攻撃に対してドメイン コントローラーをセキュリティで保護する
適用先:Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
法則番号 3: 悪意のある攻撃者があなたのコンピューターに対して物理的なアクセスを無制限に行える場合、もはやそれはあなたのコンピューターではない。 - セキュリティに関する 10 の不変の法則 (バージョン 2.0)。
ドメイン コントローラーは、企業がサーバー、ワークステーション、ユーザー、およびアプリケーションを効率的に管理できるようにするサービスやデータを提供するのに加えて、Active Directory Domain Services (AD DS) データベースの物理記憶域を提供します。 悪意のあるユーザーがドメイン コントローラーへの特権アクセスを取得した場合、彼らは、AD DS データベース、ひいては Active Directory によって管理されているすべてのシステムとアカウントを変更、破損、または破壊する恐れがあります。
ドメイン コントローラーは AD DS データベース内のすべての内容の読み取りと書き込みが可能であるため、ドメイン コントローラーのセキュリティが侵害された場合、問題がないことがわかっているバックアップを使用して回復し、セキュリティ侵害を可能にしたギャップを埋めることができない限り、自分の Active Directory フォレストが信頼できると見なすことはできません。
攻撃者の準備、ツール、スキルによっては、回復不可能な損傷が、数日や数週間ではなく、数分から数時間で完了する可能性があります。 重要なのは、攻撃者が Active Directory に特権アクセスできる期間ではなく、特権アクセスを取得した時点で攻撃者がどの程度の攻撃を計画していたかということです。 ドメイン コントローラーのセキュリティを侵害すると、メンバー サーバー、ワークステーション、Active Directory を破壊する最も直接的なパスが提供される可能性があります。 この脅威のため、ドメイン コントローラーは、個別に、しかも一般的なインフラストラクチャよりも厳重にセキュリティで保護する必要があります。
ドメイン コントローラーの物理的なセキュリティ
このセクションでは、ドメイン コントローラーを物理的にセキュリティで保護する方法について説明します。 データセンター、ブランチ オフィス、またはリモートの場所では、ドメイン コントローラーは物理マシンの場合もあれば仮想マシンの場合もあります。
データセンターのドメイン コントローラー
物理ドメイン コントローラー
データセンターでは、物理ドメイン コントローラーは、一般的なサーバー集団とは別の安全な専用ラックまたはケージにインストールする必要があります。 可能な場合は、トラステッド プラットフォーム モジュール (TPM) チップを使用してドメイン コントローラーを構成し、ドメイン コントローラー サーバー内のすべてのボリュームを BitLocker ドライブ暗号化経由で保護する必要があります。 通常、BitLocker を使用すると、1 桁のパーセンテージでパフォーマンスのオーバーヘッドが追加されますが、サーバーからディスクが取り外された場合でも、ディレクトリをセキュリティ侵害から保護することができます。 また、BitLocker は、ルートキットなどの攻撃からシステムを保護するのにも役立ちます。これは、ブート ファイルの変更により、サーバーが回復モードで起動し、元のバイナリを読み込むことができるためです。 ソフトウェア RAID、Serial Attached SCSI、SAN/NAS ストレージ、またはダイナミック ボリュームを使用するようにドメイン コントローラーが構成されている場合、BitLocker を実装できません。したがって、ローカルに接続されたストレージ (ハードウェア RAID の有無にかかわらず) は、可能な限りドメイン コントローラーで使用する必要があります。
仮想ドメイン コントローラー
仮想ドメイン コントローラーを実装する場合は、ドメイン コントローラーも環境内の他の仮想マシンとは別の物理ホストで、確実に実行されるようにする必要があります。 サード パーティの仮想化プラットフォームを使用している場合でも、Windows Server の Hyper-V に仮想ドメイン コントローラーを展開することを検討してください。これにより、攻撃を受ける可能性が最小限になり、他の仮想化ホストで管理するのではなく、ホストするドメイン コントローラーで管理できます。 仮想化インフラストラクチャの管理のために System Center Virtual Machine Manager (SCVMM) を実装する場合は、ドメイン コントローラー仮想マシンが存在する物理ホストとドメイン コントローラー自体の管理を、承認された管理者に委任できます。 また、記憶域管理者が仮想マシン ファイルにアクセスできないように、仮想ドメイン コントローラーの記憶域を分離することも検討してください。
注意
同じ物理仮想化サーバー (ホスト) 上で仮想化ドメイン コントローラーを機密性の低い他の仮想マシンと併置する場合は、Hyper-V のシールドされた VM など、役割ベースの職務の分離を適用するソリューションの実装を検討してください。 このテクノロジは、悪意のある、または手がかりのないファブリック管理者 (仮想化、ネットワーク、ストレージ、バックアップ管理者など) に対する包括的な保護を提供します。リモート構成証明とセキュリティで保護された VM プロビジョニングを使用して、物理的な信頼のルートを活用し、専用の物理サーバーと同じレベルのセキュリティを効果的に確保します。
ブランチの場所
ブランチ内の物理ドメイン コントローラー
複数のサーバーが存在しているにもかかわらず、データセンター サーバーがセキュリティで保護されている程度まで物理的に保護されていない場所では、すべてのサーバー ボリュームに対して、物理ドメイン コントローラーを TPM チップと BitLocker ドライブ暗号化を使用して構成する必要があります。 ブランチの場所の施錠された部屋にドメイン コントローラーを格納できない場合は、その場所に Read-Only Domain Controllers (RODC) を展開することを検討してください。
ブランチ内の仮想ドメイン コントローラー
可能な限り、サイト内の他の仮想マシンとは別の物理ホスト上で、ブランチ オフィスの仮想ドメイン コントローラーを実行する必要があります。 仮想ドメイン コントローラーを他の仮想サーバー集団とは別の物理ホスト上で実行できないブランチ オフィスでは、少なくとも仮想ドメイン コントローラーが実行されるホスト、および可能な場合はすべてのホストで TPM チップと BitLocker ドライブ暗号化を実装する必要があります。 ブランチ オフィスの規模と物理ホストのセキュリティに応じて、ブランチの場所に RODC を展開することを検討してください。
スペースとセキュリティが制限されたリモートの場所
1 台の物理サーバーしかインストールできない場所がインフラストラクチャに含まれている場合は、仮想化ワークロードを実行できるサーバーをインストールし、サーバー内のすべてのボリュームを保護するように BitLocker ドライブ暗号化を構成する必要があります。 サーバー上の 1 台の仮想マシンで RODC を実行し、他のサーバーをホスト上の別の仮想マシンとして実行する必要があります。 RODC の展開の計画に関する情報は、読み取り専用ドメイン コントローラーの計画と展開に関するガイドに記載されています。 仮想化ドメイン コントローラーの展開とセキュリティ保護の詳細については、「Hyper-V でのドメイン コントローラーの実行」を参照してください。 Hyper-V のセキュリティ強化、仮想マシンの管理の委任、仮想マシンの保護に関する詳細なガイダンスについては、Microsoft Web サイトで「Hyper-V セキュリティ ガイド」のソリューション アクセラレータに関するページを参照してください。
ドメイン コントローラーのオペレーティング システム
組織内でサポートされている最新バージョンの Windows Server ですべてのドメイン コントローラーを実行します。 組織は、ドメイン コントローラー集団内でレガシ オペレーティング システムの使用停止を優先する必要があります。 ドメイン コントローラーを最新の状態に保ち、レガシー ドメインコントローラーを排除することで、新しい機能とセキュリティを活用することができます。 この機能は、レガシー オペレーティング システムを実行しているドメイン コントローラーを備えたドメインまたはフォレストでは使用できない場合があります。
注意
セキュリティを重視した単一目的の構成では、オペレーティング システムを Server Core インストール オプションで展開することをお勧めします。 攻撃を受ける可能性を最小限に抑えたり、パフォーマンスを向上させたり、人的エラーの可能性を低減したりするなど、複数の利点があります。 Privileged Access Workstations (PAW) やセキュリティで保護された管理用のホストなどの高度なセキュリティで保護された専用エンドポイントから、すべての操作と管理をリモートで実行することをお勧めします。
セキュリティで保護されたドメイン コントローラーの構成
ツールを使用すると、後で GPO で適用できるドメイン コントローラーの初期セキュリティ構成基準を作成できます。 これらのツールについては、Microsoft オペレーティング システム ドキュメントの「管理者セキュリティ ポリシー設定」セクション、または「Windows 用の Desired State Configuration (DSC)」で説明されています。
RDP の制限
フォレスト内のすべてのドメイン コントローラー OU にリンクするグループ ポリシー オブジェクトは、承認されたユーザーとシステム (ジャンプ サーバーなど) からのみの RDP 接続を許可するように構成する必要があります。 制御は、ユーザー権利の設定と WFAS 構成の組み合わせによって実現でき、ポリシーが一貫して適用されるように GPO に実装する必要があります。 ポリシーがバイパスされる場合、次のグループ ポリシーの更新でシステムが適切な構成に戻ります。
ドメイン コントローラーのパッチと構成管理
直感に反するように見えるかもしれませんが、ドメイン コントローラーと他の重要なインフラストラクチャ コンポーネントのパッチ適用は、一般の Windows インフラストラクチャとは別に実行することを検討してください。 インフラストラクチャ内の全コンピューターを対象にエンタープライズ構成管理ソフトウェアを利用している場合、システム管理ソフトウェアが侵害されると、それを利用して、管理対象のあらゆるインフラストラクチャ コンポーネントを侵害または破壊できるようになります。 ドメイン コントローラーのパッチとシステム管理を一般的な集団から分離すると、ドメイン コントローラーにインストールされるソフトウェアの量を削減できるだけでなく、管理を厳しく制御することができます。
ドメイン コントローラーのインターネット アクセスのブロック
Active Directory Security Assessment の一部として実行されるチェックの 1 つは、ドメイン コントローラーでの Internet Explorer の使用と構成です。 ドメイン コントローラーでは Web ブラウザーを使用しないでください。 数千のドメイン コントローラーを分析すると、特権のあるユーザーが Internet Explorer を使用して組織のイントラネットやインターネットを参照する多数のケースが明らかになりました。
「セキュリティ侵害に至る過程」の "誤った構成" セクションで説明されているように、高い特権を持つアカウントを使用して、Windows インフラストラクチャ内の最も強力なコンピューターの 1 つからインターネット (または感染したイントラネット) を参照すると、組織のセキュリティに大きなリスクが生じます。 ドライブを介してダウンロードするか、マルウェアに感染した "ユーティリティ" をダウンロードするかにかかわらず、攻撃者は、Active Directory 環境を完全に侵害または破壊するために必要なすべてのものにアクセスできます。
Windows Server および現行バージョンの Internet Explorer では、悪意のあるダウンロードに対するさまざまな保護が用意されていますが、インターネットの参照にドメイン コントローラーと特権アカウントが使用されていたほとんどのケースで、ドメイン コントローラーが Windows Server 2003 を実行していたか、より新しいオペレーティング システムとブラウザーによって提供される保護が意図的に無効になっていました。
ドメイン コントローラーでの Web ブラウザーの起動は、ポリシーと技術的な制御によって制限する必要があります。 これに加えて、ドメイン コントローラーとの間の一般的なインターネット アクセスも厳密に制御する必要があります。
マイクロソフトでは、ID およびアクセス管理に対するクラウドベースのアプローチへの移行と、Active Directory から Microsoft Entra ID への移行をすべての組織にお勧めしています。 Microsoft Entra ID は、ディレクトリを管理し、オンプレミスおよびクラウド アプリへのアクセスを可能にし、セキュリティの脅威から ID を保護するための完全なクラウドの ID およびアクセス管理ソリューションです。 Microsoft Entra ID には、Multi-Factor Authentication、条件付きアクセス ポリシー、Identity Protection、ID ガバナンス、Privileged Identity Management など、ID を保護するのに役立つ堅牢で細分性の高いセキュリティ制御セットも備えています。
ほとんどの組織は、クラウドへの移行中にハイブリッド ID モデルで運営されます。この場合、オンプレミスの Active Directory の一部の要素は Microsoft Entra Connect を使用して同期されます。 このハイブリッド モデルはどの組織にも存在しますが、Microsoft では、Microsoft Defender for Identity を使用して、これらのオンプレミス ID をクラウドで保護することをお勧めします。 ドメイン コントローラーと AD FS サーバーでの Defender for Identity センサーの構成により、プロキシを介したクラウド サービスおよび特定のエンドポイントへの高度に保護された一方向の接続が可能になります。 このプロキシ接続を構成する方法の詳細については、Defender for Identity の技術ドキュメントを参照してください。 この厳密に制御された構成により、確実に、これらのサーバーをクラウド サービスに接続するリスクは軽減され、組織は Defender for Identity によって実現される保護機能の向上から恩恵を受けることができます。 また、Microsoft は、これらのサーバーを Microsoft Defender for Servers のようなクラウドを利用したエンドポイント検出で保護することをお勧めします。
Active Directory のオンプレミスのみの実装を維持するための規制またはその他のポリシー主導の要件を保持する組織の場合、Microsoft は、ドメイン コントローラーとの間のインターネット アクセスを完全に制限することをお勧めしています。
境界ファイアウォールの制限
境界ファイアウォールは、ドメイン コントローラーからインターネットへの送信接続をブロックするように構成する必要があります。 ドメイン コントローラーでサイトの境界を越えた通信が必要になる場合がありますが、サイト間通信を許可するように境界ファイアウォールを構成できます。それには、Microsoft サポートの Active Directory ドメインと信頼のためにファイアウォールを構成する方法に関するページのガイドラインに従ってください。
ドメイン コントローラーからの Web 閲覧の防止
AppLocker 構成、"ブラック ホール" プロキシ構成、WFAS 構成を組み合わせて使用すると、ドメイン コントローラーがインターネットにアクセスできないようにし、ドメイン コントローラーで Web ブラウザーを使用できないようにすることができます。