LAPS勉強会 - Speaker Deck

Slide 1

Slide 1 text

Local Administrator Password Solution (LAPS) 垣内由梨香 (@EurekaBerry) セキュリティプログラムマネージャーセキュリティレスポンスチームマイクロソフトコーポレーション公式ブログ: https://aka.ms/JPSECURITY 公式ツイッター: @JSECTEAM セキュリティレスポンスチーム窓口 [email protected]

Slide 2

Slide 2 text

保護検出対応 01 02 03 Protect Detect Respond MSRC Mission ミッション：お客様が Microsoft の製品やサービスのセキュリティ脆弱性から被害を受けることを防ぎ、Microsoft Cloud に対する攻撃を迅速に対応する • リリース製品の脆弱性対応 (脆弱性収集、修正、更新プログラムのリリース） • 脆弱性に関するリサーチ • セキュリティ・リサーチコミュニティとの連携 © Copyright Microsoft Corporation. All rights reserved. 2

Slide 3

Slide 3 text

LAPSとは？

Slide 4

Slide 4 text

Slide 5

Slide 5 text

環境設定 ms-Mcs-AdmPwd ms-Mcs-AdmPwd ms-Mcs-AdmPwdExpirationTime ms-Mcs-AdmPwdExpirationTime LAPS 用グループポリシー LAPS ツール (管理者用) LAPS グループポリシー Client-Side Extension (CSE) LAPS グループポリシー Client-Side Extension (CSE) 導入が必要なコンポーネント設定が必要な項目 ms-Mcs-AdmPwd ms-Mcs- AdmPwdExpirationTime オブジェクトの属性へのアクセス権の変更 © Copyright Microsoft Corporation. All rights reserved. 5

Slide 6

Slide 6 text

LAPSはなぜ必要？

Slide 7

Slide 7 text

LAPS はなぜ必要？ • ローカル管理者アカウントが同一の端末が多い。 • (例) 端末展開時に同じイメージで展開している • (例) 安易なパスワードが設定されている • 組織の Active Directory ドメインを侵害する攻撃者は、同一のローカル管理者パスワードや安易なローカル管理者パスワードを悪用し、ドメイン内の侵害を展開する。 • ローカル管理者アカウントは、適切な要件を満たす一意なパスワードを設定し管理を行うことが重要。 © Copyright Microsoft Corporation. All rights reserved. 7

Slide 8

Slide 8 text

一般的な Active Directory 侵害の流れ 8 Tier 2 デバイスローカル管理者 Tier 0 認証基盤ドメイン管理権限 Tier 1 サーバー管理者 1. ドメインクライアント端末への侵入 1. フィッシング、ソーシャルエンジニアリング 2. ブルートフォース攻撃 2. ラテラル・ムーブメント Lateral Movement (横方向への移動) 1. 探索活動 2. 別のクライアントへの侵害 1. 特権昇格 1. サーバ管理者権限の取得 2. ドメイン管理者権限の取得 3. ドメイン 2. 目的の実行 1. 情報取得、ランサムウェア 2. 永続的なアクセス口の設置 3. 痕跡の削除 © Copyright Microsoft Corporation. All rights reserved.

Slide 9

Slide 9 text

Slide 10

Slide 10 text

ローカル管理者権限では認証情報を盗み出せる © Copyright Microsoft Corporation. All rights reserved. 10 NTLM NTOWF Kerberos TGT LSASS ドメインユーザー (ローカル管理者権限なし） Kerberos TGT NTLM NTOWF NTLM NTOWF SAM NTLM NTOWF NTLM NTOWF NTLM NTOWF サーバー管理者 (ローカル管理者権限あり）ローカル管理者 (ローカル管理者権限あり） API API API

Slide 11

Slide 11 text

Slide 12

Slide 12 text

実際の事例 © Copyright Microsoft Corporation. All rights reserved. 12 ドメインユーザー資格情報ローカル管理者サーバー管理者ドメイン管理者クライアントアプリサーバードメインコントローラクライアント資格情報初期アクセス：よくある原因・フィッシング、ソーシャルエンジニアリング・よく知られたマルウェア等の既知の手法・リモートデスクトップ接続やVPN接続の安易なパスワード

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

ツールの拡大による攻撃手法の広まり © Copyright Microsoft Corporation. All rights reserved. 20  セキュリティ研究目的などからツールが開発  2006 年ごろからツール化が盛んに  侵入テストの需要増とともにツールの開発も盛んに  Windows Credential Editor  Mimikaz  ツールの実行には、ローカル管理者権限が必要  Post-Exploitation として利用される Windows Credential Editor

Slide 21

Slide 21 text

従来のセキュリティ境界の定義 © Copyright Microsoft Corporation. All rights reserved. 21 出典：[Archive] Ten Immutable Laws Of Security (Version 2.0) https://docs.microsoft.com/en-us/archive/blogs/rhalbheer/ten-immutable-laws-of-security-version-2-0

Slide 22

Slide 22 text

対策やベストプラクティスの推奨 © Copyright Microsoft Corporation. All rights reserved. 22 マイクロソフトセキュリティアドバイザリ 3062591 | Microsoft Docs Mitigating Pass- the-Hash (PtH) Attacks and Other Credential Theft Techniques Best Practices for Securing Active Directory | Microsoft Docs

Slide 23

Slide 23 text

悪意のあるコードがデバイス上に留まらないセキュリティ前提の違反が観測可能すべてのアプリとシステムコンポーネントは最小権限を持つすべてのコードは整合性を持って実行されるユーザーのアイデンティティは、侵害、なりすし、盗難されない簡易的な物理アクセスを持つ攻撃者は、デバイス上のデータやコードを変更できない新たなセキュリテの境界の定義 © Copyright Microsoft Corporation. All rights reserved. 23

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Virtualization-based security (VBS) © Copyright Microsoft Corporation. All rights reserved. 25  Windows 10+ の多くのセキュリティ機能の基礎  Hypervisor, SLAT, IOMMUをベースとした仮想化による保護技術カーネルモード Hypervisor Kernel Mode CI Credential Guard Critical System Processes セキュアカーネルユーザーモード Hardware Ring 0 Ring -1 Critical System Processes Secure Mode (VTL1) Normal Mode (VTL0)

Slide 26

Slide 26 text

クレデンシャルガード © Copyright Microsoft Corporation. All rights reserved. 26  VBS を利用した認証情報の保護  “pass-the-hash” “mimikatz” などの資格情報を奪う攻撃への対策カーネルモード Hypervisor セキュアカーネルユーザーモード Hardware Secure Mode (VTL1) Normal Mode (VTL0) LSASS LSAIso Hello Container Credential Guard Key Guard TPM MSA Secrets AAD Secrets VBS Key Bio blob Kerbero s secrets NTLM secrets Saved Domain creds keys credentials

Slide 27

Slide 27 text

興味があるかたは・・・ © Copyright Microsoft Corporation. All rights reserved. 27 Digital Trust Summit 2022 https://aka.ms/DTS2022 Active Directory 侵害と対策(2020年版) - Speaker Deck プラットフォームセキュリティ in Windows ブートタイム保護概要編 (slideshare.net)

Slide 28

Slide 28 text

Slide 29

Slide 29 text

2017～ LAPS の課題と進化課題：顧客にとっての「ブロッカー」 • LAPS の導入 • Azure AD への移行

Slide 30

Slide 30 text

注目ポイント① Windows に標準装備されるようになりました！ © Copyright Microsoft Corporation. All rights reserved. 30 Announcing Windows 11 Insider Preview Build 25145 | Windows Insider Blog その他にも • パスワードの暗号化サポート (Windows Server 2016 ADドメイン機能レベルが必要） • パスワードの履歴

Slide 31

Slide 31 text

Slide 32

Slide 32 text

注目ポイント② Azure AD 対応！ © Copyright Microsoft Corporation. All rights reserved. 32 Announcing Windows 11 Insider Preview Build 25145 | Windows Insider Blog • Azure AD Joined のデバイスも管理できるように • バックアップ先をAzureAD が選択可能に • Get-LapsAADPassword コマンドレット • 注：機能は限定的

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

LAPS 入手方法公式アナウンスマイクロソフトセキュリティアドバイザリ 3062591 「Local Administrator Password Solution (LAPS) の提供を開始」サポート技術情報 (KB) 3062591 「Microsoft セキュリティアドバイザリ: Local Administrator Password Solution (LAPS) をご利用いただけるようになりました (2015 年 5 月 1 日)」公式ダウンロードサイト Microsoft Download Center Local Administrator Password Solution (LAPS) LAPS ツールおよびインストールガイド (英語) がダウンロード可能です。日本語情報ブログマイクロソフトセキュリティレスポンスチーム「Local Administrator Password Solution (LAPS) 導入ガイド日本語版」 © Copyright Microsoft Corporation. All rights reserved. 35

Slide 36

Slide 36 text

ご清聴ありがとうございました Thank you. 問い合わせ先 | Contact (日本語可)