Active Directory のセキュリティ：Tier-Zero 資産の特定と保護を最優先すべきだ

How to Define Tier-Zero Assets in Active Directory Security

2023/04/13 DarkReading — Active Directory 環境のセキュリティ向上を目指す企業は、「攻撃者の選択肢が多すぎる」というシンプルな問題に直面している。平均的な企業の AD 環境には、数千から数万もの攻撃経路が存在する。それは、低特権ユーザーのアカウントへの初期アクセスに成功した攻撃者が、特権を拡大し、高特権ユーザーへと移動し、ドメイン乗っ取りに可能にするという、ミスコンフィグレーションの連鎖である。すべてのミスコンフィグレーションの修正は不可能かもしれないが、セキュリティ／アイデンティティ／アクセスの管理者は、AD の安全性を確保するために、有意義な進歩を遂げていくはずだ。しかし、それを成功させるためには、作業に優先順位をつける方法が不可欠となる。

攻撃経路に優先順位を付けるための最初のステップは、Tier-Zero の資産につながる経路に焦点を当てることだ。Tier-Zero 資産とは、AD や Azure AD における重要なシステムのことであり、それが侵害されると、攻撃者が望むあらゆるシステムへのアクセスを許すことになる。具体的に言うと、マルウェアの導入／機密情報の窃取／永続性の確立といった、攻撃者が望むあらゆるものが、Tier-Zero システムをコントロールすることで可能になる。

ここで、Tier-Zero に含まれるシステムとは何かという疑問が生じる。この用語は、Microsoft の Enhanced Security Administration Environment (ESAE) モデルに由来し、環境を完全に制御するオブジェクトと、それらのオブジェクトを制御する、あらゆるオブジェクトの集合を意味する。すでに ESAE モデルは引退し、同じアドバイスを推奨する Microsoft の Enterprise Access Model に置き換えられ、この機密性の高いグループのことを、いまは “コントロール・プレーン” と呼んでいる。しかし、どちらのモデルにも、Tier-Zero の一部とみなされるシステムのリストは含まれていない。

AD のセキュリティを研究している私と同僚が、Tier-Zero の資産と考えるものは、次のとおりである。あらゆる環境で、常に Tier-Zero とみなされるべき AD オブジェクトとグループは数多くあるが、組織により異なるものもあるだろう。最終的な Tier-Zero グループは、それぞれの組織に応じたものとなる。

Group 1：ドメイン制御グループ

まず、ドメインの完全な制御を維持するオブジェクト、または、それらのグループへのアクセス権を得るための、(事実上) 取り消し不能な能力を持つオブジェクトが含まれる。グループの権限は継承されるので、AD の特権グループ・メンバーシップを検査し、入れ子になっているグループを特定することを忘れないでほしい。たとえば、あるグループがドメイン・コントローラーに含まれる、第二のグループの中に入れ子になっている場合には、両方のグループの全メンバーが、それらの特権を持つことになる。

Active Directory で、そこに含まれるものには、ドメインヘッド・オブジェクト／ビルトイン管理者アカウント／ドメイン管理者／ドメイン・コントローラー／スキーマおよびエンタープライズ管理者／エンタープライズ・ドメイン・コントローラ／キーおよびエンタープライズ・キー管理者および、管理者全体である。

Azure の Tier-Zero には、Azure テナントの完全な制御を維持するデフォルト・ロールおよび、それらのロールにアクセスするための実質的に取り消し不能な能力を持つロールが含まれる。そこには、テナント・オブジェクト／グローバル管理者／特権ロール管理者／特権認証管理者などが含まれる。

Group 2：主要なアイデンティティ・システム

続いて、Tier-Zero に含むべきものとして挙げられるのは、以下のシステムに関連するコンピュータとサービス・アカウントである。これらは、大半のケースで Tier-Zero となるが、特定するためのプロセスは環境に応じて異なる。

１つ目は、ルート証明機関 (CA) サーバと下位 CA を含む、公開キー基盤／Active Directory 証明書サービスである。２つ目は Active Directory フェデレーション・サービスですが、Web アプリケーション・プロキシ・サーバは、別の AD フォレスト (DMZ またはエクストラ・ネットワーク) に配置する必要があり、Tier-Zero とは見なされないことに注意してほしい。３つ目は、パススルー認証が有効化されているサーバを含む、Azure AD Connect サーバとアカウントである。 Thycotic や CyberArk などの特権アクセス管理システムおよび、Quest GPO admin や高度なグループポリシー・マネージャーなどの、グループポリシー・オブジェクト管理ツールも、Tier-Zero と見なす必要がある。

これまで述べてきたように、各組織に合わせて Tier-Zero をカスタマイズする必要がある。特権アクセス・ワークステーションなどの、特定の組織が Tier-Zero とみなすものに関連するコンピュータとサービス・アカウントは、上記のシステムに含まれるべきだ。エンタープライズにおける読み取り専用ドメイン・コントローラーは、それぞれの条件に応じて、Tier-Zero／Tier-One と見なされることがある。

Group 3：コード実行能力を持つシステム

最後に、Tier-Zero は、上記の Tier-Zero システム上でコードを実行する能力 (または他の特権的な制御) を持つシステムを含むべきである。たとえば、ドメイン・コントローラーが Microsoft System Center Configuration Manager (SCCM) から管理されている場合には、SCCM の侵害に成功した攻撃者は、ドメイン・コントローラー上でコードを実行する能力を持ってしまう。この場合において、SCCM は環境を完全に制御するための間接的な経路であるため、Tier-Zero システムとなる。この攻撃は、より高度な技術を必要とするが、敵対者にとっては実行可能なオプションであるため、こうした可能性に対しても備える必要がある。

このカテゴリには、数多くのシステムが含まれることがあるため、すべてを特定することが、重要なプロジェクトになる可能性が生じる。まず、上記のオブジェクトとアカウントの全てを特定し、その周囲に Tier-Zero の境界線を引き、その上でコード実行能力を持つシステムの、特定に移るという手順が推奨される。

これらの特定された資産の保護にセキュリティ・リソースを集中させ、攻撃が発生したときに閉じる経路を適切に評価できるようにすべきだ。エンタープライズ・ネットワークで考えられる、すべての攻撃経路を閉じることは現実的に不可能だが、そこに優先順位をつけることで、Tier-Zero 資産につながる最も危険な経路を排除し、全体としての露出を大幅に減らすことが可能となる。

デジタル資産の特定と保護は、あらゆる領域で推進されている、優先度の高い項目だと思いますが、この記事は Active Directory に限定して、それを行いましょうという視点に立っています。2023/03/29 の「クラウド環境の ID を再考する：人間とマシンに付与された権限の 1% だけが使用されている」では、過剰な権限付与について、Microsoft が指摘しています。よろしければ、以下の関連記事も、ご参照ください。

2023/03/22：Active Directory におけるインサイダーの脅威
2023/03/10：MFA の限界を知ろう：AD との相性の悪さ
2023/01/12：IcedID マルウェアの蔓延：AD ドメインを侵害