特権アクセスのセキュリティ保護Securing privileged access

適用先:Windows ServerApplies To: Windows Server

特権アクセスをセキュリティで保護することは、現代の組織においてビジネス資産のセキュリティ保証を確立するための重要な第一歩です。Securing privileged access is a critical first step to establishing security assurances for business assets in a modern organization. IT 組織内のほとんどまたはすべてのビジネス資産のセキュリティは、の管理、管理、および開発に使用される特権アカウントの整合性に依存します。The security of most or all business assets in an IT organization depends on the integrity of the privileged accounts used to administer, manage, and develop. サイバー攻撃者は、多くの場合、これらのアカウントおよび特権アクセスの他の要素をターゲットにして、ハッシュのパススルーやチケットのパススルーなどの資格情報の盗難攻撃を使用してデータとシステムにアクセスできるようにします。Cyber-attackers often target these accounts and other elements of privileged access to gain access to data and systems using credential theft attacks like Pass-the-Hash and Pass-the-Ticket.

特定された敵対者に対する特権アクセスを保護するには、これらのシステムをリスクから分離するための完全で慎重なアプローチを行う必要があります。Protecting privileged access against determined adversaries requires you to take a complete and thoughtful approach to isolate these systems from risks.

特権アカウントとはWhat are privileged accounts?

セキュリティ保護の方法について説明する前に、特権アカウントを定義します。Before we talk about how to secure them lets define privileged accounts.

Active Directory Domain Services の管理者などの特権アカウントは、IT 組織内のほとんどまたはすべての資産に直接または間接的にアクセスできます。そのため、これらのアカウントのセキュリティが重大なリスクになります。Privileged Accounts like administrators of Active Directory Domain Services have direct or indirect access to most or all assets in an IT organization, making a compromise of these accounts a significant business risk.

特権アクセスをセキュリティで保護することが重要な理由Why securing privileged access is important?

サイバー攻撃者は、Active Directory (AD) などのシステムへの特権アクセスに重点を置いて、組織が対象とするすべてのデータに迅速にアクセスできるようにします。Cyber-attackers focus on privileged access to systems like Active Directory (AD) to rapidly gain access to all of an organizations targeted data. 従来のセキュリティ手法は、主なセキュリティ境界としてネットワークとファイアウォールに焦点を合わせていますが、ネットワークセキュリティの効果は、次の2つの傾向によって大幅に低下しています。Traditional security approaches have focused on the network and firewalls as the primary security perimeter, but the effectiveness of network security has been significantly diminished by two trends:

  • 組織は、モバイルエンタープライズ Pc、携帯電話やタブレットなどのデバイス、クラウドサービス、独自のデバイス (BYOD) を使用して、従来のネットワーク境界の外部にあるデータとリソースをホストしています。Organizations are hosting data and resources outside the traditional network boundary on mobile enterprise PCs, devices like mobile phones and tablets, cloud services, and bring your own devices (BYOD)
  • 敵対者は、フィッシングやその他の Web および電子メール攻撃を通じて、ネットワーク境界内のワークステーションへのアクセスを入手する、一貫性のある継続的な能力を実証しています。Adversaries have demonstrated a consistent and ongoing ability to obtain access on workstations inside the network boundary through phishing and other web and email attacks.

これらの要因により、従来のネットワーク境界戦略に加えて、認証および承認 id の制御から、最新のセキュリティ境界を構築することができます。These factors necessitate building a modern security perimeter out of authentication and authorization identity controls in addition to the traditional network perimeter strategy. ここでのセキュリティ境界は、アセットとそれらに対する脅威との間の一貫したコントロールのセットとして定義されています。A security perimeter here is defined as a consistent set of controls between assets and the threats to them. 特権アカウントは、この新しいセキュリティ境界を効果的に制御できるため、特権アクセスを保護することが重要です。Privileged accounts are effectively in control of this new security perimeter so it's critical to protect privileged access.

組織の ID 層を示す図

管理者アカウントの制御を獲得した攻撃者は、次に示すように、これらの権限を使用して、ターゲット組織への影響を高めることができます。An attacker that gains control of an administrative account can use those privileges to increase their impact in the target organization as depicted below:

管理アカウントを制御できるようになった敵対者は、それらの権限を使用し、対象となる組織を犠牲にして、利益を追求できることを示す図

次の図は、2つのパスを示しています。The illustration below depicts two paths:

  • "Blue" パス。電子メールや web 閲覧、日単位の作業など、リソースへの非特権アクセスに標準ユーザーアカウントを使用します。A "blue" path where a standard user account is used for non-privileged access to resources like email and web browsing and day to day work are completed.

    注意

    後で説明する青いパス項目は、管理者アカウントを超えて拡張される広範な環境保護を示しています。Blue path items described later on indicate broad environmental protections that extend beyond the administrative accounts.

  • セキュリティが強化されたデバイスで特権アクセスが発生し、フィッシングやその他の web および電子メール攻撃のリスクを軽減する "赤い" パス。A "red" path where privileged access occurs on a hardened device to reduce the risk of phishing and other web and email attacks.

Web 閲覧や電子メールへのアクセスなどの危険度の高い標準ユーザータスクから特権アクセスタスクを分離するために、ロードマップによって確立される管理用の個別の "パス" を示す図

特権アクセスのロードマップのセキュリティ保護Securing privileged access roadmap

このロードマップは、既にデプロイされている Microsoft テクノロジの使用を最大化し、クラウドテクノロジを利用してセキュリティを強化し、既にデプロイされている可能性のあるサードパーティ製のセキュリティツールを統合するように設計されています。The roadmap is designed to maximize the use of Microsoft technologies that you already have deployed, take advantage of cloud technologies to enhance security, and integrate any 3rd party security tools you may already have deployed.

Microsoft の推奨事項のロードマップは、次の3つのフェーズに分かれています。The roadmap of Microsoft recommendations is broken into 3 phases:

このロードマップは、これらの攻撃と解決方法の実装に関する経験に基づいて、最も効果的で最も迅速な実装をスケジュールするように、優先順位が設定されています。The roadmap is prioritized to schedule the most effective and the quickest implementations first based on our experiences with these attacks and solution implementation.

Microsoft では、断固とした敵対者に対して特権アクセスをセキュリティで保護するために、このロードマップに従うことをお勧めします。Microsoft recommends you follow this roadmap to secure privileged access against determined adversaries. 既存の機能や、組織固有の要件に対応するように、このロードマップを調整してもかまいません。You may adjust this roadmap to accommodate your existing capabilities and specific requirements in your organizations.

注意

特権アクセスをセキュリティで保護するには、技術コンポーネント (ホストの防御、アカウントの保護、ID 管理など) を含むさまざまな要素だけでなく、プロセスへの変更や、管理業務と知識が必要になります。Securing privileged access requires a broad range of elements including technical components (host defenses, account protections, identity management, etc.) as well as changes to process, and administrative practices and knowledge. ロードマップのタイムラインは概算であり、お客様の実装の経験に基づきます。The timelines for the roadmap are approximate and are based on our experience with customer implementations. お客様の環境と、変更管理プロセスの複雑さによって、組織内で所要期間が異なることがあります。The duration will vary in your organization depending on the complexity of your environment and your change management processes.

フェーズ 1:操作の複雑さを最小限に抑えたクイック winsPhase 1: Quick wins with minimal operational complexity

ロードマップのフェーズ1では、最も頻繁に使用される、資格情報の盗難および誤用の攻撃手法を迅速に軽減することに重点を置いています。Phase 1 of the roadmap is focused on quickly mitigating the most frequently used attack techniques of credential theft and abuse. フェーズ1は、約30日以内に実装するように設計されており、次の図に示しています。Phase 1 is designed to be implemented in approximately 30 days and is depicted in this diagram:

フェーズ1の図:1.

1. 個別のアカウント1. Separate accounts

特権アクセスアカウントからインターネットのリスク (フィッシング攻撃、web 閲覧) を分離するために、特権アクセスを持つすべてのユーザーに専用のアカウントを作成します。To help separate internet risks (phishing attacks, web browsing) from privileged access accounts, create a dedicated account for all personnel with privileged access. 管理者は、高度な特権を持つアカウントを使用して、web を閲覧したり、電子メールをチェックしたり、日常の生産性タスクを実行したりしないでください。Administrators should not be browsing the web, checking their email, and doing day to day productivity tasks with highly privileged accounts. 詳細については、「リファレンスドキュメントの個別の管理者アカウント」を参照してください。More information on this can be found in the section Separate administrative accounts of the reference document.

オンプレミスの AD 環境と Azure AD 環境の両方で、管理者権限が永続的に割り当てられた、少なくとも2つの緊急アクセスアカウントを作成するには、 Azure AD の緊急アクセスアカウントの管理に関する記事のガイダンスに従ってください。Follow the guidance in the article Manage emergency access accounts in Azure AD to create at least two emergency access accounts, with permanently assigned administrator rights, in both your on-premises AD and Azure AD environments. これらのアカウントは、従来の管理者アカウントが障害発生時などに必要なタスクを実行できない場合にのみ使用されます。These accounts are only for use when traditional administrator accounts are unable to perform a required task such as in a the case of a disaster.

2. ジャストインタイムローカル管理者パスワード2. Just in time local admin passwords

攻撃者がローカルの SAM データベースからローカルの管理者アカウントのパスワードハッシュを盗み、他のコンピューターを攻撃するリスクを軽減するために、組織はすべてのコンピューターに一意のローカル管理者パスワードがあることを確認する必要があります。To mitigate the risk of an adversary stealing a local administrator account password hash from the local SAM database and abusing it to attack other computers, organizations should ensure every machine has a unique local administrator password. ローカル管理者パスワードソリューション (LAPS) ツールでは、ワークステーションごとに一意のランダムパスワードを構成できます。また、サーバーは、ACL によって保護された Active Directory (AD) に格納します。The Local Administrator Password Solution (LAPS) tool can configure unique random passwords on each workstation and server store them in Active Directory (AD) protected by an ACL. 資格のある権限のあるユーザーのみが、これらのローカル管理者アカウントのパスワードのリセットを読み取りまたは要求できます。Only eligible authorized users can read or request the reset of these local administrator account passwords. ワークステーションとサーバーで使用する LAPS は、 Microsoft ダウンロードセンターから入手できます。You can obtain the LAPS for use on workstations and servers from the Microsoft Download Center.

LAPS と Paw で環境を運用するための追加のガイダンスについては、「クリーンソースの原則に基づく運用標準」を参照してください。Additional guidance for operating an environment with LAPS and PAWs can be found in the section Operational standards based on clean source principle.

3.管理ワークステーション3. Administrative workstations

Azure Active Directory と従来のオンプレミス Active Directory 管理者特権を持つユーザーのための最初のセキュリティ対策として、セキュリティが強化されたwindows 10 デバイスの標準で構成された windows 10 デバイスを使用していることを確認します。As an initial security measure for those users with Azure Active Directory and traditional on-premises Active Directory administrative privileges, ensure they are using Windows 10 devices configured with the Standards for a highly secure Windows 10 device. 特権のある管理者アカウントは、管理ワークステーションのローカル管理者グループのメンバーになることはできません。Privileged administrator accounts should not be a members of the local administrator group of the administrative workstations. ワークステーションに対する構成の変更が必要な場合は、ユーザー Access Control (UAC) による特権昇格を利用できます。Privilege elevation via User Access Control (UAC) can be utilized when configuration changes to the workstations is required. さらに、Windows 10 のセキュリティベースラインをワークステーションに適用して、デバイスをさらに強化する必要があります。Additionally, the Windows 10 Security Baseline should be applied to the workstations to further harden the device.

4。Id 攻撃の検出4. Identity attack detection

Azure Advanced Threat Protection (ATP)は、クラウドベースのセキュリティソリューションであり、高度な脅威、侵害された id、オンプレミスに送られる悪意のある insider アクションを識別、検出、および調査するのに役立ち Active Directoryenvironment.Azure Advanced Threat Protection (ATP) is a cloud-based security solution that identifies, detects, and helps you investigate advanced threats, compromised identities, and malicious insider actions directed at your on-premises Active Directory environment.

フェーズ 2:大幅な増分向上Phase 2: Significant incremental improvements

フェーズ2は、フェーズ1で実行された作業に基づいており、約90日以内に完了するように設計されています。Phase 2 builds on the work done in phase 1 and is designed to be completed in approximately 90 days. このステージの手順を次の図で示します。The steps of this stage are depicted in this diagram:

フェーズ2の図:1.

1. Windows Hello for Business と MFA が必要1. Require Windows Hello for Business and MFA

管理者は、Windows Hello for Business に関連付けられている使いやすさを活用できます。Administrators can benefit from the ease of use associated with Windows Hello for Business. 管理者は、複雑なパスワードを Pc の強力な2要素認証に置き換えることができます。Admins can replace their complex passwords with strong two-factor authentication on their PCs. 攻撃者は、デバイスと生体認証情報または PIN の両方を持っている必要があります。これにより、従業員の知識がなくてもアクセスが困難になります。An attacker must have both the device and the biometric info or PIN, it's much more difficult to gain access without the employee's knowledge. Windows Hello for Business とロールアウトへのパスの詳細については、情報の記事ではWindows Hello for Business の概要More details about Windows Hello for Business and the path to roll out can be found in the article Windows Hello for Business Overview

Azure MFA を使用した Azure AD で、管理者アカウントの multi-factor authentication (MFA) を有効にします。Enable multi-factor authentication (MFA) for your administrator accounts in Azure AD using Azure MFA. 少なくとも、ベースライン保護条件付きアクセスポリシーを有効にします。 azure Multi-Factor Authentication の詳細については、「クラウドベースの azure のデプロイ Multi-Factor Authentication 」を参照してください。At minimum enable the baseline protection conditional access policy more information about Azure Multi-Factor Authentication can be found in the article Deploy cloud-based Azure Multi-Factor Authentication

2. すべての特権 id アクセスアカウントの所有者に PAW をデプロイする2. Deploy PAW to all privileged identity access account holders

電子メール、web 閲覧、およびその他の管理以外のタスクで検出された脅威から特権アカウントを分離するプロセスを続行するには、の特権アクセスを持つすべての担当者に専用の Privileged Access Workstation (PAW) を実装する必要があります。組織の情報システム。Continuing the process of separating privileged accounts from threats found in email, web browsing, and other non-administrative tasks, you should implement dedicated Privileged Access Workstations (PAW) for all personnel with privileged access to your organization's information systems. PAW のデプロイに関するその他のガイダンスについては、「 Privileged Access workstation」を参照してください。Additional guidance for PAW deployment can be found in the article Privileged Access Workstations.

3.ジャストインタイムの特権3. Just in time privileges

特権の公開時間を短縮し、使用状況の可視性を向上させるには、以下のような適切なソリューションを使用してジャストインタイム (JIT) を提供し、その他のサードパーティソリューションを使用します。To lower the exposure time of privileges and increase visibility into their use, provide privileges just in time (JIT) using an appropriate solution such as the ones below or other third-party solutions:

4。Windows Defender Credential Guard を有効にする4. Enable Windows Defender Credential Guard

Credential Guard を有効にすると、NTLM パスワードハッシュ、Kerberos チケット保証チケット、およびアプリケーションによってドメイン資格情報として格納されている資格情報を保護することができます。Enabling Credential Guard helps to protect NTLM password hashes, Kerberos Ticket Granting Tickets, and credentials stored by applications as domain credentials. この機能により、流用された資格情報を使用して環境内でピボットを行うことが困難になるため、ハッシュのパススルーやチケットのパススルーなど、資格情報の盗難攻撃を防ぐことができます。This capability helps to prevent credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket by increasing the difficulty of pivoting in the environment using stolen credentials. Credential Guard のしくみとデプロイ方法については、「 Windows Defender Credential guard による派生ドメイン資格情報の保護」を参照してください。Information on how Credential Guard works and how to deploy can be found in the article Protect derived domain credentials with Windows Defender Credential Guard.

5。漏洩した資格情報の報告5. Leaked credentials reporting

"毎日、マイクロソフトは、新たな脅威を特定し、顧客を保護するために、6兆5000億の信号を分析します"Every day, Microsoft analyzes over 6.5 trillion signals in order to identify emerging threats and protect customers" - Microsoft By the Numbers

Microsoft Azure AD Id 保護を有効にすると、資格情報が漏洩したユーザーに対してレポートを作成し、修復できます。Enable Microsoft Azure AD Identity Protection to report on users with leaked credentials so that you can remediate them. Azure AD Identity Protectionは、組織が脅威からクラウド環境やハイブリッド環境を保護するのに役立ちます。Azure AD Identity Protection can be leveraged to help your organization protect cloud and hybrid environments from threats.

6。横移動パスの Azure ATP6. Azure ATP Lateral Movement Paths

特権アクセスアカウントの所有者が PAW を管理にのみ使用していることを確認します。これにより、侵害されていない権限のないアカウントは、ハッシュパスやパススルーチケットなどの資格情報の盗難攻撃を通じて特権アカウントにアクセスできなくなります。Ensure privileged access account holders are using their PAW for administration only so that a compromised non-privileged accounts cannot gain access to a privileged account via credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket. Azure ATP 横移動パス (LMPs)を使用すると、特権のあるアカウントが危険にさらされる可能性がある場所を特定するためのレポートを簡単に把握できます。Azure ATP Lateral Movement Paths (LMPs) provides easy to understand reporting to identify where privileged accounts may be open to compromise.

フェーズ 3:セキュリティの向上と sustainmentPhase 3: Security improvement and sustainment

ロードマップのフェーズ3では、セキュリティ体制を強化するために、フェーズ1と2で作成した手順について説明します。Phase 3 of the roadmap builds on the steps taken in Phases 1 and 2 to strengthen your security posture. フェーズ3は、次の図のように視覚的に表されます。Phase 3 is depicted visually in this diagram:

フェーズ 3:1.

これらの機能は、前のフェーズの手順に基づいて構築され、防御をより積極的な体制に移行します。These capabilities will build on the steps from previous phases and move your defenses into a more proactive posture. このフェーズには特定のタイムラインはありません。個々の組織に基づいて実装する時間が長くなる場合があります。This phase has no specific timeline and may take longer to implement based on your individual organization.

1. ロールベースのアクセス制御を確認する1. Review role-based access control

管理層モデル Active Directory」の記事に記載されている3つの階層モデルを使用して、下位層の管理者が上位層のリソース (グループメンバーシップ、ユーザーアカウントの acl など) への管理アクセス権を持っていないことを確認します。Using the three tiered model outlined in the article Active Directory administrative tier model, review and ensure lower tier administrators do not have administrative access to higher tier resources (Group memberships, ACLs on user accounts, etc...).

2. 攻撃対象領域の削減2. Reduce attack surfaces

ドメイン、ドメインコントローラー、ADFS、Azure AD Connect などの id ワークロードを強化することにより、これらのシステムのいずれかを侵害すると、組織内の他のシステムが侵害される可能性があります。Harden your identity workloads including Domains, Domain Controllers, ADFS, and Azure AD Connect as compromising one of these systems could result in compromise of other systems in your organization. この記事では、 Active Directory の攻撃対象領域を減らしid インフラストラクチャをセキュリティで保護する5つの手順を説明します。オンプレミス環境とハイブリッド id 環境をセキュリティで保護するためのガイダンスを提供します。The articles Reducing the Active Directory Attack Surface and Five steps to securing your identity infrastructure provide guidance for securing your on-premises and hybrid identity environments.

3.ログを SIEM と統合する3. Integrate logs with SIEM

集中管理された SIEM ツールにログを統合することにより、組織はセキュリティイベントの分析、検出、対応を行うことができます。Integrating logging into a centralized SIEM tool can help your organization to analyze, detect, and respond to security events. この記事では、セキュリティ侵害の兆候付録 L の Active Directory を監視しています。監視するイベントは、環境内で監視する必要があるイベントに関するガイダンスを提供します。The articles Monitoring Active Directory for Signs of Compromise and Appendix L: Events to Monitor provide guidance on events that should be monitored in your environment.

これは、セキュリティ情報およびイベント管理 (SIEM) でのアラートの集計、作成、およびチューニングに熟練した Azure ATP アナリストが必要であるため、それ以上の計画に含まれています。This is part of the beyond plan because aggregating, creating, and tuning alerts in a security information and event management (SIEM) requires skilled analysts (unlike Azure ATP in the 30 day plan which includes out of the box alerting)

4。漏洩した資格情報-パスワードのリセットを強制する4. Leaked credentials - Force password reset

パスワードが侵害された場合にパスワードのリセットを自動的に強制的に強制するように Azure AD Identity Protection を有効にすることで、セキュリティ対策を継続的に強化します。Continue to enhance your security posture by enabling Azure AD Identity Protection to automatically force password resets when passwords are suspected of compromise. 記事「 Multi-Factor Authentication とパスワードの変更をトリガーするためのリスクイベントの使用」で説明されているガイダンスでは、条件付きアクセスポリシーを使用してこれを有効にする方法について説明します。The guidance found in the article Use risk events to trigger Multi-Factor Authentication and password changes explains how to enable this using a conditional access policy.

ロードマップの完了Am I done?

短い回答は、"いいえ" です。The short answer is no.

悪意のある人が決して停止することはないため、どちらもできません。The bad guys never stop, so neither can you. このロードマップは、攻撃者が絶えず進化していくため、現在認識されている脅威に対する組織の保護に役立ちます。This roadmap can help your organization protect against currently known threats as attackers will constantly evolve and shift. 環境をターゲットとする敵対者の成功率を減らすことに重点を置いて、継続的なプロセスとしてセキュリティを確認することをお勧めします。We recommend you view security as an ongoing process focused on raising the cost and reducing the success rate of adversaries targeting your environment.

組織のセキュリティプログラムの唯一の部分ではありませんが、特権アクセスのセキュリティ保護は、セキュリティ戦略の重要な要素です。While it is not the only part of your organization's security program securing privileged access is a critical component of your security strategy.