2023年末現在のADのセキュリティについてのまとめ
本稿では2023年時点のActiveDirectoryのセキュリティについて記載します。
前提
ADは単体で攻撃されるものではない(外部露出してれば別だけど) 基本的には標的型攻撃のストーリの中で攻撃されるもの
大事なのは
攻撃者にとって目的が達せられるならばADを攻撃しなくてもいい
よく攻撃されるからと言って必ず攻撃されるとは限らない
ADが攻撃されていなくても攻撃を受けていないとは言えない
だから近視眼的にならない、ほかの攻撃対策とのバランスを考える、全体を見る視点を持つ=CyberKillChainを切ることを意識する
ADとは
ADはWindowsで利用される認証基盤
だいたい以下の説明をいくつか見ると概要がわかるしくみ
Active Directory(アクティブディレクトリ)をゼロから解説、関連用語もまとめて紹介
https://www.sbbit.jp/article/cont1/37798
Active Directory
https://ja.wikipedia.org/wiki/Active_Directory
ADが攻撃される事例
以下の記事に詳しい
おおまかに2パターンあり 1:脆弱性を攻撃される 2.認証情報をローカルで窃取される
攻撃者はなぜActive Directoryを狙うのか 侵害の理由とその対策
https://www.trendmicro.com/ja_jp/jp-security/23/l/securitytrend-20231213-02.html
対策
1や2への対策に加えて攻撃を受けたことを検知するのが重要
1への対策だと脆弱性は対応の修正パッチを適用するかその他の脆弱性に対する緩和措置を講じる
[IT 管理者むけ] Active Directoryのセキュリティ強化への対応をご確認ください
https://msrc.microsoft.com/blog/2021/12/ad-hardenings/
2への対策だとOS側の防御機能の有効かが王道
Active Directory のセキュリティ保護に関するベスト プラクティス
https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory
痕跡確認(よりリアルタイムにやると検知、さらに監視)
気づく=痕跡を確認する方法は少し大変だけど JPCERTにノウハウが掲載されている
ログを活用したActive Directoryに対する攻撃の検知と対策
最
https://www.jpcert.or.jp/research/AD.html
運用面
痕跡が確認された=攻撃されたことが明らかになったときにすることを決めておく
緊急時の対策
中長期的な対策 不要アカウントや構成の定期レビュー・修正
インシデント対応一般において考慮・整理が必要な事項は別項目に記載