トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・管理インターフェースの保護 のバックアップ(No.8)


IPAセキュリティPT評価版?

基本的な考え方

Microsoft は、Pass The Hash に対抗するための封じ込め策を提唱しています。これは攻撃者に対する管理者の露出を制限することで、重要資産にアクセスできる特権の窃取を防ぐ狙いがあります。
そのため、重要資産やアカウントの洗い出しを行い、緩和策を設定します。

ネットワークレイヤーの分離

Tier管理者グループ管理対象禁止されている接続先
0Domain Adminドメインコントローラー
Radius等の認証を行うサーバー
Tier 1, Tier 2
1Member Server Admin業務サーバーTier 0, Tier 2
2Workstation Admin業務端末Tier 1, Tier 2


各レイヤーの設定

  • 各層のネットワーク
    • セグメント化する
    • 管理端末は同じ居室に設置するか、VLANで接続する
  • 各層の管理者
    • IDはすべてユニークにする(層をまたいで同じIDを使用しない)
    • 多要素認証にする
    • ロール権限を最小にする
  • 各層の管理端末
    • 端末緩和設定 を参照?



管理すべき対象と緩和策

管理者

通常の動作を特定し、誰がどのようなリソースにアクセスるかを特定し、封じ込め策を検討する。

  • 厳重に管理すべきセキュリティグループ、管理者、従業員アカウント
    • Domain Admin
    • Enterprise Admin
    • Schema Admin
    • Account Operators
    • Backup Operators
    • BUILTIN\Administrator
    • ハイパーバイザー管理者
    • アプリケーション管理システム、アンチウイルス管理システムなどの管理者
    • ソフトウェアのインストール、アップデート、バックアップのためのサービスアカウント
    • セキュリティスキャンに使用するサービスアカウント
    • 共有ローカル管理者アカウント
  • 付加価値の高いビジネス資産へのアクセス権を持っているアカウント
    • メールシステム
    • ファイル共有
    • SharePoint、DropBox、VOXなどのコンテンツ管理システム
    • File Server、オンラインバンキング端末などの重要なインフラ
    • 経営幹部
    • 研究者
    • 経理・財務担当者
    • 秘書

特権アカウントを使用することが想定される端末

  • ヘルプデスクなどのサポートに使用されるコンピュータ
  • バッチ処理管理サーバー
  • セキュリティスキャナ
  • RDP を使用する端末
  • PS Remotting を使用する端末
  • Debugツール、開発環境を使用する端末

端末緩和設定

  • クリーンセットアップされたものに限定する
  • BitLockerによる暗号化
  • リムーバブルメディア、スマートフォン等の接続を禁止する
  • 明示的に必要なポート以外はすべて着信接続を拒否する
  • すべてのインターネットアクセスをブロックする、もしくはポートを最小限にし、可能な場合、IPアドレスを制限する
  • 管理に不要なアプリケーションのアンインストール
  • Web、電子メールの閲覧の禁止、Office、PDFの閲覧の禁止
  • グループポリシー
    • ネットワーク経由でのコンピュータへのアクセス拒否
    • バッチジョブとしてログオンを拒否
    • サービスとしてログオンを拒否
    • リモートデスクトップ経由のログオンを拒否

      管理インターフェイスを保護する: https://www.ncsc.gov.uk/blog-post/protect-your-management-interfaces