攻撃に対してドメイン コントローラーをセキュリティで保護するSecuring Domain Controllers Against Attack

適用先:Windows Server 2016 では、Windows Server 2012 R2、Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

法 3: 悪意のあるユーザーがコンピューターに物理的にアクセスできない場合、それはコンピューターではなくなります。Law Number Three: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore. - セキュリティに関する10の不変法 (バージョン 2.0) - Ten Immutable Laws of Security (Version 2.0)

ドメインコントローラーは、企業がサーバー、ワークステーション、ユーザー、およびアプリケーションを効率的に管理できるようにするサービスとデータを提供するだけでなく、AD DS データベースの物理ストレージを提供します。Domain controllers provide the physical storage for the AD DS database, in addition to providing the services and data that allow enterprises to effectively manage their servers, workstations, users, and applications. ドメインコントローラーへの特権アクセスが悪意のあるユーザーによって取得された場合、そのユーザーは、Active Directory によって管理されているすべてのシステムとアカウントの変更、破損、または削除を行うことができます。また、拡張機能によって、AD DS ます。If privileged access to a domain controller is obtained by a malicious user, that user can modify, corrupt, or destroy the AD DS database and, by extension, all of the systems and accounts that are managed by Active Directory.

ドメインコントローラーは AD DS データベース内のすべてのデータの読み取りと書き込みが可能であるため、ドメインコントローラーのセキュリティが侵害された場合、既知の良好なバックアップを使用して回復し、プロセスのセキュリティ侵害を許可しているギャップを閉じることができない限り、Active Directory フォレストが信頼できないと見なされることはありません。Because domain controllers can read from and write to anything in the AD DS database, compromise of a domain controller means that your Active Directory forest can never be considered trustworthy again unless you are able to recover using a known good backup and to close the gaps that allowed the compromise in the process.

攻撃者の準備、ツール、スキルによっては、AD DS データベースの変更や修復不能な破損にも、数日や数週間ではなく数分で完了できます。Depending on an attacker's preparation, tooling, and skill, modification or even irreparable damage to the AD DS database can be completed in minutes to hours, not days or weeks. 重要なのは、攻撃者が Active Directory への特権アクセスを持つ期間ですが、特権アクセスを取得した時点で攻撃者がどの程度の時間を計画しているかということです。What matters isn't how long an attacker has privileged access to Active Directory, but how much the attacker has planned for the moment when privileged access is obtained. ドメインコントローラーを侵害すると、アクセスの大規模な伝達に最も適したパス、またはメンバーサーバー、ワークステーション、および Active Directory を破棄するための最も直接的なパスを提供できます。Compromising a domain controller can provide the most expedient path to wide scale propagation of access, or the most direct path to destruction of member servers, workstations, and Active Directory. このため、ドメインコントローラーは、一般的な Windows インフラストラクチャよりも個別にセキュリティで保護する必要があります。Because of this, domain controllers should be secured separately and more stringently than the general Windows infrastructure.

ドメインコントローラーの物理的なセキュリティPhysical Security for Domain Controllers

このセクションでは、ドメインコントローラーが物理マシンであるか仮想マシンであるか、データセンターの場所、ブランチオフィス、さらに基本的なインフラストラクチャの制御のみを持つ遠隔地であるかに関係なく、ドメインコントローラーを物理的にセキュリティで保護する方法について説明します。This section provides information about physically securing domain controllers, whether the domain controllers are physical or virtual machines, in datacenter locations, branch offices, and even remote locations with only basic infrastructure controls.

データセンターのドメインコントローラーDatacenter Domain Controllers

物理ドメインコントローラーPhysical Domain Controllers

データセンターでは、物理ドメインコントローラーは、一般的なサーバーの作成とは別の専用の安全なラックまたはケージにインストールする必要があります。In datacenters, physical domain controllers should be installed in dedicated secure racks or cages that are separate from the general server population. 可能な場合は、トラステッドプラットフォームモジュール (TPM) チップを使用してドメインコントローラーを構成し、ドメインコントローラーサーバー内のすべてのボリュームを BitLocker ドライブ暗号化経由で保護する必要があります。When possible, domain controllers should be configured with Trusted Platform Module (TPM) chips and all volumes in the domain controller servers should be protected via BitLocker Drive Encryption. 通常、BitLocker は、1桁のパーセンテージでパフォーマンスのオーバーヘッドを追加しますが、サーバーからディスクが削除された場合でも、ディレクトリを侵害から保護します。BitLocker generally adds performance overhead in single-digit percentages, but protects the directory against compromise even if disks are removed from the server. また、BitLocker は、ルートキットなどの攻撃からシステムを保護するのにも役立ちます。ブートファイルを変更すると、サーバーが回復モードで起動し、元のバイナリを読み込むことができるためです。BitLocker can also help protect systems against attacks such as rootkits because the modification of boot files will cause the server to boot into recovery mode so that the original binaries can be loaded. ソフトウェア RAID、シリアル接続 SCSI、SAN/NAS 記憶域、またはダイナミックボリュームを使用するようにドメインコントローラーが構成されている場合、BitLocker を実装することはできません。したがって、ローカルに接続された記憶域 (ハードウェア RAID の有無にかかわらず) は、可能な限りドメインコントローラーで使用する必要があります。If a domain controller is configured to use software RAID, serial-attached SCSI, SAN/NAS storage, or dynamic volumes, BitLocker cannot be implemented, so locally attached storage (with or without hardware RAID) should be used in domain controllers whenever possible.

仮想ドメインコントローラーVirtual Domain Controllers

仮想ドメインコントローラーを実装する場合は、ドメインコントローラーが環境内の他の仮想マシンとは別の物理ホストで実行されていることを確認する必要があります。If you implement virtual domain controllers, you should ensure that domain controllers run on separate physical hosts than other virtual machines in the environment. サードパーティの仮想化プラットフォームを使用する場合でも、Windows Server 2012 または Windows Server 2008 R2 の Hyper-v サーバーに仮想ドメインコントローラーを展開することを検討してください。これにより、最小限の攻撃対象が提供され、仮想化ホストの他の部分で管理するのではなく、ホストするドメインコントローラーで管理できるようになります。Even if you use a third-party virtualization platform, consider deploying virtual domain controllers on Hyper-V Server in Windows Server 2012 or Windows Server 2008 R2, which provides a minimal attack surface and can be managed with the domain controllers it hosts rather than being managed with the rest of the virtualization hosts. 仮想化インフラストラクチャの管理のために System Center Virtual Machine Manager (SCVMM) を実装する場合は、ドメインコントローラー仮想マシンが存在する物理ホストの管理と、ドメインコントローラー自体を承認された管理者に委任することができます。If you implement System Center Virtual Machine Manager (SCVMM) for management of your virtualization infrastructure, you can delegate administration for the physical hosts on which domain controller virtual machines reside and the domain controllers themselves to authorized administrators. また、記憶域管理者が仮想マシンファイルにアクセスできないように、仮想ドメインコントローラーの記憶域を分離することも検討してください。You should also consider separating the storage of virtual domain controllers to prevent storage administrators from accessing the virtual machine files.

ブランチの場所Branch Locations

ブランチ内の物理ドメインコントローラーPhysical Domain Controllers in branches

複数のサーバーが存在し、データセンターサーバーがセキュリティで保護されている程度まで物理的には保護されていない場所では、物理ドメインコントローラーを TPM チップで構成し、すべてのサーバーボリュームに BitLocker ドライブ暗号化する必要があります。In locations in which multiple servers reside but are not physically secured to the degree that datacenter servers are secured, physical domain controllers should be configured with TPM chips and BitLocker Drive Encryption for all server volumes. ブランチの場所にある施錠された部屋にドメインコントローラーを格納できない場合は、その場所に Rodc を展開することを検討してください。If a domain controller cannot be stored in a locked room in branch locations, you should consider deploying RODCs in those locations.

ブランチ内の仮想ドメインコントローラーVirtual Domain Controllers in branches

可能な場合は、サイト内の他の仮想マシンとは別の物理ホスト上のブランチオフィスで、仮想ドメインコントローラーを実行する必要があります。Whenever possible, you should run virtual domain controllers in branch offices on separate physical hosts than the other virtual machines in the site. 仮想ドメインコントローラーを他の仮想サーバーの作成とは別の物理ホスト上で実行できないブランチオフィスでは、TPM チップを実装し、仮想ドメインコントローラーが少なくとも可能な場合は、すべてのホストで実行されるホストに BitLocker ドライブ暗号化する必要があります。In branch offices in which virtual domain controllers cannot run on separate physical hosts from the rest of the virtual server population, you should implement TPM chips and BitLocker Drive Encryption on hosts on which virtual domain controllers run at minimum, and all hosts if possible. ブランチオフィスのサイズと物理ホストのセキュリティに応じて、ブランチの場所に Rodc を展開することを検討してください。Depending on the size of the branch office and the security of the physical hosts, you should consider deploying RODCs in branch locations.

領域とセキュリティが制限されたリモートの場所Remote Locations with Limited Space and Security

1台の物理サーバーのみをインストールできる場所がインフラストラクチャに含まれている場合は、仮想化ワークロードを実行できるサーバーをリモートの場所にインストールし、サーバー内のすべてのボリュームを保護するように BitLocker ドライブ暗号化を構成する必要があります。If your infrastructure includes locations in which only a single physical server can be installed, a server capable of running virtualization workloads should be installed in the remote location, and BitLocker Drive Encryption should be configured to protect all volumes in the server. サーバー上の1台の仮想マシンで、ホスト上で別の仮想マシンとして実行されている他のサーバーを使用して、RODC を実行する必要があります。One virtual machine on the server should run an RODC, with other servers running as separate virtual machines on the host. RODC の展開の計画に関する情報については、 「読み取り専用ドメインコントローラーの計画と展開ガイド」を参照してください。Information about planning for deployment of RODC is provided in the Read-Only Domain Controller Planning and Deployment Guide. 仮想化ドメインコントローラーの展開とセキュリティ保護の詳細については、「 hyper-v でのドメインコントローラーの実行」を参照してください。For more information about deploying and securing virtualized domain controllers, see Running Domain Controllers in Hyper-V. Hyper-v のセキュリティ強化、仮想マシンの管理の委任、および仮想マシンの保護に関する詳細なガイダンスについては、Microsoft web サイトの「 Hyper-v セキュリティガイド ソリューションアクセラレータ」を参照してください。For more detailed guidance for hardening Hyper-V, delegating virtual machine management, and protecting virtual machines, see the Hyper-V Security Guide Solution Accelerator on the Microsoft website.

ドメインコントローラーのオペレーティングシステムDomain Controller Operating Systems

組織内でサポートされている最新バージョンの Windows Server 上のすべてのドメインコントローラーを実行し、ドメインコントローラーの作成時にレガシオペレーティングシステムの使用停止を優先することをお勧めします。You should run all domain controllers on the newest version of Windows Server that is supported within your organization and prioritize decommissioning of legacy operating systems in the domain controller population. ドメインコントローラーを最新の状態に保ち、レガシドメインコントローラーを排除することで、多くの場合、レガシオペレーティングシステムを実行しているドメインコントローラーを持つドメインまたはフォレストでは使用できない新しい機能とセキュリティを利用できます。By keeping your domain controllers current and eliminating legacy domain controllers, you can often take advantage of new functionality and security that may not be available in domains or forests with domain controllers running legacy operating system. ドメインコントローラーは、以前のオペレーティングシステムまたはサーバーの役割からアップグレードするのではなく、新しくインストールして昇格させる必要があります。つまり、ドメインコントローラーのインプレースアップグレードを実行したり、オペレーティングシステムがインストールされていないサーバーで AD DS インストールウィザードを実行したりしないでください。Domain controllers should be freshly installed and promoted rather than upgraded from previous operating systems or server roles; that is, do not perform in-place upgrades of domain controllers or run the AD DS Installation Wizard on servers on which the operating system is not freshly installed. 新しくインストールされたドメインコントローラーを実装することで、従来のファイルや設定が誤ってドメインコントローラーに残されないようにすると共に、一貫したセキュリティで保護されたドメインコントローラーの構成の適用を簡略化します。By implementing freshly installed domain controllers, you ensure that legacy files and settings are not inadvertently left on domain controllers, and you simplify the enforcement of consistent, secure domain controller configuration.

ドメインコントローラーの構成をセキュリティで保護するSecure Configuration of Domain Controllers

Windows に既定でインストールされている、無償で利用可能なツールが多数用意されています。これを使用すると、後で Gpo で適用できるドメインコントローラーの初期セキュリティ構成基準を作成できます。A number of freely available tools, some of which are installed by default in Windows, can be used to create an initial security configuration baseline for domain controllers that can subsequently be enforced by GPOs. これらのツールについては、こちらを参照してください。These tools are described here.

セキュリティの構成ウィザードSecurity Configuration Wizard

最初のビルド時に、すべてのドメインコントローラーをロックダウンする必要があります。All domain controllers should be locked down upon initial build. これは、Windows Server にネイティブで提供されるセキュリティ構成ウィザードを使用して、"基本ビルド" ドメインコントローラーでサービス、レジストリ、システム、および WFAS の設定を構成することによって実現できます。This can be achieved using the Security Configuration Wizard that ships natively in Windows Server to configure service, registry, system, and WFAS settings on a "base build" domain controller. 設定は、ドメインコントローラーの一貫した構成を適用するために、フォレスト内の各ドメインのドメインコントローラー OU にリンクできる GPO に保存およびエクスポートできます。Settings can be saved and exported to a GPO that can be linked to the Domain Controllers OU in each domain in the forest to enforce consistent configuration of domain controllers. ドメインに複数のバージョンの Windows オペレーティングシステムが含まれている場合は、対応するバージョンのオペレーティングシステムを実行しているドメインコントローラーにのみ Gpo を適用するように Windows Management Instrumentation (WMI) フィルターを構成できます。If your domain contains multiple versions of Windows operating systems, you can configure Windows Management Instrumentation (WMI) filters to apply GPOs only to the domain controllers running the corresponding version of the operating system.

Microsoft セキュリティコンプライアンスツールキットMicrosoft Security Compliance Toolkit

Microsoft セキュリティコンプライアンスツールキット のドメインコントローラー設定をセキュリティ構成ウィザードの設定と組み合わせると、Active Directory のドメインコントローラー OU に展開されている gpo によって展開および適用されるドメインコントローラーの包括的な構成基準を作成できます。Microsoft Security Compliance Toolkit domain controller settings can be combined with Security Configuration Wizard settings to produce comprehensive configuration baselines for domain controllers that are deployed and enforced by GPOs deployed at the Domain Controllers OU in Active Directory.

RDP の制限RDP Restrictions

フォレスト内のすべてのドメインコントローラー Ou にリンクするグループポリシーオブジェクトは、承認されたユーザーとシステム (ジャンプサーバーなど) からの RDP 接続のみを許可するように構成する必要があります。Group Policy Objects that link to all domain controllers OUs in a forest should be configured to allow RDP connections only from authorized users and systems (for example, jump servers). これは、ユーザー権利設定と WFAS 構成の組み合わせによって実現でき、ポリシーが一貫して適用されるように Gpo に実装する必要があります。This can be achieved through a combination of user rights settings and WFAS configuration and should be implemented in GPOs so that the policy is consistently applied. この値がバイパスされると、次のグループポリシー更新によってシステムが適切な構成に戻ります。If it is bypassed, the next Group Policy refresh returns the system to its proper configuration.

ドメインコントローラーの修正プログラムと構成の管理Patch and Configuration Management for Domain Controllers

反するに思えるかもしれませんが、一般的な Windows インフラストラクチャとは別に、ドメインコントローラーやその他の重要なインフラストラクチャコンポーネントの修正プログラムを適用することを検討してください。Although it may seem counterintuitive, you should consider patching domain controllers and other critical infrastructure components separately from your general Windows infrastructure. インフラストラクチャ内のすべてのコンピューターに対してエンタープライズ構成管理ソフトウェアを利用する場合、システム管理ソフトウェアのセキュリティ侵害を使用して、そのソフトウェアによって管理されるすべてのインフラストラクチャコンポーネントを侵害または破壊することができます。If you leverage enterprise configuration management software for all computers in your infrastructure, compromise of the systems management software can be used to compromise or destroy all infrastructure components managed by that software. ドメインコントローラーの修正プログラムとシステム管理を一般作成から分離することにより、ドメインコントローラーにインストールされるソフトウェアの量を削減できるだけでなく、管理を厳しく制御することができます。By separating patch and systems management for domain controllers from the general population, you can reduce the amount of software installed on domain controllers, in addition to tightly controlling their management.

ドメインコントローラーのインターネットアクセスをブロックするBlocking Internet Access for Domain Controllers

Active Directory セキュリティ評価の一部として実行されるチェックの1つは、ドメインコントローラーでの Internet Explorer の使用と構成です。One of the checks that is performed as part of an Active Directory Security Assessment is the use and configuration of Internet Explorer on domain controllers. Internet Explorer (またはその他の web ブラウザー) はドメインコントローラーでは使用しないでください。しかし、多数のドメインコントローラーを分析することで、多くの場合、特権のあるユーザーが Internet Explorer を使用して組織のイントラネットまたはインターネットを参照することが明らかになりました。Internet Explorer (or any other web browser) should not be used on domain controllers, but analysis of thousands of domain controllers has revealed numerous cases in which privileged users used Internet Explorer to browse the organization's intranet or the Internet.

セキュリティを 侵害する手段について前述したように、高い特権を持つアカウント (既定ではドメインコントローラーへのローカルログオンが許可されている唯一のアカウント) を使用して、Windows インフラストラクチャ内の最も強力なコンピューターからインターネット (または感染したイントラネット) を参照すると、組織のセキュリティに大きなリスクが生じます。As previously described in the "Misconfiguration" section of Avenues to Compromise, browsing the Internet (or an infected intranet) from one of the most powerful computers in a Windows infrastructure using a highly privileged account (which are the only accounts permitted to log on locally to domain controllers by default) presents an extraordinary risk to an organization's security. ダウンロードによってドライブを使用する場合でも、マルウェアに感染したユーティリティをダウンロードする場合でも、攻撃者は、Active Directory 環境を完全に侵害したり破壊したりするために必要なすべてのものにアクセスできます。Whether via a drive by download or by download of malware-infected "utilities," attackers can gain access to everything they need to completely compromise or destroy the Active Directory environment.

Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、および Internet Explorer の現在のバージョンでは、悪意のあるダウンロードに対するさまざまな保護が提供されています。ただし、ほとんどの場合、ドメインコントローラーと特権アカウントを使用してインターネットを参照しているか、ドメインコントローラーで Windows Server 2003 が実行されています。Although Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, and current versions of Internet Explorer offer a number of protections against malicious downloads, in most cases in which domain controllers and privileged accounts had been used to browse the Internet, the domain controllers were running Windows Server 2003, or protections offered by newer operating systems and browsers had been intentionally disabled.

ドメインコントローラーでの web ブラウザーの起動は、ポリシーだけでなく、技術的な制御によっても禁止する必要があります。また、ドメインコントローラーはインターネットへのアクセスを許可しないでください。Launching web browsers on domain controllers should be prohibited not only by policy, but by technical controls, and domain controllers should not be permitted to access the Internet. ドメインコントローラーを複数のサイトにレプリケートする必要がある場合は、サイト間にセキュリティで保護された接続を実装する必要があります。If your domain controllers need to replicate across sites, you should implement secure connections between the sites. 詳細な構成手順については、このドキュメントでは説明しませんが、多数のコントロールを実装して、ドメインコントローラーが誤用されたり、正しく構成されていない場合に、侵害される可能性を制限したりすることができます。Although detailed configuration instructions are outside the scope of this document, you can implement a number of controls to restrict the ability of domain controllers to be misused or misconfigured and subsequently compromised.

境界ファイアウォールの制限Perimeter Firewall Restrictions

境界ファイアウォールは、ドメインコントローラーからインターネットへの送信接続をブロックするように構成する必要があります。Perimeter firewalls should be configured to block outbound connections from domain controllers to the Internet. ドメインコントローラーはサイトの境界を越えて通信する必要がある場合がありますが、境界ファイアウォールを構成してサイト間通信を許可することができます。そのためには、Microsoft サポート web サイトで Active Directory ドメインと信頼のためにファイアウォールを構成する方法 に関するページのガイドラインに従ってください。Although domain controllers may need to communicate across site boundaries, perimeter firewalls can be configured to allow intersite communication by following the guidelines provided in How to configure a firewall for Active Directory domains and trusts on the Microsoft Support website.

DC ファイアウォールの構成DC Firewall Configurations

前述のように、セキュリティの構成ウィザードを使用して、ドメインコントローラーのセキュリティが強化された Windows ファイアウォールの構成設定をキャプチャする必要があります。As described earlier, you should use the Security Configuration Wizard to capture configuration settings for the Windows Firewall with Advanced Security on domain controllers. セキュリティ構成ウィザードの出力を確認して、ファイアウォールの構成設定が組織の要件を満たしていることを確認し、Gpo を使用して構成設定を適用する必要があります。You should review the output of Security Configuration Wizard to ensure that the firewall configuration settings meet your organization's requirements, and then use GPOs to enforce configuration settings.

ドメインコントローラーからの Web 閲覧を防止するPreventing Web Browsing from Domain Controllers

AppLocker 構成、"ブラックホール" プロキシ構成、および WFAS 構成の組み合わせを使用して、ドメインコントローラーがインターネットにアクセスできないようにし、ドメインコントローラーで web ブラウザーを使用しないようにすることができます。You can use a combination of AppLocker configuration, "black hole" proxy configuration, and WFAS configuration to prevent domain controllers from accessing the Internet and to prevent the use of web browsers on domain controllers.