Clever Geek Handbook

セキュアなActive Directory管理。 パート3(最終)

今日、Active Directoryの安全な管理に関する一連の短いメモを完了します。 この資料は、Active Directory CookBookの著者であるBrian Svidergolによる翻訳です。



いつものように、インフラストラクチャのセキュリティを強化するのに役立つアイデアに注目してください。 前の2つの部分は、以下のリンクにあります。

パート1

パート2



このパートでは、AD関連イベントの監視について説明します。





成功した操作と失敗した操作の両方を追跡する必要があるのはなぜですか?



失敗した操作のみを追跡しますか? 残念ながら、監査戦略を修正する必要があります、と著者は考えています。 正常に完了したイベントを監視することの重要性を示す例をいくつか示します。



たとえば、ドメインコントローラーの設定を変更したユーザーを知りたいとします。 変更は成功しました。 変更を行うには、ドメインに正常にログインする必要がありました。 そして、リモート管理ツール(RDPまたはMMC)を正常に使用します。 あなたがそれらを追跡しないなら、この全体の物語は成功した行動に直接満ちています-誰が何をいつ変えたかを理解することは困難です。

別の例:ドメインへのログインのサービスアカウントによる失敗した試みに関連付けられた多数のイベントが表示されます。 失敗した試行を追跡できることは素晴らしいことです。 攻撃が停止した理由を理解できないのは悪いことです。攻撃者はまだログインできているか、攻撃に疲れていました。 どちらの場合も、成功した操作と失敗した操作の両方を追跡することをお勧めします。



ADを監視する方法は?



Domain Adminsグループに焦点を当てることを提案します(ただし、これらの推奨事項はすべての重要なセキュリティグループに適用されます)。グループメンバーシップのすべての変更を監視し、追加と削除の両方を監視する必要があります。 そうしないと、攻撃者が一時的にDomain Adminsに自分自身を追加したことを知らない場合があります。



次に、グループポリシーについて説明します。 誤ったGP監査戦略は、悲惨な結果をもたらす可能性があります。 たとえば、攻撃者は組織のワークステーションでフィッシング攻撃を行いたいと考えていますが、現在のIE設定はそのような攻撃の効果を妨害または低下させます。 攻撃者にとって適切なオプションは、GPO、GPOを変更することです。

別の例:攻撃者は、ドメインに含まれるすべてのマシンにマルウェアをインストールする必要があります。 この場合、彼はグループポリシーを効果的に使用して、新しいオブジェクトを作成することもできます。



したがって、GPの継続的な監視は、インフラストラクチャを保護する上で重要な役割を果たします。 オブジェクト(GPO)の作成と変更、およびオブジェクトバインディング(GPOリンク)を追跡する必要があります。 また、誰が変更を開始したかを知る必要もあります。 管理タスクに専用サブネットを使用すると、AD監視を比較的迅速にセットアップできます(パート2を思い出してください)。 個別のサーバー、IPアドレス、またはコンテナー/グループに複数のフィルターをインストールする代わりに、サブネット全体を監視できます。



アラートの数を減らす方法は?



System Center Operations Manager(SCOM)をインストールしたことがある人なら誰でも、私が話していることを知っています。 今日、監視ソリューションはより複雑になり、膨大な数のシステムをサポートしています。 SystemCenterは、文字通りあらゆるサーバーソフトウェアまたは機器に存在する特別なパッケージの助けを借りて拡張します。 これらのすべてのパッケージがインストールおよび接続されると、管理者はインフラストラクチャの「問題」に関する多数のアラートで殺到します。 その結果、すべてが正常に行われている場合、管理者はこれらのアラートへの応答を停止します。 そして、1つまたは複数のシステムがすでに実際に動作を停止したインシデントの場合にのみ、必死にそれらを表示し始めます。



私の戦略は非常に単純です。問題が発生するたびに監視システムのコンソールを見ます。 監視システムからインシデントを防ぐのに十分な情報が提供されたかどうかを理解しようとしていますか? 適切な人にアラートが送信されましたか? 多くの場合、管理者は「グループごと」にアラートを受け取ります。 彼らがサービスを提供するシステムについてだけでなく、同僚についてもです。 管理者に通知が表示されても、「とにかく、この部門は別の部門によって解決される」ため、彼らは応答しません。



要約すると 、アラートの数を減らすのに役立つ3つの簡単な質問を提案します。



  1. 通知に対する管理者側の反応(アクション)がありましたか? そうでない場合、なぜですか? そのようなアラートをすぐに消すことは可能ですか? これは動作中のシステムに影響しますか?

    その場合、管理者に届かないように、そのようなアラートをすぐにセットアップします。
  2. 他の従業員が責任を負うシステムに関するアラートを受け取りますか? その場合、他の従業員も同じアラートを受け取りますか? 答えが再び「はい」の場合は、メーリングリストから自分自身を削除します。 他の従業員がこれらの通知を購読していない場合は、それらを追加して自分で削除します。 それを担当する人だけがアラートを受け取るべきです。
  3. 重大ではないインシデントについてCMCアラートを受け取りますか? (空き容量の20%がディスクに残ります)はいの場合、ニュースレターから番号を削除します。 SMSアラートは、生産的な環境で重大なインシデントが発生した場合にのみ発生します。そうしないと、アラートへの適切な応答が停止します。




このメモの元のテキストは英語です。


More articles:


All Articles