今日、私たちの著者の1人であるActive Directory Cookbookの著者であるBrian Svidergolの投稿を翻訳し始めています。 ブライアンは、ITインフラストラクチャの問題を専門としています。 AD、Exchange、ストレージシステムなどを管理します。ブライアンは元のテキストを一般的なフレーズでwithしみなく希釈しました。
最小特権の原則
ウィキペディアには、最小特権の原則に関する優れた記事が含まれています。 簡単に言えば、この原則を遵守するということは、ユーザーに自分のタスクを実行するために絶対に必要な特権のみを与えることを意味します。
情報セキュリティインシデント
ネットワークには、ITシステムのセキュリティに対する内部セキュリティの重要な脅威に関するデータがまったく異なります。 侵入の15%だけが企業ネットワークから実行されていると言うレポートを見てきました。 私は約50%と言う他のレポートを見ましたが、ADの安全な管理は攻撃がどこで行われたかを知ることではなく、内部の脅威であるか外部の脅威であるかはそれほど重要ではありません。 Active Directoryは、ほとんどの場合、攻撃者の主な標的であることが重要です。 ADの制御を取得した後、攻撃者は特権エスカレーションを使用して数百の異なるITシステムを管理できます。 以下に例を示します。
1) Microsoft Exchange。 ExchangeサーバーのActive Directoryの管理と管理は、多くの場合、さまざまなIT専門家によって行われますが、ADのグループを通じて特権が付与されます。
Active Directoryを制御できる場合は、適切なグループに自分を追加して、組織のメールサブシステム全体へのフルアクセスを取得できます。 たとえば、管理者のメールボックスへのアクセス、機密情報をコピーする機能、DBAなどの高レベルのアクセス権を持つ管理者に代わって行動する機能。
2) Microsoft Lync。 状況はExchangeに似ています:ロールベースのアクセス、ADグループを通じて付与される特権。 適切なグループに自分を追加すると、組織内の任意のユーザーに代わってメッセージを送信できます。 通話のリダイレクト、スケジュールされた予定のキャンセル、メッセージログの読み取りができます。
3) 共有フォルダー。 ほとんどのファイルリソース、共有フォルダーなどは、ADグループによって制御されます。 多くの場合、最も機密性の高い情報は、パブリックフォルダー(給与データ、従業員の個人データ、構成文書)に保存されます。 ADを制御する攻撃者は、PowerShellを使用して、企業ネットワーク上の任意のファイル共有にすばやくアクセスできます。
どれほど速く物事が手に負えなくなるかを見てください? リスクを軽減するのに役立ついくつかのヒントを提供し、最小限の特権の原則を使用します。
ヘルプデスクの従業員は、Active Directoryのほとんどのユーザーのパスワードをリセットできます。
ヘルプデスクの従業員がDBAパスワードをリセットできる場合、任意のデータベースにアクセスできます。 実際には、攻撃者は常にリソースへのアクセスを取得する最も簡単な方法を探しているため、ドメイン管理者アカウントにハッキングする必要はありません。 このような場合に必要なのは、複数のサポートスタッフをフィッシングしてアカウントにアクセスすることだけです。
サポートスタッフが特権アカウントのパスワードをリセットできないようにすることをお勧めします。そのような場合、セキュリティスペシャリストが関与するか、パスワードをリセットする安全な方法を個別に使用する必要があります。
追加のアカウントに管理権限を委任すると、フィッシング攻撃、ブラウザーの脆弱性、またはウイルス活動に関連するリスクを軽減できます。 管理者は、手紙を読んだり、ウェブページを開いたりすることができます。 昇格した特権が付与されていないアカウントを使用します。
Domain Adminsグループのサービスアカウント 。 特定のソフトウェアが動作するためにサービスが必要な状況によくいると思います。サービスはサービスアカウントで実行する必要があります。 そしてもちろん、このアカウントは確かにDomain Adminsグループの一部でなければなりません。 このような状況での最初の適切なステップは、ソフトウェア製造業者に公式文書を要求することです。 ドキュメントには、サービスの開始と実行に必要な最小限の特権が記載されている可能性があります。 そのような情報がない場合は、関連するフォーラムに目を通すことをお勧めします。おそらく、この製品を最初にインストールして構成するのではなく、解決策が既に見つかっている可能性があります。 いずれの場合でも、サービスアカウントのパスワードを定期的に変更することをお勧めします。 このプロセスを自動化できます。このための無料ツール、 Netwrix Privileged Account Managerを提供します。
元のテキスト
_____
PS一般に、このすべて:特権アカウントのパスワードのリセット、追加のアカウントを使用して実行されたアクション、特権の増加の試みは、 変更を監査するソフトウェアツールを使用して簡単に追跡できます。 これにより、インフラストラクチャとデータが保護されるだけでなく、管理者とヘルプデスクの負担が部分的に軽減されます。 例(レポートのタイプ、レポートの生成方法、情報コンテンツ )として、 Netwrix Auditorを見ることができます。 試用版とオンラインテストドライブが利用可能です 。