web-dev-qa-db-ja.com

ローカル管理権限を安全に付与する

私はローカルの管理者権限を安全に付与する最良の方法を調査してきましたが、セキュリティ、運用、およびコストの影響を調整するのに本当に苦労しています。

私はいくつかのオプションを考案しました:

  1. ドメインセキュリティグループ(PC Admins)、必要なドメインユーザーアカウントを追加し、グループポリシーを使用してドメインセキュリティグループをローカルセキュリティグループに追加しますAdministrators
    • 長所:
      • 一元管理。
      • 監査可能。
      • 自由。
    • 短所:
      • 資格情報の盗難や横移動攻撃に対して脆弱です。
  2. オプション#1ですが、個別のドメインユーザーアカウント(<original username>.admin):
    • 長所:#1と同じ
    • 短所:#1と同じ。 UACプロンプトを認証すると、悪用可能なログオンキャッシュが作成されます。
  3. オプション#1ですが、キャッシュされたログオンを無効にします:
    • 長所:
      • 一元管理。
      • 監査可能。
      • 自由。
      • 悪用するログオンキャッシュがないという点で、資格情報の盗難や横移動攻撃に対して脆弱ではありませんが、資格情報は他の手段(キーロガーなど)を介して引き続きキャプチャできます。
    • 短所:
      • ドメインに問題がある、ネットワーク接続に問題がある、PCがオフサイトにあるなどの場合、ユーザーはログオンできません。
  4. Microsoft LAPSを展開し、一意のローカル管理者の資格情報を使用してユーザーを発行します。
    • 長所:
      • 一元管理。
      • 資格情報の盗難や横移動攻撃に対して脆弱ではありません。
      • 自由。
    • 短所:
      • 監査不可。
      • デフォルトの管理ユーザーアカウントは簡単なターゲットです。
  5. 必要なドメインユーザーアカウントをローカルセキュリティグループに追加しますAdministrators
    • 長所:
      • 監査可能(ある程度)。
      • 資格情報の盗難や横移動攻撃に対して脆弱ではありません。
      • 自由。
    • 短所:
      • 一元管理されていません。
  6. MFAを実装:
  7. TOTPを使用するか、必要に応じて一時的にのみ管理者権限を付与するシステムを実装します。
    • 長所:
      • 一元管理。
      • 監査可能。
      • 資格情報の盗難や横移動攻撃に対して脆弱ではありませんか?
    • 短所:
      • 無料ではありません。

一般的なベストプラクティスはありますか?

私は仕方がありませんが、正しい技術的な答えは1つもなく、これらのリスクは、誰もが日常的に管理ユーザーアカウントを使用できない、または使用しないことを確実にすることによって軽減されます。または(2)マルウェアを実行します。

6
mythofechelon

保護されたユーザーを使用する

ユーザーがNTLMプロトコルを使用してWindowsマシンにログオンすると、ユーザーのハッシュはLSASSプロセスのメモリに保存されます。攻撃者はこのメモリをダンプして、これらの資格情報を盗むことができます。

この問題を克服するための適切な解決策は、管理者にKerberos認証を強制し、プレーンテキストの資格情報を禁止することです。これは、保護されたユーザーと呼ばれるメカニズムで実行できます。

/!\保護されたユーザーのセキュリティグループを作成するにはWindows Server 2012 R2が必要です。保護されたユーザーにクライアント側の制限を提供するには、ホストでWindows 8.1以降を実行する必要があります。

アカウントが保護されたユーザーのメンバーである場合:

  • デフォルトの資格情報の委任を許可するポリシーが有効になっている場合でも、デフォルトの資格情報の委任とWindowsダイジェスト(プレーンテキスト資格情報)がキャッシュされない
  • NTLMハッシュはキャッシュされません
  • Kerberos構成が改善されました
  • オフラインサインオン(キャッシュされたログオン検証)は作成されません

あなたの最初のオプションは良いものです

ドメインセキュリティグループ(PC管理者)を作成し、必要なドメインユーザーアカウントを追加し、グループポリシーを使用して、ドメインセキュリティグループをローカルセキュリティグループAdministratorsに追加します。

それがまさにあなたがしなければならないことです。 PC管理者グループは、保護されたユーザーグループのメンバーになります。

悪いオプション

Microsoft LAPSを展開する

LAPSは、ドメインに参加しているコンピューターのrid 500(ローカル管理者)パスワードを自動的に管理するため、パスワードは次のとおりです。

  • 各管理対象コンピュータで一意
  • ランダムに生成された
  • 既存のADインフラストラクチャに保存

ただし、local管理者アカウントを使用してコンピューターを管理することはできませんネットワーク経由。 Active Directoryでは、ネットワーク接続が失われた場合に備えて、これらのアカウントをバックアップアカウントと見なす必要があります。したがって、LAPSはニーズに適合しません。

さらに、資格情報の盗難に対して脆弱ですが、横方向の移動攻撃に対しては脆弱です。

TOTPを使用する、または必要に応じて一時的にのみ管理者権限を付与するシステムを実装する

MFAと同じ理由で、資格情報の盗難や横移動攻撃に対して依然として脆弱です。

2
Trevor65
  1. 私の知る限り、キャッシュされたドメインアカウントのログオンは、資格情報の盗難や横移動攻撃に対して脆弱ではありません。

キャッシュされたドメイン資格情報のセキュリティキャッシュされた資格情報という用語は、Windowsがドメインログオンのログオン情報をキャッシュする方法を正確に説明していません。 Windows 2000以降のバージョンのWindowsでは、ユーザー名とパスワードはキャッシュされません。代わりに、システムはパスワードの暗号化されたベリファイアを保存します。このベリファイアは、2回計算されるソルト付きMD4ハッシュです。二重計算により、ベリファイアはユーザーパスワードのハッシュのハッシュになります。この動作は、Microsoft Windows NT 4.0および以前のバージョンのWindows NTの動作とは異なります。

http://support.Microsoft.com/kb/913485

  1. ただし、ローカル管理者アカウントを管理する方法が必要です。それらを無効にするか、LAPSを使用できます。すべてのコンピューターで同じローカル管理者パスワードを使用すると、資格情報の盗難や横移動攻撃に対して脆弱になります。

  2. 私の見解では、ドメインユーザーにはローカル管理者特権は必要ありません。 ITスタッフは、ローカルの管理者グループに属する特別なアカウントを持っている必要があります。ローカル管理者アカウントは、異なるパスワードを持っている必要があります。

0
Serg Kim