Active Directory セキュリティのベストプラクティス

BY admin

| 10月 31, 2021

攻撃者は、重要な機密データへのアクセスを許可する役割を担う Active Directory サービスを侵害しようと執拗に攻撃を仕掛けてくるものです。

また、機密データがどこにあるのか、そのデータを保護するために最適なセキュリティポリシーはどのようなものかを判断することも難しくなっています。例えば、データへのアクセスを試みる外部の人間は、認証情報を盗んだり、マルウェアをインストールしてアカウントを侵害しようとするかもしれません。

そのため、優れたActive Directoryのセキュリティを確保し、ADへの変更を常に監視および監査して、潜在的な攻撃を発見し、タイムリーに対応できるようにすることが重要なのです。

Common Threats to Active Directory Security
Active Directoryシステムの脆弱性
Insider Threats in Active Directory
Active Directoryセキュリティのベストプラクティス
Manage Active Directory Security Groups
Clean-Up Inactive User Accounts in AD
Monitor Local Administrators
GPO を使用してパスワードを設定しない
Audit Domain Controller (DC) Logons
Ensure LSASS Protection
Remove Open Access
Audit Server Logon Rights
ADセキュリティに最小特権の原則を採用する
Back-Up Your Active Directory and Have a Method for Recovery
Enable Security Monitoring of Active Directory for Signs of Compromise
Active Directoryの変更の監査
How to Secure Active Directory with Lepide

Common Threats to Active Directory Security

Active Directory は非常に長い間存在しているため、攻撃者はセキュリティの脆弱性を利用する方法を複数見つけています。

Microsoft は、Active Directory セキュリティのギャップを埋めるために積極的に取り組んできましたが、攻撃者は常に、システムやそれを使用する人間を悪用するさまざまな方法を見つけてきます。

Active Directoryシステムの脆弱性

Active Directoryは、Pass the Hash, Pass the Ticket, Golden Ticket, Silver Ticketといった多くの脆弱性を持つKerberos認証を使っています。また、AD は NTLM 暗号化もサポートしています。これは、セキュリティが劣るにもかかわらず、NTLM 暗号化が AD で実際に使用されていたときの名残です。

Insider Threats in Active Directory

Active Directory のセキュリティが回避される可能性が最も高い方法は、内部からの脅威によるものです。フィッシング攻撃、ソーシャル・エンジニアリング、スピアフィッシングは、セキュリティ意識の低いユーザーを利用して成功することが多く、攻撃者は盗んだ認証情報を使ってADにアクセスすることができます。

Active Directoryセキュリティのベストプラクティス

上記で説明したActive Directoryセキュリティの脆弱性やリスクに効果的に対処するために、LepideのADエキスパートがベストプラクティスをまとめましたので、ご紹介します。

Active Directoryセキュリティのベストプラクティス・チェックリストの概要は次のとおりです。

Manage Active Directory Security Groups
Clean-up(クリーンアップ)する。AD の非アクティブなユーザーアカウントをアップグレードする
ローカル管理者を監視する
GPO を使用してパスワードを設定しない
ドメインコントローラ (DC) ログオンを監査する
LSASS を確保する
厳格なパスワードポリシー
入れ子グループに注意
オープンアクセスの削除
サーバーログオン権の監査
原則を採用する。 ADセキュリティの最小特権
Active Directoryのバックアップと復旧方法
Active Directoryのセキュリティ監視を有効にし、侵害の兆候を確認
Active Directoryの変更を監査

Manage Active Directory Security Groups

Active Directoryセキュリティグループにはドメイン, エンタープライズ管理者、スキーマ管理者は、Active Directory環境内で最大レベルの権限を付与されます。そのため、これらのグループに割り当てられた攻撃者や悪意のある内部関係者は、重要なデータとともにAD環境を自由に支配することができます。

Active Directoryのセキュリティグループのベストプラクティスに従うことで、アクセスを必要なユーザーだけに制限するなど、ADに別のセキュリティ層を追加することが可能になります。

Active Directory セキュリティグループのベストプラクティスの包括的なリストは、こちらをご覧ください。

Clean-Up Inactive User Accounts in AD

Active Directory 環境において、アクティブではないユーザーアカウントは、不正管理者やハッカーが疑いを持たずに重要データにアクセスするためによく使用され、深刻なセキュリティリスクとなります。 PowerShellを使用するか、Lepide Active Directory Cleanupのようなソリューションを使用すれば、非アクティブなユーザーアカウントを追跡する方法を見つけることができるでしょう。

Monitor Local Administrators

組織にとって、ローカル管理者が何をしているか、どのようにアクセスが許可されたかを知ることは非常に重要なことです。

GPO を使用してパスワードを設定しない

Group Policy Objects (GPO) を使用すると、ユーザーアカウントを作成し、ローカル管理者パスワードを含むパスワードを Active Directory 内に設定することができます。このことは、システム管理者が潜在的なパスワードの脆弱性を発見し報告する手段を確実に持つことの重要性を強調しています。

Audit Domain Controller (DC) Logons

特権ユーザーと彼らがアクセスする資産を保護するために、システム管理者がドメインコントローラーに誰がログオンするかを監査できることが非常に重要である。

これは、企業およびドメイン管理者に焦点を当てがちで、他のグループがドメインコントローラーへの不適切なアクセス権を持っている可能性があることを忘れているため、組織にとって一般的な盲点となっています。

Ensure LSASS Protection

Mimikatz のようなハッキングツールを使用して、攻撃者は Local Security Authority Subsystem Service (LSASS) を悪用してユーザーの資格情報を抽出し、その資格情報に関連付けられた資産にアクセスするために使用することが可能です。ユーザーは定期的にパスワードを変更することが重要です。めったに、あるいは一度も変更されないパスワードは、盗まれる機会が増えるため、安全ではありません。

理想的には、組織は、一定期間後にパスワードが期限切れになる自動システムを持つべきです。さらに、Lepide User Password Expiration Reminder は、パスワードの有効期限が近くなると Active Directory ユーザーに自動的に通知する便利なツールです。

多くの人が克服できないと思われる問題の1つは、複雑なパスワードを簡単に覚えられないということです。そのため、ユーザーはパスワードを書き留めたり、自分のマシンに保存したりすることになります。これを克服するために、組織はパスワードの代わりにパスフレーズを使用し、パスワードを覚えることを不可能にすることなく複雑性を高めています。しかし、このようなグループの入れ子は、誰がどのグループになぜアクセスできるのかを把握するのが難しく、管理者にとっての課題となります。

どのグループが最も入れ子の数が多く、グループが何段階の入れ子を持っているかを識別できるようにすることが重要です。また、誰が、何を、どこで、いつグループポリシーの変更を行うのかを知ることも重要です。

Remove Open Access

よく知られたセキュリティ識別子であるEveryone、Authenticated Users、Domain Usersなどが、ファイル共有などのネットワークリソースに不適切なユーザー特権を与えるために使用されることはよくあることです。これらのセキュリティ識別子を使用すると、多数のユーザーアカウントにアクセスできるようになるため、ハッカーが組織のネットワークを悪用することが可能になります。

Audit Server Logon Rights

Local Security Policies は、Group Policy によって、次のような多くのユーザー権限の割り当てを介して制御されます。

Allow log on locally
Log on as a batch job
Allow log on through remote desktop services
Log on as a service etc.(サービスでのログオンの許可)。

これらの割り当てにより、通常は管理者に制限されている機能を管理者以外が実行できるようになります。これらの機能を分析、制限、および慎重に監査しない場合、攻撃者はそれらを使用して、認証情報およびその他の機密情報を盗むことによってシステムを危険にさらすことができます。

ADセキュリティに最小特権の原則を採用する

最小特権の原則とは、ユーザーは自分の職務を果たすために必要な最低限のアクセス権のみを持つべきで、それ以上のものは過剰だと見なされる、という考え方です。

Back-Up Your Active Directory and Have a Method for Recovery

Active Directoryのバックアップは、60日を超えない範囲で定期的に行うことをお勧めします。これは、ADの墓標オブジェクトの寿命がデフォルトで60日であるためです。また、災害復旧計画にADのバックアップを盛り込み、万が一の事態に備えることをお勧めします。一般的なルールとして、少なくとも1つのドメインコントローラーはバックアップされるべきです。

AD オブジェクトをバックアップして元の状態に復元するのに役立つ、より高度な復旧ソリューションの使用を検討することもできます。

Enable Security Monitoring of Active Directory for Signs of Compromise

Active Directory を積極的かつ継続的に監査および監視することにより、違反または侵害の兆候を発見することができます。

最近の調査では、監視がセキュリティの向上に役立つという証拠があるにもかかわらず、80％以上の組織がまだ積極的に行っていないことが示唆されています。

Active Directoryの変更の監査

Active Directoryに加えられたすべての変更の記録を残すことは非常に重要です。

How to Secure Active Directory with Lepide

Lepide Active Directory Auditing and Monitoring Solutionでは、Active Directoryに加えられた変更をリアルタイムに把握し、実行可能な状態にすることを可能にします。リアルタイムアラートと事前定義されたレポートを提供するActive Directory監査ソリューションを探しているなら、Lepide Active Directory Auditorをチェックする価値があります。このソリューションには、15日間の無料トライアルが付属しており、ソリューションを評価するのに役立ちます。