Active Directory のセキュリティ対策～ 標的型攻撃(APT)対策編 ～

アイティデザイン株式会社

知北直宏Copyright 2013 ITdesign Corporation , All Rights Reserved

‘13/1/19@ .NET 勉強会 / ヒーロー島 & Win.tech.q 合同勉強会

1

2

はじめに

今日は、「Active Directoryを使ったセキュリティ対策」。。。ではなく、「Active Directory 環境そのもの のセキュリティ対策」についてお話しします。

特に、「標的型攻撃」の対策を重点的にお話しします。

今日お話しする内容は「一例」であって、他にも知っておくべきこと、やるべきことはたくさんあることをご理解ください。

次へ

3

自己紹介

知北直宏（ちきたなおひろ）Twitter: @wanto1101 アイティデザイン株式会社 代表取締役社長 九州発ITPro系コミュニティ「Win.tech.q」代表 福岡でITProやってます。

Active Directory、Hyper-V、Exchange、System Center

その他いろいろの提案・設計・構築・サポートまでなんでも。

大手、地場インテグレーターさんの後方支援など。 Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。 「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクト

ガイド」という本を書きました。御礼・2012年10月に第8版発売、通算15000部発行

次へ

4

アジェンダ

Active Directory とは 標的型攻撃(APT)とは 攻撃方法の例 対策方法の例 まとめ

次へ

Active Directory とは

5

次へ

6

Active Directory の機能や目的

Windows 標準の「ディレクトリーサービス」です。 ユーザーやコンピューターなどの「アカウント」を一元管理することができ

ます。 IDの集中管理、認証の統合などが実現できます。 「グループポリシー」を使って、アカウントの一括管理が可能です。 ユーザーや Windows コンピューターが数十、数百を超えた環境で

は、なくてはならないシステムです。 WSFC（Windows Server Failover Cluster）や、VDI、

Windows HPC Server など高度なシステム環境の構築にも必須です。

次へ

7

Active Directory を構築するとどうなる？

サーバーやクライアントPCなどコンピューターをActive Directory の「ドメイン」に参加させることにより、利用できるようになります。

このときに、Active Directoryの管理者グループである、「Domain Admins」グループが、コンピューターのローカル管理者グループのメンバーになります。

つまり、Active Directoryの管理者は、ドメインに参加したコンピューターの管理者権限を持つことになります。

次へ

標的型攻撃 とは

8

次へ

9

「標的型攻撃」、「新しいタイプの攻撃」とは？

標的型攻撃とは、「特定の情報」を狙って行われるサイバー攻撃の一種である。

ウィキペディアよりhttp://ja.wikipedia.org/wiki/標的型攻撃

次へ

「新しいタイプの攻撃」の定義ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャル・エンジニアリングにより特定企業や個人を狙った攻撃の総称。

IPAよりhttp://www.ipa.go.jp/security/J-CSIP/documents/presentation2.pdf

「持続的標的型攻撃（Advanced Persistent Threat）」とも呼ばれています。

10

標的型攻撃(APT)の目的の例

システムの攻撃、破壊行為機密情報の搾取。。。そのための情報の搾取、収集

次へ

11

標的型攻撃(APT)の流れの例

1.準備2.侵入3.情報の収集4.情報の持ち出し

次へ

｝このあたりでActive Directoryの攻撃、「Domain Admins権限の奪取」が行われる可能性アリ

12

Domain Admins権限が奪取されるとどうなる？

Active Directoryが「制圧」されたことになります。攻撃者は、Active Directoryドメイン内で「管理者」としてやりたい放題です。

次へ

攻撃方法の例

13

次へ

14

Active Directory の攻撃の例

管理者のパスワードを盗み取るシステムの脆弱性を狙う

次へ

15

管理者のパスワードを盗む方法の例

辞書攻撃ブルートフォースアタックキーロガーLMハッシュの悪用

（Path-the-hash）

次へ

16

どんな脆弱性が狙われる？

OS(Windows Server)そのものの脆弱性標準サービスの脆弱性アプリケーションの脆弱性

次へ

17

キケンな Active Directory 環境の例

管理者がセキュリティ対策に無頓着（論外）Active Directory、ドメインコントローラーの

バージョンが古い古いバージョンのクライアントOSがドメインに

参加している古いドメイン環境からアップグレードした環境も

キケン（下位互換性問題、機能レベルが古いまま、など）

次へ

対策方法の例

18

次へ

19

機能レベルを上げる

「フォレストの機能レベル」と「ドメインの機能レベル」は、より上位のほうが多機能であり、セキュリティに関する機能も強化されています。

しかし、NTドメインやWindows 2000 Active Directoryからアップグレードを繰り返したWindows Server 2012 ActiveDirectory環境でさえも、次のような機能レベルになっている可能性があります。フォレストの機能レベル ：Windows 2000ドメインの機能レベル ：Windows 2000 ネイティブ

参考http://technet.microsoft.com/ja-jp/library/cc771294.aspx

次へ

20

グループポリシーの設定を見直す

Windows Server 2012で新規にActiveDirectoryを構築した場合と、NTドメインやWindows 2000 ActiveDirectoryからアップグレードを繰り返した場合では、グループポリシーの設定が異なります。

次へ

21

Default Domain Policy の違いの例

Windows Server 2012で新規にActive Directoryを構築した場合と、NTドメインからアップグレードを繰り返した場合の、「Default Domain Policy」の違いの例です。

次へ

22

Default Domain Controllers Policy の違いの例

Windows Server 2012で新規にActive Directoryを構築した場合と、NTドメインからアップグレードを繰り返した場合の、「Default Domain Controllers Policy」の違いの例です。

次へ

23

パスワードを強固にする

より強固なパスワードを利用する グループポリシーで強制する

パスワードポリシーの例（マイクロソフトの推奨例）

参考http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EHAA

次へ

パスワードの履歴を記録する 24

パスワードの有効期間 42 日

パスワードの変更禁止期間 2 日

パスワードの長さ 12 文字

パスワードは、複雑さの要件を満たす必要がある 有効

暗号化を元に戻せる状態でパスワードを保存する 無効

24

アカウントロックアウトを設定する

パスワードミスが一定回数続いたら、ログオンできなくする グループポリシーで強制する

アカウントロックアウトの例（マイクロソフトの推奨例）

参考http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EGAA

次へ

アカウントのロックアウトのしきい値 10 回

ロックアウト期間 30 分

ロックアウトカウンタのリセット 15 分

25

「細かい設定が可能なパスワード」機能でさらに強固に

管理者グループなど、特定のグループやユーザーだけは「細かい設定が可能なパスワード」機能（PSO：Password Setting Object）で、より強固にすることが可能。

参考http://technet.microsoft.com/ja-jp/library/cc770842(v=ws.10).aspx

次へ

26

「Administrator」アカウントの保護

「Administrator」アカウントをリネームする（説明なども） 「おとり」の「Administrator」アカウントを作って不正なログイン試行を監

視する 。。。ただし万全ではない。

スマートカードなど他要素認証の利用 複数人でのパスワード管理。。。

次へ

27

管理者権限の分離など

管理操作をなんでもかんでも「Administrator」で行うことはやめる。 Active Directoryにあらかじめ用意されている、権限が限定された他の

管理者グループを使うようにする。

パスワードの使いまわしをしない。

次へ

28

「監査」を行う

ドメインコントローラーなどのイベントログから「監査」を行って、攻撃や不正なログイン試行を発見する。

参考http://technet.microsoft.com/library/dd941635(WS.10).aspxhttp://technet.microsoft.com/ja-jp/library/cc787567(v=ws.10).aspx

次へ

29

強固な認証方式の利用

より強固な認証方式だけを使うようにする。

Kerberos > NTLMv2 > NTLM > LM

。。。ただし実際はNTLMv2は下位互換のためなどの目的で必要。

参考http://technet.microsoft.com/ja-jp/library/hh831553.aspxhttp://technet.microsoft.com/ja-jp/library/hh831571.aspx

次へ

30

LMハッシュの悪用への対策

「NoLMHashポリシー」を有効にする。 グループポリシーの

「ネットワーク セキュリティ : 次のパスワードの変更で LAN マネージャのハッシュの値を保存しない」を有効にする。

または、レジストリーを編集する、など。

参考http://support.microsoft.com/kb/299656/ja

なお。。。かなり奥が深い世界。次へ

31

ドメインコントローラーで余計な機能を動作させない

余計な機能やサービス、アプリケーションを動作させると、それらの脆弱性によってドメインコントローラーが危険にさらされる可能性あり。

「Server Core」で必要最小限のコンポーネントだけでドメインコントローラーを動作させる。

次へ

32

更新プログラムをきちんと適用する

毎月定例の更新プログラム、緊急性が高い定例外の更新プログラムをきちんと適用する。

マイクロソフトの推奨では、「緊急」はリリースから24時間以内、「重要」は一か月以内の適用が推奨だそう。。。

更新プログラム適用が困難であれば、サードパーティの「バーチャルパッチ製品」、「サンドボックス製品」などの導入も検討。

次へ

33

Windowsファイアウォールを止めない

Windowsファイアウォールときちんと動作させて、余計なアクセスを拒否。

可能であれば、ドメインコントローラーを他のサーバーとは別のネットワーク、セグメントに配置して、IPSやFirewallデバイスで保護する。

次へ

34

その他の注意ポイントや対策など

DNSIPv6IPSec

次へ

35

その他の注意ポイントや対策など

「Windows Server 2008 セキュリティ ガイド」におけるActive Directoryの注意点

• Windows Server 2008 の Server Core インストールを展開する。• 物理的なセキュリティを保証できない場合は RODC を展開する。• RODC のローカル管理を委任する。• RODC に格納する機密情報を制限する。• DNS 役割サービスとドメイン コントローラー役割サービスを結合する。• 管理者グループのメンバーと管理範囲を制限する。• サービスの管理者がパスワード ポリシーを回避できないようにする。• 細かい設定が可能なパスワード ポリシーを構成する。• 昇格された権限を持つユーザーに多要素認証を求める。• 制御された OU 構造でサービス管理者を管理する。• サービス管理者アカウントのグループ メンバーシップを管理する。• BitLocker™ ドライブ暗号化を使用して、ローカル ドライブに保存されているデータを暗号化する。• Active Directory で、BitLocker と TPM の回復情報をバックアップする。• Syskey を使用して、コンピューターの起動キーを保護する。 次へ

36

標的型攻撃(APT)の被害にあったら。。。

IPAなどの機関に報告専門業者に調査を依頼

（「証拠」を消してしまうような中途半端な事前調査をしないように要注意）

次へ

37

参考ドキュメントなど

Windows Server 2008 セキュリティ ガイドhttp://technet.microsoft.com/ja-jp/windowsserver/ff708743.aspx

セキュリティ構成ガイダンスのサポートについてhttp://support.microsoft.com/kb/885409/ja

Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniqueshttp://www.microsoft.com/en-us/download/details.aspx?id=36036

次へ

38

まとめ

「標的型攻撃(APT)」に狙われないという保証はありません。

侵入されないことが重要ですが、いざ侵入されたときに、Active Directoryが制圧されるようなことがないよう、事前の対策を十分に行いましょう。

次へ

ご清聴ありがとうございました！

知北直宏 @wanto1101

39Copyright 2013 ITdesign Corporation , All Rights Reserved