LAPS勉強会

Transcript

1. Local Administrator Password Solution (LAPS) 垣内 由梨香 (@EurekaBerry) セキュリティ プログラム

   マネージャー セキュリティ レスポンス チーム マイクロソフト コーポレーション 公式ブログ: https://aka.ms/JPSECURITY 公式ツイッター: @JSECTEAM セキュリティレスポンスチーム窓口 [email protected]

2. 保護 検出 対応 01 02 03 Protect Detect Respond MSRC

   Mission ミッション：お客様が Microsoft の製品やサービスのセキュリティ脆弱性から被害を受ける ことを防ぎ、Microsoft Cloud に対する攻撃を迅速に対応する • リリース製品の脆弱性対応 (脆弱性収集、修正、更新プログラムのリリース） • 脆弱性に関するリサーチ • セキュリティ・リサーチコミュニティとの連携 © Copyright Microsoft Corporation. All rights reserved. 2

3. LAPSとは？

4. LAPS とは？  Active Directory 環境で、ドメインに参加している端末のローカル管理者アカウ ントの管理ツール (無償ツール) © Copyright

   Microsoft Corporation. All rights reserved. 4

5. 環境設定 ms-Mcs-AdmPwd ms-Mcs-AdmPwd ms-Mcs-AdmPwdExpirationTime ms-Mcs-AdmPwdExpirationTime LAPS 用グループポリシー LAPS ツール (管理者用)

   LAPS グループポリシー Client-Side Extension (CSE) LAPS グループポリシー Client-Side Extension (CSE) 導入が必要なコンポーネント 設定が必要な項目 ms-Mcs-AdmPwd ms-Mcs- AdmPwdExpirationTime オブジェクトの属性へのアクセス権の変更 © Copyright Microsoft Corporation. All rights reserved. 5

6. LAPSは なぜ必要？

7. LAPS はなぜ必要？ • ローカル管理者アカウントが同一の端末が多い。 • (例) 端末展開時に同じイメージで展開している • (例) 安易なパスワードが設定されている

   • 組織の Active Directory ドメインを侵害する 攻撃者は、同一のローカル管理者パスワードや 安易なローカル管理者パスワードを悪用し、ドメ イン内の侵害を展開する。 • ローカル管理者アカウントは、適切な要件を満 たす一意なパスワードを設定し管理を行うこと が重要。 © Copyright Microsoft Corporation. All rights reserved. 7

8. 一般的な Active Directory 侵害の流れ 8 Tier 2 デバイス ローカル 管理者

   Tier 0 認証基盤 ドメイン 管理権限 Tier 1 サーバー 管理者 1. ドメインクライアント端末への侵入 1. フィッシング、ソーシャルエンジニアリング 2. ブルートフォース攻撃 2. ラテラル・ムーブメント Lateral Movement (横方向への移動) 1. 探索活動 2. 別のクライアントへの侵害 1. 特権昇格 1. サーバ管理者権限の取得 2. ドメイン管理者権限の取得 3. ドメイン 2. 目的の実行 1. 情報取得、ランサムウェア 2. 永続的なアクセス口の設置 3. 痕跡の削除 © Copyright Microsoft Corporation. All rights reserved.

9. デバイスには、ログインするユーザーの認証情報が保存されている © Copyright Microsoft Corporation. All rights reserved. 9

10. ローカル管理者権限では認証情報を盗み出せる © Copyright Microsoft Corporation. All rights reserved. 10 NTLM

    NTOWF Kerberos TGT LSASS ドメインユーザー (ローカル管理者権限なし） Kerberos TGT NTLM NTOWF NTLM NTOWF SAM NTLM NTOWF NTLM NTOWF NTLM NTOWF サーバー管理者 (ローカル管理者権限あり） ローカル管理者 (ローカル管理者権限あり） API API API

11. “乗っ取りアカウント” を軸に侵入を展開する © Copyright Microsoft Corporation. All rights reserved. 11

    ユーザー クライアント端末 サーバー サーバー管理者 ドメイン管理者 認証サーバー ドメインコントローラ フィッシング ソーシャルエンジニアリ ング 総当たり Active Directoryドメイン

12. 実際の事例 © Copyright Microsoft Corporation. All rights reserved. 12 ドメインユーザー

    資格情報 ローカル管理者 サーバー管理者 ドメイン管理者 クライアント アプリサーバー ドメイン コントローラ クライアント 資格情報 初期アクセス：よくある原因 ・フィッシング、ソーシャルエンジニアリング ・よく知られたマルウェア等の既知の手法 ・リモートデスクトップ接続やVPN接続の安易なパスワード

13. 実際の事例 © Copyright Microsoft Corporation. All rights reserved. 13 資格情報

    資格情報 よくある原因 ・特権昇格の脆弱性 ・Mimikatzなどの資格情報取得のツール、メモリのダンプ ・よく知られたローカルアカウントの安易なパスワード

14. 実際の事例 © Copyright Microsoft Corporation. All rights reserved. 14 資格情報

    資格情報 資格情報 よくある原因 ・展開イメージが統一 ・管理簡素化のために同一アカウントを展開 ・よく知られた既定アカウント ・よく知られたサービスのアカウント ・ブルートフォース

15. 実際の事例 © Copyright Microsoft Corporation. All rights reserved. 15 資格情報

    資格情報 資格情報 資格情報

16. 資格情報 実際の事例 © Copyright Microsoft Corporation. All rights reserved. 16

    資格情報 資格情報 資格情報 資格情報 よくある原因 • サーバ管理者が利用する端末 と業務端末が同一

17. 実際の事例 © Copyright Microsoft Corporation. All rights reserved. 17 資格情報

    資格情報 資格情報 資格情報 資格情報 資格情報 よくある原因 ・ヘルプデスク業務 ・管理業務

18. 実際の事例 © Copyright Microsoft Corporation. All rights reserved. 18 資格情報

    資格情報 資格情報 資格情報 資格情報 資格情報 資格情報

19. 実際の事例 © Copyright Microsoft Corporation. All rights reserved. 19 資格情報

    資格情報 資格情報 資格情報 資格情報 資格情報 資格情報

20. ツールの拡大による攻撃手法の広まり © Copyright Microsoft Corporation. All rights reserved. 20 

    セキュリティ研究目的などから ツールが開発  2006 年ごろからツール化が盛んに  侵入テストの需要増とともにツールの開発も盛ん に  Windows Credential Editor  Mimikaz  ツールの実行には、ローカル 管理者権限が必要  Post-Exploitation として利用される Windows Credential Editor

21. 従来のセキュリティ境界の定義 © Copyright Microsoft Corporation. All rights reserved. 21 出典：[Archive]

    Ten Immutable Laws Of Security (Version 2.0) https://docs.microsoft.com/en-us/archive/blogs/rhalbheer/ten-immutable-laws-of-security-version-2-0

22. 対策やベストプラクティスの推奨 © Copyright Microsoft Corporation. All rights reserved. 22 マイクロソフト

    セキュリティ アドバイザリ 3062591 | Microsoft Docs Mitigating Pass- the-Hash (PtH) Attacks and Other Credential Theft Techniques Best Practices for Securing Active Directory | Microsoft Docs

23. 悪意のあるコードがデバイス上 に留まらない セキュリティ前提の違反が 観測可能 すべてのアプリとシステムコン ポーネントは最小権限を持つ すべてのコードは整合性を持っ て実行される ユーザーのアイデンティティは、 侵害、なりすし、盗難されない

    簡易的な物理アクセスを持つ 攻撃者は、デバイス上のデータ やコードを変更できない 新たなセキュリテの境界の定義 © Copyright Microsoft Corporation. All rights reserved. 23

24. © Copyright Microsoft Corporation. All rights reserved. 24

25. Virtualization-based security (VBS) © Copyright Microsoft Corporation. All rights reserved.

    25  Windows 10+ の多くのセキュリティ機能の基礎  Hypervisor, SLAT, IOMMUをベースとした仮想化による保護技術 カーネル モード Hypervisor Kernel Mode CI Credential Guard Critical System Processes セキュア カーネル ユーザー モード Hardware Ring 0 Ring -1 Critical System Processes Secure Mode (VTL1) Normal Mode (VTL0)

26. クレデンシャルガード © Copyright Microsoft Corporation. All rights reserved. 26 

    VBS を利用した認証情報 の保護  “pass-the-hash” “mimikatz” などの資格情 報を奪う攻撃への対策 カーネル モード Hypervisor セキュア カーネル ユーザー モード Hardware Secure Mode (VTL1) Normal Mode (VTL0) LSASS LSAIso Hello Container Credential Guard Key Guard TPM MSA Secrets AAD Secrets VBS Key Bio blob Kerbero s secrets NTLM secrets Saved Domain creds keys credentials

27. 興味があるかたは・・・ © Copyright Microsoft Corporation. All rights reserved. 27 Digital

    Trust Summit 2022 https://aka.ms/DTS2022 Active Directory 侵害と 対策(2020年版) - Speaker Deck プラットフォームセキュリティ in Windows ブートタイム 保護 概要編 (slideshare.net)

28. なぜいま LAPS が 注目されている？ © Copyright Microsoft Corporation. All rights

    reserved. 28

29. 2017～ LAPS の課題と進化 課題：顧客にとっての 「ブロッカー」 • LAPS の導入 • Azure

    AD への移行

30. 注目ポイント① Windows に標準装備されるようになりました！ © Copyright Microsoft Corporation. All rights reserved.

    30 Announcing Windows 11 Insider Preview Build 25145 | Windows Insider Blog その他にも • パスワードの暗号化サポート (Windows Server 2016 ADドメイン機能レベルが必要） • パスワードの履歴

31. 環境設定 ms-Mcs-AdmPwd ms-Mcs-AdmPwd ms-Mcs-AdmPwdExpirationTime ms-Mcs-AdmPwdExpirationTime LAPS 用グループポリシー LAPS ツール (管理者用)

    LAPS グループポリシー Client-Side Extension (CSE) LAPS グループポリシー Client-Side Extension (CSE) 導入が必要なコンポーネント 設定が必要な項目 ms-Mcs-AdmPwd ms-Mcs- AdmPwdExpirationTime オブジェクトの属性へのアクセス権の変更 © Copyright Microsoft Corporation. All rights reserved. 31

32. 注目ポイント② Azure AD 対応！ © Copyright Microsoft Corporation. All rights

    reserved. 32 Announcing Windows 11 Insider Preview Build 25145 | Windows Insider Blog • Azure AD Joined のデバ イスも管理できるように • バックアップ先をAzureAD が選択可能に • Get-LapsAADPassword コマンドレット • 注：機能は限定的

33. 注目ポイント③ MDM 対応！ Intune, Microsoft Endpoint Configuration Manager (MECM, SCCM,

    Configuration Manager) © Copyright Microsoft Corporation. All rights reserved. 33 @tamai_pc さん よろしくおねがいします

34. 今後の情報は © Copyright Microsoft Corporation. All rights reserved. 34

35. LAPS 入手方法 公式アナウンス マイクロソフト セキュリティ アドバイザリ 3062591 「Local Administrator Password

    Solution (LAPS) の提供を 開始」 サポート技術情報 (KB) 3062591 「Microsoft セキュリティ アドバイザリ: Local Administrator Password Solution (LAPS) をご利用いただけるようになりました (2015 年 5 月 1 日)」 公式ダウンロードサイト Microsoft Download Center Local Administrator Password Solution (LAPS) LAPS ツールおよびインストールガイド (英語) がダウンロード可能です。 日本語情報ブログ マイクロソフト セキュリティ レスポンス チーム 「Local Administrator Password Solution (LAPS) 導入ガイド 日本語版」 © Copyright Microsoft Corporation. All rights reserved. 35

36. ご清聴ありがとうございました Thank you. 問い合わせ先 | Contact (日本語可)