WindowsのActive Directory(AD)サービスアカウントは、その昇格された権限と重要なシステムへの自動的/継続的なアクセスにより、サイバー攻撃の格好の標的となっている。そのため、Windows管理者は、AD環境をセキュリティ侵害から保護するために重要な、強力なセキュリティ対策を実施する必要があります。
この記事では、ADのサービス・アカウントを保護し、悪意のあるアクターによる侵害のリスクを低減するための5つのベスト・プラクティスを概説します。
サービス・アカウントとは?
ADサービスアカウントは、Windowsサーバー上でアプリケーションやサービスを実行するために設計された特別なアカウントです。ソフトウェア固有の機能をサポートするために、サービスアカウントは、アプリケーションとコアサービスのインストールを管理するための高い権限を必要とし、依存するアプリケーションが適切に機能するために、オペレーティングシステムのインフラストラクチャへの広範なアクセスを許可されることがよくあります。
この広範なアクセス・レベルは、重要なシステムへの足がかりを得ようとする悪意のある行為者にとって、サービス・アカウントを特に魅力的なターゲットにしています。
サービスアカウントを侵害することで、攻撃者はネットワーク全体への広範なアクセスと、他の特権システムへの可視性を得ることができます。
サービス・アカウントの種類
サービス・アカウントには、ローカル・ユーザー・アカウント、ドメイン・ユーザー・アカウント、マネージド・サービス・アカウント(MSA)、グループ・マネージド・サービス・アカウント(gMSA)の3種類があります。
ローカルユーザーアカウント
ローカルユーザーアカウントは、Windowsシステムにログインし、そのリソースや設定にアクセスできる。ローカルユーザーアカウントの種類には、以下のものがある:
- システムアカウント– ローカルで複数の特権管理権限を持つ。
- ローカル・サービス・アカウント – ネットワーク・サービスにクレデンシャルなしでアクセスできる。
- ネットワーク・サービス・アカウント– ネットワーク・サービスへのより強固な、認証されたアクセス権を持つ。
ドメイン・ユーザー・アカウント
ドメインユーザーアカウントの下で実行されるサービスは、WindowsとMicrosoft ADドメインサービスのサービスセキュリティ機能への完全なアクセスを持つ、アカウント(またはアカウントがメンバーである任意のグループ)に付与されたすべてのローカルおよびネットワークアクセスを持つ。
マネージドサービスアカウント
マネージドサービスアカウント(MSA)は、特定のシステムに結びついたアカウントで、システムのADドメインでサービス、アプリケーション、スケジュールタスクを安全に実行するために使用できる。役割ベースのアクセス制御(RBAC)やメンテナンスの自動化など、ADを介した厳格な権限制御を使用するため、MSAは最も安全なサービスアカウントタイプと考えられています。
グループ管理サービスアカウント
gMSAは、MSAと同じ機能を提供するドメインアカウントであるが、複数のサーバーまたはサービスにわたっている。
gMSAは、自動パスワード管理や、他の管理者への管理委任を含む簡素化されたサービスプリンシパル名(SPN)管理など、従来のマネージドサービスアカウントよりも多くのセキュリティ機能を提供する。
サービス・アカウント保護の重要性
サイバー攻撃者は一般的に、保護されたシステムへの潜在的な侵入口としてサービス・アカウントに注目しているため、Windows管理者はサービス・アカウントの保護を優先すべきである。
たとえば、Storm-0501ランサムウェアの攻撃者は、組織のオンプレミス環境からクラウド環境に移行する際に、過剰な特権アカウントを悪用します。
これにより、ネットワーク制御を獲得し、クラウド環境への永続的なバックドア・アクセスを作成し、オンプレミス・システムにランサムウェアを展開することが可能になります。
ADサービス・アカウントを保護するための5つのベスト・プラクティス
1.最小特権の原則に従う
サービス・アカウントを構成する際には、最小特権の原則に従うべきである。つまり、ユーザーとアカウントは、そのタスクを実行するために必要な最小限の権限のみを持つべきである。ADサービスアカウントは特定のタスクを実行するように設計されているため、そのタスクを完了するために必要な権限のみを持つべきである。
過剰な特権を与えること(例えば、サービスアカウントをドメイン管理者やエンタープライズ管理者にすること)は、Windows環境に重大なリスクをもたらす。
2.可能な限り多要素認証(MFA)を使用する。
すべてのユーザーアカウントにMFAを実装することは、AD環境のセキュリティを大幅に強化する。サービスアカウントは通常、MFAをサポートする対話型ログインを意図していないが、MFAをサポートするサービスアカウントの対話型ログインプロセスに組み込むことが不可欠である。
3.使用していないサービスアカウントの削除
ADサービスアカウントは、積極的なライフサイクル管理プログラムの一部であるべきであり、未使用または不要なサービスアカウントは速やかに無効化するか、注意を促すフラグを立てる。ADに未使用のサービス・アカウントがいくつあるか知りたいですか?
無料の読み取り専用監査ツールでADをスキャンし、未使用のアカウントやその他のパスワード関連の脆弱性に関するエクスポート可能なレポートを入手してください。Specops Password Auditorのダウンロードはこちらから。
4.サービスアカウントのアクティビティを監視する
ADサービスアカウントは攻撃者にとって格好の標的であり、疑わしいアクティビティや異常(不正なRDPアクセス、不適切なサーバやワークステーションでの使用など)を注意深く監視する必要がある。
監査のために、Windows管理者は、ADネイティブ・ツールとサードパーティ・ツールを組み合わせて使用し、ログオン・イベントとアカウント変更を追跡すべきである。
5.組織全体で強固なパスワードポリシーを実施する
MSAやgMSAはパスワード管理を自動化するが、ユーザーアカウントを含むすべてのアカウントに強固なパスワードポリシーを導入することで、ADドメインサービス全体のセキュリティを強化することができる。
Specops Password Policyのようなサードパーティツールは、組織全体でこれらのポリシーを拡張および実施するのに役立つだけでなく、侵害されたパスワードのためにADを継続的にスキャンすることもできます。Specops Password Policyを無料でお試しください。
サービスアカウントの保護を優先する
ADサービスアカウントは、自動化されたプロセスやサービスを実行するために不可欠ですが、その特権の高さゆえに重大なセキュリティリスクをもたらす可能性があります。侵害された場合、攻撃者が制御を拡大し、業務を妨害し、機密データにアクセスし、ネットワーク内で横方向に移動することを許す可能性があります。
以下の5つのベスト・プラクティスに従うことで、これらのリスクを軽減し、ADサービス・アカウント関連の侵害からIT環境を保護することができます。
2025年のActive Directoryの安全性を目指していますか?スペコプスのエキスパートにご相談ください。
Specops Softwareがスポンサーとなり、執筆しました。
Comments