Active Directoryセキュリティグループのベストプラクティス – Azure Active Directoryセキュリティグループは、管理者が個々のユーザーがアクセスできるWindowsサーバーやネットワークリソースを制御する強力なツールです。これらのグループを適切に管理しないと、サイバー犯罪者にネットワークに侵入し、機密情報を盗まれるかもしれません。
ベストプラクティスに従わないことによるAzure Active Directoryの妥協は一般的です。ただし、しっかりとしたセキュリティ保護策を実施し、脆弱性を制限し、それらを常に監視することで、システムを攻撃から守ることが可能です。
この記事では、Azure Active Directory セキュリティ グループの詳細な分析と、Windowsネットワークをより安全に保つために従うべき最高のセキュリティの実践について説明しています。
画像ソース:Imanami
Active Directoryセキュリティグループ
Azure Active Directory グループは、Azureでは2つのタイプがあります。Active Directory配布グループとActive Directoryセキュリティグループです。
Active Directory配布グループは主にメール配信に使用され、Microsoft ExchangeおよびOutlookと互換性があります。これらは、ネットワーク管理者がActive Directoryのメンバーのサブセットにメールを送信できるようにします。
一方、Active Directoryセキュリティグループは、ユーザーのアクセス許可およびハードウェアリソースへのアクセスを管理します。これらのグループは、組織のネットワークやビジネス運営の機能に非常に重要です。
これは、Active Directoryセキュリティグループが重要なネットワークリソースへのアクセスを管理し、未承認のユーザーが機密データにアクセスすることを防ぐために役立つからです。これは、特にプライベートおよび機密情報の保護に重要です。
Azure Active Directoryセキュリティグループは、管理者、アカウントオペレーター、ドメイン管理者、DNS管理者、ユーザー、ゲスト、サーバーオペレーター、保護されたユーザーなどで構成されています。
Active Directoryセキュリティグループのスコープ
Azure Active Directoryセキュリティグループは、そのスコープに基づいて4つのカテゴリに分類されます:ローカル、ドメインローカル、グローバル、およびユニバーサルグループ。
ローカルグループ:これらグループは、作成されたコンピュータ上でのみ作成および利用可能です。
ドメインローカルグループ: ドメインローカルグループは、ドメイン全体のリソースアクセス権限を管理するために使用されます。ドメインローカルグループは、任意のタイプのドメインのメンバーや、信頼できるドメインのメンバーで構成されます。
グローバルグループ: グローバルグループは、ビジネスロールに基づいてドメインオブジェクト(ユーザー、コンピューター、グループ)を定義します。ユーザーは、その役割(例えば、“マーケティング”や“会計士”)に基づいてグループに編成され、コンピューターは役割(例えば、“マーケティングワークステーション”)に基づいてグローバルグループに編成されます。
ユニバーサルグループ: これらのグループは、マルチドメインフォレストで使用されます。ユニバーサルグループを使用することで、管理者はドメイン間のリソースに対する役割とアクセス許可を指定できます。
Azure Active Directory セキュリティ グループの用途
Active Directory セキュリティ グループの主な用途は2つあります:
ユーザー権限の割り当て: Active Directory セキュリティ グループは、グループ内のユーザーがドメインまたはフォレスト内で何を行うことが許可されているかを指定するために使用されます。管理上の利便性のため、特定のセキュリティ グループに自動的にユーザー権限が与えられることがあります。
リソースのアクセス許可の付与: ユーザー権限はユーザー権限とは異なります。ユーザー権限はユーザーがアクセスできるリソースを管理するのに対し、ユーザー権限はユーザーが持つ能力を決定します。
特定のセキュリティグループにはデフォルトで特定の権限が与えられていることに注意することが重要です。アカウントオペレーターズグループやドメイン管理者グループは、デフォルトで特定の権限を受け取る事前定義されたセキュリティグループの2つの例です。これらのグループは、アクティブディレクトリ ドメインを設定すると自動的に生成されます。ただし、自動的なセキュリティ権限を付与することに伴うセキュリティ上のリスクから、これらのグループを管理する際には特別な注意が必要です。
アクティブディレクトリセキュリティとAzure ADを改善
無料で試す、すべての機能にアクセス。– 200以上のADレポートテンプレートが利用可能。簡単に独自のADレポートをカスタマイズできます。
8つのアクティブディレクトリセキュリティグループのベストプラクティス
1.過剰を避ける
既定のセキュリティグループが過度な権限を持たないことを確認します:Active Directoryによって自動的に割り当てられる権限を定期的に検討してください。これらのグループのいくつかはかなりの権限を持っています。ユーザーは、日常業務を遂行するために必要な最小限のアクセス権のみを持っていることを確認してください。より大きなアクセス権が必要な場合は、必要に応じて付与するべきです。
必要なツールと機能のみをインストールし、アカウントが必要な権限のみを持ち、必要なグループのメンバーであることを確認してください。システムへのアクセス権を広範囲に与える場合、内部脅威を検出することがはるかに困難になり、高いアクセス権を持つグループに多くの人がいる場合、システムが脆弱になります。
2. 定期的なソフトウェアアップデートを実施
画像ソース:Pixabay
Microsoftは、Windowsソフトウェアおよびサードパーティ製プログラムを定期的に更新することをお勧めします。システムを侵害するために、攻撃者はしばしば既知の脆弱性を利用または利用しています。一方、セキュリティの専門家は常にこれらの脆弱性に対するセキュリティパッチを提供するために駆け回っています。その結果、定期的なパッチングルーチンを持つことで、システムがサイバーアタックから免疫できるようになります。
このためには、システムのソフトウェアを最新の状態に保つためにパッチマネージャーを利用することがよく推奨されます。良いパッチ管理システムは、ソフトウェアに脆弱性がある場合に通知し、見つけたリスクに関する詳細情報を提供します。これには、Active Directoryのセキュリティ上の抜け穴を特定の攻撃者が狙っていることも含まれます。
複雑さのルールに頼る代わりに、ユーザーがすぐに覚えられるパスフレーズを使用することを奨励するパスワードポリシーを実装してください。ユーザーが8文字以下の難しいパスワードではなく、3語以上のパラフレーズでパスワードを設定することを要求するポリシーを持つことが重要です。パスワードの複雑さのルールは、ユーザーが覚えやすいパスワードを使用することを妨げ、パスワードを書き留めるという避けられない行為につながり、パスワードを持つ本来の目的を無効にします。一定回数のログイン失敗後にユーザーをロックアウトするルールを設定することも推奨されています。
たとえば、ユーザーが3回のパスワード入力に失敗した後にロックアウトされるようなポリシーを設定します。パスワードは、二要素認証を使用することでさらに安全にすることができます。Microsoft Multi-Factor Authentication (MFA)、Duo、RSAを使用して二要素認証を実装できます。
4.デフォルトのグループとアカウントを保護する
Active Directoryドメインが作成されると、デフォルトのセキュリティグループも作成され、その中のいくつかのグループにはかなり広範なアクセス許可があります。これらのグループを管理する際は注意が必要です。ユーザーにそのうちの1つにアクセスさせると、彼らに強力な管理者アクセスとグループロールが自動的に与えられます。
そのためには、以下の実践に従ってください。
- デフォルトの「ドメイン管理者」を除いて、通常のユーザーが「ドメイン管理者」グループにアクセスできないようにしてください。
- ドメイン管理者アカウントは、ドメインのセットアップと災害復旧のみに使用するようにしてください。
- 必要な場合にのみ、ユーザーに一時的なアクセスを許可してください。
- パスワードが承認されたユーザーのみがアクセスできる安全な場所にパスワードを保管してください。
- ローカル管理者アカウントを無効にして、侵入者の侵入経路にならないようにする。これは、サイバー犯罪者がそれを有効にしていると簡単にシステムにアクセスできるためであり、インストール全体で同じSIDとパスワードを共有しているからです。
5.定期的なActive Directory監査を実施する
常にActive Directory、ログ、イベントを注意深く継続的に監視することが推奨されます。不審な動作の兆候に注意し、たとえば、失敗したログイン試行やロックされたアカウントの数が増加したり、特権グループのメンバーシップが変化したり、アンチウイルスソフトウェアの無効化や削除があったり、ログインやログオフのタイミングが変わったりすることです。
これらのイベントのいずれかが、システムへの試みや既存の侵害の警告サインである可能性があります。さらに、誰が何にアクセスできるかを追跡し、必要に応じて調整や削除を行い、セキュリティの面で誰もが必要以上の権限を持たないようにすることが重要です。
6.ゼロトラストのポリシーを実装
ゼロトラストとは、組織内の誰もがデフォルトで信頼されていないことを意味します。「ゼロトラスト」のポリシーを実装し、ネットワークの保護された領域に自動的にアクセスできるユーザー、内部または外部のユーザーはいないことを確認してください。最初に検証されるまで。
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
従業員や組織のメンバーに必要なアクセスのみを与え、必要なときにのみ与えます。そのようなアクセスが必要でない場合は削除し、可能であれば常に一時的なアクセスを付与します。
7.空のActive Directoryグループを削除
理想的には、Active Directoryのグループにはメンバーが存在しなければなりません。これは、グループを持つ最初の目的を完全に台無しにします。しかし、成長するネットワークのActive Directoryには、いくつかの空のグループがあることがよくあります。
空のActive Directoryセキュリティグループは、2つの主な問題を引き起こします。まず、不要な散らかりを増やし、アクティブディレクトリ管理を困難にすることです。たとえユーザーフレンドリーなActive Directoryツールと組み合わせて使用されていてもです。2番目、そして最も重要な点は、空のグループがネットワークに対するセキュリティリスクであることです。
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
幸いなことに、非アクティブなADグループを削除するのに役立つツールが利用可能です。ツールは、使用するActive Directoryグループ管理ソフトウェアによって異なります。これらのツールを使用して、空のActive Directoryグループを検索し、統合するか完全に削除することで削除してください。たとえば、関連するグループを統合する場合は、すべて同じ権限が必要です。
8. Azure AD Multi-Factor Authentication (MFA)を有効にする
画像出典:Unsplash
Azure AD MFAは、パスワードのみの認証の危険性を軽減し、ユーザーに2つ以上の要素の組み合わせを提供させます。「
- 彼らが知っているもの(たとえば、パスワード)。
- 彼らが持っているもの(たとえば、電話のような信頼できるデバイス)。
- 彼らがあるもの(たとえば、指紋)。
Azureでマルチファクタ認証を有効にするためのいくつかの方法があります:
Azure ADセキュリティデフォルトを介して: このオプションでは、管理者はすべてのユーザーに対してMicrosoft Authenticatorを使用したMFAの展開と設定を迅速に行うことができます。この方法では、管理者として古い認証プロトコルの使用を禁止することもできます。
条件付きアクセスポリシーを使用することによって: これらのポリシーを使用すると、特定の状況(例:信頼できない場所からのサインイン、信頼できないデバイス、危険なアプリ)でMFAを要求する自由が得られます。より大きな危険が検出された場合にのみ、さらなる確認を要求することで、この方法はユーザーの負担を軽減します。この手法により、追加のリスクが認識された場合にのみ、追加の確認が必要となり、ユーザーの負担が軽減されます。
個々のユーザーの状態変更による方法:このアプローチは、クラウドベースのAzure AD MFAとAzure MFA認証サーバーの両方によってサポートされています。これにより、条件付きアクセスの制限を回避し、ユーザーがログインするたびに二要素認証を利用するよう強制します。
また、以下を読む:Azure ADモニタリングの展開
Active Directoryセキュリティグループのベストプラクティス(結論)
Active Directoryは、個々のユーザーがWindowsサーバーやネットワークリソースにアクセスできるよう制御するための強力なサービスです。堅牢なセキュリティガードを設置し、脆弱性を制限し、常にモニタリングすることで、システムを攻撃から守ることができます。
上記の推奨プラクティスに従って、コストのかかる不便さを回避し、システムを安全に保ちましょう。
Source:
https://infrasos.com/active-directory-security-groups-best-practices/