Active Directory Domain Services (AD DS) のセキュリティを強化するための要件を指定する
次の表は、このドキュメントに記載されている、AD DS インストール環境のセキュリティ保護に関する推奨事項をまとめたものです。 ベスト プラクティスには戦略的なものと戦術的なものがあります。前者は計画と実装のための包括的なプロジェクトを必要とし、後者は Active Directory と関連インフラストラクチャの特定のコンポーネントに重点を置いています。
プラクティスの一覧はおおよその優先順位で並んでいます。つまり数字が小さいほど優先順位が高いことを意味します。 該当する場合は、ベスト プラクティスを予防型または検出型と区別しています。 ここに示す推奨事項はいずれも、組織の特性と要件に応じて十分にテストし、修正する必要があります。
| ベスト プラクティス | 戦術的または戦略的 | 予防型または検出型 |
|---|---|---|
| アプリケーションにパッチを適用する。 | 戦術的 | 予防 |
| オペレーティング システムにパッチを適用する。 | 戦術的 | 予防 |
| 全システムでウイルス対策とマルウェア対策のソフトウェアを展開してすみやかに更新し、その削除や無効化が行われないように監視する。 | 戦術的 | 両方 |
| 機密性の高い Active Directory オブジェクトが変更されないように監視するとともに、Windows でセキュリティ侵害の試行を示すイベントが発生していないかを監視する。 | 戦術的 | 検出 |
| 機密データにアクセスできるユーザーのアカウントを保護し、監視する。 | 戦術的 | 両方 |
| 未承認のシステムで高い権限を持つアカウントが使用されないようにする。 | 戦術的 | 予防 |
| 高特権グループで永続的なメンバーシップを排除する。 | 戦術的 | 予防 |
| 特権グループで一時的なメンバーシップを付与する制御を実装する (必要な場合)。 | 戦術的 | 予防 |
| セキュリティで保護された管理ホストを実装する。 | 戦術的 | 予防 |
| ドメイン コントローラー、管理ホスト、その他の機密性の高いシステムでアプリケーション許可リストを使用します。 | 戦術的 | 予防 |
| 重要な資産を特定し、そのセキュリティと監視を優先する。 | 戦術的 | 両方 |
| 最小特権のロールベースのアクセス制御を実装して、ディレクトリとそのサポート インフラストラクチャ、ドメイン参加システムを管理する。 | 戦略的 | 予防 |
| レガシ システムとレガシ アプリケーションを分離する。 | 戦術的 | 予防 |
| レガシ システムとレガシ アプリケーションの使用を停止する。 | 戦略的 | 予防 |
| カスタム アプリケーション用にセキュリティで保護された開発ライフサイクル プログラムを実装する。 | 戦略的 | 予防 |
| 構成管理を実装し、コンプライアンスを定期的に確認し、ハードウェアやソフトウェアのバージョンが新しくなるたびに設定を評価する。 | 戦略的 | 予防 |
| 重要な資産を、セキュリティと監視の要件を厳しくした初期状態のフォレストに移行する。 | 戦略的 | 両方 |
| エンド ユーザー向けのセキュリティを簡素化する。 | 戦略的 | 予防 |
| ホスト ベースのファイアウォールを使用して、通信の制御とセキュリティ保護を行う。 | 戦術的 | 予防 |
| デバイスにパッチを適用する。 | 戦術的 | 予防 |
| IT 資産に対してビジネス主体のライフサイクル管理を実装する。 | 戦略的 | 該当なし |
| インシデント復旧計画を作成または更新する。 | 戦略的 | 該当なし |
Active Directory の攻撃を削減する
このセクションでは、Active Directory インストール環境の攻撃面を縮小するための技術的な制御に焦点を当てます。 このセクションで取り上げるトピックは次のとおりです。
「Active Directory の特権アカウントと特権グループ」セクションでは、Active Directory で最も高い特権を持つアカウントとグループ、および特権アカウントを保護するメカニズムについて説明します。 Active Directory 内では、3 つの組み込みグループ Enterprise Admins、Domain Admins、Administrators がディレクトリの最高特権グループですが、その他にも保護が必要なグループとアカウントが多数あります。
「最小特権管理モデルの実装」セクションでは、高特権アカウントを日常の管理に使用することで生じるリスクを明らかにした上で、そのリスクを軽減するための推奨事項を提示します。
過剰な特権が見つかるのは、セキュリティ侵害を受けた環境の Active Directory 内だけではありません。 必要以上の特権を付与する習慣がついている組織では、一般にインフラストラクチャ全体でこうした特権が見つかります。
Active Directory の場合
メンバー サーバー上
ワークステーション上
アプリケーション内
データ リポジトリ内
「セキュリティで保護された管理ホストの実装」セクションでは、セキュリティで保護された管理ホスト、つまり Active Directory と接続先システムの管理をサポートするように構成されたコンピューターについて説明します。 このホストは管理機能専用であり、電子メール アプリケーション、Web ブラウザー、生産性ソフトウェア (Microsoft Office など) などのソフトウェアは実行されません。
このセクションの内容は次のとおりです。
セキュリティで保護された管理ホストを作成するための原則 - 留意すべき一般原則は次のとおりです。
- 信頼されたシステムを信頼性の低いホストから管理しない。
- 特権アクティビティを実行する場合は単一認証要素を使用しない。
- セキュリティで保護された管理ホストの設計や実装を行うときに物理的なセキュリティを忘れないようにする。
攻撃に対するドメイン コントローラーのセキュリティ保護 - 悪意のあるユーザーによってドメイン コントローラーに対する特権アクセスが取得されると、Active Directory データベース、さらには Active Directory で管理されるすべてのシステムとアカウントがそのユーザーによって改変、破損、破壊されるおそれがあります。
このセクションで取り上げるトピックは次のとおりです。
ドメイン コントローラーの物理的なセキュリティ - データセンター、ブランチ オフィス、リモート サイトにあるドメイン コントローラーに物理的なセキュリティを提供するための推奨事項を提示します。
ドメイン コントローラーのオペレーティング システム - ドメイン コントローラーのオペレーティング システムをセキュリティで保護するための推奨事項を提示します。
セキュリティで保護されたドメイン コントローラーの構成 - 自由に利用できる標準の構成ツールと設定を利用してドメイン コントローラーのセキュリティ構成基準を作成し、その後にグループ ポリシー オブジェクト (GPO) によって適用することができます。