Download - Active directory のセキュリティ対策 130119
Active Directory のセキュリティ対策~ 標的型攻撃(APT)対策編 ~
アイティデザイン株式会社
知北直宏Copyright 2013 ITdesign Corporation , All Rights Reserved
‘13/1/19@ .NET 勉強会 / ヒーロー島 & Win.tech.q 合同勉強会
1
2
はじめに
今日は、「Active Directoryを使ったセキュリティ対策」。。。ではなく、「Active Directory 環境そのもの のセキュリティ対策」についてお話しします。
特に、「標的型攻撃」の対策を重点的にお話しします。
今日お話しする内容は「一例」であって、他にも知っておくべきこと、やるべきことはたくさんあることをご理解ください。
次へ
3
自己紹介
知北直宏(ちきたなおひろ)Twitter: @wanto1101 アイティデザイン株式会社 代表取締役社長 九州発ITPro系コミュニティ「Win.tech.q」代表 福岡でITProやってます。
Active Directory、Hyper-V、Exchange、System Center
その他いろいろの提案・設計・構築・サポートまでなんでも。
大手、地場インテグレーターさんの後方支援など。 Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。 「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクト
ガイド」という本を書きました。御礼・2012年10月に第8版発売、通算15000部発行
次へ
4
アジェンダ
Active Directory とは 標的型攻撃(APT)とは 攻撃方法の例 対策方法の例 まとめ
次へ
Active Directory とは
5
次へ
6
Active Directory の機能や目的
Windows 標準の「ディレクトリーサービス」です。 ユーザーやコンピューターなどの「アカウント」を一元管理することができ
ます。 IDの集中管理、認証の統合などが実現できます。 「グループポリシー」を使って、アカウントの一括管理が可能です。 ユーザーや Windows コンピューターが数十、数百を超えた環境で
は、なくてはならないシステムです。 WSFC(Windows Server Failover Cluster)や、VDI、
Windows HPC Server など高度なシステム環境の構築にも必須です。
次へ
7
Active Directory を構築するとどうなる?
サーバーやクライアントPCなどコンピューターをActive Directory の「ドメイン」に参加させることにより、利用できるようになります。
このときに、Active Directoryの管理者グループである、「Domain Admins」グループが、コンピューターのローカル管理者グループのメンバーになります。
つまり、Active Directoryの管理者は、ドメインに参加したコンピューターの管理者権限を持つことになります。
次へ
標的型攻撃 とは
8
次へ
9
「標的型攻撃」、「新しいタイプの攻撃」とは?
標的型攻撃とは、「特定の情報」を狙って行われるサイバー攻撃の一種である。
ウィキペディアよりhttp://ja.wikipedia.org/wiki/標的型攻撃
次へ
「新しいタイプの攻撃」の定義ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャル・エンジニアリングにより特定企業や個人を狙った攻撃の総称。
IPAよりhttp://www.ipa.go.jp/security/J-CSIP/documents/presentation2.pdf
「持続的標的型攻撃(Advanced Persistent Threat)」とも呼ばれています。
10
標的型攻撃(APT)の目的の例
システムの攻撃、破壊行為機密情報の搾取。。。そのための情報の搾取、収集
次へ
11
標的型攻撃(APT)の流れの例
1.準備2.侵入3.情報の収集4.情報の持ち出し
次へ
}このあたりでActive Directoryの攻撃、「Domain Admins権限の奪取」が行われる可能性アリ
12
Domain Admins権限が奪取されるとどうなる?
Active Directoryが「制圧」されたことになります。攻撃者は、Active Directoryドメイン内で「管理者」としてやりたい放題です。
次へ
攻撃方法の例
13
次へ
14
Active Directory の攻撃の例
管理者のパスワードを盗み取るシステムの脆弱性を狙う
次へ
15
管理者のパスワードを盗む方法の例
辞書攻撃ブルートフォースアタックキーロガーLMハッシュの悪用
(Path-the-hash)
次へ
16
どんな脆弱性が狙われる?
OS(Windows Server)そのものの脆弱性標準サービスの脆弱性アプリケーションの脆弱性
次へ
17
キケンな Active Directory 環境の例
管理者がセキュリティ対策に無頓着(論外)Active Directory、ドメインコントローラーの
バージョンが古い古いバージョンのクライアントOSがドメインに
参加している古いドメイン環境からアップグレードした環境も
キケン(下位互換性問題、機能レベルが古いまま、など)
次へ
対策方法の例
18
次へ
19
機能レベルを上げる
「フォレストの機能レベル」と「ドメインの機能レベル」は、より上位のほうが多機能であり、セキュリティに関する機能も強化されています。
しかし、NTドメインやWindows 2000 Active Directoryからアップグレードを繰り返したWindows Server 2012 ActiveDirectory環境でさえも、次のような機能レベルになっている可能性があります。フォレストの機能レベル :Windows 2000ドメインの機能レベル :Windows 2000 ネイティブ
参考http://technet.microsoft.com/ja-jp/library/cc771294.aspx
次へ
20
グループポリシーの設定を見直す
Windows Server 2012で新規にActiveDirectoryを構築した場合と、NTドメインやWindows 2000 ActiveDirectoryからアップグレードを繰り返した場合では、グループポリシーの設定が異なります。
次へ
21
Default Domain Policy の違いの例
Windows Server 2012で新規にActive Directoryを構築した場合と、NTドメインからアップグレードを繰り返した場合の、「Default Domain Policy」の違いの例です。
次へ
22
Default Domain Controllers Policy の違いの例
Windows Server 2012で新規にActive Directoryを構築した場合と、NTドメインからアップグレードを繰り返した場合の、「Default Domain Controllers Policy」の違いの例です。
次へ
23
パスワードを強固にする
より強固なパスワードを利用する グループポリシーで強制する
パスワードポリシーの例(マイクロソフトの推奨例)
参考http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EHAA
次へ
パスワードの履歴を記録する 24
パスワードの有効期間 42 日
パスワードの変更禁止期間 2 日
パスワードの長さ 12 文字
パスワードは、複雑さの要件を満たす必要がある 有効
暗号化を元に戻せる状態でパスワードを保存する 無効
24
アカウントロックアウトを設定する
パスワードミスが一定回数続いたら、ログオンできなくする グループポリシーで強制する
アカウントロックアウトの例(マイクロソフトの推奨例)
参考http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EGAA
次へ
アカウントのロックアウトのしきい値 10 回
ロックアウト期間 30 分
ロックアウトカウンタのリセット 15 分
25
「細かい設定が可能なパスワード」機能でさらに強固に
管理者グループなど、特定のグループやユーザーだけは「細かい設定が可能なパスワード」機能(PSO:Password Setting Object)で、より強固にすることが可能。
参考http://technet.microsoft.com/ja-jp/library/cc770842(v=ws.10).aspx
次へ
26
「Administrator」アカウントの保護
「Administrator」アカウントをリネームする(説明なども) 「おとり」の「Administrator」アカウントを作って不正なログイン試行を監
視する 。。。ただし万全ではない。
スマートカードなど他要素認証の利用 複数人でのパスワード管理。。。
次へ
27
管理者権限の分離など
管理操作をなんでもかんでも「Administrator」で行うことはやめる。 Active Directoryにあらかじめ用意されている、権限が限定された他の
管理者グループを使うようにする。
パスワードの使いまわしをしない。
次へ
28
「監査」を行う
ドメインコントローラーなどのイベントログから「監査」を行って、攻撃や不正なログイン試行を発見する。
参考http://technet.microsoft.com/library/dd941635(WS.10).aspxhttp://technet.microsoft.com/ja-jp/library/cc787567(v=ws.10).aspx
次へ
29
強固な認証方式の利用
より強固な認証方式だけを使うようにする。
Kerberos > NTLMv2 > NTLM > LM
。。。ただし実際はNTLMv2は下位互換のためなどの目的で必要。
参考http://technet.microsoft.com/ja-jp/library/hh831553.aspxhttp://technet.microsoft.com/ja-jp/library/hh831571.aspx
次へ
30
LMハッシュの悪用への対策
「NoLMHashポリシー」を有効にする。 グループポリシーの
「ネットワーク セキュリティ : 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない」を有効にする。
または、レジストリーを編集する、など。
参考http://support.microsoft.com/kb/299656/ja
なお。。。かなり奥が深い世界。次へ
31
ドメインコントローラーで余計な機能を動作させない
余計な機能やサービス、アプリケーションを動作させると、それらの脆弱性によってドメインコントローラーが危険にさらされる可能性あり。
「Server Core」で必要最小限のコンポーネントだけでドメインコントローラーを動作させる。
次へ
32
更新プログラムをきちんと適用する
毎月定例の更新プログラム、緊急性が高い定例外の更新プログラムをきちんと適用する。
マイクロソフトの推奨では、「緊急」はリリースから24時間以内、「重要」は一か月以内の適用が推奨だそう。。。
更新プログラム適用が困難であれば、サードパーティの「バーチャルパッチ製品」、「サンドボックス製品」などの導入も検討。
次へ
33
Windowsファイアウォールを止めない
Windowsファイアウォールときちんと動作させて、余計なアクセスを拒否。
可能であれば、ドメインコントローラーを他のサーバーとは別のネットワーク、セグメントに配置して、IPSやFirewallデバイスで保護する。
次へ
34
その他の注意ポイントや対策など
DNSIPv6IPSec
次へ
35
その他の注意ポイントや対策など
「Windows Server 2008 セキュリティ ガイド」におけるActive Directoryの注意点
• Windows Server 2008 の Server Core インストールを展開する。• 物理的なセキュリティを保証できない場合は RODC を展開する。• RODC のローカル管理を委任する。• RODC に格納する機密情報を制限する。• DNS 役割サービスとドメイン コントローラー役割サービスを結合する。• 管理者グループのメンバーと管理範囲を制限する。• サービスの管理者がパスワード ポリシーを回避できないようにする。• 細かい設定が可能なパスワード ポリシーを構成する。• 昇格された権限を持つユーザーに多要素認証を求める。• 制御された OU 構造でサービス管理者を管理する。• サービス管理者アカウントのグループ メンバーシップを管理する。• BitLocker™ ドライブ暗号化を使用して、ローカル ドライブに保存されているデータを暗号化する。• Active Directory で、BitLocker と TPM の回復情報をバックアップする。• Syskey を使用して、コンピューターの起動キーを保護する。 次へ
36
標的型攻撃(APT)の被害にあったら。。。
IPAなどの機関に報告専門業者に調査を依頼
(「証拠」を消してしまうような中途半端な事前調査をしないように要注意)
次へ
37
参考ドキュメントなど
Windows Server 2008 セキュリティ ガイドhttp://technet.microsoft.com/ja-jp/windowsserver/ff708743.aspx
セキュリティ構成ガイダンスのサポートについてhttp://support.microsoft.com/kb/885409/ja
Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniqueshttp://www.microsoft.com/en-us/download/details.aspx?id=36036
次へ
38
まとめ
「標的型攻撃(APT)」に狙われないという保証はありません。
侵入されないことが重要ですが、いざ侵入されたときに、Active Directoryが制圧されるようなことがないよう、事前の対策を十分に行いましょう。
次へ
ご清聴ありがとうございました!
知北直宏 @wanto1101
39Copyright 2013 ITdesign Corporation , All Rights Reserved