攻撃に対するドメイン コントローラーのセキュリティ保護

法律 3: 不適切なアクターがコンピューターへの無制限の物理的アクセス権を持っている場合は、コンピューターではなくなります。 - セキュリティに関する 10 の不変の法則 (バージョン 2.0)

ドメイン コントローラーは、企業がサーバー、ワークステーション、ユーザー、およびアプリケーションを効率的に管理できるようにするサービスやデータを提供するのに加えて、Active Directory Domain Services (AD DS) データベースの物理記憶域を提供します。 ドメイン コントローラーへの特権アクセスが取得された場合、悪意のあるユーザーは AD DS データベース、さらには Active Directory で管理されているすべてのシステムとアカウントを変更、破損、または破壊する可能性があります。

ドメイン コントローラーは AD DS データベース内の任意の場所から読み取りおよび書き込みを行うことができるため、ドメイン コントローラーの侵害は、既知の適切なバックアップを使用して回復し、侵害の原因となるギャップを埋めない限り、Active Directory フォレストを再び信頼できると見なせないことを意味します。

攻撃者の準備、ツール、スキルによっては、数日または数週間ではなく、数分または数時間で回復不可能な損害を完了できます。 重要なのは、攻撃者が Active Directory への特権アクセス権を持つ期間ではなく、特権アクセス時に攻撃者がどのように準備されているかです。 ドメイン コントローラーのセキュリティを侵害すると、メンバー サーバー、ワークステーション、Active Directory を破壊する最も直接的なパスが提供される可能性があります。 この脅威のため、ドメイン コントローラーは、個別に、しかも一般的なインフラストラクチャよりも厳重にセキュリティで保護する必要があります。

ドメイン コントローラーの物理的なセキュリティ

このセクションでは、ドメイン コントローラーを物理的にセキュリティで保護する方法について説明します。 ドメイン コントローラーは、データセンター、ブランチ オフィス、またはリモートの場所にある物理マシンまたは仮想マシンである可能性もあります。

データセンター ドメイン コントローラー

物理ドメイン コントローラー

データセンターでは、物理ドメイン コントローラーは、一般的なサーバー集団とは別の安全な専用ラックまたはケージにインストールする必要があります。 可能な場合は、トラステッド プラットフォーム モジュール (TPM) チップを使用してドメイン コントローラーを構成し、ドメイン コントローラー サーバー内のすべてのボリュームを BitLocker ドライブ暗号化経由で保護する必要があります。 BitLocker を使用すると、わずかなパフォーマンス オーバーヘッドが発生しますが、ディスクがサーバーから削除された場合でも、ディレクトリが侵害から保護されます。 BitLocker は、ブート ファイルを変更するとサーバーが回復モードで起動し、元のバイナリを読み込むことができるため、ルートキットなどの攻撃からシステムを保護するのにも役立ちます。 ソフトウェア RAID、Serial Attached SCSI、SAN/NAS ストレージ、またはダイナミック ボリュームを使用するようにドメイン コントローラーが構成されている場合、BitLocker を実装できません。したがって、ローカルに接続されたストレージ (ハードウェア RAID の有無にかかわらず) は、可能な限りドメイン コントローラーで使用する必要があります。

仮想ドメイン コントローラー

仮想ドメイン コントローラーを実装する場合は、環境内の他の仮想マシンとは別の物理ホストでもドメイン コントローラーが実行されるようにする必要があります。 Microsoft 以外の仮想化プラットフォームを使用している場合でも、Windows Server の Hyper-V に仮想ドメイン コントローラーをデプロイすることを検討してください。 この構成では攻撃面を最小限に抑えることができます。また、他の仮想化ホストではなく、ホストするドメイン コントローラーで構成を管理できます。 仮想化インフラストラクチャの管理に System Center Virtual Machine Manager (SCVMM) を実装する場合は、ドメイン コントローラー仮想マシンが存在する物理ホストとドメイン コントローラー自体の管理を、承認された管理者に委任できます。 また、記憶域管理者が仮想マシン ファイルにアクセスできないように、仮想ドメイン コントローラーの記憶域を分離することも検討してください。

ブランチの場所

ブランチ内の物理ドメイン コントローラー

複数のサーバーが存在しているにもかかわらず、データセンター サーバーがセキュリティで保護されている程度まで物理的に保護されていない場所では、すべてのサーバー ボリュームに対して、物理ドメイン コントローラーを TPM チップと BitLocker ドライブ暗号化を使用して構成する必要があります。 ドメイン コントローラーをブランチの場所のロックされた部屋に格納できない場合は、それらの場所に Read-Only ドメイン コントローラー (RODC) を展開することを検討する必要があります。

ブランチ内の仮想ドメイン コントローラー

可能な限り、サイト内の他の仮想マシンとは別の物理ホスト上のブランチ オフィスで仮想ドメイン コントローラーを実行する必要があります。 仮想ドメイン コントローラーを仮想サーバーの残りの部分とは別の物理ホストで実行できないブランチ オフィスでは、可能であれば、仮想ドメイン コントローラーを実行するホスト、少なくともすべてのホストに TPM チップと BitLocker ドライブ暗号化を実装する必要があります。 ブランチ オフィスの規模と物理ホストのセキュリティに応じて、ブランチの場所に RODC を展開することを検討してください。

限られたスペースとセキュリティを備えたリモートの場所

インフラストラクチャに 1 つの物理サーバーのみをインストールできる場所が含まれている場合は、仮想化ワークロードを実行できるサーバーをインストールし、BitLocker ドライブ暗号化を構成して、サーバー上のすべてのボリュームを保護する必要があります。 サーバー上の 1 つの仮想マシンを RODC として実行し、他のサーバーをホスト上で個別の仮想マシンとして実行する必要があります。 RODC の展開の計画に関する情報は、読み取り専用ドメイン コントローラーの計画と展開に関するガイドに記載されています。 仮想化ドメイン コントローラーの展開とセキュリティ保護の詳細については、「Hyper-V でのドメイン コントローラーの実行」を参照してください。 Hyper-V のセキュリティ強化、仮想マシンの管理の委任、仮想マシンの保護に関する詳細なガイダンスについては、 Hyper-V セキュリティ ガイドを参照してください。

ドメイン コントローラーのオペレーティング システム

組織でサポートされている最新バージョンの Windows Server で、すべてのドメイン コントローラーを実行する必要があります。 組織は、ドメイン コントローラー集団内でレガシ オペレーティング システムの使用停止を優先する必要があります。 ドメイン コントローラーを最新の状態に維持し、レガシ ドメイン コントローラーを排除することで、新しい機能とセキュリティを利用できます。 この機能は、レガシ オペレーティング システムを実行しているドメイン コントローラーがあるドメインまたはフォレストでは使用できない場合があります。

ドメイン コントローラーのセキュリティで保護された構成

ツールを使用して、GPO に適用するドメイン コントローラーの初期セキュリティ構成基準を作成できます。 これらのツールについては、「 セキュリティ ポリシー設定の管理 」と 「Desired State Configuration の概要」を参照してください。

RDP の制限

フォレスト内のすべてのドメイン コントローラー OU にリンクするグループ ポリシー オブジェクトは、許可されたユーザーやジャンプ サーバーなどのシステムからの RDP 接続のみを許可するように構成する必要があります。 制御は、ユーザー権限の設定とセキュリティが強化された Windows ファイアウォールの構成を組み合わせることで実現できます。 これらの制御は GPO で実装できるため、ポリシーが一貫して適用されます。 ポリシーがバイパスされる場合、次のグループ ポリシーの更新でシステムが適切な構成に戻ります。

ドメイン コントローラーの修正プログラムと構成管理

常識に反するように思えるかもしれませんが、ドメイン コントローラーと他の重要なインフラストラクチャ コンポーネントへのパッチ適用は、一般的な Windows インフラストラクチャとは別に実行することを検討してください。 インフラストラクチャ内の全コンピューターを対象にエンタープライズ構成管理ソフトウェアを利用している場合、システム管理ソフトウェアが侵害されると、それを利用して、管理対象のあらゆるインフラストラクチャ コンポーネントを侵害または破壊できるようになります。 ドメイン コントローラーのパッチとシステム管理を一般集団から分離することで、ドメイン コントローラーの管理を厳密に制御するだけでなく、ドメイン コントローラーにインストールされるソフトウェアの量を減らすことができます。

ドメイン コントローラーのインターネット アクセスのブロック

Active Directory セキュリティ評価の一部として実行されるチェックの 1 つは、ドメイン コントローラー上の Web ブラウザーの使用と構成です。 ドメイン コントローラーでは Web ブラウザーを使用しないでください。 何千ものドメイン コントローラーを分析すると、特権ユーザーが Internet Explorer を使用して組織のイントラネットまたはインターネットを参照する多くのケースが明らかになります。

Windows インフラストラクチャで最も強力なコンピューターの 1 つからインターネットまたは感染したイントラネットを閲覧すると、組織のセキュリティに甚大なリスクが生じます。 ドライブを介してダウンロードするか、マルウェアに感染した "ユーティリティ" のダウンロードを介して、攻撃者は Active Directory 環境を完全に侵害または破壊するために必要なすべてのものにアクセスできます。

ポリシーと技術コントロールを使用して、ドメイン コントローラーでの Web ブラウザーの起動を制限する必要があります。 ドメイン コントローラーとの間の一般的なインターネット アクセスも厳密に制御する必要があります。

すべての組織は、ID とアクセス管理に対するクラウドベースのアプローチに移行し、Active Directory から Microsoft Entra ID に移行することをお勧めします。 Microsoft Entra ID は、ディレクトリを管理し、オンプレミスおよびクラウド アプリへのアクセスを可能にし、セキュリティの脅威から ID を保護するための完全なクラウドの ID およびアクセス管理ソリューションです。 Microsoft Entra ID には、多要素認証、条件付きアクセス ポリシー、ID 保護、ID ガバナンス、Privileged Identity Management などの ID を保護するための堅牢で詳細なセキュリティ制御セットが用意されています。

ほとんどの組織は、クラウドへの移行中にハイブリッド ID モデルで動作します。このモデルでは、オンプレミスの Active Directory の一部の要素が Microsoft Entra Connect 経由で同期されます。 このハイブリッド モデルは任意の組織に存在しますが、Microsoft Defender for Identity を使用して、これらのオンプレミス ID をクラウドで保護することをお勧めします。 ドメイン コントローラーと AD FS サーバー上の Defender for Identity センサーを構成すると、プロキシと特定のエンドポイントを介してクラウドへの安全な一方向接続が可能になります。 このプロキシ接続を構成する方法の詳細については、Defender for Identity の技術ドキュメントを参照してください。 この厳密に制御された構成により、確実に、これらのサーバーをクラウド サービスに接続するリスクは軽減され、組織は Defender for Identity によって実現される保護機能の向上から恩恵を受けることができます。 また、Microsoft Defender for Servers など、クラウドを利用したエンドポイント検出を使用してこれらのサーバーを保護することもお勧めします。

Active Directory のオンプレミスのみの実装を維持するための規制またはその他のポリシー主導の要件がある組織では、ドメイン コントローラーとの間のインターネット アクセスを完全に制限することをお勧めします。

境界ファイアウォールの制限

境界ファイアウォールは、ドメイン コントローラーからインターネットへの送信接続をブロックするように構成する必要があります。 ドメイン コントローラーはサイト境界を越えて通信する必要がある場合がありますが、「 Active Directory ドメインと信頼のファイアウォールを構成する方法」で説明されているガイドラインに従って、境界ファイアウォールを構成してサイト間通信を許可できます。

ドメイン コントローラーからの Web 参照の防止

AppLocker 構成、"ブラック ホール" プロキシ構成、およびセキュリティが強化された Windows ファイアウォールの構成を組み合わせて使用すると、ドメイン コントローラーがインターネットにアクセスするのを防ぎ、ドメイン コントローラーで Web ブラウザーが使用されないようにすることができます。