Azure Active Directory や Office 365 などの Microsoft のサービス
ちゃんと触ったのが 2 年前と古く、ASP.NET Core も 2.0 の時だったので最新の情報でもろもろキャッチアップし直しました。基本的に Azure AD が嫌いなので B2C も Azure AD ベースでなければという気持ちが強いのですが、価格的に競合よりも使いやすいので。 とはいえ 2 年前から比べると全体的に使い勝手と機能が改善されていました。Azure Portal での設定もそれなりに分かりやすくなった気がするので、迷うことはあまりなかったです。 ロケーションに APAC が追加された(らしい) 今朝ツイートが流れてきて気が付きましたが、そういえば昔は日本を選べなかったのでした。 遂にAzure AD B2Cで日本リージョンの選択が出来るようになりました。 #AzureADB2C #AADB2Chttps://t.co/RqpyTp6Zeb— Naohiro Fujie
はじめに Azure Active Directory (以降 Azure AD と表記) を使ってみたいけど、どうしたらいいか分からない、という方々のために、簡単にかつ無料で Azure AD を開始できる方法をご案内します。 Azure AD という Identity を管理するサービスは、もともとは Office 365 のサービスの認証基盤用に、 Office 365 の機能の一部として誕生しました。 そのうちに徐々に Azure AD としての機能が充実していったことで、今となっては認証基盤サービスとして完全に独り立ちし、認知されるようになりました。 ですので、逆に最近 Azure AD を触り始めた方は、なんで Office 365 サービスに Azure AD が付いてくるんだと思う方もいるかもしれませんが、理由は上記のとおりとなります。 実際に Office 365 の昨日
Active Directory10周年に寄せて Windows 2000によりActive Directoryが公開されてから、今年で10年目ということだそうです。 Active DirectoryがWindowsドメインを管理運用するためのソリューションであることは、みなさんすでにご存じでしょうが、その機能や使い方、トラブルの対応方法について、みなさんは自信を持って社内の同僚やお客様に説明できるでしょうか? 今回は、総復習の意味も兼ねて、Active Directoryの技術的なトピックやトラブルシュートの方法、について、いくつかお話ししたいと思います。 過去のWindowsの問題点 Active Directoryが最初に実装されたWindows 2000の開発時の名称は「Windows NT5」といい、Windows NT4.0の後継にあたります。 Windows NT4.0のドメ
![知られざるActive Directory技術の「舞台裏」:第1回 誰も教えてくれないActive DirectoryとLDAPの「本当の関係」[前編]|gihyo.jp … 技術評論社](https://cdn-ak-scissors.b.st-hatena.com/image/square/ee90210c5dcbf9adef9ab0617b707c2b354415de/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2010%2F592_ad2010.png)
※こちらのページは Windows Server の Active Directory で Mac, iPhone, iPadにもポリシーを適用して一元連携管理する 「Apple対応AD 連携 改修サービス」のFAQページです。 しかし、こちらに記載している情報は一般のネットワークにも適用されます。 サービスにご興味有りましたら最後のほうに広告がございます。 このページを再度表示したければ、「.local」で検索してください。上位に表示されます。 目次 1. .local 問題 2. Mac トラブル症状の例 3. 対処方法(暫定的) 4. マイクロソフト社製品間で発生する問題 5. 米国マイクロソフト社 TechNetでは .local ドメインだと「深刻なトラブルが発生する」と、警告 6. 米国マイクロソフト社 Active Directory ネットワーク推奨設計指針ドキュメント 7
Azure AD B2Cの概要、基本的なことを中心にカスタムポリシーの一部解説 Interact 2019
Created at: 2017-10-30 問題Windows 10でドメインに参加しているデバイスでMicrosoft アカウントを登録してもアカウントの同期設定を有効にできない問題があります。その一方で以前からある環境は有効なままとなっていることもあります。 発生する環境 Windows 10 Creators Update以降のバージョン コンピューターがドメインに参加している オンプレミスActive Directoryに限らず、Azure Active Directory参加(Join)の場合も含む ドメインアカウント(AD or Azure AD)でサインインしている 理由設定とデータのローミングに関する FAQにあれこれ書いてありますが、要するにWindows 10 Creators Update以降ではいわゆる企業のアカウント(AD, Azure AD)とMicrosof
そうなると、当然出てくる疑問があります。 「ママ、もしかしたらオンプレミスの Active Directory っていらなくなるんじゃない?」 「うーん、どうなのかしら?」 「だってさ、OpenID Connect もしゃべれないのよ!」 「そうね。Authorization Code Grant も Public Client だけだしねぇ。」 「そうそう! こんなんじゃ、誰もオンプレミスで OAuth 2.0 なんて使わないじゃない!」 「今晩、パパに相談してみようかしら」 おっしゃるとおり、Windows Server 2012 R2 では Azure AD のように OpenID Connect がサポートされていませんし、 OAuth 2.0 のグラントタイプも Authorization Code Grant for Public Client のみです。 このまま放置すると、
![[今月の技術トピック] ママ、Active Directory ってもういらなくなるの?](https://cdn-ak-scissors.b.st-hatena.com/image/square/d6e4cb632c7025e9f5e05fd314fbf6dcd6144e8d/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Flearn.microsoft.com%2Fen-us%2Fmedia%2Fopen-graph-image.png)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本マイクロソフトは3月18日、Active Directory登場15周年を記念して「Active Directory & Security Conference 2016」を品川本社で開催した。 Active Directory(AD)を最初に搭載した「Windows 2000」シリーズのプログラムマネージャーだった元マイクロソフトの及川卓也氏(現Increments)がモデレータを務めたパネルディスカッション「Active Directory重鎮による15年の振り返りとこれからへの期待」には、元DECの横山哲也氏(現グローバルナレッジネットワーク)を筆頭に、NECマネジメントパートナー 吉田薫氏、NTTデータ先端技術 小鮒通成氏、
熟成されて15年、昔も今も変わらないActive Directory――でも、なぜ“Active”なの?:山市良のうぃんどうず日記(37:@IT 15周年特別編) @ITの15周年、おめでとうございます。「Active Directory」も正式リリースから15周年。Windows周辺のIT環境はこの15年で大きく変化しましたが、当時から基本的には変わらないもの、筆者にとってActive Directoryはそんなイメージです。 連載目次 あらためて、なぜActive Directoryなのか? 「Active Directory」が初めて実装されたWindows 2000 Serverが登場したのは、今から15年前の2000年2月18日(日本における一般発売開始)でした。Windows 2000はWindows NT 4.0の後継OSとして、「Windows NT 5.0」という名称で開
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 Windows 10からの新機能としてAzure Active Directory(AzureAD)のアカウントでPCにログインできる「クラウド・ドメイン参加(Cloud Domain Join)」があります。 先日リリースされたTechnical Preview Build 9926からクラウド・ドメイン参加が出来るようになっている様なので試してみます。 ◆準備事項 クラウド・ドメイン参加するためには、AzureADのテナント側で「デバイスの登録(Device Registration)」を有効にしておく必要があります。 管理ポータルからAzureADの構成メニューを開き、デバイスの登録より「ワークプレース参加の有効化」を行います。 ◆PC側の設定 早速設定していきます。 PC
![[Windows10/AAD]クラウド・ドメイン参加を試す](https://cdn-ak-scissors.b.st-hatena.com/image/square/063f3a6222027d524c5d6c451cb00666e3ed7f53/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEg3UKg-8_PC0BJ_dePXFnlrkIide1Rcq3qely7sHam3P6Rukdbd4YN89kOUDpwRUMpDNErzamjuQNncf-MV32x7EgPlyViSwkp_iw1okGXuFE5HiqeKuq1kmzW7WTByLxZ3eEtqwisDrEs%2Fw1200-h630-p-k-no-nu%2F2.drs.PNG)
すべての Microsoft 製品 Global Microsoft 365 Teams Copilot Windows Surface Xbox セール 法人向け サポート ソフトウェア Windows アプリ AI OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Cloud Microsoft Security Azure Dynamics 365 一般法人向け Microsoft 365 Microsoft Industry Microsoft Power Platform Windows 365 開発者
IISADMPWD が今後新しいバージョンで動作保証しないそうなので作りました。 Active Directory のユーザーが自身のパスワードを変更できるようにします。 実際に運用する際は、別のページから iframe タグで呼び出すのが良いと思います。 なお、http でも動作しますがパスワードが平文で通過することから、https による運用を強くお勧めします。 Windows Server 2012 R2 + IIS 8.5 役割サービスの IIS の項目の「ASP.NET 4.5」を有効にするだけで使用可能になります。 Windows Server 2008 R2 + IIS 7.5 事前に .Net Framework 4 をインストールした状態で、IIS の「ASP.NET」を有効にすると使用可能になります。 もし、IIS インストール後に .Net Framework 4 を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
