・管理インターフェースの保護のバックアップ(No.7)

IPAセキュリティPT評価版?

基本的な考え方 †

Microsoft は、Pass The Hash に対抗するための封じ込め策を提唱しています。これは攻撃者に対する管理者の露出を制限することで、重要資産にアクセスできる特権の窃取を防ぐ狙いがあります。

ネットワークレイヤーの分離 †

Tier	管理者グループ	管理対象	禁止されている接続先
0	Domain Admin	ドメインコントローラー	Tier 1, Tier 2
1	Member Server Admin	業務サーバー	Tier 0, Tier 2
2	Workstation Admin	業務端末	Tier １, Tier 2

各レイヤーの設定 †

各層のネットワーク
- セグメント化する
- 管理端末は同じ居室に設置するか、VLANで接続する
各層の管理者
- IDはすべてユニークにする（層をまたいで同じIDを使用しない）
- 多要素認証にする
- ロール権限を最小にする
各層の管理端末
- 端末緩和設定を参照?

管理すべき対象と緩和策 †

管理者（通常の動作を特定し、誰がどのようなリソースにアクセスるかを特定し、封じ込め策を検討する） †

厳重に管理すべきセキュリティグループ、管理者、従業員アカウント
- Domain Admin
- Enterprise Admin
- Schema Admin
- Account Operators
- Backup Operators
- BUILTIN\Administrator
- ハイパーバイザー管理者
- アプリケーション管理システム、アンチウイルス管理システムなどの管理者
- ソフトウェアのインストール、アップデート、バックアップのためのサービスアカウント
- セキュリティスキャンに使用するサービスアカウント
- 共有ローカル管理者アカウント
付加価値の高いビジネス資産へのアクセス権を持っているアカウント
- メールシステム
- ファイル共有
- SharePoint、DropBox、VOXなどのコンテンツ管理システム
- File Server、オンラインバンキング端末などの重要なインフラ
- 経営幹部
- 研究者
- 経理・財務担当者
- 秘書

特権アカウントを使用することが想定される端末 †

ヘルプデスクなどのサポートに使用されるコンピュータ
バッチ処理管理サーバー
セキュリティスキャナ
RDP を使用する端末
PS Remotting を使用する端末
Debugツール、開発環境を使用する端末

端末緩和設定 †

クリーンセットアップされたものに限定する
BitLockerによる暗号化
リムーバブルメディア、スマートフォン等の接続を禁止する
明示的に必要なポート以外はすべて着信接続を拒否する
すべてのインターネットアクセスをブロックする、もしくはポートを最小限にし、可能な場合、IPアドレスを制限する
管理に不要なアプリケーションのアンインストール
Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
グループポリシー
- ネットワーク経由でのコンピュータへのアクセス拒否
- バッチジョブとしてログオンを拒否
- サービスとしてログオンを拒否
- リモートデスクトップ経由のログオンを拒否
  
  管理インターフェイスを保護する: https://www.ncsc.gov.uk/blog-post/protect-your-management-interfaces