Active Directory の攻撃を削減する

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

このセクションでは、Active Directory インストールの攻撃対象領域を減らすために実装する技術的な制御に焦点を当てます。 このセクションには次の情報が含まれています。

  • 最小特権の管理モデルを実装する」では、特権アカウントがもたらすリスクを軽減するために実装する際の推奨事項を提供するだけでなく、日常の管理に高度な特権アカウントを使用することによって生じるリスクを特定することに重点を置いています。

  • セキュリティで保護された管理用のホストを実装する」では、セキュリティで保護された管理ホスト展開に対する一部のサンプル アプローチに加えて、専用のセキュリティで保護された管理システムを展開するための原則について説明します。

  • 攻撃に対してドメイン コントローラーをセキュリティで保護する」では、セキュリティで保護された管理ホストの実装に関する推奨事項と同様ですが、ドメイン コントローラーとそれらの管理に使用されるシステムのセキュリティが適切であることを確認する際のドメイン コントローラー固有の推奨事項が記載されているポリシーと設定について説明します。

Active Directory の特権アカウントとグループ

このセクションでは、Active Directory の特権アカウントとグループに関する背景情報を提供し、Active Directory の特権アカウントとグループの共通点と相違点を説明します。 これらの違いを理解することで、「最小特権の管理モデルを実装する」にある推奨事項を文字どおりに実装する場合でも、組織に合わせてカスタマイズする場合でも、各グループとアカウントをセキュリティで適切に保護するために必要なツールを使用できるようになります。

あらかじめ登録された特権アカウントとグループ

Active Directory では、管理の委任を容易にし、権限とアクセス許可を割り当てる際の最小特権の原則をサポートします。 ドメインにアカウントを持つ "通常の" ユーザーの場合、既定では、ディレクトリに格納されているものの多くを読み取ることができますが、ディレクトリ内にあるデータの内ごく限られたセットのみを変更することができます。 追加の特権を必要とするユーザーには、ディレクトリに組み込まれているさまざまな "特権" グループのメンバーシップを付与することができます。これにより、ロールに関連する特定のタスクを実行できますが、職務に関係のないタスクを実行することはできません。 また、組織は、具体的な職務に合わせて調整されたグループを作成し、IT スタッフが日常の管理機能に必要な権限とアクセス許可を付与することなくそれらの機能を実行できるようにする詳細な権限とアクセス許可を付与することもできます。

Active Directory 内では、あらかじめ登録された 3 つのグループ (Enterprise Admins、Domain Admins、Administrators) がディレクトリ内で最も高い特権グループです。 これら各グループの既定の構成と機能については、次のセクションで説明します。

Active Directory の最高特権グループ

Enterprise Admins

Enterprise Admins (EA) はフォレスト ルート ドメインにのみ存在するグループで、既定では、フォレスト内のすべてのドメインの Administrators グループのメンバーです。 フォレスト ルート ドメインのビルトイン Administrator アカウントは、EA グループの唯一の既定のメンバーです。 EA には、ドメインの追加や削除、フォレストの信頼の確立、フォレストの機能レベルの引き上げなど、フォレスト全体の変更 (フォレスト内のすべてのドメインに影響する変更) を実装できる権限とアクセス許可が付与されます。 適切に設計および実装された委任モデルでは、最初にフォレストを構築する場合または送信フォレストの信頼の確立などの特定のフォレスト全体の変更を行う場合にのみ、EA メンバーシップが必要です。 EA グループに付与される権限とアクセス許可の大部分は、特権の低いユーザーとグループに委任できます。

Domain Admins

フォレスト内の各ドメインには独自の Domain Admins (DA) グループがあり、これはそのドメインの Administrators グループのメンバーになります。また、ドメインに参加しているすべてのコンピューターのローカル Administrators グループのメンバーにもなります。 ドメインの DA グループの既定のメンバーは、そのドメインのビルトイン Administrator アカウントのみです。 DA は、ドメイン内では "すべて強力" ですが、EA にはフォレスト全体の特権があります。 適切に設計および実装された委任モデルで Domain Admins メンバーシップが必要になるのは、ドメイン内のすべてのコンピューターに対して高いレベルの特権を持つアカウントが必要な "緊急"シナリオの場合のみです。 ネイティブ Active Directory の委任メカニズムでは、緊急のシナリオでのみ DA アカウントを使用できる程度の委任が可能ですが、効果的な委任モデルの構築には時間がかかることがあり、多くの組織はサードパーティ製ツールを活用してプロセスを迅速に実行します。

管理者

3 番目のグループは、DA と EA が入れ子になっているあらかじめ登録されたドメイン ローカル Administrators (BA) グループです。 このグループには、ディレクトリとドメイン コントローラーに対する直接的な権限とアクセス許可の多くが付与されます。 ただし、ドメインの Administrators グループには、メンバー サーバーまたはワークステーションに対する権限はありません。 ローカル特権が付与されるのは、コンピューターのローカル Administrators グループのメンバーシップを介してです。

注意

これらはこれらの特権グループの既定の構成ですが、3 つのグループのいずれかのメンバーは、ディレクトリを操作して他の任意のグループのメンバーシップを取得できます。 他のグループのメンバーシップを取得するのが簡単な場合もあれば、より難しい場合もありますが、潜在的な特権の観点から、3 つのグループすべてが実質的に同等であると見なす必要があります。

Schema Admins

4 番目の特権グループ Schema Admins (SA) はフォレスト ルート ドメインにのみ存在し、Enterprise Admins グループと同様に、そのドメインのあらかじめ登録された Administrator アカウントのみを既定のメンバーとして持っています。 Schema Admins グループは、一時的およびときどき (AD DS スキーマの変更が必要な場合) にのみ設定されることを目的としています。

SA グループは Active Directory スキーマ (つまり、オブジェクトや属性などといったディレクトリの基になるデータ構造) を変更できる唯一のグループですが、SA グループの権限とアクセス許可の範囲は、前述のグループよりも制限されています。 また、SA グループのメンバーシップが必要になることはめったになく、必要になっても短期間であるため、組織が SA グループのメンバーシップ管理に適切なプラクティスを開発していることも一般的です。 これは、Active Directory の EA、DA、BA グループにも技術的には当てはまりますが、組織がこれらのグループに対して SA グループと同様のプラクティスを実装していることはほとんどありません。

Active Directory の保護されたアカウントとグループ

Active Directory 内では、"保護された" アカウントとグループと呼ばれる特権アカウントとグループの既定のセットは、ディレクトリ内の他のオブジェクトとは異なる方法でセキュリティ保護されます。 保護されたグループに直接または推移的なメンバーシップを持つアカウントは (メンバーシップがセキュリティ グループまたは配布グループから派生したかどうかに関係なく)、この制限付きセキュリティを継承します。

たとえば、ユーザーが配布グループのメンバーで、Active Directory の保護されたグループのメンバーである場合、そのユーザー オブジェクトは保護されたアカウントとしてフラグが設定されます。 アカウントに保護されたアカウントのフラグが設定されている場合、そのオブジェクトの adminCount 属性の値は 1 に設定されます。

注意

保護されたグループの推移的なメンバーシップには、入れ子になった配布グループと入れ子になったセキュリティ グループが含まれますが、入れ子になった配布グループのメンバーであるアカウントは、アクセス トークンで保護されたグループの SID を受け取りません。 ただし、配布グループは Active Directory のセキュリティ グループに変換できます。そのため、配布グループは保護されたグループ メンバーの列挙に含まれます。 保護されている入れ子になった配布グループをセキュリティ グループに変換した場合、以前の配布グループのメンバーであるアカウントは、次回のログオン時にアクセス トークンで親保護グループの SID を受け取ります。

次の表は、オペレーティング システムのバージョンとサービス パック レベル別に、Active Directory で保護されている既定のアカウントとグループの一覧です。

オペレーティング システムおよびサービス パック (SP) バージョン別の Active Directory で保護された既定のアカウントとグループ

Windows 2000 <SP4 Windows 2000 SP4 -Windows Server 2003 Windows Server 2003 SP1+ Windows Server 2008 -Windows Server 2012
管理者 Account Operators Account Operators Account Operators
管理者 管理者 管理者
管理者 管理者 管理者
Domain Admins Backup Operators Backup Operators Backup Operators
Cert Publishers
Domain Admins Domain Admins Domain Admins
Enterprise Admins ドメイン コントローラー ドメイン コントローラー ドメイン コントローラー
Enterprise Admins Enterprise Admins Enterprise Admins
Krbtgt Krbtgt Krbtgt
演算子を印刷します。 演算子を印刷します。 演算子を印刷します。
Read-Only Domain Controllers
レプリケーター レプリケーター レプリケーター
Schema Admins Schema Admins Schema Admins
AdminSDHolder および SDProp

すべての Active Directory ドメインのシステム コンテナーには、AdminSDHolder というオブジェクトが自動的に作成されます。 AdminSDHolder オブジェクトの目的は、保護されたグループとアカウントがドメイン内に配置されている場所に関係なく、保護されたアカウントとグループに対するアクセス許可が確実に適用されるようにすることです。

60分ごと (既定)、セキュリティ記述子の伝達機能 (SDProp) と呼ばれるプロセスが、ドメインの PDC エミュレーターのロールを保持するドメイン コントローラー上で実行されます。 SDProp は、ドメインの AdminSDHolder オブジェクトに対するアクセス許可を、ドメイン内の保護されたアカウントとグループに対するアクセス許可と比較します。 保護されたアカウントとグループに対するアクセス許可が AdminSDHolder オブジェクトに対するアクセス許可と一致しない場合は、保護されたアカウントとグループに対するアクセス許可が、ドメインの AdminSDHolder オブジェクトに対するアクセス許可と一致するようにリセットされます。

保護されたグループとアカウントではアクセス許可の継承が無効になっているため、アカウントまたはグループがディレクトリの別の場所に移されても新しい親オブジェクトからアクセス許可を継承することはありません。 また、AdminSDHolder オブジェクトでは継承が無効になっているので、親オブジェクトのアクセス許可が変更されても AdminSDHolder のアクセス許可は変更されません。

注意

保護されたグループからアカウントを削除すると、保護されたアカウントとは見なされなくなりますが、手動で変更しない限り、adminCount 属性は 1 に設定されたままになります。 この構成の結果、オブジェクトの ACL は SDProp によって更新されなくなりますが、オブジェクトは親オブジェクトからアクセス許可を継承しません。 このため、オブジェクトはアクセス許可が委任されている組織単位 (OU) に存在する場合がありますが、以前に保護されていたオブジェクトは、これらの委任されたアクセス許可を継承しません。 ドメイン内の以前に保護されたオブジェクトを検索してリセットするスクリプトは、 Microsoft サポートの記事 817433 に記載されています。

AdminSDHolder の所有権

Active Directory 内にあるほとんどのオブジェクトは、ドメインの BA グループによって所有されています。 ただし、AdminSDHolder オブジェクトは既定で、ドメインの DA グループによって所有されています。 (これは、DA がドメインの Administrators グループのメンバーシップを使用して権限とアクセス許可を取得しない状況です)。

Windows Server 2008 より前のバージョンの Windows の場合、オブジェクトの所有者は、オブジェクトのアクセス許可を変更することができます。これには、オブジェクトの所有者がもともと持っていなかったアクセス許可の付与などが含まれます。 そのため、ドメインの AdminSDHolder オブジェクトに対する既定のアクセス許可は、BA または EA グループのメンバーであるユーザーがドメインの AdminSDHolder オブジェクトのアクセス許可を変更できないようにします。 ただし、ドメインの Administrators グループのメンバーは、オブジェクトの所有権を取得し、追加のアクセス許可を付与できます。つまり、この保護は基本的なものであり、ドメイン内の DA グループのメンバーではないユーザーによる偶発的な変更に対してのみオブジェクトを保護します。 また、BA および EA (該当する場合) グループには、ローカル ドメイン (EA のルート ドメイン) の AdminSDHolder オブジェクトの属性を変更するアクセス許可があります。

注意

AdminSDHolderオブジェクトの属性 dSHeuristics を使用すると、保護されたグループと見なされ、AdminSDHolder と SDProp の影響を受けるグループのカスタマイズ (削除) を制限できます。 このカスタマイズは、実装されている場合は慎重に検討する必要がありますが、AdminSDHolder の dSHeuristics 変更が役に立つ有効な状況があります。 AdminSDHolder オブジェクトでの dSHeuristics 属性の変更の詳細については、Microsoft サポートの記事 817433 および「付録 C: Active Directory の保護されたアカウントとグループ」を参照してください。

ここでは、Active Directory で特権が最も高いグループについて説明しますが、管理者特権のレベルが付与されているグループは他にも多数あります。 Active Directory のすべての既定およびすでに登録されたグループと、それぞれに割り当てられているユーザー権限の詳細については、「付録 B: Active Directory の特権アカウントとグループ」を参照してください。