アカウントロックアウトDoSに対する保護

Microsoft Lync（以前のOffice Communications Server）を使用してブルートフォース攻撃を緩和する方法を説明した論文があります。

http://blogs.technet.com/b/drrez/archive/2010/05/26/protecting-the-Edge-server-against-dos-and-password-brute-force-attacks-in- office-communications-server.aspx

切れ端：

「DoS攻撃は、正当なサインイン要求と区別がつきません。唯一の違いは、サインイン試行の頻度とOriginです。連続して多数のサインイン試行が行われると、DoS攻撃を示す可能性があります。DoS攻撃は、ユーザーのパスワードを推測して不正アクセスを取得し、Active Directoryでセキュリティポリシーが有効になっていると、ユーザーアカウントがロックアウトされることがよくあります。」

「エッジサーバーでアカウントロックアウトを実施することにより、セキュリティフィルターはネットワーク境界のエッジでのDoS攻撃を防ぎ、結果として内部のOffice Communications Serverリソースを保護します。」

Microsoftは、別のホワイトペーパーをタイトルにしています： アカウントロックアウトのベストプラクティスホワイトペーパー
「外部アカウントロックアウトサービス拒否攻撃からの保護」を検索

キースニペット（そのままコピー）：

外部アカウントロックアウトサービス拒否攻撃からの保護
悪意のあるユーザーが、ネットワークの外部から企業に対してサービス拒否攻撃を仕掛ける可能性があります。ほとんどのネットワークは相互接続されているため、これは緩和するのが難しい攻撃になる可能性があります。次の技術テクノロジは、このような攻撃を軽減または防止するために使用できる一般的な技術とテクノロジです。

•複雑なパスワードが必要：すべてのアカウントには複雑なパスワードが必要です。すべての管理者アカウント（ローカルおよびドメイン）には長くて複雑なパスワードが必要であり、定期的にパスワードを変更する必要があります。

•管理者アカウントの名前を変更します：管理者アカウントはロックアウトできないため、アカウントの名前を変更することをお勧めします。これは管理者アカウントに対するすべての攻撃を軽減するわけではありませんが、ほとんどの場合これらの攻撃を軽減するのに役立ちます。詳細については、Microsoftナレッジベース| http：//support.Microsoft.com/？id = 320053の「HOW TO：Windows 2000の管理者およびゲストアカウントの名前を変更する」を参照してください。

•ファイアウォールで環境を保護します：アカウントロックアウトサービス拒否攻撃を回避するには、TCPおよびUDPポート135〜139をブロックしますルーターとファイアウォールのポート445。これを行うと、ネットワークの外部で発生するログオン試行を防止できます。

•匿名アクセスを防止する：インターネットに公開されているすべてのコンピューターで、およびすべてのコンピューターが実行されている場合はドメイン全体で、RestrictAnonymousの値を2に設定します。 Windows 2000以降のバージョン。これにより、悪意のあるユーザーがリソースに匿名で接続できなくなり、一部の種類の攻撃を阻止するのに役立つ場合があります。一部のオペレーティングシステムでは、この設定を持つコンピューターのサポートが制限されていることに注意してください。一部のプログラムでは、プログラムが匿名接続を使用してリソースにアクセスする場合にも、この設定に問題がある可能性があります。詳細については、Microsoftサポート技術情報のhttp://support.Microsoft.com/?id=246261の「Windows 2000でRestrictAnonymousレジストリ値を使用する方法」を参照してください。

•VPNトンネルを使用してサイト間トラフィックを保護します。2つのサイトのドメインメンバー間の通信が必要な場合は、サイト間サイトを使用しますサイトネットワークを安全に接続するVPNトンネル。ファイアウォールですべてのNetBIOSポートを開かないでください。 Windows 2000 Serverルーティングとリモートアクセスサービスを使用して、サイト間VPNトンネルを作成できます。使用可能なVPNデバイスがない場合は、エッジファイアウォールまたはルーターフィルターを構成して、各サイトで使用されるインターネットプロトコル（IP）アドレス範囲間を流れることが許可されるトラフィックを制限する必要があります。サイトがインターネット全体でのみActive Directoryレプリケーションを使用する必要がある場合は、ファイアウォール経由のインターネットプロトコルセキュリティ（IPSec）トランスポートモードを使用して、Active Directoryサーバー間のすべてのトラフィックを保護します。ファイアウォールを介したActive Directoryレプリケーションの詳細については、Microsoft Webサイトのホワイトペーパー「ファイアウォールを介したActive Directoryレプリケーション」| http：//www.Microsoft.com/serviceproviders/columns/config_ipsec_p63623.aspを参照してください。

•インターネット攻撃からの認証とNetBIOSポートの保護：ファイアウォールまたは内部ネットワークをインターネットに接続するルーターのいずれかで、TCPおよびUDPポート135〜139およびポート445。エッジフィルタリングデバイスが使用できない場合は、IPSecフィルターを使用してこれらのポートをブロックできます。これを行うには、Microsoft Knowledge Base | http：//support.Microsoft.com/？id = 813878の「IPSecを使用して特定のネットワークプロトコルとポートをブロックする方法」に記載されている構成を使用します。

•同じIPSecポリシーで、送信元アドレスが内部ネットワークで使用されるサブネットにある場合に、これらのポートへのトラフィックを許可するフィルターを追加する追加のルールを作成する必要があります。これを行うには、Microsoft Knowledge Base | http：//support.Microsoft.com/？id = 813878の「IPSecを使用して特定のネットワークプロトコルとポートをブロックする方法」に記載されている構成を使用します。

•内部攻撃から認証ポートとNetBIOSポートを保護する：内部悪意のあるユーザーから認証ポートとNetBIOSポートへのアクセスを保護する必要がある場合、コンピュータを制限することができます。セキュリティをネゴシエートできるIPSecの機能を使用して、ドメインメンバーのコンピューターのみにこれらのポートへのアクセスを許可します。信頼されたコンピューター（ドメインメンバーコンピューター）のみが認証ポートとNetBIOSポートの両方にアクセスできるようにすることで、攻撃を実行できるコンピューターの数を減らします。この追加の保護により、セキュリティ境界の違反や、内部ネットワークに接続できる悪意のあるユーザーに対する防御が提供されます。 TCPおよびUDPポート135〜139およびポート445へのアクセスのIPSecセキュリティをネゴシエートするときにKerberos認証を使用するカスタムIPSecポリシーを作成する方法については、「インターネットプロトコルセキュリティのステップバイステップガイド」を参照してください。 （IPSec） "Microsoft Webサイト| http：//www.Microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp。

•サーバーを更新します：すべてのサーバーを最新バージョンのウイルス対策ソフトウェア、ファイアウォールソフトウェア、およびWindowsセキュリティパッチで最新の状態に保ちます。これにより、悪意のあるユーザーがインターネットではなく内部ネットワークから攻撃を開始できる場合に、トロイの木馬プログラムやウイルスがリソースを攻撃するのを防ぐことができます。これらの更新は、詳細かつ防御的なセキュリティ戦略の重要な部分です。