Your SlideShare is downloading. ×
Active directory のセキュリティ対策 131107
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Active directory のセキュリティ対策 131107

1,603
views

Published on

Published in: Technology

0 Comments
7 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,603
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
49
Comments
0
Likes
7
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Active Directory のセキュリティ対策 ~ 標的型攻撃(APT)対策編 ~ ‘13/11/08 @ Win.tech.q 2013年 秋の勉強会 アイティデザイン株式会社 知北直宏 Copyright 2013 ITdesign Corporation , All Rights Reserved 1
  • 2. はじめに 今日は、「Active Directoryを使ったセキュリティ対策」。。。 ではなく、 「Active Directory 環境そのもの のセキュリティ対策」 についてお話しします。 特に、「標的型攻撃」の対策を重点的にお話しします。 今日お話しする内容は「一例」であって、 他にも知っておくべきこと、やるべきことはたくさんあることをご理 解ください。 2 次へ
  • 3. 自己紹介     知北直宏(ちきたなおひろ)Twitter: @wanto1101 アイティデザイン株式会社 代表取締役社長 九州発ITPro系コミュニティ「Win.tech.q」代表 福岡でITProやってます。   その他いろいろの提案・設計・構築・サポートまでなんでも。 大手、地場インテグレーターさんの後方支援など。 Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。 Active Directory、Hyper-V、Exchange、System Center 次へ 3
  • 4. 自己紹介  「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクト ガイド」という本を書きました。 御礼・2013年10月に第9版発売、通算16500部発行  「第4回 Windows Server 2012 Community Day」登壇 http://technet.microsoft.com/ja-jp/windowsserver/jj973165 「第7回 Windows Server 2012 Community Day」登壇 http://technet.microsoft.com/ja-jp/windowsserver/dn375828 ホワイトペーパー執筆 (Windows Server 2012 の DirectAccess、フェールオーバークラスター)   4 次へ
  • 5. アジェンダ      Active Directory とは 標的型攻撃(APT)とは 攻撃方法の例 対策方法の例 まとめ 次へ 5
  • 6. Active Directory とは 次へ 6
  • 7. Active Directory の機能や目的  Windows 標準の「ディレクトリーサービス」です。  ユーザーやコンピューターなどの「アカウント」を一元管理することができ ます。  IDの集中管理、認証の統合などが実現できます。  「グループポリシー」を使って、アカウントの一括管理が可能です。  ユーザーや Windows コンピューターが数十、数百を超えた環境で は、なくてはならないシステムです。  WSFC(Windows Server Failover Cluster)や、 Windows HPC Server など高度なシステム環境の構築にも必須 です。 次へ 7
  • 8. Active Directory を構築するとどうなる?  サーバーやクライアントPCなどコンピューターをActive Directory の 「ドメイン」に参加させることにより、利用できるようになります。  このときに、Active Directoryの管理者グループである、 「Domain Admins」グループが、コンピューターのローカル管理者グ ループのメンバーになります。  つまり、Active Directoryの管理者は、ドメインに参加したコン ピューターの管理者権限を持つことになります。 次へ 8
  • 9. 標的型攻撃 とは 次へ 9
  • 10. 「標的型攻撃」、「新しいタイプの攻撃」とは? 標的型攻撃とは、 「特定の情報」を狙って行われるサイバー攻撃の一種である。 ウィキペディアより http://ja.wikipedia.org/wiki/標的型攻撃 「新しいタイプの攻撃」の定義 ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わ せ、ソーシャル・エンジニアリングにより特定企業や個人を狙っ た攻撃の総称。 IPAより http://www.ipa.go.jp/security/J-CSIP/documents/presentation2.pdf 「持続的標的型攻撃(Advanced Persistent Threat)」とも呼ばれています。 10 次へ
  • 11. 標的型攻撃(APT)の目的の例 システムの攻撃、破壊行為 機密情報の搾取 。。。そのための情報の搾取、収集 次へ 11
  • 12. 標的型攻撃(APT)の流れの例 1.準備 2.侵入 3.情報の収集 4.情報の持ち出し このあたりで Active Directoryの攻撃、 「Domain Admins権限の 奪取」が行われる可能性アリ } 次へ 12
  • 13. Domain Admins権限が奪取されるとどうなる? Active Directoryが「制圧」された ことになります。 攻撃者は、Active Directoryドメ イン内で「管理者」としてやりたい放 題です。 次へ 13
  • 14. 攻撃方法の例 次へ 14
  • 15. Active Directory の攻撃の例 管理者のパスワードを盗み取る システムの脆弱性を狙う 次へ 15
  • 16. 管理者のパスワードを盗む方法の例 辞書攻撃 ブルートフォースアタック キーロガー LMハッシュの悪用 次へ 16
  • 17. どんな脆弱性が狙われる? OS(Windows Server)そのものの脆弱性 標準サービスの脆弱性 アプリケーションの脆弱性 次へ 17
  • 18. キケンな環境  管理者がセキュリティ対策に無頓着(論外)  Active Directory、ドメインコントローラーの バージョンが古い  古いバージョンのクライアントOSがドメインに 参加している  古いドメイン環境からアップグレードした環境も キケン (下位互換性問題、機能レベルが古いまま、など) 次へ 18
  • 19. 対策方法の例 次へ 19
  • 20. 機能レベルを上げる  「フォレストの機能レベル」と「ドメインの機能レベル」は、より上位のほ うが多機能であり、セキュリティに関する機能も強化されています。  しかし、NTドメインやWindows 2000 Active Directoryからアッ プグレードを繰り返したWindows Server 2012 R2 Active Directory環境でさえも、次のような機能レベルになっている可能性 があります。 フォレストの機能レベル :Windows 2000 ドメインの機能レベル :Windows 2000 ネイティブ  参考 http://technet.microsoft.com/ja-jp/library/cc771294.aspx 次へ 20
  • 21. グループポリシーの設定を変更する  Windows Server 2012 R2 で新規にActive Directoryを構築した場合と、 NTドメインやWindows 2000 Active Directoryからアップグレードを繰り返した場合では、 グループポリシーの設定が異なります。 次へ 21
  • 22. Default Domain Policy の違いの例  Windows Server 2012 R2 で新規にActive Directoryを 構築した場合と、NTドメインか らアップグレードを繰り返した場 合の、「Default Domain Policy」の違いの例です。 次へ 22
  • 23. Default Domain Controllers Policy の違いの例  Windows Server 2012 R2 で新規にActive Directoryを構築した場合と、 NTドメインからアップグレードを繰り返した場合の、「Default Domain Controllers Policy」の違いの例です。 次へ 23
  • 24. パスワードを強固にする  より強固なパスワードを利用する  グループポリシーで強制する  パスワードポリシーの例(マイクロソフトの推奨例) パスワードの履歴を記録する 24 パスワードの有効期間 42 日 パスワードの変更禁止期間 2日 パスワードの長さ 12 文字 パスワードは、複雑さの要件を満たす必要がある 有効 暗号化を元に戻せる状態でパスワードを保存する 無効  参考 http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EHAA 次へ 24
  • 25. アカウントロックアウトを設定する  パスワードミスが一定回数続いたら、ログオンできなくする  グループポリシーで強制する  アカウントロックアウトの例(マイクロソフトの推奨例) アカウントのロックアウトのしきい値 10 回 ロックアウト期間 30 分 ロックアウトカウンタのリセット 15 分  参考 http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EGAA 次へ 25
  • 26. 「細かい設定が可能なパスワード」機能でさらに強固に  管理者グループなど、特定のグループやユーザーだけは「細かい設定が可 能なパスワード」機能(PSO:Password Setting Object)で、より 強固にすることが可能。  参考 http://technet.microsoft.com/ja-jp/library/cc770842.aspx 次へ 26
  • 27. 「Administrator」アカウントの保護  「Administrator」アカウントをリネームする(説明なども)  「おとり」の「Administrator」アカウントを作って不正なログイン試行を監 視する。。。ただし万全ではない。  スマートカードなど他要素認証の利用  複数人でのパスワード管理。。。 次へ 27
  • 28. 管理者権限の分離など  管理操作をなんでもかんでも「Administrator」で行うことはやめる。  Active Directoryにあらかじめ用意されている、権限が限定された他の 管理者グループを使うようにする。 次へ 28
  • 29. 「監査」を行う  ドメインコントローラーなどのイベントログから「監査」を行って、攻撃や不正 なログイン試行を発見する。  参考 http://technet.microsoft.com/library/dd941635.aspx http://technet.microsoft.com/ja-jp/library/cc787567.aspx 次へ 29
  • 30. 強固な認証方式の利用  より強固な認証方式を使うようにする。 Kerberos > NTLMv2 > NTLM > LM  参考 http://technet.microsoft.com/ja-jp/library/hh831553.aspx http://technet.microsoft.com/ja-jp/library/hh831571.aspx 次へ 30
  • 31. LMハッシュの悪用への対策  「NoLMHashポリシー」を有効にする。  グループポリシーの「ネットワーク セキュリティ : 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない」を有効にする。  または、レジストリーを編集する、など。  参考 http://support.microsoft.com/kb/299656/ja 次へ 31
  • 32. ドメインコントローラーで余計な機能を動作させない  余計な機能やサービス、アプリケーションを動作させると、それらの脆 弱性によってドメインコントローラーが危険にさらされる可能性あり。  「Server Core」で必要最小限のコンポーネントだけでドメインコント ローラーを動作させる。 次へ 32
  • 33. 更新プログラムをきちんと適用する  毎月定例の更新プログラム、緊急性が高い定例外の更新プログラム をきちんと適用する。  マイクロソフトの推奨では、「緊急」はリリースから24時間以内、「重 要」は一か月以内の適用が推奨だそう。。。  更新プログラム適用が困難であれば、サードパーティの「バーチャル パッチ製品」、「サンドボックス製品」などの導入も検討。 次へ 33
  • 34. Windowsファイアウォールを止めない  Windowsファイアウォールときちんと動作させて、 余計なアクセスを拒否させる。  可能であれば、ドメインコントローラーを他のサーバーとは 別のネットワーク、セグメントに配置して、IPSやFirewallデバイスで 保護する。 次へ 34
  • 35. その他の注意ポイントや対策など  DNS  IPv6  IPSec  BitLocker 次へ 35
  • 36. その他の注意ポイントや対策など  「Windows Server 2008 セキュリティ ガイド」におけるActive Directoryの注意点 • • • • • • • • • • • • • • Windows Server 2008 の Server Core インストールを展開する。 物理的なセキュリティを保証できない場合は RODC を展開する。 RODC のローカル管理を委任する。 RODC に格納する機密情報を制限する。 DNS 役割サービスとドメイン コントローラー役割サービスを結合する。 管理者グループのメンバーと管理範囲を制限する。 サービスの管理者がパスワード ポリシーを回避できないようにする。 細かい設定が可能なパスワード ポリシーを構成する。 昇格された権限を持つユーザーに多要素認証を求める。 制御された OU 構造でサービス管理者を管理する。 サービス管理者アカウントのグループ メンバーシップを管理する。 BitLocker™ ドライブ暗号化を使用して、ローカル ドライブに保存されているデータを暗号化する。 Active Directory で、BitLocker と TPM の回復情報をバックアップする。 Syskey を使用して、コンピューターの起動キーを保護する。 36 次へ
  • 37. 標的型攻撃(APT)の被害にあったら。。。  IPAなどの機関に報告  専門業者に調査を依頼 (「証拠」を消してしまうような中途半端な事前調 査をしないように要注意) 次へ 37
  • 38. 参考ドキュメントなど  Best Practices for Securing Active Directory http://aka.ms/bpsadtrd http://blogs.technet.com/b/jpsecurity/archive/2013/06/20/3580095.aspx  Windows Server 2008 セキュリティ ガイド http://technet.microsoft.com/ja-jp/windowsserver/ff708743.aspx  セキュリティ構成ガイダンスのサポートについて http://support.microsoft.com/kb/885409/ja 次へ 38
  • 39. まとめ  「標的型攻撃(APT)」に 狙われないという保証はありません。  侵入されないことが重要ですが、 いざ侵入されたときに、Active Directoryが制圧されるよ うなことがないよう、事前の対策を十分に行いましょう。 次へ 39
  • 40. ご清聴ありがとうございました! 知北直宏 @wanto1101 Copyright 2013 ITdesign Corporation , All Rights Reserved 40