攻撃に対してドメイン コントローラーをセキュリティで保護する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

法則番号 3: 悪意のある攻撃者があなたのコンピューターに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピューターではない。 - セキュリティに関する 10 の不変の法則 (バージョン 2.0)

ドメイン コントローラーは、企業がサーバー、ワークステーション、ユーザー、およびアプリケーションを効率的に管理できるようにするサービスやデータを提供するのに加えて、Active Directory Domain Services (AD DS) データベースの物理記憶域を提供します。 ドメイン コントローラーへの特権アクセスが取得された場合、悪意のあるユーザーは AD DS データベース、さらには Active Directory で管理されているすべてのシステムとアカウントを変更、破損、または破壊する可能性があります。

ドメイン コントローラーは AD DS データベース内のすべての内容の読み取りと書き込みが可能であるため、ドメイン コントローラーのセキュリティが侵害された場合、問題がないことがわかっているバックアップを使用して回復し、セキュリティ侵害を可能にしたギャップを埋めることができない限り、自分の Active Directory フォレストが信頼できると見なすことはできません。

攻撃者の準備、ツール、スキルによっては、回復不可能な損傷が、数日や数週間ではなく、数分から数時間で完了する可能性があります。 重要なのは、攻撃者が Active Directory への特権アクセスをどのくらいの期間保持するかではなく、特権アクセスが取得された瞬間に向けて攻撃者がどの程度計画を立てていたかです。 ドメイン コントローラーのセキュリティを侵害すると、メンバー サーバー、ワークステーション、Active Directory を破壊する最も直接的なパスが提供される可能性があります。 この脅威のため、ドメイン コントローラーは、個別に、しかも一般的なインフラストラクチャよりも厳重にセキュリティで保護する必要があります。

ドメイン コントローラーの物理的なセキュリティ

このセクションでは、ドメイン コントローラーを物理的にセキュリティで保護する方法について説明します。 ドメイン コントローラーは、データセンター、ブランチ オフィス、またはリモートの場所にある物理マシンまたは仮想マシンである可能性もあります。

データセンターのドメイン コントローラー

物理ドメイン コントローラー

データセンターでは、物理ドメイン コントローラーは、一般的なサーバー集団とは別の安全な専用ラックまたはケージにインストールする必要があります。 可能な場合は、トラステッド プラットフォーム モジュール (TPM) チップを使用してドメイン コントローラーを構成し、ドメイン コントローラー サーバー内のすべてのボリュームを BitLocker ドライブ暗号化経由で保護する必要があります。 パフォーマンスのオーバーヘッドが多少増えますが、BitLocker は、サーバーからディスクが取り外された場合でもディレクトリをセキュリティ侵害から保護します。 また、BitLocker は、ルートキットなどの攻撃からシステムを保護するのにも役立ちます。ブート ファイルの変更により、サーバーが回復モードで起動し、元のバイナリを読み込むことができるためです。 ソフトウェア RAID、Serial Attached SCSI、SAN/NAS ストレージ、またはダイナミック ボリュームを使用するようにドメイン コントローラーが構成されている場合、BitLocker を実装できません。したがって、ローカルに接続されたストレージ (ハードウェア RAID の有無にかかわらず) は、可能な限りドメイン コントローラーで使用する必要があります。

仮想ドメイン コントローラー

仮想ドメイン コントローラーを実装する場合は、ドメイン コントローラーも環境内の他の仮想マシンとは別の物理ホストで、確実に実行されるようにする必要があります。 Microsoft 以外の仮想化プラットフォームを使用している場合でも、Windows Server の Hyper-V に仮想ドメイン コントローラーをデプロイすることを検討してください。 この構成では攻撃面を最小限に抑えることができます。また、他の仮想化ホストではなく、ホストするドメイン コントローラーで構成を管理できます。 仮想化インフラストラクチャの管理のために System Center Virtual Machine Manager (SCVMM) を実装する場合は、ドメイン コントローラー仮想マシンが存在する物理ホストとドメイン コントローラー自体の管理を、承認された管理者に委任できます。 また、記憶域管理者が仮想マシン ファイルにアクセスできないように、仮想ドメイン コントローラーの記憶域を分離することも検討してください。

注意

同じ物理仮想化サーバー (ホスト) 上で仮想化ドメイン コントローラーを機密性の低い他の仮想マシンと併置する場合は、Hyper-V のシールドされた VM など、役割ベースの職務の分離を適用するソリューションの実装を検討してください。 このテクノロジは、悪意のある、または手がかりのないファブリック管理者 (仮想化、ネットワーク、ストレージ、バックアップ管理者など) に対する包括的な保護を提供します。リモート構成証明とセキュリティで保護された VM プロビジョニングを使用して、物理的な信頼のルートを活用し、専用の物理サーバーと同じレベルのセキュリティを効果的に確保します。

ブランチの場所

ブランチ内の物理ドメイン コントローラー

複数のサーバーが存在しているにもかかわらず、データセンター サーバーがセキュリティで保護されている程度まで物理的に保護されていない場所では、すべてのサーバー ボリュームに対して、物理ドメイン コントローラーを TPM チップと BitLocker ドライブ暗号化を使用して構成する必要があります。 ブランチの場所の施錠された部屋にドメイン コントローラーを格納できない場合は、その場所に Read-Only Domain Controllers (RODC) を展開することを検討してください。

ブランチ内の仮想ドメイン コントローラー

可能な限り、サイト内の他の仮想マシンとは別の物理ホスト上で、ブランチ オフィスの仮想ドメイン コントローラーを実行する必要があります。 仮想ドメイン コントローラーを他の仮想サーバー集団とは別の物理ホスト上で実行できないブランチ オフィスでは、少なくとも仮想ドメイン コントローラーが実行されるホスト、および可能な場合はすべてのホストで TPM チップと BitLocker ドライブ暗号化を実装する必要があります。 ブランチ オフィスの規模と物理ホストのセキュリティに応じて、ブランチの場所に RODC を展開することを検討してください。

スペースとセキュリティが制限されたリモートの場所

1 台の物理サーバーしかインストールできない場所がインフラストラクチャに含まれている場合は、仮想化ワークロードを実行できるサーバーをインストールし、サーバー内のすべてのボリュームを保護するように BitLocker ドライブ暗号化を構成する必要があります。 サーバー上の 1 台の仮想マシンで RODC を実行し、他のサーバーをホスト上の別の仮想マシンとして実行する必要があります。 RODC の展開の計画に関する情報は、読み取り専用ドメイン コントローラーの計画と展開に関するガイドに記載されています。 仮想化ドメイン コントローラーの展開とセキュリティ保護の詳細については、「Hyper-V でのドメイン コントローラーの実行」を参照してください。 Hyper-V のセキュリティ強化、仮想マシンの管理の委任、仮想マシンの保護に関する詳細なガイダンスについては、Microsoft Web サイトで「Hyper-V セキュリティ ガイド」のソリューション アクセラレータに関するページを参照してください。

ドメイン コントローラーのオペレーティング システム

組織内でサポートされている最新バージョンの Windows Server ですべてのドメイン コントローラーを実行します。 組織は、ドメイン コントローラー集団内でレガシ オペレーティング システムの使用停止を優先する必要があります。 ドメイン コントローラーを最新の状態に保ち、レガシ ドメイン コントローラーを排除することで、新しい機能とセキュリティを活用できるようにすることを優先させる必要があります。 この機能は、レガシ オペレーティング システムを実行しているドメイン コントローラーを持つドメインまたはフォレストでは使用できない場合があります。

Note

セキュリティを重視した単一目的の構成では、オペレーティング システムを Server Core インストール オプションで展開することをお勧めします。 攻撃を受ける可能性を最小限に抑えたり、パフォーマンスを向上させたり、人的エラーの可能性を低減したりするなど、複数の利点があります。 Privileged Access Workstations (PAW)セキュリティで保護された管理用のホストなどの高度なセキュリティで保護された専用エンドポイントから、すべての操作と管理をリモートで実行することをお勧めします。

セキュリティで保護されたドメイン コントローラーの構成

ツールを使用して、GPO で適用されるドメイン コントローラーの初期セキュリティ構成ベースラインを作成できます。 これらのツールについては、Microsoft オペレーティング システム ドキュメントの「管理者セキュリティ ポリシー設定」セクション、または「Windows 用の Desired State Configuration (DSC)」で説明されています。

RDP の制限

フォレスト内のすべてのドメイン コントローラー OU にリンクするグループ ポリシー オブジェクトは、承認されたユーザーとシステム (ジャンプ サーバーなど) からのみの RDP 接続を許可するように構成する必要があります。 ユーザー権利設定と、セキュリティが強化された Windows ファイアウォール (WFAS) を組み合わると、制御を実現できます。 これらの制御は GPO で実装できるため、ポリシーが一貫して適用されます。 ポリシーがバイパスされる場合、次のグループ ポリシーの更新でシステムが適切な構成に戻ります。

ドメイン コントローラーのパッチと構成管理

常識に反するように思えるかもしれませんが、ドメイン コントローラーと他の重要なインフラストラクチャ コンポーネントへのパッチ適用は、一般的な Windows インフラストラクチャとは別に実行することを検討してください。 インフラストラクチャ内の全コンピューターを対象にエンタープライズ構成管理ソフトウェアを利用している場合、システム管理ソフトウェアが侵害されると、それを利用して、管理対象のあらゆるインフラストラクチャ コンポーネントを侵害または破壊できるようになります。 ドメイン コントローラーのパッチとシステム管理を一般的な集団から分離すると、ドメイン コントローラーにインストールされるソフトウェアの量を削減できるだけでなく、管理を厳しく制御することができます。

ドメイン コントローラーのインターネット アクセスのブロック

Active Directory セキュリティ評価の一環として実行されるチェックの 1 つは、ドメイン コントローラーでの Web ブラウザーの使用と構成です。 ドメイン コントローラーでは Web ブラウザーを使用しないでください。 数千のドメイン コントローラーを分析した結果、特権ユーザーが Internet Explorer を使用して組織のイントラネットまたはインターネットを閲覧しているケースが多数判明しました。

Windows インフラストラクチャで最も強力なコンピューターの 1 つからインターネットまたは感染したイントラネットを閲覧すると、組織のセキュリティに甚大なリスクが生じます。 ドライブを介してダウンロードするか、マルウェアに感染した "ユーティリティ" をダウンロードするかにかかわらず、攻撃者は、Active Directory 環境を完全に侵害または破壊するために必要なすべてのものにアクセスできます。

ドメイン コントローラーで Web ブラウザーを起動する場合は、ポリシーと技術的制御を使用して制限する必要があります。 ドメイン コントローラとの間で生じる一般的なインターネット アクセスも厳しく制御する必要があります。

マイクロソフトでは、ID およびアクセス管理に対するクラウドベースのアプローチへの移行と、Active Directory から Microsoft Entra ID への移行をすべての組織にお勧めしています。 Microsoft Entra ID は、ディレクトリを管理し、オンプレミスおよびクラウド アプリへのアクセスを可能にし、セキュリティの脅威から ID を保護するための完全なクラウドの ID およびアクセス管理ソリューションです。 Microsoft Entra ID には、多要素認証、条件付きアクセス ポリシー、ID 保護、ID ガバナンス、Privileged Identity Management など、ID の保護に役立つ堅牢で詳細なセキュリティ制御が複数用意されています。

ほとんどの組織がクラウドへの移行中はハイブリッド ID モデルで運用しています。そうした環境では、Microsoft Entra Connect を使用して、オンプレミスの Active Directory の一部要素が同期されています。 このハイブリッド モデルはどのような組織にも存在しますが、Microsoft では、Microsoft Defender for Identity を使用して、こうしたオンプレミス ID をクラウドで保護することをお勧めします。 ドメイン コントローラーと AD FS サーバーに Defender for Identity センサーを構成すると、セキュリティで保護された一方向のクラウド接続が、プロキシと特定のエンドポイントを介して可能になります。 このプロキシ接続を構成する方法の詳細については、Defender for Identity の技術ドキュメントを参照してください。 この厳密に制御された構成により、確実に、これらのサーバーをクラウド サービスに接続するリスクは軽減され、組織は Defender for Identity によって実現される保護機能の向上から恩恵を受けることができます。 また、Microsoft は、これらのサーバーを Microsoft Defender for Servers のようなクラウドを利用したエンドポイント検出で保護することをお勧めします。

規制またはその他のポリシーに基づいて、Active Directory のオンプレミスのみの実装を維持する要件を持つ組織の場合、Microsoft では、ドメイン コントローラーとの間で生じるインターネット アクセスを完全に制限することをお勧めします。

境界ファイアウォールの制限

境界ファイアウォールは、ドメイン コントローラーからインターネットへの送信接続をブロックするように構成する必要があります。 ドメイン コントローラーではサイトの境界をまたぐ通信が必要な場合がありますが、「Active Directory ドメインと信頼関係のためのファイアウォールを構成する方法」に記載されているガイドラインに従って、サイト間通信を許可するように境界ファイアウォールを構成できます。

ドメイン コントローラーからの Web 閲覧の防止

AppLocker 構成、"ブラック ホール" プロキシ構成、WFAS 構成を組み合わせて使用すると、ドメイン コントローラーがインターネットにアクセスできないようにし、ドメイン コントローラーで Web ブラウザーを使用できないようにすることができます。