Active Directory のセキュリティ保護に関するベスト プラクティス
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
過去 10 年間、コンピューティング インフラストラクチャに対する攻撃は世界中で増加しています。 私たちはサイバー戦争、サイバー犯罪、ハクティビズムの時代に生きています。 その結果、世界中のあらゆる規模の組織は、情報の漏洩、知的財産権 (IP) の窃盗、サービス拒否 (DDoS) 攻撃、さらにはインフラストラクチャの破壊にまで、対処する必要があります。
しかし、長年にわたって脅威の状況が変化してきたのと同じように、セキュリティ環境もこれらの脅威に対抗するように適応しています。 情報技術 (IT) インフラストラクチャを備えた組織で、攻撃の影響をまったく受けないものはありませんが、セキュリティの最終的な目標は、攻撃の試みを完全に阻止することではなく、IT インフラストラクチャを攻撃から保護することです。 適切なポリシー、プロセス、制御により、IT インフラストラクチャの重要な部分を侵害から保護できます。
この記事では、Active Directory (AD) の展開で観察された最も一般的な種類の脆弱性について説明します。 次に、これらの弱点を侵害から保護する方法に関する推奨事項を説明します。 これらの推奨事項の設計の基になっているのは、Microsoft IT (MSIT) と Microsoft Information Security and Risk Management (ISRM) の組織の専門知識です。 また、AD の脆弱なインフラストラクチャ (攻撃面) が外界に晒される範囲を減らすために実行できる手順についても説明します。 さらに、セキュリティ侵害が発生した場合に重要なデータとインフラストラクチャ機能を回復する方法に関する提案も含まれています。
一般的なセキュリティの脆弱性
インフラストラクチャの最善の保護方法を学習するには、最初に、攻撃が最も起こりやすい場所とそのしくみについて理解する必要があります。 この記事で説明するのは一般的な推奨事項のみですが、さらに詳しく知りたい場合は、より詳細な記事へのリンクが含まれています。
次に、最も一般的なセキュリティの脆弱性を見てみましょう。
共通のエントリ ポイント
侵害で最初に対象となるのは (エントリ ポイント)、攻撃者が IT インフラストラクチャに最も簡単に侵入できる領域です。 通常、エントリ ポイントは、攻撃者がインフラストラクチャ内のシステムにアクセスするために悪用できる、セキュリティや更新におけるギャップです。 攻撃者は、通常、一度に 1 つまたは 2 つのシステムで始めてから、検出されずにより多くのシステムに影響を及ぼすことで攻撃をエスカレートします。
最も一般的な脆弱性は次のとおりです。
ウイルス対策とマルウェア対策の展開のギャップ
不完全なパッチ適用
古いアプリケーションとオペレーティング システム
誤った構成
セキュリティで保護されたアプリケーションを開発する手法の欠如
資格情報の盗難
資格情報の窃盗攻撃では、攻撃者は、現在サインインしているアカウントのセッションから資格情報を抽出するツールを使って、ネットワーク上のコンピューターへの特権アクセスを取得します。 攻撃者は、既に昇格された特権を持つ特定のアカウントを攻撃することがよくあります。 攻撃者は、このアカウントの資格情報を盗み、その ID を模倣してシステムにアクセスします。
資格情報を盗む者は、通常、次の種類のアカウントを対象とします。
永続的な特権を持つアカウント
VIP アカウント
特権付きの Active Directory アカウント
ドメイン コントローラー
ID、アクセス、構成管理に影響するその他のインフラストラクチャ サービス (公開キー基盤 (PKI) サーバーやシステム管理サーバーなど)
高い特権を持つアカウントを使用するユーザーが次のようなことを行うと、資格情報を盗まれるリスクが高くなります。
セキュリティで保護されていないコンピューターで特権アカウントにサインインする
特権アカウントにサインインしている間にインターネットを閲覧する
また、システムの資格情報のセキュリティを保護するには、次のような不適切でリスクの高い構成を避ける必要があります。
すべてのシステムで同じ資格情報を使用するローカル特権アカウントの構成
過剰使用を促す、特権ドメイン グループへの多すぎるユーザーの割り当て。
ドメイン コントローラーのセキュリティの不十分な管理。
脆弱なアカウントについて詳しくは、「資格情報の盗難の対象になりやすいアカウント」をご覧ください。
Active Directory の攻撃面を減らす
Active Directory の展開の攻撃面を減らすことで、攻撃を防ぐことができます。 つまり、前のセクションで説明したセキュリティのギャップを埋めることで、展開をより安全にします。
過剰な特権の付与を避ける
資格情報窃盗攻撃は、管理者が特定のアカウントに過剰な特権を付与することに依存します。 次のようにすることで、これらの攻撃を防ぐことができます。
Active Directory には、既定で最高の特権を持つ 3 つの組み込みグループ (Enterprise Admins、Domain Admins、Administrators) があることを忘れないでください。 組織で昇格された特権を与える他のグループと共に、これら 3 つのグループを保護する手順を必ず実行します。
最小特権の管理モデルを実装します。 避けられる場合は、日常的な管理タスクには高い特権を持つアカウントを使わないでください。 また、管理者アカウントに、そのジョブを実行するために必要なベースライン特権のみがあり、必要のない特権が追加されていないことを確認します。 過剰な特権を必要としないユーザー アカウントには、それを与えないようにします。 どうしても必要でない限り、1 つのアカウントに複数のシステムに対する同じ特権を誤って付与しないようにします。
インフラストラクチャの次の領域を調べて、ユーザー アカウントに過剰な特権が付与されていないことを確認します。
Active Directory
メンバー サーバー
ワークステーション
アプリケーション
データ リポジトリ
詳しくは、「最低限の特権の管理モデルを実装する」をご覧ください。
セキュリティ保護された管理ホストを使用する
セキュリティ保護された管理ホストは、Active Directory や他の接続されたシステムの管理をサポートするように構成されたコンピューターです。 これらのホストでは、メール アプリケーション、Web ブラウザー、Microsoft Office のような生産性ソフトウェアなどの、非管理ソフトウェアは実行されません。
セキュリティ保護された管理ホストを構成するときは、次の一般的な原則に従う必要があります。
信頼されたシステムを信頼性の低いホストから管理しない。
特権アカウントを使用する場合や管理タスクを実行する場合は、多要素認証が必要です。
管理ホストの物理的なセキュリティは、システムやネットワークのセキュリティと同じくらい重要です。
詳しくは、「安全な管理用のホストを実装する」をご覧ください。
ドメイン コントローラーをセキュリティで保護する
ドメイン コントローラーへの特権アクセス権を取得した攻撃者は、AD のデータベースを変更、破損、破棄できます。 ドメイン コントローラーが攻撃されると、AD によって管理される組織内のすべてのシステムとアカウントが脅かされる可能性があります。 そのため、ドメイン コントローラーを安全に保つために、次の対策を講じる必要があります。
データセンター、ブランチ オフィス、リモートの場所のドメイン コントローラーを物理的にセキュリティ保護します。
ドメイン コントローラーのオペレーティング システムについて理解を深めます。
組み込みの構成ツールと自由に利用できる構成ツールを使ってドメイン コントローラーを構成し、グループ ポリシー オブジェクト (GPO) で適用できるセキュリティ構成基準を作成します。
詳しくは、「攻撃に対してドメイン コントローラーをセキュリティで保護する」をご覧ください。
Active Directory で攻撃や侵害の兆候を監視する
AD の展開をセキュリティ保護するもう 1 つの方法は、悪意のある攻撃やセキュリティ侵害の兆候を監視することです。 従来の監査カテゴリと監査ポリシーのサブカテゴリを使うことも、高度な監査ポリシーを使うこともできます。 詳しくは、「監査ポリシーの推奨事項」をご覧ください。
セキュリティ侵害に対する計画を立てる
外部からの攻撃に対して AD を保護することはできますが、本当に完璧な防御はありません。 予防策を講じることに加えて、最悪のシナリオに対する計画を立てることも重要です。 セキュリティ侵害に対する計画を立てるときは、「侵害対策を計画する」のガイドラインに従う必要があり (特に、「アプローチの再考」セクション)、「セキュリティが強化された環境を維持する」を読む必要もあります。
セキュリティ侵害に対する計画を立てるときに行う必要があることの簡単な概要を次に示します。詳しくは、「セキュリティが強化された環境を維持する」をご覧ください。
セキュリティが強化された環境を維持する
AD 用のビジネス中心のセキュリティ プラクティスを作成する
AD データに対するビジネス所有権を割り当てる
ビジネス主導のライフサイクル管理を実装する
すべての AD データをシステム、アプリケーション、またはユーザーとして分類する
これらのプラクティスについての詳細を続けて読むには、「セキュリティが強化された環境を維持する」をご覧ください。
セキュリティ対策の概要の表
次の表は、この記事で説明されている推奨事項を、優先度の順にまとめたものです。 表の下部に近いものは、ユーザーと組織が Active Directory を設定するときに優先する必要がある項目です。 ただし、優先する順序や、組織固有のニーズに基づいて各対策を実装する方法は、自由に調整することもできます。
また、各対策は、戦術的、戦略的、予防的、または探索的のいずれであるかに基づいて分類されます。 "戦術的" な対策では、AD および関連するインフラストラクチャの特定のコンポーネントに注目しています。 "戦略的" な対策はさらに包括的であるため、実装するにはより多くの計画が必要です。 "予防的" 対策は、悪意のあるアクターからの攻撃を防ぎます。 "探索的" 対策は、発生したセキュリティ侵害を、他のシステムに拡散する前に検出するのに役立ちます。
| セキュリティ対策 | 戦術的または戦略的 | 予防型または検出型 |
|---|---|---|
| アプリケーションにパッチを適用する。 | 戦術的 | 予防 |
| オペレーティング システムにパッチを適用する。 | 戦術的 | 予防 |
| 全システムでウイルス対策とマルウェア対策のソフトウェアを展開してすみやかに更新し、その削除や無効化が行われないように監視する。 | 戦術的 | 両方 |
| Active Directory の機密オブジェクトに対する変更の試みと、Windows でのセキュリティ侵害の試行を示す可能性があるイベントを監視する。 | 戦術的 | 検出 |
| 機密データにアクセスできるユーザーのアカウントを保護し、監視する。 | 戦術的 | 両方 |
| 未承認のシステムで高い権限を持つアカウントが使用されないようにする。 | 戦術的 | 予防 |
| 高特権グループで永続的なメンバーシップを排除する。 | 戦術的 | 予防 |
| 特権グループで一時的なメンバーシップを付与する制御を実装する (必要な場合)。 | 戦術的 | 予防 |
| セキュリティで保護された管理ホストを実装する。 | 戦術的 | 予防 |
| ドメイン コントローラー、管理ホスト、その他の機密性の高いシステムでアプリケーション許可リストを使用します。 | 戦術的 | 予防 |
| 重要な資産を特定し、そのセキュリティと監視を優先する。 | 戦術的 | 両方 |
| 最小特権のロールベースのアクセス制御を実装して、ディレクトリとそのサポート インフラストラクチャ、ドメイン参加システムを管理する。 | 戦略的 | 予防 |
| レガシ システムとレガシ アプリケーションを分離する。 | 戦術的 | 予防 |
| レガシ システムとレガシ アプリケーションの使用を停止する。 | 戦略的 | 予防 |
| カスタム アプリケーション用にセキュリティで保護された開発ライフサイクル プログラムを実装する。 | 戦略的 | 予防 |
| 構成管理を実装し、コンプライアンスを定期的に確認し、ハードウェアやソフトウェアのバージョンが新しくなるたびに設定を評価する。 | 戦略的 | 予防 |
| 重要な資産を、セキュリティと監視の要件を厳しくした初期状態のフォレストに移行する。 | 戦略的 | 両方 |
| エンド ユーザー向けのセキュリティを簡素化する。 | 戦略的 | 予防 |
| ホスト ベースのファイアウォールを使用して、通信の制御とセキュリティ保護を行う。 | 戦術的 | 予防 |
| デバイスにパッチを適用する。 | 戦術的 | 予防 |
| IT 資産に対してビジネス主体のライフサイクル管理を実装する。 | 戦略的 | 該当なし |
| インシデント復旧計画を作成または更新する。 | 戦略的 | 該当なし |