Active directory のセキュリティ対策 131107
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,869
On Slideshare
1,868
From Embeds
1
Number of Embeds
1

Actions

Shares
Downloads
39
Comments
0
Likes
5

Embeds 1

https://twitter.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Active Directory のセキュリティ対策 ~ 標的型攻撃(APT)対策編 ~ ‘13/11/08 @ Win.tech.q 2013年 秋の勉強会 アイティデザイン株式会社 知北直宏 Copyright 2013 ITdesign Corporation , All Rights Reserved 1
  • 2. はじめに 今日は、「Active Directoryを使ったセキュリティ対策」。。。 ではなく、 「Active Directory 環境そのもの のセキュリティ対策」 についてお話しします。 特に、「標的型攻撃」の対策を重点的にお話しします。 今日お話しする内容は「一例」であって、 他にも知っておくべきこと、やるべきことはたくさんあることをご理 解ください。 2 次へ
  • 3. 自己紹介     知北直宏(ちきたなおひろ)Twitter: @wanto1101 アイティデザイン株式会社 代表取締役社長 九州発ITPro系コミュニティ「Win.tech.q」代表 福岡でITProやってます。   その他いろいろの提案・設計・構築・サポートまでなんでも。 大手、地場インテグレーターさんの後方支援など。 Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。 Active Directory、Hyper-V、Exchange、System Center 次へ 3
  • 4. 自己紹介  「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクト ガイド」という本を書きました。 御礼・2013年10月に第9版発売、通算16500部発行  「第4回 Windows Server 2012 Community Day」登壇 http://technet.microsoft.com/ja-jp/windowsserver/jj973165 「第7回 Windows Server 2012 Community Day」登壇 http://technet.microsoft.com/ja-jp/windowsserver/dn375828 ホワイトペーパー執筆 (Windows Server 2012 の DirectAccess、フェールオーバークラスター)   4 次へ
  • 5. アジェンダ      Active Directory とは 標的型攻撃(APT)とは 攻撃方法の例 対策方法の例 まとめ 次へ 5
  • 6. Active Directory とは 次へ 6
  • 7. Active Directory の機能や目的  Windows 標準の「ディレクトリーサービス」です。  ユーザーやコンピューターなどの「アカウント」を一元管理することができ ます。  IDの集中管理、認証の統合などが実現できます。  「グループポリシー」を使って、アカウントの一括管理が可能です。  ユーザーや Windows コンピューターが数十、数百を超えた環境で は、なくてはならないシステムです。  WSFC(Windows Server Failover Cluster)や、 Windows HPC Server など高度なシステム環境の構築にも必須 です。 次へ 7
  • 8. Active Directory を構築するとどうなる?  サーバーやクライアントPCなどコンピューターをActive Directory の 「ドメイン」に参加させることにより、利用できるようになります。  このときに、Active Directoryの管理者グループである、 「Domain Admins」グループが、コンピューターのローカル管理者グ ループのメンバーになります。  つまり、Active Directoryの管理者は、ドメインに参加したコン ピューターの管理者権限を持つことになります。 次へ 8
  • 9. 標的型攻撃 とは 次へ 9
  • 10. 「標的型攻撃」、「新しいタイプの攻撃」とは? 標的型攻撃とは、 「特定の情報」を狙って行われるサイバー攻撃の一種である。 ウィキペディアより http://ja.wikipedia.org/wiki/標的型攻撃 「新しいタイプの攻撃」の定義 ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わ せ、ソーシャル・エンジニアリングにより特定企業や個人を狙っ た攻撃の総称。 IPAより http://www.ipa.go.jp/security/J-CSIP/documents/presentation2.pdf 「持続的標的型攻撃(Advanced Persistent Threat)」とも呼ばれています。 10 次へ
  • 11. 標的型攻撃(APT)の目的の例 システムの攻撃、破壊行為 機密情報の搾取 。。。そのための情報の搾取、収集 次へ 11
  • 12. 標的型攻撃(APT)の流れの例 1.準備 2.侵入 3.情報の収集 4.情報の持ち出し このあたりで Active Directoryの攻撃、 「Domain Admins権限の 奪取」が行われる可能性アリ } 次へ 12
  • 13. Domain Admins権限が奪取されるとどうなる? Active Directoryが「制圧」された ことになります。 攻撃者は、Active Directoryドメ イン内で「管理者」としてやりたい放 題です。 次へ 13
  • 14. 攻撃方法の例 次へ 14
  • 15. Active Directory の攻撃の例 管理者のパスワードを盗み取る システムの脆弱性を狙う 次へ 15
  • 16. 管理者のパスワードを盗む方法の例 辞書攻撃 ブルートフォースアタック キーロガー LMハッシュの悪用 次へ 16
  • 17. どんな脆弱性が狙われる? OS(Windows Server)そのものの脆弱性 標準サービスの脆弱性 アプリケーションの脆弱性 次へ 17
  • 18. キケンな環境  管理者がセキュリティ対策に無頓着(論外)  Active Directory、ドメインコントローラーの バージョンが古い  古いバージョンのクライアントOSがドメインに 参加している  古いドメイン環境からアップグレードした環境も キケン (下位互換性問題、機能レベルが古いまま、など) 次へ 18
  • 19. 対策方法の例 次へ 19
  • 20. 機能レベルを上げる  「フォレストの機能レベル」と「ドメインの機能レベル」は、より上位のほ うが多機能であり、セキュリティに関する機能も強化されています。  しかし、NTドメインやWindows 2000 Active Directoryからアッ プグレードを繰り返したWindows Server 2012 R2 Active Directory環境でさえも、次のような機能レベルになっている可能性 があります。 フォレストの機能レベル :Windows 2000 ドメインの機能レベル :Windows 2000 ネイティブ  参考 http://technet.microsoft.com/ja-jp/library/cc771294.aspx 次へ 20
  • 21. グループポリシーの設定を変更する  Windows Server 2012 R2 で新規にActive Directoryを構築した場合と、 NTドメインやWindows 2000 Active Directoryからアップグレードを繰り返した場合では、 グループポリシーの設定が異なります。 次へ 21
  • 22. Default Domain Policy の違いの例  Windows Server 2012 R2 で新規にActive Directoryを 構築した場合と、NTドメインか らアップグレードを繰り返した場 合の、「Default Domain Policy」の違いの例です。 次へ 22
  • 23. Default Domain Controllers Policy の違いの例  Windows Server 2012 R2 で新規にActive Directoryを構築した場合と、 NTドメインからアップグレードを繰り返した場合の、「Default Domain Controllers Policy」の違いの例です。 次へ 23
  • 24. パスワードを強固にする  より強固なパスワードを利用する  グループポリシーで強制する  パスワードポリシーの例(マイクロソフトの推奨例) パスワードの履歴を記録する 24 パスワードの有効期間 42 日 パスワードの変更禁止期間 2日 パスワードの長さ 12 文字 パスワードは、複雑さの要件を満たす必要がある 有効 暗号化を元に戻せる状態でパスワードを保存する 無効  参考 http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EHAA 次へ 24
  • 25. アカウントロックアウトを設定する  パスワードミスが一定回数続いたら、ログオンできなくする  グループポリシーで強制する  アカウントロックアウトの例(マイクロソフトの推奨例) アカウントのロックアウトのしきい値 10 回 ロックアウト期間 30 分 ロックアウトカウンタのリセット 15 分  参考 http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EGAA 次へ 25
  • 26. 「細かい設定が可能なパスワード」機能でさらに強固に  管理者グループなど、特定のグループやユーザーだけは「細かい設定が可 能なパスワード」機能(PSO:Password Setting Object)で、より 強固にすることが可能。  参考 http://technet.microsoft.com/ja-jp/library/cc770842.aspx 次へ 26
  • 27. 「Administrator」アカウントの保護  「Administrator」アカウントをリネームする(説明なども)  「おとり」の「Administrator」アカウントを作って不正なログイン試行を監 視する。。。ただし万全ではない。  スマートカードなど他要素認証の利用  複数人でのパスワード管理。。。 次へ 27
  • 28. 管理者権限の分離など  管理操作をなんでもかんでも「Administrator」で行うことはやめる。  Active Directoryにあらかじめ用意されている、権限が限定された他の 管理者グループを使うようにする。 次へ 28
  • 29. 「監査」を行う  ドメインコントローラーなどのイベントログから「監査」を行って、攻撃や不正 なログイン試行を発見する。  参考 http://technet.microsoft.com/library/dd941635.aspx http://technet.microsoft.com/ja-jp/library/cc787567.aspx 次へ 29
  • 30. 強固な認証方式の利用  より強固な認証方式を使うようにする。 Kerberos > NTLMv2 > NTLM > LM  参考 http://technet.microsoft.com/ja-jp/library/hh831553.aspx http://technet.microsoft.com/ja-jp/library/hh831571.aspx 次へ 30
  • 31. LMハッシュの悪用への対策  「NoLMHashポリシー」を有効にする。  グループポリシーの「ネットワーク セキュリティ : 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない」を有効にする。  または、レジストリーを編集する、など。  参考 http://support.microsoft.com/kb/299656/ja 次へ 31
  • 32. ドメインコントローラーで余計な機能を動作させない  余計な機能やサービス、アプリケーションを動作させると、それらの脆 弱性によってドメインコントローラーが危険にさらされる可能性あり。  「Server Core」で必要最小限のコンポーネントだけでドメインコント ローラーを動作させる。 次へ 32
  • 33. 更新プログラムをきちんと適用する  毎月定例の更新プログラム、緊急性が高い定例外の更新プログラム をきちんと適用する。  マイクロソフトの推奨では、「緊急」はリリースから24時間以内、「重 要」は一か月以内の適用が推奨だそう。。。  更新プログラム適用が困難であれば、サードパーティの「バーチャル パッチ製品」、「サンドボックス製品」などの導入も検討。 次へ 33
  • 34. Windowsファイアウォールを止めない  Windowsファイアウォールときちんと動作させて、 余計なアクセスを拒否させる。  可能であれば、ドメインコントローラーを他のサーバーとは 別のネットワーク、セグメントに配置して、IPSやFirewallデバイスで 保護する。 次へ 34
  • 35. その他の注意ポイントや対策など  DNS  IPv6  IPSec  BitLocker 次へ 35
  • 36. その他の注意ポイントや対策など  「Windows Server 2008 セキュリティ ガイド」におけるActive Directoryの注意点 • • • • • • • • • • • • • • Windows Server 2008 の Server Core インストールを展開する。 物理的なセキュリティを保証できない場合は RODC を展開する。 RODC のローカル管理を委任する。 RODC に格納する機密情報を制限する。 DNS 役割サービスとドメイン コントローラー役割サービスを結合する。 管理者グループのメンバーと管理範囲を制限する。 サービスの管理者がパスワード ポリシーを回避できないようにする。 細かい設定が可能なパスワード ポリシーを構成する。 昇格された権限を持つユーザーに多要素認証を求める。 制御された OU 構造でサービス管理者を管理する。 サービス管理者アカウントのグループ メンバーシップを管理する。 BitLocker™ ドライブ暗号化を使用して、ローカル ドライブに保存されているデータを暗号化する。 Active Directory で、BitLocker と TPM の回復情報をバックアップする。 Syskey を使用して、コンピューターの起動キーを保護する。 36 次へ
  • 37. 標的型攻撃(APT)の被害にあったら。。。  IPAなどの機関に報告  専門業者に調査を依頼 (「証拠」を消してしまうような中途半端な事前調 査をしないように要注意) 次へ 37
  • 38. 参考ドキュメントなど  Best Practices for Securing Active Directory http://aka.ms/bpsadtrd http://blogs.technet.com/b/jpsecurity/archive/2013/06/20/3580095.aspx  Windows Server 2008 セキュリティ ガイド http://technet.microsoft.com/ja-jp/windowsserver/ff708743.aspx  セキュリティ構成ガイダンスのサポートについて http://support.microsoft.com/kb/885409/ja 次へ 38
  • 39. まとめ  「標的型攻撃(APT)」に 狙われないという保証はありません。  侵入されないことが重要ですが、 いざ侵入されたときに、Active Directoryが制圧されるよ うなことがないよう、事前の対策を十分に行いましょう。 次へ 39
  • 40. ご清聴ありがとうございました! 知北直宏 @wanto1101 Copyright 2013 ITdesign Corporation , All Rights Reserved 40