1. クラウドサービスのbit-drive TOP>
  2. Windows Server 2003 移行支援サイト>
  3. 連載コラム Windows Server活用のススメ
  4. Active Directory のセキュリティ対策
[連載コラム]

Windows Server活用のススメ

Active Directory のセキュリティ対策

  • 標的型攻撃とActive Directory
  • Active Directory に対してどのような攻撃があるのか
  • Active Directoryをどのように守るか

みなさん、こんにちは、知北です。Windows Server についての便利な機能などについて紹介してきたこのコラムも、今回が最終回です。最後は少し堅い話題ですが、セキュリティ対策についての内容です。特に、多くの組織で利用されている、Active Directory のセキュリティ対策について解説します。

標的型攻撃とActive Directory

数年前から「標的型攻撃」という言葉を聞く機会が増えました。これは、特定の企業や団体などの組織を狙って不正なプログラムを送り込み、情報の搾取や破壊を行う不正行為です。IPA (独立行政法人情報処理推進機構)では、標的型攻撃など「新しいタイプの攻撃」を次のように定義しています。

ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組み合わせ、ソーシャル・エンジニアリングにより特定企業や個人を狙った攻撃の総称。

攻撃者はターゲットとする組織だけに特化した不正プログラムを開発して、その組織に関わりがある人物を装って「ごく普通のメール」と思えるメールに添付するなどして、侵入を試みます。
それら不正プログラムはメジャーなアンチウィルスソフトでは検知されないように作られており、OSやアプリケーションの脆弱性を突いて動き、不正な行為を働きます。
その際に、Active Directory(ドメインコントローラー)に不正アクセスをして、管理者権限を奪取しようとします。
標的型攻撃は、なぜActive Directoryを狙うのでしょうか。それは、Active Directoryの管理者権限を奪うことができれば、ネットワーク上の多くのシステムに楽々と侵入できて、不正な目的を達することが容易になるからです。

「うちはそんな手が込んだ攻撃に狙われるような会社じゃない」

などと安心してはいけません。攻撃者のターゲットはあなたの会社ではなく、あなたと取引がある大きな会社かもしれません。ターゲットとする会社に関する情報が、あなたの会社にあるかもしれないため、それを狙っている可能性もあります。つまり、あなたの会社を踏み台にするために、あなたの会社に標的型攻撃が仕掛けられる恐れもあるわけです。
標的型攻撃はどのようにActive Directoryに不正アクセスするのか、また、それをどう対処すればいいのか、などをこの後解説します。なお、IPA (独立行政法人情報処理推進機構)から、標的型攻撃からシステムを守るためのガイドラインが公開されています。目を通すことをお勧めします。 

「『高度標的型攻撃』対策に向けたシステム設計ガイド」の公開

また、JPCERT/CCからは、Active Directory環境での管理者アカウントの不正使用に関する注意喚起が公開されています。あわせて目を通すことを推奨します。

Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起

このページの上部へ

Active Directory に対してどのような攻撃があるのか

標的型攻撃のパターンはさまざまです。
例えば、Active Directoryの管理者権限を奪い取る場合には、「管理者パスワードを盗み取る」ことや、「システムの脆弱性を突いて管理者権限を奪う」ことがあります。

どうやって管理者パスワードを盗み取るのか

昔ながらの古典的な方法としては、「よく使われているパスワード」をいくつも変えながらアクセスして合致するものを見つけようとする「辞書攻撃」や、ひたすらに文字の組み合わせを変えながらパスワードを見つけようとする「ブルートフォースアタック」というものがあります。
また、Active Directoryの管理者が利用しそうなPCに潜んでおいて、キーボードからのパスワード入力を盗み取る「キーロガー」を使った方法なども古くから存在します。
他にもさまざまな方法を使って管理者パスワードを盗み取り、管理者を装ってネットワーク中のシステムに不正侵入を行って、目的の不正行為を働こうとします。
そして、情報の搾取が目的であり、それを達した(目的の情報を見つけた)場合には、これまたさまざまな方法を使って外部へ情報を送り出そうとします。
これら不正行為を1台のPCから一気に行うのではなく、複数の(多数の)PCに不正プログラムを植え付けておいて、「連携しながら、少しずつ、気づかれないように」行うなど、攻撃手法は巧妙化しています。

システムの脆弱性を突くとは

Active DirectoryドメインコントローラーのOSや、そこにインストールしているアプリケーションの脆弱性を狙って、不正プログラムによって管理者権限が奪われる可能性もあります。
例えば、2014年の11月にマイクロソフトから更新プログラムが公開された次の脆弱性などが、まさにそのパターンです。

MS14-068 Kerberos の脆弱性により特権が昇格される

これら脆弱性を突いて管理者権限を奪い、不正行為を行おうとします。

Active Directoryをどのように守るか

管理者パスワードを盗み取られないようにするには、例えば次のような対策があります。

パスワード管理を厳密化する

基本中の基本として、パスワード管理を厳密化する、つまり、より難解なパスワードを設定して、可能な限り頻繁に変更する、また、パスワードを少人数で管理する、というものです。
多くの組織で既に実施されていると思いますが、グループポリシーを使って、パスワードの最小の長さや有効期間を強制することができます。また、パスワード入力を一定回数間違えると、「ロックアウト」されて正しいパスワードでもサインインできなくする、というポリシーを有効にしている組織も多いことでしょう。
(なお、Administratorアカウントそのものにはロックアウトはできません)
かつては、Active Directoryドメイン全体で一つしかパスワードポリシーが設定できない、という大きな制約がありました。一般ユーザにあまりに複雑なパスワードを、あまりに頻繁に変更することを強制していると、業務に支障をきたす可能性があるかもしれません。そのために、ドメイン全体でパスワードポリシーを弱めに設定していた組織は多いのではないでしょうか。しかしその場合はAdministratorなど管理者も脆弱なパスワードポリシーが適用されてしまいます。
最近は、「細かい設定が可能なパスワードポリシー」機能を使うことによって、例えばドメイン全体では弱めのパスワードポリシーを設定しておき、管理者など、特定のユーザやグループだけは強固なパスワードポリシーを設定する、といった構成が可能になっています。
Windows Server 2012からは、「Active Directory管理センター」を使ったGUI操作で構成することもできるようになりました。

Active Directory 管理センターの強化概要

パスワード設定の作成: PS001 パスワードの設定 追加

Administratorアカウントを多用しない

Active Directoryドメインのデフォルトの管理者アカウントである Administrator アカウントを使って、Active Directoryに関わる管理操作、例えばユーザやグループの管理、グループポリシーの管理、などを行っている組織は非常に多いのではないでしょうか。Administrator アカウントを多用していると、それだけパスワードが不正に知られてしまうリスクに結びつきます。
Active Directory には可能な操作を限定した管理者アカウントがあらかじめいくつか用意されています。すべての管理操作を Administrator で行うのではなく、そういった限定された用途の管理者アカウントを使うようにしましょう。
なお、管理者ユーザがご自身のPCに、管理以外の一般的な操作を行うときにも常にドメインの Administrator でサインインしている、という運用は論外です。すぐに見直してください。

監査設定を行う

Active Directory は、各種操作のログを取るための「監査設定」の機能を持っています。
これを使うことにより、正規のアクセスだけでなく、不正なアクセスも知ることができます。
なお、世界中のだれもが知っている Active Directory の管理者である「Administrator」の名前を変えてしまって、その後あえて「おとりのAdministrator」を登録して、監査機能を使って不正アクセスの有無を監視する、という手法も昔から存在しており、有効かもしれません。ただし、内部IDであるSIDで、その Administrator が「本物」なのか「おとり」なのかは簡単に判別できるため、あまり安心はできません。

次に、システムの脆弱性を狙った攻撃への対処方法について紹介します。

システムの脆弱性対策

まずは、当然ながら「脆弱性そのもの」を少しでも減らすことです。
そのためにはOSやアプリケーションのベンダーから公開される更新プログラムをできるだけ速やかに適用して、脆弱性をなくすことが重要です。
例えば、マイクロソフトから毎月公開される更新プログラムを、Windows Update で速やかに適用することは理想と言えます。
(Windows Update を行うことによって、脆弱性の対処はできるものの、サーバやアプリケーションの挙動に問題が発生する可能性もありますから、同様のシステムを使った事前の動作検証の実施を推奨します。)

また、「脆弱性の対象」を少しでも減らす努力も必要です。
Active Directory ドメインコントローラーに、あれもこれも、とありとあらゆるアプリケーションをインストールすると、それらの脆弱性が狙われるかもしれません。ドメインコントローラーには余計なアプリケーションや機能はインストールしないようにしましょう。
そして、Windows Server 2012 などには、「Server Core」という特殊な動作モードがありますから、これの利用も検討してみましょう。
「Server Core」とは、多くの GUI 機能を省いて、コマンドをベースとして管理操作を行うためのモードです。GUI に関わる機能が組み込まれていないことから、それだけ脆弱性の対象も減ることになります。
なお、このモードが最初に実装された Windows Server 2008 や、その後継の Windows Server 2008 R2 では、GUI がフルに使える一般的なモードである「フルインストール」と「Server Core」とは、切り替えることができませんでした。つまり、「フルインストール」でインストールしたサーバを後から「Server Core」に変更したり、その逆の変更をしたりすることはできませんでした。
しかし、Windows Server 2012からは、「フルインストール」と「Server Core」の変更ができるようになっています。(再起動を要します。)
また、「フルインストール」と「Server Core」の中間として、管理ツールなど一部の GUIも使えるようになった「最少サーバーインターフェイス」という中間的なモードもあります。
例えば、サーバの導入時はより操作が簡単な「フルインストール」で構成しておき、一通りの設定などが終わったら「Server Core」や「最少サーバーインターフェイス」に切り替えて、より安全に稼働させる、という使い方があります。

Server Core フルインストール 最小サーバーインターフェイス 相互に変更可能

(「Server Core」は脆弱性を減少させるなどのメリットはありますが、多くの GUI 操作ができなくなることや、サードパーティのアプリケーション、例えばバックアップソフトやアンチウィルスソフトがこのモードに対応していない可能性があるため、採用する前に十分な検討が必要です。)

Active Directoryのセキュリティ対策としては、他にも次のような方法や技法があります。

機能レベルを上げる

Active Directory ドメインコントローラーによって「できること」が「機能レベル」として定義されていますが、これは上位ほど、セキュリティに関する強化があります。
例えば、先に紹介した「細かい設定が可能なパスワードポリシー」などを使うには、一定の機能レベルに上げておく必要があります。
しかしながら、古いバージョンのドメインコントローラーからなるActive Directoryドメインを、新しいバージョンのものにアップグレードしても、機能レベルは自動では上がってくれず、せっかくの高機能・高セキュア環境が使えないまま、という組織は多いようです。可能であれば、できるだけ機能レベルを上げるようにしましょう。

新しいバージョンのOSを使う

Active Directory ドメインコントローラーや、ドメインに参加しているコンピューターは、可能な限り新しいバージョンの OS にすることが理想です。それにより、以前との互換のために有効になっていた脆弱な機能を使わなくて済むようになるかもしれません。

Windowsファイアウォールを止めない

Windows 標準のファイアウォールである「Windows ファイアウォール」の無効化は避けましょう。これを有効化しておき、できるだけ組織内のネットワークであっても、余計な通信は受けないようにしましょう。

まとめ

今回は、Active Directory のセキュリティ対策について紹介しました。不正行為は日々増えているため、残念ながら今回ご紹介した対策方法で全ての攻撃に対処できるというわけではありません。他にも「強固な認証方式の採用」、「LMハッシュの悪用阻止」など、対策はいろいろとあります。
次のようなマイクロソフトのドキュメントも参考にしながら、よりセキュアなActive Directory環境の構築、維持に努めてください。

NTLM の概要

Kerberos 認証の概要

Windows でパスワードの LAN Manager ハッシュが Active Directory とローカル SAM データベースに保存されないようにする方法

Best Practices for Securing Active Directory

冒頭でもお知らせしましたが、コラムは今回が最終回です。機会があれば、またWindows Serverの便利機能や新機能などについてご紹介したいと思います。
ご購読ありがとうございました。

Windows Server活用のススメ 一覧へ

このページの上部へ

Windows Server最新書籍を抽選でプレゼント!

「Windows Server最新書籍プレゼント」は終了しました。
たくさんのご応募ありがとうございました。

標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド

コラム執筆者 知北 直宏氏の標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイドを抽選で10名様にプレゼント!ベストセラー2008 R2の続編です。好評につき、第四弾!今回の締切は2015年7月31日です。お早めにご応募ください。
※当選は賞品の発送をもって代えさせていただきます。

このページの上部へ
アイティデザイン株式会社 代表取締役社長 知北 直宏

著者プロフィール

アイティデザイン株式会社 代表取締役社長 知北 直宏(ちきた なおひろ)
Microsoft MVP - Directory Services
マイクロソフトのサーバ製品を中心に、提案、設計、導入、そしてサポートまで、オールインワンで対応しているエンジニア。また、Windows NT時代から技術書籍を執筆。最近は、マイクロソフト主催イベントでの登壇や、マイクロソフトのホワイトペーパーの執筆なども行っている。
標準テキスト Windows Server 2008 R2構築・運用・管理パーフェクトガイド標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド
主な著書:
標準テキスト Windows Server 2008 R2構築・運用・管理パーフェクトガイド
標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド
  1. クラウドサービスのbit-drive TOP>
  2. Windows Server 2003 移行支援サイト>
  3. 連載コラム Windows Server活用のススメ