More Related Content
Similar to Active directory のセキュリティ対策 130119
Similar to Active directory のセキュリティ対策 130119 (20)
Active directory のセキュリティ対策 130119
- 1. Active Directory のセキュリティ対策
~ 標的型攻撃(APT)対策編 ~
‘13/1/19
@ .NET 勉強会 / ヒーロー島 & Win.tech.q 合同勉強会
アイティデザイン株式会社
知北直宏
Copyright 2013 ITdesign Corporation , All Rights Reserved 1
- 3. 自己紹介
知北直宏(ちきたなおひろ)Twitter: @wanto1101
アイティデザイン株式会社 代表取締役社長
九州発ITPro系コミュニティ「Win.tech.q」代表
福岡でITProやってます。
Active Directory、Hyper-V、Exchange、System Center
その他いろいろの提案・設計・構築・サポートまでなんでも。
大手、地場インテグレーターさんの後方支援など。
Microsoft MVP(Directory Services)
MCT、MCSE、MCITPとかいろいろ。
「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクト
ガイド」という本を書きました。
御礼・2012年10月に第8版発売、通算15000部発行
次へ
3
- 4. アジェンダ
Active Directory とは
標的型攻撃(APT)とは
攻撃方法の例
対策方法の例
まとめ
次へ
4
- 6. Active Directory の機能や目的
Windows 標準の「ディレクトリーサービス」です。
ユーザーやコンピューターなどの「アカウント」を一元管理することができ
ます。
IDの集中管理、認証の統合などが実現できます。
「グループポリシー」を使って、アカウントの一括管理が可能です。
ユーザーや Windows コンピューターが数十、数百を超えた環境で
は、なくてはならないシステムです。
WSFC(Windows Server Failover Cluster)や、VDI、
Windows HPC Server など高度なシステム環境の構築にも必須
です。
次へ
6
- 7. Active Directory を構築するとどうなる?
サーバーやクライアントPCなどコンピューターをActive Directory の
「ドメイン」に参加させることにより、利用できるようになります。
このときに、Active Directoryの管理者グループである、
「Domain Admins」グループが、コンピューターのローカル管理者グ
ループのメンバーになります。
つまり、Active Directoryの管理者は、ドメインに参加したコン
ピューターの管理者権限を持つことになります。
次へ
7
- 9. 「標的型攻撃」、「新しいタイプの攻撃」とは?
標的型攻撃とは、
「特定の情報」を狙って行われるサイバー攻撃の一種である。
ウィキペディアより
http://ja.wikipedia.org/wiki/標的型攻撃
「新しいタイプの攻撃」の定義
ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わ
せ、ソーシャル・エンジニアリングにより特定企業や個人を狙っ
た攻撃の総称。
IPAより
http://www.ipa.go.jp/security/J-CSIP/documents/presentation2.pdf
次へ
「持続的標的型攻撃(Advanced Persistent Threat)」とも呼ばれています。
9
- 11. 標的型攻撃(APT)の流れの例
1.準備 このあたりで
}
2.侵入 Active Directoryの攻撃、
「Domain Admins権限の
3.情報の収集 奪取」が行われる可能性アリ
4.情報の持ち出し
次へ
11
- 17. キケンな Active Directory 環境の例
管理者がセキュリティ対策に無頓着(論外)
Active Directory、ドメインコントローラーの
バージョンが古い
古いバージョンのクライアントOSがドメインに
参加している
古いドメイン環境からアップグレードした環境も
キケン
(下位互換性問題、機能レベルが古いまま、など) 次へ
17
- 19. 機能レベルを上げる
「フォレストの機能レベル」と「ドメインの機能レベル」は、より上位のほ
うが多機能であり、セキュリティに関する機能も強化されています。
しかし、NTドメインやWindows 2000 Active Directoryからアッ
プグレードを繰り返したWindows Server 2012 Active
Directory環境でさえも、次のような機能レベルになっている可能性
があります。
フォレストの機能レベル :Windows 2000
ドメインの機能レベル :Windows 2000 ネイティブ
参考
http://technet.microsoft.com/ja-jp/library/cc771294.aspx
次へ
19
- 21. Default Domain Policy の違いの例
Windows Server 2012で
新規にActive Directoryを
構築した場合と、NTドメインか
らアップグレードを繰り返した場
合の、「Default Domain
Policy」の違いの例です。
次へ
21
- 22. Default Domain Controllers Policy の違いの例
Windows Server 2012で新規にActive Directoryを構築した場合と、NTド
メインからアップグレードを繰り返した場合の、「Default Domain Controllers
Policy」の違いの例です。
次へ
22
- 23. パスワードを強固にする
より強固なパスワードを利用する
グループポリシーで強制する
パスワードポリシーの例(マイクロソフトの推奨例)
パスワードの履歴を記録する 24
パスワードの有効期間 42 日
パスワードの変更禁止期間 2日
パスワードの長さ 12 文字
パスワードは、複雑さの要件を満たす必要がある 有効
暗号化を元に戻せる状態でパスワードを保存する 無効
参考
次へ
http://technet.microsoft.com/ja-jp/library/dd363020.aspx#EHAA
23
- 29. 強固な認証方式の利用
より強固な認証方式だけを使うようにする。
Kerberos > NTLMv2 > NTLM > LM
。。。ただし実際はNTLMv2は下位互換のためなどの目的で必要。
参考
http://technet.microsoft.com/ja-jp/library/hh831553.aspx
http://technet.microsoft.com/ja-jp/library/hh831571.aspx
次へ
29
- 35. その他の注意ポイントや対策など
「Windows Server 2008 セキュリティ ガイド」におけるActive Directoryの注意点
• Windows Server 2008 の Server Core インストールを展開する。
• 物理的なセキュリティを保証できない場合は RODC を展開する。
• RODC のローカル管理を委任する。
• RODC に格納する機密情報を制限する。
• DNS 役割サービスとドメイン コントローラー役割サービスを結合する。
• 管理者グループのメンバーと管理範囲を制限する。
• サービスの管理者がパスワード ポリシーを回避できないようにする。
• 細かい設定が可能なパスワード ポリシーを構成する。
• 昇格された権限を持つユーザーに多要素認証を求める。
• 制御された OU 構造でサービス管理者を管理する。
• サービス管理者アカウントのグループ メンバーシップを管理する。
• BitLocker™ ドライブ暗号化を使用して、ローカル ドライブに保存されているデータを暗号化する。
• Active Directory で、BitLocker と TPM の回復情報をバックアップする。
• Syskey を使用して、コンピューターの起動キーを保護する。 次へ
35
- 37. 参考ドキュメントなど
Windows Server 2008 セキュリティ ガイド
http://technet.microsoft.com/ja-jp/windowsserver/ff708743.aspx
セキュリティ構成ガイダンスのサポートについて
http://support.microsoft.com/kb/885409/ja
Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques
http://www.microsoft.com/en-us/download/details.aspx?id=36036
次へ
37
- 38. まとめ
「標的型攻撃(APT)」に
狙われないという保証はありません。
侵入されないことが重要ですが、
いざ侵入されたときに、Active Directoryが制圧されるよ
うなことがないよう、事前の対策を十分に行いましょう。
次へ
38