Active Directoryのセキュリティ保護に関するベスト プラクティスを見てみる
ハイブリッド環境を前提にしたActive Directory(以下AD)のセキュリティ対策についてマイクロソフトの資料があるので読んでみた。
記事の絵はBing Image Creatorに作ってもらった。
Learnは以下
ADはどう攻撃されるのか
一般的な脆弱性から侵入
古いウィルス対策ソフト、Windows Update、OS、アプリ、ドライバ等の脆弱性を狙う。1台でもPCが乗っ取られてしまったら、そこを土台に他のシステムへの侵害を拡大していき、最終的にADに到達してしまう。
資格情報を盗んで重要情報にアクセス
一般的な脆弱性から侵入できたら、そこから高い特権を持つユーザを手に入れてさらに侵入範囲を拡大する。
最終的には攻撃側は最も高い特権をもつグループのメンバーを目指す。
対策
パッチを最新にしておく
不適切な構成にしない
全システムで同じ資格情報を使用するローカル特権アカウントの作成していると、メンテナンス性は良いが、一つ破られれば全て侵入されてしまう。特権の付与は最小限にする。
Enterprise Admins、Domain Admins、Administratorsのグループに所属させるアカウントは最小限にする。
MS資料:最低限の特権の管理モデルを実装するセキュリティ保護をされた管理ホストを利用する。
管理システムにログインする用の高いセキュリティを用いたホストを用意する。また、ログインの認証にスマートカードなどを用いた多要素認証のアカウントを使う。
リモートデスクトップ接続を用いる場合は、この管理ホストだけがアクセスできるようしておくようにしたり、管理ホストを仮想化して、管理作業の際だけ電源をONにするようにする等の対策を行う。
MS資料:安全な管理用のホストを実装するドメインコントローラをセキュリティで保護する
物理的に安全な場所においたり、仮想化しても安易にアクセスできない設定する。
ドメインコントローラ自体もインターネットにアクセスできないようにする。
MS資料:攻撃に対してドメインコントローラをセキュリティで保護するADで攻撃や侵害の兆候を監視する。
Windowsのローカルセキュリティポリシー、グループポリシーの設定を行い、監査ログを取得するようにする。
MS資料:Active Directory の侵害の兆候を監視する
具体的に対策してみる
ひとまずできる部分を対策してみる。
パッチを最新にしておく
これは言わずもがな。Windows Updateやドライバを適用する。
利用者に任せると抜けるので、管理者側で集中管理しておくのが良いと考える。
メジャーどころだけでもだが、すべてのアプリケーションの最新バージョンへの対応ともなると管理者側は大変だろう。
各PCにメンテ用のローカル特権アカウントのパスワードを全PC別のものにする。
よくあるのはキッティング用で使っているローカル特権アカウントがこちらにあたる。
実際これに対応するのは厳しいのではないか。PC作成日付やPCのシリアル番号やらを絡めてパスワードにするか。
特権の付与は最小限にする
ユーザやグループには必要なだけの権限を付与し、不要な特権は持たせない。
ファイルサーバの管理者はファイルサーバの管理タスクに必要な権限だけにとどめる。
セキュリティ保護をされた管理ホストを利用する
特権操作を実行するための専用PCを設定する。
専用PCを用意したら、ADサーバのFireWall設定で、そのホストだけリモートデスクトップ接続が許可するように設定しておく。
リモートデスクトップ接続自体も特定ユーザしかアクセスできないようにしておく。
ドメインコントローラをセキュリティで保護する
ADサーバではブラウザを使わないようにする。
FireWallがある環境ではADサーバインターネットに出れないようにFireWall側で設定をする。
AD付属のDNS配下で動いているPCがインターネットに出られなくなるので、DNS側でDNSフォワーダー設定をしておく。
また、ADサーバ自体のWindows Updateのパッチを個別でDLして適用させるか、別途WSUSサーバが必要になると思われる。
ADで攻撃や侵害の兆候を監視する
監査ログの設定やその監視の実装については別途記載する。
おわりに
対策としてはごくごく当たり前のことばかりだけど、状況や環境などによりうまいことできないこともあるかもしれない。
引き続き内容を自分なりにまとめていく。
次回はADで攻撃や侵害の兆候を監視する仕組みを作ってみる。
今回は以上。