トークンを使用してWindowsドメインをより安全にする方法は？ パート1

おそらくあなたの何人かは、最近発表された事件について聞いたことがあるでしょう。 米国の半導体メーカーであるAllegro MicroSystem LLCは、以前のIT専門家を妨害行為で訴えました。 ニメシュ・パテルは、会社で14年間働いており、新会計年度の最初の週に重要な財務データを破壊しました。

これはどのように起こりましたか？

解任から2週間後、Patelはウスター（米国マサチューセッツ州）の本社に入社し、企業のWi-Fiネットワークをキャッチしました。 元同僚と職場のラップトップの資格情報を使用して、Patelは企業ネットワークにログインしました。 その後、彼はコードをOracleモジュールに導入し、2016年4月1日（新会計年度の最初の週）にその実行をプログラムしました。 このコードは、特定のヘッダーまたはポインターを別のデータベーステーブルにコピーし、モジュールから削除することを目的としていました。 ちょうど4月1日に、データがシステムから削除されました。 攻撃者はAllegroネットワークに合法的にログインしたため、彼の行動はすぐには気づきませんでした。

一般の人々は詳細を知りませんが、ほとんどの場合、企業がネットワークにアクセスするためにパスワード認証を使用したという事実により、事件が可能になった可能性が高いです。 確かに他のセキュリティ問題もありましたが、パスワードはユーザーに気付かれずに盗まれることがあり、盗まれた資格情報を使用する瞬間まで、パスワードの盗難の事実は検出されません。

強力な2要素認証の使用と有能なセキュリティポリシーと組み合わせたパスワードの使用の禁止は、記載されている開発を回避しないとしても、そのような計画の実装を大きく妨げる可能性があります。

会社のセキュリティレベルを大幅に向上させ、このような事件から身を守る方法について説明します。 トークンと暗号化（外国および国内）を使用して、重要なデータの認証と署名を構成する方法を学習します。

最初の記事では、WindowsドメインアカウントにログインするときにPKIを使用して強力な2要素認証を設定する方法について説明します。

次の記事では、Bitlockerの構成方法、電子メールの保護方法、最も単純なワークフローについて説明します。 お客様とともに、企業リソースへの安全なアクセスと、VPNを介した安全なリモートアクセスを設定します。

二要素認証

経験豊富なシステム管理者とセキュリティサービスは、ユーザーがセキュリティポリシーへのコンプライアンスを非常に意識していないことを十分に認識しており、ステッカーに資格情報を書き留めてコンピューターの横に貼り付けたり、同僚にパスワードを転送したりすることができます。 これは、パスワードが複雑で（6文字を超え、異なるレジスタ、数字、特殊文字の文字で構成されている）覚えにくい場合に特に頻繁に発生します。 ただし、そのようなポリシーは、理由により管理者によって設定されます。 これは、辞書のパスワードの単純な列挙からユーザーアカウントを保護するために必要です。 また、管理者は、この期間中に複雑なパスワードでもクリアすることが理論的に可能であるという理由だけで、少なくとも6か月に1回パスワードを変更することをお勧めします。

認証とは何かを思い出しましょう。 私たちの場合、これはサブジェクトまたはオブジェクトの信頼性を確認するプロセスです。 ユーザー認証は、ユーザーを認証するプロセスです。

また、2要素認証は、少なくとも2つの異なる方法を使用してIDを確認する必要がある認証です。

実際の2要素認証の最も単純な例は、ロックとコードの組み合わせによる安全です。 このような金庫を開くには、コードを知り、キーを所有する必要があります。

トークンとスマートカード

おそらく、2要素認証を実装する最も信頼性が高く最も簡単な方法は、暗号化トークンまたはスマートカードを使用することです。 トークンは、リーダーとスマートカードの両方であるUSBデバイスです。 この場合の最初の要因はデバイスの所有権の事実であり、2番目はそのPINコードの知識です。

トークンまたはスマートカードを使用してから、だれに使用するのがより便利です。 しかし、歴史的に、ロシアではトークンを使用することが一般的になりました。トークンは組み込みまたは外部のスマートカードリーダーの使用を必要としないためです。 トークンにも欠点があります。 たとえば、写真を印刷しません。

写真は典型的なスマートカードとリーダーを示しています。

しかし、企業のセキュリティに戻ります。

ロシアのほとんどの企業ではWindowsドメインを中心に企業ネットワークが構築されているため、Windowsドメインから始めます。

ご存知のように、Windowsドメインポリシー、ユーザー設定、Active Directoryのグループ設定は、膨大な数のアプリケーションとネットワークサービスへのアクセスを提供および制限します。

ドメインのアカウントを保護することにより、ほとんどの、場合によってはすべての内部情報リソースを保護できます。

PINコードを使用したトークンドメインでの2要素認証は、通常のパスワードスキームより安全なのはなぜですか？

PINコードは特定のデバイス（この場合はトークン）に関連付けられています。 PINコードだけを知っているとうまくいきません。

たとえば、トークンからのPINコードは電話で他の人に口述することができ、これはトークンに十分注意し、無人のままにしないと攻撃者に何も与えません。

パスワードを使用すると、状況はまったく異なります。攻撃者がドメインのアカウントからパスワードを取得、推測、スパイ、または何らかの形で押収した場合、攻撃者はドメイン自体とこれを使用する他の企業サービスの両方を自由に入力できます同じアカウント。

トークンは、コピーできない一意の物理オブジェクトです。 正当なユーザーがいます。 トークンによる2要素認証は、管理者が意図的にまたは監視によってシステムの「抜け穴」を残した場合にのみ回避できます。

トークンでドメインを入力する利点

トークンからのPINコードは、パスワードよりもはるかに単純であるため、覚えやすいです。 「経験のある」ユーザーが、「安全な」パスワードを覚えて入力することで、数回の試行でシステムを認証することができないことを、人生で少なくとも一度は見たことがあるはずです。

トークンはPINコードの検索に対してより耐性があるため、PINコードを常に変更する必要はありません。 何度も入力に失敗すると、トークンはブロックされます。

ユーザーにトークンを使用する場合、システムへのログインは次のようになります。コンピューターをロードした後、トークンをコンピューターのUSBポートに接続し、4〜6桁を入力してEnterボタンを押します。 一般の人々の数字の入力速度は、文字の入力速度よりも速い。 したがって、PINコードの入力が速くなります。

トークンを使用すると、「放棄された職場」の問題を解決できます。ユーザーが職場を離れ、アカウントからログアウトするのを忘れた場合です。

ドメインポリシーは、トークンが取得されたときにコンピューターが自動的にロックされるように構成できます。 また、トークンには会社の敷地内を通過するためのRFIDタグを装備することができるため、職場からトークンを拾うことなく、従業員は領土内を移動することはできません。

欠点、それらがない場合

トークンまたはスマートカードは無料ではありません（予算）。

それらを考慮し、管理し、維持する必要があります（トークン管理システムとスマートカードによって解決されます）。

一部の情報システムは、「そのまま」トークンによる認証をサポートしていない場合があります（シングルアカウントを使用して地域のリソースにアクセスする可能性を整理するように設計されたシングルサインオンシステムによって解決されます）。

Windowsドメインで2要素認証を構成する

理論的な部分：

Active Directoryディレクトリサービスは、Windows 2000以降、スマートカードとトークンによる認証をサポートしています。KerberosRFC 4556プロトコルのPKINIT拡張機能（公開キーの初期化-公開キーの初期化）に組み込まれています。

Kerberosは、強力なユーザー認証を提供するように特別に設計されています。 認証データの集中ストレージを使用でき、Single Sing-Onメカニズムを構築する基礎となります。 プロトコルは、キーエンティティチケット（チケット）に基づいています。

チケット（チケット）は、Kerberosプロトコル（キー配布センター（KDC、キー配布センター））の観点から、信頼できる認証センターによって発行される暗号化されたデータパケットです。

ユーザーが認証に成功した後にプライマリ認証を実行すると、KDCはネットワークリソースにアクセスするためのプライマリユーザーID-チケット許可チケット（TGT）を発行します。

その後、ユーザーは個々のネットワークリソースにアクセスするときに、TGTを送信し、特定のネットワークリソース-チケット許可サービス（TGS）にアクセスするための証明書をKDCから受け取ります。

高レベルのセキュリティを提供するKerberosプロトコルの利点の1つは、対話中にパスワードもパスワードのクリアハッシュ値も送信されないことです。

PKINIT拡張により、Kerberos事前認証段階でトークンまたはスマートカードによる2要素認証を使用できます。

ログインは、ドメインディレクトリサービスとローカルディレクトリサービスの両方を使用して提供できます。 TGTは、スマートカードまたはトークンで計算される電子署名に基づいて作成されます。

クライアントとサーバーの相互認証のプロセスが実装されているため、すべてのドメインコントローラーに証明書ドメインコントローラー認証またはKerberos認証がインストールされている必要があります。

練習：

設定しましょう。

トークンを提示し、PINコードを知っている場合にのみ、アカウントのドメインにアクセスできるようにします。

デモンストレーションには、Aktivが作成したPKI Rutoken EDSを使用します。

ステージ1-ドメインのセットアップ最初に、認証サービスをインストールします。

免責事項

この記事は、エンタープライズPKIの実装に関するチュートリアルではありません。 PKIの設計、展開、および有能な使用の問題は、このトピックが広大であるため、ここでは考慮しません。

このようなソリューションが実装されているフォレスト内のすべてのドメインコントローラーとすべてのクライアントコンピューターは、ルート証明機関（認証機関）を確実に信頼する必要があります。

証明機関の目的は、電子署名証明書を使用して暗号化キーの信頼性を検証することです。

技術的には、証明機関は、ユーザーの暗号化キーを管理するグローバルディレクトリサービスのコンポーネントとして実装されます。 公開キーおよびその他のユーザー情報は、証明機関によってデジタル証明書の形式で保存されます。

スマートカードまたはトークンを使用するための証明書を発行する証明機関は、NT Authorityリポジトリに配置する必要があります。

サーバーマネージャーに移動し、[役割と機能の追加]を選択します。

サーバーの役割を追加するときは、「Active Directory証明書サービス」を選択します（パフォーマンスの問題が発生しないように、ドメインコントローラーではこれを行わないことを強くお勧めします）。 開いたウィンドウで、「コンポーネントの追加」を選択し、「認証局」を選択します。

コンポーネントのインストールを確認するページで、「インストール」をクリックします。

ステージ2-トークンを使用してドメインエントリを設定する

システムに入るには、スマートカードログオンおよびクライアント認証識別子を含む証明書が必要です。

スマートカードまたはトークンの証明書には、ユーザーのUPN（ユーザープリンシパル名のサフィックス）も含める必要があります。 既定では、アカウントのユーザープリンシパル名のサフィックスは、ユーザーアカウントを含むDNSドメイン名です。

証明書と秘密キーはスマートカードまたはトークンの適切なセクションに配置する必要がありますが、秘密キーはデバイスのメモリの保護領域に配置する必要があります。

証明書は、証明書失効リストの配布ポイント（CRL配布ポイント）へのパスを指定する必要があります。 このようなファイルには、証明書のシリアル番号、失効日、失効理由を示す証明書のリストが含まれています。 失効した証明書に関する情報を、証明書の信頼性を検証しようとするユーザー、コンピューター、およびアプリケーションに転送するために使用されます。

インストール済みの認証サービスを構成します。 右上隅にある感嘆符の付いた黄色の三角形をクリックし、「証明書サービスの構成...」をクリックします。

[資格情報]ウィンドウで、役割を構成するために必要なユーザー資格情報を選択します。 認証局を選択します。

エンタープライズCAを選択します

エンタープライズCAはADと統合されています。 ADで証明書と証明書失効リストを公開します。

「ルートCA」のタイプを指定します。

次のステップで、「新しい秘密鍵を作成する」を選択します。

証明書の有効期間を選択します。

ステージ3-証明書テンプレートの追加

証明書テンプレートを追加するには、コントロールパネルを開き、[管理ツール]を選択して、認証局を開きます。

フォルダ「Certificate Templates」の名前をクリックし、「Management」を選択します。

テンプレートの名前「スマートカードユーザー」をクリックし、「テンプレートのコピー」を選択します。 以下のスクリーンショットは、「新規テンプレートプロパティ」ウィンドウのどのパラメータを変更する必要があるかを示しています。

サプライヤーのリストに「Aktiv ruToken CSP v1.0」が含まれていない場合、「Rootoken Drivers for Windows」キットをインストールする必要があります。

Windows Server 2008 R2以降、製造元の特別なプロバイダーの代わりに、「Microsoft Base Smart Card Crypto Provider」を使用できます。

Rootokenデバイスの場合、「Microsoft Base Smart Card Crypto Provider」をサポートする「minidriver」ライブラリは、Windows Updateを介して配布されます。

「ミニドライバー」がサーバーにインストールされているかどうかを確認するには、Rutokenをサーバーに接続し、デバイスマネージャーを確認します。

何らかの理由で「ミニドライバ」がない場合は、「Rootoken Drivers for Windows」キットをインストールし、「Microsoft Base Smart Card Crypto Provider」を使用して強制的にインストールできます。

Rootoken Drivers for Windows Kitは、 Rutokenサイトから無料で配布されています。

「認証エージェント」と「ルートケンのユーザー」の2つの新しいテンプレートを追加します。

これを行うには、「テンプレート管理」ウィンドウを終了します。 「証明書テンプレート」を右クリックして、「作成」メニュー項目と「発行された証明書テンプレート」サブ項目を選択します。

次に、「登録エージェント」と「Rutokenのユーザー」を選択し、「OK」をクリックします。









その結果、これらのテンプレートの名前が証明機関に表示されます。

次に、ドメイン管理者に証明書を発行する必要があります。 Runサービスを開き、 mmcコマンドを指定します。 証明書スナップインを追加します。

[証明書マネージャースナップイン]ウィンドウで、[ユーザーアカウント]を選択します。 [スナップインの追加と削除]ウィンドウで、証明書の追加を確認します。

[証明書]フォルダーを選択します。

新しい証明書を要求します。 証明書を登録するページが開きます。 証明書を要求する段階で、登録ポリシー「管理者」を選択し、「アプリケーション」をクリックします。

同様に、登録エージェントの証明書を要求します。

特定のユーザーの証明書を要求するには、[証明書]をクリックし、[代理で登録...]を選択します。

証明書を要求するためのウィンドウで、「Rootokenを持つユーザー」チェックボックスを選択します。

次に、ユーザーを選択する必要があります。

[選択したオブジェクトの名前を入力]フィールドで、ドメイン内のユーザー名を指定し、[名前の確認]をクリックします。

ユーザーを選択するためのウィンドウで、「アプリケーション」をクリックします。

ドロップダウンリストで、トークン名を選択し、PINコードを指定します。

同様に、ドメイン内の他のユーザーの証明書を選択します。

ステージ4-ユーザーアカウントの設定

アカウントを設定するには、ADユーザーとコンピューターのリストを開きます。

[ユーザー]フォルダーと[プロパティ]項目を選択します。

[アカウント]タブに移動し、[ネットワークへの対話型アクセスにはスマートカードが必要です]ボックスをオンにします。

セキュリティポリシーを構成します。 これを行うには、コントロールパネルを開き、[管理]を選択します。 メニューを開いてグループポリシーを管理します。

[グループポリシー管理]ウィンドウの左側で、[デフォルトドメインポリシー]をクリックし、[変更]を選択します。

[グループポリシー管理エディター]ウィンドウの左側で、[セキュリティ設定]項目を選択します。

Interactive Login：Require Smart Cardポリシーを開きます。

[セキュリティポリシーの設定]タブで、[次のポリシー設定を定義する]チェックボックスをオンにします。

Interactive Login：Smart Card Removal Behaviorポリシーを開きます。

[セキュリティポリシー設定]タブで、[次のポリシー設定を定義する]チェックボックスをオンにし、ドロップダウンリストから[ワークステーションロック]を選択します。

コンピューターを再起動します。 そして、次回ドメインで認証を試みるときに、トークンとそのPINコードをすでに使用できます。

ビンゴ！

ドメインに入るための2要素認証が構成されています。つまり、追加のセキュリティ機能に正気を費やすことなく、Windowsドメインに入るためのセキュリティレベルが大幅に向上します。 現在、トークンなしではシステムへのログインは不可能であり、ユーザーは落ち着いて息をすることができ、複雑なパスワードに悩まされることはありません。

次のステップは安全なメールです。次の記事で、それについて、および他のシステムでの安全な認証の設定について読んでください。