トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・管理インターフェースの保護 のバックアップ(No.13)


IPAセキュリティPT評価版?

基本的な考え方

Microsoft は、Pass The Hash に対抗するための、端末の封じ込めモデルとして、ドメインコントローラーに接続できる端末の制限を提唱しています。これは攻撃者に対する管理者の露出を制限することで、重要資産にアクセスできる特権の窃取を防ぐ狙いがあります。
そのため、重要資産やアカウントの洗い出しを行い、封じ込めによる緩和策を設定します。緩和策が設定できない場合は、監査によって被害が発生していないかを検知することを検討します。

ネットワークレイヤーの分離

情報資産をレイヤーで分け、各層のネットワークと管理端末、アカウントの分離を行います。

Tier管理者グループ管理対象禁止されている接続先
0Domain Adminドメインコントローラー
Radius等の認証を行うサーバー
Tier 1, Tier 2
1Member Server Admin業務サーバーTier 0, Tier 2
2Workstation Admin業務端末Tier 1, Tier 2


各レイヤーの設定

  • 各層のネットワーク
    • セグメント化する
    • 管理端末は同じ居室に設置するか、VLANで接続する
  • 各層の管理者
    • IDはすべてユニークにする(層をまたいで同じIDを使用しない)
    • 物理的な多要素認証を採用する
    • ロール権限を最小にする
  • 各層の管理端末



管理すべき対象と緩和策

管理者、重要資産にアクセスできる関係者

通常の動作を特定し、誰がどのようなリソースにアクセスできるかを特定します。次に、各アカウントで、資格情報の窃取やランサムウェアの被害を受けた場合を想定し、適切な緩和策を検討します。

  • 厳重に管理すべきセキュリティグループ、管理者、従業員アカウント
    • Domain Admin
    • Enterprise Admin
    • Schema Admin
    • Account Operators
    • Backup Operators
    • BUILTIN\Administrator
    • ハイパーバイザー管理者
    • アプリケーション管理システム、アンチウイルス管理システムなどの管理者
    • ソフトウェアのインストール、アップデート、バックアップのためのサービスアカウント
    • セキュリティスキャンに使用するサービスアカウント
    • 共有ローカル管理者アカウント
  • 付加価値の高いビジネス資産へのアクセス権を持っているアカウント
    • メールシステム
    • ファイル共有
    • SharePoint、DropBox、VOXなどのコンテンツ管理システム
    • File Server、オンラインバンキング端末などの重要なインフラ
    • 経営幹部
    • 研究者
    • 経理・財務担当者
    • 秘書

特権アカウントを使用することが想定される端末

  • ヘルプデスクなどのサポートに使用されるコンピュータ
  • バッチ処理管理サーバー
  • セキュリティスキャナ
  • RDP を使用する端末
  • PS Remotting を使用する端末
  • Debugツール、開発環境を使用する端末

システム管理者の資格情報の保護

システム管理者は、アカウント管理、バックアップ、アクセスコントロール管理、ログ保全など、システム運営における重要な業務を担います。攻撃者にシステム管理者の資格情報が窃取された場合、情報漏洩、情報資産の改ざん、ログの消去、踏み台による他への攻撃など、広範囲な被害が予想されます。従って、システム管理者の認証情報は、重要な情報資産や個人情報と同等以上の保護が必要です。
一方で、パスワードという知識要素の認証は、ログ分析以外に危殆化を知ることができません。例え、定期変更を設定したとしても、次に変更される時期までは、攻撃されるリスクが残ります。
そこで、多要素認証をもちいてシステム管理者の資格情報を保護し、資格情報の窃取、漏洩を防ぎ、情報資産の保全を強化することを推奨します。また、多要素認証導入までは、推測が困難な十分な長さを有するパスフレーズの利用と、ブルートフォース(総当たり)攻撃を困難にするアカウントロックアウトの設定を推奨します。

多要素認証

多要素認証とは、知識、所有、生体という認証要素を複数、同時に満たす必要があります。NIST SP800-63B では、次の方式、もしくは組み合わせが要求されています。

Authenticator内容
多要素OTPデバイスPIN を入力することでワンタイムパスワードを生成するデバイス
多要素暗号ソフトウェアPIN を入力することで秘匿エリアに保存された電子証明書が読み出せるソフトウェア
多要素暗号デバイスPIN を入力することで秘匿エリアに保存された電子証明書が読み出せるデバイス
記憶シークレット+ルックアップシークレットパスワードとリカバリコードの組み合わせ
記憶シークレット+経路外パスワードとSMSによるコード送信
記憶シークレット+単一要素OTPデバイスパスワードとワンタイムパスワード生成デバイス
記憶シークレット+単一要素暗号ソフトウェアパスワードとOSの秘匿エリアに保存された電子証明書
記憶シークレット+単一要素暗号デバイスパスワードとデバイスの秘匿エリアに保存された電子証明書


管理者の資格情報の管理

ドメインの管理者とエンタープライズ管理者の資格情報は、明確に分離されるべきです。もし同一であったとすると、ドメインとエンタープライズの双方に被害が及ぶ可能性があるからです。また、同様の理由で Windows ドメイン以外のシステム管理者の資格情報を他の Linux などのシステムと共通にすることは、大変、危険といえます。
加えて、各管理者の権限でログオンする端末はクリーンセットアップされた専用端末とすべきです。一般業務端末は、すでに汚染されている可能性があるためです。
各管理者の権限で、以下の行為を行うことは、規程で明確に禁止されるべきです。

  • 管理端末での電子メールの閲覧:フィッシングによるマルウェアの侵入を許し、かつ、管理者特権でマルウェアのインストールを許可することとなるため。
  • 管理端末でのWeb の閲覧:ドライブバイダウンロード攻撃などによってマルウェアの侵入を許し、かつ、管理者特権でマルウェアのインストールを許可することとなるため。
  • 一般の業務端末へのパスワードを使ったログイン:すでにマルウェアが侵入しており、Pass the Hash 攻撃やキーロガーが動作している場合、パスワードの窃取がなされてしまう。

端末緩和設定

  • クリーンセットアップされたものに限定する
  • BitLockerによる暗号化
  • リムーバブルメディア、スマートフォン等の接続の禁止
  • 明示的に必要なポート以外はすべて着信接続を拒否する
  • すべてのインターネットアクセスをブロックする、もしくはポートを最小限にし、可能な場合、IPアドレスを制限する
  • 管理に不要なアプリケーションのアンインストール
  • Wi-Fiでの802.1x PEAP-TLS による端末認証
  • Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
  • グループポリシー
    • ネットワーク経由でのコンピュータへのアクセス拒否
    • バッチジョブとしてログオンを拒否
    • サービスとしてログオンを拒否
    • リモートデスクトップ経由のログオンを拒否

監査

着目点

  • アカウントが使用された場所(発信元または宛先)。
  • 認証実行時(ユーザーが休暇中、休暇中、勤務時間外など)。
  • 異常なアカウントの作成(たとえば、プロビジョニング・システムの外部で作成されたドメイン・アカウント、またはサーバー上で作成されたローカル・アカウント)。
  • アカウントを使用した異例のアクティビティ(たとえば、設定の変更や認証ポリシーの失敗)。
  • 既知または未知の悪意のある実行可能ファイルの検出。
  • 同じホストから使用される、無関係な複数の重要なアカウント(たとえば、同じホストから使用されるドメイン管理者認証情報とサービス・アカウント)。
  • 異なる所有者の複数のアカウントが、同じセッション内の同じコンピュータから短時間で認証を行う。
  • 重要なオブジェクトの修正(たとえば、Domain Admins のメンバーシップの変更)。
  • VPN などの境界アクセスに使用されるアカウントと、リソースへのアクセスに使用されるアカウントの不一致。

イベントログ

監視対象のコンピュータ

  • [Windowsログ]>[Security]
    • Event ID 4688 新しいプロセスが作成されました。
    • Event ID 4648 明示的な資格情報を使用してログオンが試行されました。
    • Event ID 4624 アカウントが正常にログオンしました。

ドメインコントローラー

  • [Windowsログ]>[Security]
    • Event ID 4769 Kerberos サービス チケットが要求されました。
    • Event ID 4768 Kerberos 認証チケット (TGT) が要求されました。
    • Event ID 4766 SIDの履歴をアカウントに追加できませんでした。
  • [アプリケーションとサービスログ]>[Microsoft]>[Windows]>[Authentication]>[ProtectedUserFailures-DomainController]
    • Event ID 100 NLTM usage attempted.
  • Event ID 104 DES or RC4 attempted for Kerberos Authentication.
  • [アプリケーションとサービスログ]>[Microsoft]>[Windows]>[Authentication]>[AuthenticationPolicyFailures-DomainController]
    • Event ID 101 – NTLM usage attempted.
    • Event ID 105 – Kerberos authentication from a particular device was not permitted.
    • Event ID 106 – The user or device was not allowed to authenticate to the server.
    • Event ID 305 – Kerberos TGT request did not meet access control restrictions.
    • Event ID 306 – User, device or both do not meet the access control restrictions.
  • [アプリケーションとサービスログ]>[Microsoft]>[CodeIntegrity]
    • Event ID 3065 プロセス (通常は lsass.exe) が共有セクションのセキュリティ要件を満たしていない特定のドライバーの読み込みを試行したことを、コードの整合性チェックによって特定したことを記録します。 ただし、設定されたシステム ポリシーのために、イメージの読み込みは許可されました。
    • Event ID 3066 プロセス (通常は lsass.exe) が Microsoft 署名のレベル要件を満たしていない特定のドライバーの読み込みを試行したことを、コードの整合性チェックによって特定したことを記録します。 ただし、設定されたシステム ポリシーのために、イメージの読み込みは許可されました。

異常が発見された場合の対処

コマンドラインインターフェースの監査

グループポリシーの[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[システム]>[プロセス作成の監査]>[プロセス作成イベントにコマンドラインを含める] を [有効] に設定します。
その後、Security ログの Event ID 4688 を調査し、コマンドラインで実行されたコマンドと引数を調査します。
注意:コマンドライン引数には、パスワードや個人情報が含まれます。Security ログを読み取れるユーザーによる個人情報の漏洩に留意し、一時的な設定としてください。

侵害が発見された場合

  • パスワードの変更
    • Active Directoryドメインサービスでパスワードを変更します。
    • コンピュータアカウントの資格情報をリセットします。
      • この設定を施しても共有や名前付きパイプはログオンセッションが終了するまでは有効です。
      • 攻撃者に検出を通知します。キーロガー等が仕掛けられている場合、再度、パスワードを窃取される可能性があります。
      • コンピュータにインストールされているマルウェアが再度、攻撃を実施する可能性があります。
  • アカウントの削除
    • Active Directoryドメインサービスでアカウントを無効にします。
      • グループのメンバーシップはハードコーディングされたセキュリティトークンです。そのトークンですでに実行されているプロセスは、セキュリティグループから削除された後も、アカウントの元の権限で実行されます。
      • 攻撃者に検出を通知します。
  • ドメインコントローラーが侵害された場合 KRNTGTパスワードハッシュが摂取されている可能性があるため、KRBTGTアカウントのリセットが必要です。



管理インターフェイスを保護する: https://www.ncsc.gov.uk/blog-post/protect-your-management-interfaces