Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Active Directory の保護
Search
Eureka
February 05, 2025
Technology
2
830
Active Directory の保護
Active Directory の保護に関する勉強会の資料
Eureka
February 05, 2025
Tweet
Share
More Decks by Eureka
See All by Eureka
あなたの知らないバグバウンティの世界
eurekaberry
2
1.8k
LAPS勉強会
eurekaberry
0
1.2k
脆弱性の悪用からユーザーを守るために、ベンダーが取り組むべきこと
eurekaberry
1
1k
Other Decks in Technology
See All in Technology
プロダクト価値を引き上げる、「課題の再定義」という習慣
moeka__c
0
210
Enhancing SRE Using AI
yoshiiryo1
1
350
Amazon Aurora バージョンアップについて、改めて理解する ~バージョンアップ手法と文字コードへの影響~
smt7174
1
260
ソフトウェアアーキテクトのための意思決定術: Software Architecture and Decision-Making
snoozer05
PRO
17
4.1k
Power BI は、レポート テーマにこだわろう!テーマのティア表付き
ohata_ds
0
130
ハンズオンで学ぶ Databricks - Databricksにおけるデータエンジニアリング
taka_aki
1
2.1k
private spaceについてあれこれ調べてみた
operando
1
170
攻撃者の視点で社内リソースはどう見えるのかを ASMで実現する
hikaruegashira
4
2.1k
レイクハウスとはなんだったのか?
akuwano
15
2k
Redshiftを中心としたAWSでのデータ基盤
mashiike
0
110
FastConnect の冗長性
ocise
1
9.3k
SREとしてスタッフエンジニアを目指す / SRE Kaigi 2025
tjun
15
6.7k
Featured
See All Featured
GraphQLとの向き合い方2022年版
quramy
44
13k
RailsConf 2023
tenderlove
29
980
Site-Speed That Sticks
csswizardry
3
310
YesSQL, Process and Tooling at Scale
rocio
171
14k
We Have a Design System, Now What?
morganepeng
51
7.4k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
11
900
Visualization
eitanlees
146
15k
Testing 201, or: Great Expectations
jmmastey
41
7.2k
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
Docker and Python
trallard
43
3.2k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
Transcript
Active Directory の保護 垣内 由梨香 Risk Manager Customer Protection Microsoft
Corporation CISSP, CEH 公式ブログ: https://msrc-blog.microsoft.com/category/jpsecurity/ 公式 Twitter: https://twitter.com/jsecteam
セッション概要 目的 Active Directory 環境に対する攻撃、およびマイクロソフトが推奨する保護策への 理解を深め、Active Directory の保護に役立てる
目次 1. Active Directory とは 2. なぜ・どのように Active Directory は狙われるのか 3. Active Directory 保護 2 © Copyright Microsoft Corporation. All rights reserved.
Active Directory とは © Copyright Microsoft Corporation. All rights reserved.
3
Active Directory (Active Directory Domain Services) • Windows Server に含まれる機能の一つ
オンプレミス環境におけるユーザー、コンピューター、サービスなどの リソースを管理するための機能 主な機能 リソースの登録、管理、検索 (ディレクトリ ) 認証 (Kerberos認証, NTLM 認証) オンプレミス システムとの連携 Windows デバイスの構成管理 (グループ ポリシー)
Microsoft Entra ID クラウドベースの ID およびアクセス管理サービス (ID as a
Service, IdP) 主な機能 クラウドベースの ID 管理 クラウドサービスとの連携 クラウドでの認証/認可 ID の保護 デバイスの管理は別のサービスを 利用することが想定されている (例: Microsoft Intune)
なぜ ・どのように Active Directory は狙われるのか © Copyright Microsoft Corporation. All
rights reserved. 6
Active Directory が標的にされる理由 • 企業・組織に対する侵害の一環として、Active Directory が標的と なる • Active
Directory を制御することで、悪意ある攻撃者はその管理下 にあるすべてのシステムやユーザーへの特権的なアクセスを取得可能 • 電子メール、ファイルサーバー、重要なビジネスアプリケーションなどのシステムに自由にアクセ スすることが可能 • Active Directory の攻撃面は多岐にわたり、防御が難しい • デフォルト設定や複雑な関係、権限、古いプロトコルなどを起因とした、防御の穴が見 つかりやすい © Copyright Microsoft Corporation. All rights reserved. 7
Active Directory が標的にされる理由 • 企業・組織に対する侵害の一環として、Active Directory が標的に なる • Active
Directory を制御することで、悪意ある攻撃者はその管理下 にあるすべてのシステムやユーザーへの特権的なアクセスを取得可能 • 電子メール、ファイルサーバー、重要なビジネスアプリケーションなどのシステムに自由にアクセ スすることが可能 • Active Directory の攻撃面は多岐にわたり、防御が難しい • デフォルト設定や複雑な関係、権限、古いプロトコルなどを起因とした、防御の穴が見 つかりやすい © Copyright Microsoft Corporation. All rights reserved. 8
Active Directory の保護:よくある誤解 © Copyright Microsoft Corporation. All rights reserved.
9 DCや重要なサーバーはイントラ ネットワークのアクセスは制限 ネットワーク分離しているから 大丈夫 ウイルス対策しているから 大丈夫 イベントログ監視しているから 大丈夫 • ログインやアクセス失敗の イベントは監査している DC含め全体にウイルス対策 ソフトを導入 既知のウイルスはブロック
代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights
reserved. 13 初期侵入 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性
代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights
reserved. 14 初期侵入 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性 初期侵入した端末やアカウントから、侵入を広げ るための手がかりを得る • 端末に記憶されている認証に必要な情報 • メモリやレジストリから「派生資格情報」をコピー • 弱いパスワードをオフラインで解析 • 組織内で一斉に展開されているサービス • AD の構成情報
代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights
reserved. 15 初期侵入 組織内の横断 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性 • 探索活動 • 別の端末の侵害 • 高い権限の取得 (特権昇格) 同じ構成を利用している別の端末に侵入 ・管理簡素化のために同一アカウントを展開 ・よく知られた既定アカウント
代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights
reserved. 16 初期侵入 組織内の横断 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性 • 探索活動 • 別の端末の侵害 • 高い権限の取得 (特権昇格) リモートでログインしたアカウントへ侵入 • ヘルプデスク業務のためリモートで接続 • サーバーを管理する端末と業務端末が同一
代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights
reserved. 17 初期侵入 組織内の横断 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性 • 探索活動 • 別の端末の侵害 • 高い権限の取得 (特権昇格) 弱いパスワードが設定されている サービスアカウントへ侵入
代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights
reserved. 18 初期侵入 組織内の横断 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性 • 探索活動 • 別の端末の侵害 • 高い権限の取得 (特権昇格) 別のサーバー・サービスへ侵入 • 安全ではない委任の構成 • サーバーの管理端末が同一 • おなじ権限で複数のサー バー・サービスを管理できる
代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights
reserved. 19 ドメイン管理権限を取得 • サーバー/サーバー管理者が ドメイン管理者権限を保持 • グループポリシーやグループの アクセス管理不備 初期侵入 組織内の横断 ドメイン掌握 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性 • 探索活動 • 別の端末の侵害 • 高い権限の取得 (特権昇格) • ドメイン管理者権限の取得 • ドメインの鍵を取得
代表的な Active Directory 環境への侵害の流れ © Copyright Microsoft Corporation. All rights
reserved. 20 初期侵入 組織内の横断 ドメイン掌握 • クライアント端末・ネットワーク機器へ の侵入 • フィッシング、ソーシャルエンジニアリング • パスワードブルートフォース攻撃 • 脆弱性 • 探索活動 • 別の端末の侵害 • 高い権限の取得 (特権昇格) • ドメイン管理者権限の取得 • ドメインの鍵を取得
Active Directory 侵害で、実行されている痕跡の特徴 正規に認証されたユーザーで実行されている 正規に許可されている権限で実行されている 標準実装のコマンドが利用されている
“Living off the land” と呼ばれる手法 Windows コマンド: Tasklist, ver, whoami, net user, net group, klist 等 Powershell, PSExec, サービスの停止、バッチファイル (.bat, .reg) 実行 AD 標準ツール・コマンド ADユーザー権限でLDAPクエリを通常の権限・設定で投げ、情報を収集: 所属しているグループ、アクセス権限、SPN 設定など インターナルフィッシング: UPN メールアドレス、電話番号 Powershell, PSExec, サービスの停止、バッチファイル (.bat, .reg) 実行 © Copyright Microsoft Corporation. All rights reserved. 22
Active Directory の保護:よくある誤解 © Copyright Microsoft Corporation. All rights reserved.
23 DCや重要なサーバーはイントラ ネットワークのアクセスは制限 ネットワーク分離しているから 大丈夫 ウイルス対策しているから 大丈夫 イベントログ監視しているから 大丈夫 • ログインやアクセス失敗の イベントは監査している DC含め全体にウイルス対策 ソフトを導入 既知のウイルスはブロック
ログイン失敗・アクセス失敗 は残らない ウイルス検出では 検出されない Active Directory の保護:よくある誤解 © Copyright Microsoft
Corporation. All rights reserved. 24 DCや重要なサーバーはイントラ ネットワークのアクセスは制限 ネットワーク分離しているから 大丈夫 ウイルス対策しているから 大丈夫 イベントログ監視しているから 大丈夫 • ログインやアクセス失敗の イベントは監査している DC含め全体にウイルス対策 ソフトを導入 既知のウイルスはブロック 内部のアクセスのできる場所から、 DCにたどり着く
ログイン失敗・アクセス失敗 は残らない ウイルス検出では 検出されない Active Directory の保護:よくある誤解 © Copyright Microsoft
Corporation. All rights reserved. 26 DCや重要なサーバーはイントラ ネットワークのアクセスは制限 ネットワーク分離しているから 大丈夫 ウイルス対策しているから 大丈夫 イベントログ監視しているから 大丈夫 • ログインやアクセス失敗の イベントは監査している DC含め全体にウイルス対策 ソフトを導入 既知のウイルスはブロック 内部のアクセスのできる場所から、 DCにたどり着く “攻撃の動作“ を検知することは困難
Active Directory のインシデント対応 © Copyright Microsoft Corporation. All rights reserved.
31
AD 侵害が疑われる際に、必要となる主な対応事項 1. 環境と影響の調査・初期対応 ドメイン環境の把握、必要な情報の保全 侵害範囲の特定・分析、復旧優先度の判断 侵害を確認している、疑わしいアカウントの利用停止
(特権的なアカウント) 2. 封じ込め、影響を受けたシステムの回復 侵害を確認している、疑わしいアカウントの利用停止 特別なオブジェクト、グループメンバーシップ、GPOの内容およびACLの確認・リセット 侵害が広範囲に及ぶ場合はAD環境全体のフルリセットが必要 3. AD構成・運用の見直し Active Directory 内の構成ミスや攻撃パスの洗い出し 構成ミスにつながる運用の見直し © Copyright Microsoft Corporation. All rights reserved. 33
140日以上 長期的な侵入・複数の侵入があり、全容の把握が困難 侵入者の全容を調査することが困難 長期的な侵害のため、ログが残されていない 調査に必要なログが残されていない(例:異常系のイベントログしかない、ネットワークのログがない) セキュリティ対応以外から、AD侵害が発覚する事例も
(例) 別の障害調査の過程で、意図していないユーザー、構成が発覚する (例) バッチ処理の失敗の要因調査過程で不審なファイルが発覚する セキュリティ観点からの調査を行った結果、長期的に侵入されていることが判明する 初期侵入のログは、アラートとしてあがっていない。 © Copyright Microsoft Corporation. All rights reserved. 34 最初のホスト侵害 ドメイン管理者 侵害 攻撃の検出 調査&準備 侵害拡大 24-48 時間
迅速な対応が難しい Active Directory侵害の調査および復旧作業は、長期化する傾向にある 運用、ビジネスへの影響懸念 ドメインコントローラの即時停止/長期停止ができない 依存するアプリケーションの影響を調査する必要がある
関連組織、影響調査との調整の難航 ネットワーク管理部門、事業部門との調整が必要 調査のためのログ導入、ツール導入における承認の難航、システム上の制限 Active Directory 構成の複雑化による十分なセキュリティ構成の不足、 認識ミス 複雑なグループポリシー、例外設定により構成把握が実施できていない バッチやタスク処理の不十分なセキュリティ(平文パスワード入れ込み) ファイルサーバ、アプリケーションサーバーの導入に伴う特権の払いだし 管理組織上の問題による管理不足および対策の実施困難性 35 © Copyright Microsoft Corporation. All rights reserved.
調査・対応の不足が再発を招く場合も 要因 限られた予算で、限定的な対応しかできない AD 侵害への対応について十分な知識をもったインシデント対応者ではない 事例
侵入者が設置した永続的な接続口、すでに侵害されているアカウントやドメイン鍵をすべ て除去できていなかった フォレスト内の別のドメインの調査を実施していなかった 複数の脅威グループによる侵入をみつけきれていなかった ドメインを再構築したが、運用を変更しなかった © Copyright Microsoft Corporation. All rights reserved. 36
事例:不十分なインシデント対応 © Copyright Microsoft Corporation. All rights reserved. 37 AD
侵害が発覚 • 第三者にドメイン内の複数の アカウントが不正に利用されて いることが判明 • 調査の結果、ドメインの鍵 (krbtgt) を掌握されていること が判明 調査と対応 • 第三者にログインされたと考え られるアカウント、ドメイン管理 者のパスワードをリセット • ドメインの鍵 (krbtgt) をリセット 再度 侵害が発覚 • 以前のインシデントとは異なる アカウントが不正にログインされ ていることが判明 • ドメイン管理者、ドメインの鍵 を掌握されていることが判明
事例:不十分なインシデント対応 © Copyright Microsoft Corporation. All rights reserved. 38 AD
侵害が発覚 • 第三者にドメイン内の複数の アカウントが不正に利用されて いることが判明 • 調査の結果、ドメインの鍵 (krbtgt) を掌握されていること が判明 調査と対応 • 第三者にログインされたと考え られるアカウント、ドメイン管理 者のパスワードをリセット • ドメインの鍵 (krbtgt) をリセット 再度 侵害が発覚 • 以前のインシデントとは異なる アカウントが不正にログインされ ていることが判明 • ドメイン管理者、ドメインの鍵 を掌握されていることが判明 脆弱なサービス アカウント 不適切なオブジェクトのACL 残存していたアカウント 不適切なグループACL
Active Directory 保護
Active Directory 保護のベストプラクティス Active Directory のセキュリティ保護に関するベスト プラクティス (Microsoft Learn) 更新された
Active Directory 保護のベストプラクティス ハイブリッド環境前提で多層防御と侵入を前提としたモニタリングなどを推奨 ドメインコントローラは、インターネット接続の完全禁止を撤廃 フィルタなしやブラウザでのインターネット接続は引き続き非推奨だが、 例えば Defender for Identity で のID保護など、クラウドベースの保護技術、XDR活用で、オンプレミス環境の保護を推奨
Active Directory の保護において重要な考え Active Directory のオブジェクト、権限、グループポリシーなどの構成と、 それぞれの関係性を把握し、重要度や構成不備を理解する © Copyright Microsoft
Corporation. All rights reserved. 42
Active Directory の保護において重要な考え Active Directory のオブジェクト、権限、グループポリシーなどの構成と、 それぞれの関係性を把握し、重要度や構成不備を理解する © Copyright Microsoft
Corporation. All rights reserved. 43
Active Directory の保護において重要な考え Active Directory のオブジェクト、権限、グループポリシーなどの構成と、 それぞれの関係性を把握し、重要度や構成不備を理解する © Copyright Microsoft
Corporation. All rights reserved. 44 点やリストではなく、 関係図で把握する
Active Directory の構成を、関係性で把握する © Copyright Microsoft Corporation. All rights reserved.
45
© Copyright Microsoft Corporation. All rights reserved. 46 特権資格情報が どこに残されているか
を視覚化し、 攻撃者の視点で 攻撃パスを理解する
Active Directory 列挙ツールの活用 Active Directory 列挙ツールを活用することで、網羅的に効率よく 重要度や構成不備を把握することができる Microsoft
Defender for Identity マイクロソフト インシデント レスポンス カスタムツール (マイクロソフト 有償サービス) オープンソースのツール (BlodHound, PingCastle など) © Copyright Microsoft Corporation. All rights reserved. 47
攻撃パス 分析 © Copyright Microsoft Corporation. All rights reserved. 48
従来のサイロ化されたアプローチから脱却し、 攻撃者の視点で弱点に優先順位を付ける • 重要な資産への経路を検出 攻撃者と同じように、オンプレミスとクラウドの 重要な資産への攻撃経路を表示 • 攻撃者の視点に立つ 脅威アクターが弱点を悪用しようとする際に辿る 可能性のあるルートをマッピング • 主な攻撃パス分析のユースケースには、 次のようなものがあります。 • セキュリティリスクの検証 • 脆弱性評価 • ペネトレーションテスト • 脅威のモデル化 • インシデント対応
Active Directory の保護の主な項目 Active Directory への攻撃面を減らす 最低限の特権の管理モデルを実装する
セキュリティ保護された管理ホストを使用する ドメイン コントローラーをセキュリティで保護する 侵害につながるパスを理解し、安全な構成にする 侵害の兆候をモニタリングする 侵害が発生した場合の対応プランを計画する 安全な構成を維持する体制を整える © Copyright Microsoft Corporation. All rights reserved. 49
Active Directory の保護 Active Directory への攻撃面を減らす 最低限の特権の管理モデルを実装する
セキュリティ保護された管理ホストを使用する ドメイン コントローラーをセキュリティで保護する 侵害につながるパスを理解し、安全な構成にする 侵害の兆候をモニタリングする 侵害が発生した場合の対応プランを計画する 安全な構成を維持する体制を整える © Copyright Microsoft Corporation. All rights reserved. 50
エンタープライズ アクセス モデル ハイブリッド環境を前提とした新しいアクセス管理モデル オンプレミス環境を前提とした「Active Directory 管理階層モデル」 を置き換える © Copyright
Microsoft Corporation. All rights reserved. 51 特権アクセスのセキュリティ保護: エンタープライズ アクセス モデル | Microsoft Learn
よくある構成ミス:過剰な特権と不十分な資格管理 • ひとつのアカウントに過剰な権限が与えられている • 特にサービスアカウントは、MFAが利用できず、変更頻度も低い • ドメイン管理者アカウントやローカル管理者権限を持つユーザーが多すぎる • 高い権限を持つアカウントが様々なデバイスで使用されている •
資格情報が、セキュリティレベルの低い状態で保存される可能性 • 推奨 • エンタープライズアクセスモデルに基づくアクセス管理 • 最小特権の原則の徹底 • 特権が使用される場所やログインできるデバイスを制限すること。 • サービスアカウントには、常に低いレベルの特権を付与する • 特定のデバイスへのアクセスのみ許可する • サービスアカウントには、自動パスワード管理が可能なグループ管理サービスアカウント(gMSA) を利用する © Copyright Microsoft Corporation. All rights reserved. 52
最小限の特権管理:リスクの高いアカウント 多数のコンピューターに特権をもつアカウント 1 つのアカウントに複数のシステムに対する特権が付与されている すべてのシステムで同じ資格情報を使用するローカル特権アカウント 特権ドメイン
グループへの多すぎるユーザーの割り当て Enterprise Admins、Domain Admins、Administrators などに多数のユーザーが含まれている 必要以上に割り当てられた高い特権 日常的な管理タスクに、必要以上に割り当てられた高い特権 ドメイン管理者以外の “特権” を持つアカウント アカウント オペレータやサーバー オペレータ ADFS, ADSync “重要人物” (VIP) のアカウント 会社の機密情報にアクセスできるアカウントを持つ会社幹部 会社幹部が使用するコンピューターやアプリケーションの保守を担当するヘルプ デスク スタッフのアカウント 組織の入札や契約のドキュメントにアクセスできる法務担当者のアカウント 会社が製造する製品の種類に関係なく、会社の開発パイプラインでの製品の計画と仕様にアクセスできる製品プランナー 研究データ、製品の製法、または攻撃者が関心を持つその他の調査にアクセスできるアカウントを持つ研究者 © Copyright Microsoft Corporation. All rights reserved. 53 最低限の特権の管理モデルを実装する | Microsoft Learn
よくある構成ミス:弱いパスワード 単純なパスワードが設定されているアカウント 特にサービスアカウントはスプレー攻撃によって、侵害される 多要素認証のない VPN またはリモート アクセス
ローカル管理者 推奨 Windows Hello for Business (顔認識や指紋などの生体認証を使用) や FIDO2 セキュリティ キーなどのパスワードレス認証テクノロジの展開 グループ ポリシーときめ細かいパスワード ポリシーを使用して、オンプレミスのパスワード ポリシーの強 度を高める Entra ID パスワード保護 (要ライセンス) を利用した管理 ローカル管理者のパスワード管理に、LAPSを利用する © Copyright Microsoft Corporation. All rights reserved. 54
よくある構成ミス: SPN が関連付けられているアカウント サービス プリンシパル名(SPN) が関連付けられているアカウント (通常 はサービス アカウント)
のパスワードを解読することができると、任意のアカ ウントに成りすまして認証ができる (Kerberoasting と呼ばれる攻撃手法) 推奨 SPN が設定されているすべてのアカウントを確認し、それらがまだ必要であることを確認 アカウントに関連付けられているパスワードの強度が十分であること Microsoft Defender for Identity を利用し、攻撃を早期検出する © Copyright Microsoft Corporation. All rights reserved. 55
よくある構成ミス:アカウントや認証の保護強度が不十分 アカウントの保護が弱い設定になっている Kerberos 事前認証を必要しない。 可逆暗号化を使用してパスワードを保存します。 パスワードは必要ありません。
パスワードは弱い暗号化で保存されています。 推奨 アカウントの保護設定を実施する Defender for Identity Secure Score ポータルでリスクのあるアカウントを把握する © Copyright Microsoft Corporation. All rights reserved. 56
よくある構成ミス:安全でない委任構成 制約のない Kerberos 委任により、他のユーザーになりすますことができる 多層アプリケーションによる認証に便利: (例) IIS を実行している
Web サーバーで、Web サイトのデータを保 存している SQL サーバーにアクセスするための委任が構成されている。Web サーバーにログオンすると、Web サーバーは委任を使用してユーザーに代わって SQL に認証ができる。 委任に必要なKerberos認証の情報は委任を構成しているサーバーに保存される ため、委任を構成しているサーバーが乗っ取られると、攻撃者に悪用され、AD 侵 害の範囲拡大(AD掌握)につながる場合がある 推奨 委任の必要性を確認する Microsoft Defender for Identity の Secure Scoreで問題のある構成を洗い出すことが可能 委任が必要な場合は、制約のある委任を利用する 管理アカウントは委任を有効にしない (“アカウントは機密であるため委任できない” フラグを有効にする)か、 保護されたユーザーグループに追加する © Copyright Microsoft Corporation. All rights reserved. 57
よくある構成ミスと対策:アクセス制御リスト (ACL) Active Directory ACL は、非常に細かく複雑で、誤って構成されやすい ACL の過剰な権限とスコープの組み合わせによって作成されたパスを悪用する
侵害されたユーザーが、高度な権限を持つグループ、オブジェクト、グループポリシーに対して構成を変更できる権限を持っ ていた場合は、侵害済みのユーザーをそのグループに追加したり、構成を変更したりできる グループへのGenericAll 権限を持っていた場合は、そのグループにメンバーを追加できる。WriteDacl 権限を持っていた場合は、そのグ ループに新しい ACL を追加できる 保護されたユーザーとグループの権限を管理する AdminSdHolder オブジェクトに対する権限を持っていた場合は、そのACLが保護さ れたユーザーとグループに伝播する グループポリシー作成、更新、またはリンクの権限が他のグループに委任されている場合も多く、委任されているアカウントを利用してグ ループポリシーを変更する 推奨 グループやオブジェクト、グループポリシーに対する ACL を最低限に保つ。ACL を監査し、侵害につながる可能性のあるパ スを修復する グループポリシーの構成などを委任しているアカウントは、ドメイン管理者と同じ方法で保護する © Copyright Microsoft Corporation. All rights reserved. 60
Active Directory の保護 Active Directory への攻撃面を減らす 最低限の特権の管理モデルを実装する
セキュリティ保護された管理ホストを使用する ドメイン コントローラーをセキュリティで保護する 侵害につながるパスを理解し、安全な構成にする 侵害の兆候をモニタリングする 侵害が発生した場合の対応プランを計画する 安全な構成を維持する体制を整える © Copyright Microsoft Corporation. All rights reserved. 66
Active Directory のセキュリティ保護は継続的な取り組み Active Directory の構成は常に変化しつづける。また、攻撃手法も常に進化 している。 Active
Directory セキュリティとは、継続的な改善で誤った構成や攻撃パスを 軽減すること IT 運用管理者と利用者が協力して取り組むことが大事 必要な権限は、利用しているサービスやシステムによって異なる © Copyright Microsoft Corporation. All rights reserved. 67
まとめ © Copyright Microsoft Corporation. All rights reserved. 68
まとめ 企業組織への侵害の過程での Active Directory 環境への侵害の事例 は多く報告されている Active Directory
侵害の特徴を理解することが重要 乗っ取られた正規のアカウントや構成不備を中心として拡大する:ネットワーク分離、マルウェア対 策、パスワード強化だけでは不十分 侵入者の検出が困難:異常系の監視、イベントログ監視だけでは対応できない 復旧が困難:大規模な運用への影響が生じる。不十分な復旧で繰り返し被害に遭う場合も。 Active Directory セキュリティとは、継続的な改善で誤った構成や攻撃パ スを軽減すること 点やリストではなく、グラフでADの構成と攻撃面を把握することが大事 IT 運用管理者と利用者が協力して取り組むことが大事 69 © Copyright Microsoft Corporation. All rights reserved.
© Copyright Microsoft Corporation. All rights reserved.