Active Directory のセキュリティ対策 ～ 標的型攻撃(APT)対策編 ～

アイティデザイン株式会社

知北直宏 Copyright 2013 ITdesign Corporation , All Rights Reserved

‘13/11/08 @ Win.tech.q 2013年 秋の勉強会

1

2

はじめに

今日は、「Active Directoryを使ったセキュリティ対策」。。。 ではなく、 「Active Directory 環境そのもの のセキュリティ対策」についてお話しします。 特に、「標的型攻撃」の対策を重点的にお話しします。 今日お話しする内容は「一例」であって、 他にも知っておくべきこと、やるべきことはたくさんあることをご理解ください。

次へ

3

自己紹介

知北直宏（ちきたなおひろ）Twitter: @wanto1101 アイティデザイン株式会社 代表取締役社長 九州発ITPro系コミュニティ「Win.tech.q」代表 福岡でITProやってます。

Active Directory、Hyper-V、Exchange、System Center

その他いろいろの提案・設計・構築・サポートまでなんでも。 大手、地場インテグレーターさんの後方支援など。

Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。

次へ

4

自己紹介

「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド」という本を書きました。

御礼・2013年10月に第9版発売、通算16500部発行

「第4回 Windows Server 2012 Community Day」登壇 http://technet.microsoft.com/ja-jp/windowsserver/jj973165

「第7回 Windows Server 2012 Community Day」登壇 http://technet.microsoft.com/ja-jp/windowsserver/dn375828

ホワイトペーパー執筆 (Windows Server 2012 の DirectAccess、フェールオーバークラスター)

次へ

5

アジェンダ

Active Directory とは 標的型攻撃(APT)とは 攻撃方法の例 対策方法の例 まとめ

次へ

Active Directory とは

6

次へ

7

Active Directory の機能や目的

Windows 標準の「ディレクトリーサービス」です。 ユーザーやコンピューターなどの「アカウント」を一元管理することができ

ます。 IDの集中管理、認証の統合などが実現できます。 「グループポリシー」を使って、アカウントの一括管理が可能です。 ユーザーや Windows コンピューターが数十、数百を超えた環境で

は、なくてはならないシステムです。 WSFC（Windows Server Failover Cluster）や、

Windows HPC Server など高度なシステム環境の構築にも必須です。

次へ

8

Active Directory を構築するとどうなる？

サーバーやクライアントPCなどコンピューターをActive Directory の「ドメイン」に参加させることにより、利用できるようになります。

このときに、Active Directoryの管理者グループである、 「Domain Admins」グループが、コンピューターのローカル管理者グループのメンバーになります。

つまり、Active Directoryの管理者は、ドメインに参加したコンピューターの管理者権限を持つことになります。

次へ

標的型攻撃 とは

9

次へ

10

「標的型攻撃」、「新しいタイプの攻撃」とは？

標的型攻撃とは、 「特定の情報」を狙って行われるサイバー攻撃の一種である。

ウィキペディアより http://ja.wikipedia.org/wiki/標的型攻撃

次へ

「新しいタイプの攻撃」の定義 ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャル・エンジニアリングにより特定企業や個人を狙った攻撃の総称。

IPAより http://www.ipa.go.jp/security/J-CSIP/documents/presentation2.pdf

「持続的標的型攻撃（Advanced Persistent Threat）」とも呼ばれています。

11

標的型攻撃(APT)の目的の例

システムの攻撃、破壊行為 機密情報の搾取 。。。そのための情報の搾取、収集

次へ

12

標的型攻撃(APT)の流れの例

1.準備 2.侵入 3.情報の収集 4.情報の持ち出し

次へ

｝ このあたりで Active Directoryの攻撃、「Domain Admins権限の奪取」が行われる可能性アリ

13

Domain Admins権限が奪取されるとどうなる？

Active Directoryが「制圧」されたことになります。 攻撃者は、Active Directoryドメイン内で「管理者」としてやりたい放題です。

次へ

攻撃方法の例

14

次へ

15

Active Directory の攻撃の例

管理者のパスワードを盗み取る システムの脆弱性を狙う

次へ

16

管理者のパスワードを盗む方法の例

辞書攻撃 ブルートフォースアタック キーロガー LMハッシュの悪用

次へ

17

どんな脆弱性が狙われる？

OS(Windows Server)そのものの脆弱性 標準サービスの脆弱性 アプリケーションの脆弱性

次へ

18

キケンな環境

管理者がセキュリティ対策に無頓着（論外） Active Directory、ドメインコントローラーの

バージョンが古い 古いバージョンのクライアントOSがドメインに

参加している 古いドメイン環境からアップグレードした環境も

キケン （下位互換性問題、機能レベルが古いまま、など）

次へ

対策方法の例

19

次へ

20

機能レベルを上げる

「フォレストの機能レベル」と「ドメインの機能レベル」は、より上位のほうが多機能であり、セキュリティに関する機能も強化されています。

しかし、NTドメインやWindows 2000 Active Directoryからアップグレードを繰り返したWindows Server 2012 R2 Active Directory環境でさえも、次のような機能レベルになっている可能性があります。 フォレストの機能レベル ：Windows 2000 ドメインの機能レベル ：Windows 2000 ネイティブ

参考 http://technet.microsoft.com/ja-jp/library/cc771294.aspx

次へ

21

グループポリシーの設定を変更する

Windows Server 2012 R2 で新規にActive Directoryを構築した場合と、 NTドメインやWindows 2000 Active Directoryからアップグレードを繰り返した場合では、グループポリシーの設定が異なります。

次へ

22

Default Domain Policy の違いの例

Windows Server 2012 R2で新規にActive Directoryを構築した場合と、NTドメインからアップグレードを繰り返した場合の、「Default Domain Policy」の違いの例です。

次へ

23

Default Domain Controllers Policy の違いの例

Windows Server 2012 R2 で新規にActive Directoryを構築した場合と、NTドメインからアップグレードを繰り返した場合の、「Default Domain Controllers Policy」の違いの例です。

次へ

24

パスワードを強固にする

より強固なパスワードを利用する グループポリシーで強制する

パスワードポリシーの例（マイクロソフトの推奨例）

参考 http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EHAA

次へ

パスワードの履歴を記録する 24

パスワードの有効期間 42 日

パスワードの変更禁止期間 2 日

パスワードの長さ 12 文字

パスワードは、複雑さの要件を満たす必要がある 有効

暗号化を元に戻せる状態でパスワードを保存する 無効

25

アカウントロックアウトを設定する

パスワードミスが一定回数続いたら、ログオンできなくする グループポリシーで強制する

アカウントロックアウトの例（マイクロソフトの推奨例）

参考 http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EGAA

次へ

アカウントのロックアウトのしきい値 10 回

ロックアウト期間 30 分

ロックアウトカウンタのリセット 15 分

26

「細かい設定が可能なパスワード」機能でさらに強固に

管理者グループなど、特定のグループやユーザーだけは「細かい設定が可能なパスワード」機能（PSO：Password Setting Object）で、より強固にすることが可能。

参考 http://technet.microsoft.com/ja-jp/library/cc770842.aspx

次へ

27

「Administrator」アカウントの保護

「Administrator」アカウントをリネームする（説明なども） 「おとり」の「Administrator」アカウントを作って不正なログイン試行を監

視する。。。ただし万全ではない。

スマートカードなど他要素認証の利用 複数人でのパスワード管理。。。

次へ

28

管理者権限の分離など

管理操作をなんでもかんでも「Administrator」で行うことはやめる。 Active Directoryにあらかじめ用意されている、権限が限定された他の

管理者グループを使うようにする。

次へ

29

「監査」を行う

ドメインコントローラーなどのイベントログから「監査」を行って、攻撃や不正なログイン試行を発見する。

参考 http://technet.microsoft.com/library/dd941635.aspx http://technet.microsoft.com/ja-jp/library/cc787567.aspx

次へ

30

強固な認証方式の利用

より強固な認証方式を使うようにする。 Kerberos > NTLMv2 > NTLM > LM

参考 http://technet.microsoft.com/ja-jp/library/hh831553.aspx http://technet.microsoft.com/ja-jp/library/hh831571.aspx

次へ

31

LMハッシュの悪用への対策

「NoLMHashポリシー」を有効にする。 グループポリシーの「ネットワーク セキュリティ : 次のパスワードの変更で

LAN マネージャのハッシュの値を保存しない」を有効にする。 または、レジストリーを編集する、など。

参考

http://support.microsoft.com/kb/299656/ja

次へ

32

ドメインコントローラーで余計な機能を動作させない

余計な機能やサービス、アプリケーションを動作させると、それらの脆弱性によってドメインコントローラーが危険にさらされる可能性あり。

「Server Core」で必要最小限のコンポーネントだけでドメインコントローラーを動作させる。

次へ

33

更新プログラムをきちんと適用する

毎月定例の更新プログラム、緊急性が高い定例外の更新プログラムをきちんと適用する。

マイクロソフトの推奨では、「緊急」はリリースから24時間以内、「重要」は一か月以内の適用が推奨だそう。。。

更新プログラム適用が困難であれば、サードパーティの「バーチャルパッチ製品」、「サンドボックス製品」などの導入も検討。

次へ

34

Windowsファイアウォールを止めない

Windowsファイアウォールときちんと動作させて、 余計なアクセスを拒否させる。

可能であれば、ドメインコントローラーを他のサーバーとは 別のネットワーク、セグメントに配置して、IPSやFirewallデバイスで 保護する。

次へ

35

その他の注意ポイントや対策など

DNS IPv6 IPSec BitLocker

次へ

36

その他の注意ポイントや対策など

「Windows Server 2008 セキュリティ ガイド」におけるActive Directoryの注意点

• Windows Server 2008 の Server Core インストールを展開する。 • 物理的なセキュリティを保証できない場合は RODC を展開する。 • RODC のローカル管理を委任する。 • RODC に格納する機密情報を制限する。 • DNS 役割サービスとドメイン コントローラー役割サービスを結合する。 • 管理者グループのメンバーと管理範囲を制限する。 • サービスの管理者がパスワード ポリシーを回避できないようにする。 • 細かい設定が可能なパスワード ポリシーを構成する。 • 昇格された権限を持つユーザーに多要素認証を求める。 • 制御された OU 構造でサービス管理者を管理する。 • サービス管理者アカウントのグループ メンバーシップを管理する。 • BitLocker™ ドライブ暗号化を使用して、ローカル ドライブに保存されているデータを暗号化する。 • Active Directory で、BitLocker と TPM の回復情報をバックアップする。 • Syskey を使用して、コンピューターの起動キーを保護する。 次へ

37

標的型攻撃(APT)の被害にあったら。。。

IPAなどの機関に報告 専門業者に調査を依頼

（「証拠」を消してしまうような中途半端な事前調査をしないように要注意）

次へ

38

参考ドキュメントなど

Best Practices for Securing Active Directory http://aka.ms/bpsadtrd http://blogs.technet.com/b/jpsecurity/archive/2013/06/20/3580095.aspx

Windows Server 2008 セキュリティ ガイド http://technet.microsoft.com/ja-jp/windowsserver/ff708743.aspx

セキュリティ構成ガイダンスのサポートについて http://support.microsoft.com/kb/885409/ja

次へ

39

まとめ

「標的型攻撃(APT)」に 狙われないという保証はありません。

侵入されないことが重要ですが、 いざ侵入されたときに、Active Directoryが制圧されるようなことがないよう、事前の対策を十分に行いましょう。

次へ

ご清聴ありがとうございました！

知北直宏 @wanto1101

40 Copyright 2013 ITdesign Corporation , All Rights Reserved