トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・管理インターフェースの保護 のバックアップ(No.9)


IPAセキュリティPT評価版?

基本的な考え方

Microsoft は、Pass The Hash に対抗するための封じ込めモデルを提唱しています。これは攻撃者に対する管理者の露出を制限することで、重要資産にアクセスできる特権の窃取を防ぐ狙いがあります。
そのため、重要資産やアカウントの洗い出しを行い、緩和策を設定します。緩和策が設定できない場合は、監査によって被害が発生していないかを検知します。

ネットワークレイヤーの分離

情報資産をレイヤーで分け、各層のネットワークと管理端末、アカウントの分離を行います。

Tier管理者グループ管理対象禁止されている接続先
0Domain Adminドメインコントローラー
Radius等の認証を行うサーバー
Tier 1, Tier 2
1Member Server Admin業務サーバーTier 0, Tier 2
2Workstation Admin業務端末Tier 1, Tier 2


各レイヤーの設定

  • 各層のネットワーク
    • セグメント化する
    • 管理端末は同じ居室に設置するか、VLANで接続する
  • 各層の管理者
    • IDはすべてユニークにする(層をまたいで同じIDを使用しない)
    • 物理的な多要素認証を採用する
    • ロール権限を最小にする
  • 各層の管理端末
    • 端末緩和設定 を参照?



管理すべき対象と緩和策

管理者、重要資産にアクセスできる関係者

通常の動作を特定し、誰がどのようなリソースにアクセスできるかを特定します。次に、各アカウントで、資格情報の窃取やランサムウェアの被害を受けた場合を想定し、適切な緩和策を検討します。

  • 厳重に管理すべきセキュリティグループ、管理者、従業員アカウント
    • Domain Admin
    • Enterprise Admin
    • Schema Admin
    • Account Operators
    • Backup Operators
    • BUILTIN\Administrator
    • ハイパーバイザー管理者
    • アプリケーション管理システム、アンチウイルス管理システムなどの管理者
    • ソフトウェアのインストール、アップデート、バックアップのためのサービスアカウント
    • セキュリティスキャンに使用するサービスアカウント
    • 共有ローカル管理者アカウント
  • 付加価値の高いビジネス資産へのアクセス権を持っているアカウント
    • メールシステム
    • ファイル共有
    • SharePoint、DropBox、VOXなどのコンテンツ管理システム
    • File Server、オンラインバンキング端末などの重要なインフラ
    • 経営幹部
    • 研究者
    • 経理・財務担当者
    • 秘書

特権アカウントを使用することが想定される端末

  • ヘルプデスクなどのサポートに使用されるコンピュータ
  • バッチ処理管理サーバー
  • セキュリティスキャナ
  • RDP を使用する端末
  • PS Remotting を使用する端末
  • Debugツール、開発環境を使用する端末

端末緩和設定

  • クリーンセットアップされたものに限定する
  • BitLockerによる暗号化
  • リムーバブルメディア、スマートフォン等の接続の禁止
  • 明示的に必要なポート以外はすべて着信接続を拒否する
  • すべてのインターネットアクセスをブロックする、もしくはポートを最小限にし、可能な場合、IPアドレスを制限する
  • 管理に不要なアプリケーションのアンインストール
  • Wi-Fiでの802.1x PEAP-TLS による端末認証
  • Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
  • グループポリシー
    • ネットワーク経由でのコンピュータへのアクセス拒否
    • バッチジョブとしてログオンを拒否
    • サービスとしてログオンを拒否
    • リモートデスクトップ経由のログオンを拒否

監査

  • アカウントが使用された場所(ソースまたは宛先)。
  • 認証が実行されたとき(ユーザーが休暇中、休暇中、または勤務時間外にいるときなど)。
  • 異常なアカウントまたは予期しないアカウントの作成(たとえば、プロビジョニングシステムの外部で作成されたドメインアカウント、またはサーバーで作成されたローカルアカウント)。
  • アカウントで実行される異常なアクティビティ(設定の変更や認証ポリシーの失敗など)。
  • 既知および未知の悪意のある実行可能ファイルが検出されました。
  • 同じホストから使用される複数の無関係な高価値アカウント(たとえば、同じホストから使用されるドメイン管理者資格情報とサービスアカウント)。
  • 同じセッションの同じコンピューターから短時間で認証する異なる所有者の複数のアカウント。
  • 機密オブジェクトの変更(たとえば、Domain Adminsのメンバーシップの変更)。
  • 仮想プライベートネットワーク(VPN)などの境界アクセスに使用されるアカウントと、リソースへのアクセスに使用されるアカウントの不一致。



管理インターフェイスを保護する: https://www.ncsc.gov.uk/blog-post/protect-your-management-interfaces