Active Directory：PingCastleでセキュリティリスクの可視化と対策

• URL: https://zenn.dev/8chikuwa3/articles/7e920ab01b9ea1
• 日付: 2026-06-26
• Tier: Tier 3
• 要旨: Active Directoryのセキュリティリスクを可視化するフリーツール「PingCastle」の使い方と、実際に検知・対応した脆弱性の事例を紹介している。PingCastleはインストール不要で一般ドメインユーザー権限でも動作し、リスクスコア（0〜100）とルールIDで具体的な指摘を出力する。実際に対応した項目として、krbtgtパスワード長期未変更、AdminSDHolder残留、高度な監査ポリシー未構成、NTLMv1許容、DNSゾーンの非セキュア更新の5点を取り上げている。

詳細

• PingCastle の概要: ADセキュリティリスクをスコア化するツール。インストール不要、一般ドメインユーザー権限で動作、読み取り専用（LDAPクエリのみ）。HTML/XMLレポートを出力
• 実行方法: PingCastle.exe –healthcheck –server mydomain.com またはGUIで「1-healthcheck」を選択
• 対応した5つの検知事例:
  1. A-Krbtgt: krbtgtパスワードの長期未変更。別記事にて安全なリセット手順を解説
  2. A-AdminSDHolder: 特権グループ離脱後も adminCount=1 が残存するアカウントの整理
  3. A-AuditDC: 高度な監査ポリシーの未構成。GPOで13項目（Kerberos認証、ログオン/ログオフ、特権使用等）を「成功」監査に設定
  4. S-OldNtlm: NTLMv1/LM認証が有効のまま。GPOで「NTLMv2応答のみを送信し、LMとNTLMを拒否する」に変更
  5. A-DnsZoneUpdate1: DNSゾーンで非セキュアな動的更新が許可されていた。「セキュアのみ」に変更してDNSポイズニングを防止