ActiveDirectory(以下AD)自体のセキュリティ対策って中々、考えられていないのが実情ではないでしょうか。
しかし、ADを狙ったサイバー攻撃は実際にあるので、インフラ管理者は、ADを守る必要があります。 そこで、いくつかADのセキュリティ対策について情報を集めてみたいと思います。
まず、ADは様々なサーバ、端末の認証を管理する為、とても重要なサーバと言えます。 その為、マルウェア対策としてウイルス対策ソフトをインストールするのは当然の事ながら、可能な対策を施す必要があります。
そこで、参考になるのがIPAの情報です。 情報セキュリティ【注意喚起】組織のウイルス感染の早期発見と対応を(IPA)
3. Active Directoryのログの確認・不審なログインなどのログActive Directoryの運用をされている組織はログなどから不審な兆候が無いか確認してください。想定されないアカウントでのログイン想定されない端末やサーバーへのログイン想定されない端末での管理者ログイン想定されない時間帯のアクセス想定されない管理者操作やポリシーの変更
ここにある通り、ADのログというのは非常に重要な判断ツールになります。その為、監査ログを有効にするとかは、最低限やっておく必要があります。
そして、本家マイクロソフトが提供するADのセキュリティ設定です。ちょっと古いですが、参考になります。
ここにある通り、管理者アカウントを可能な限りセキュリティで保護することは、組織のネットワーク資産を包括的に保護する上で欠かせないとあります。
なるべくAdministrators グループは使わない
ローカル コンピュータでプログラムの実行やインターネット サイトの閲覧など日常的なタスクを実行する場合は、ドメイン ユーザー アカウントは Administrators グループには追加せず、Users グループのみに追加してください。 ローカル コンピュータまたは Active Directory で管理タスクを実行する必要がある場合は、[別のユーザーとして実行] コマンドを使用して、管理者資格情報でプログラムを起動します。
この[別のユーザーとして実行] コマンドを使用して、管理者資格情報でプログラムを起動するというのは初めて知りました。 [別のユーザーとして実行] コマンドを使用すると、コンピュータまたは Active Directory のデータをほとんど危険にさらさずに管理タスクを実行できるそうです。 これは知っておいて損はないでしょう。 続いて、管理者アカウントのセキュリティを強化するための推奨事項です。
Windows Server 2003 でセキュリティを強化された管理者アカウントを使用するには、次の推奨事項のガイドラインに従ってください。
・ユーザー アカウントと管理者アカウントを別にする。
・Secondary Logon サービスを使用する。
・管理を行う場合は別のターミナル サービス セッションを実行する。
・既定の Administrator アカウントの名前を変更する。
・おとりの Administrator アカウントを作成する。
・代わりの管理者アカウントを作成し、ビルトイン Administrator アカウントを無効にする。
・リモートでの管理者ログオンに対してアカウントのロックアウトを有効にする。
・強固な管理者パスワードを作成する。
・脆弱なパスワードを自動的にスキャンする。
・管理者資格情報は、信頼されたコンピュータのみで使用する。
・アカウントとパスワードを定期的に監査する。
・アカウントの委任を禁止する。
・管理者のログオン プロセスを管理する。
これだけでもかなりの対策になるのではないでしょうか。というのも、既定の Administrator アカウントの名前を変更し、おとりの Administrator アカウントを作成することで、内部犯行に気づくことができる可能性があります。 後、やっておいたほうがいいのは、ADのセグメントをわけるという事ですね。ADに直接アクセルできる端末を分ける事で、不正なアクセスを遮断することができます。
一般ユーザーが管理サーバーに直接アクセスできるネットワーク環境は、今の時代は論外ですね。特にインターネット接続する端末は、重要なサーバーへのアクセスは禁止すべきです。 他にもAD対するセキュリティ設定はいろいろとできることがあるので、情報が増えたら追記します。
