「管理者アカウントは1つあれば十分でしょ」——そう思っていた現場のエンジニアが、ある日ランサムウェア感染後の調査で気づきます。ドメイン管理者アカウントが一般PC環境に平然とログオンしていた、と。
AD演習編の第3弾、「特権アカウントを設計してTierモデルを実装する」を公開しました。
今回は概念で終わらず、実際にOUを設計して管理者アカウントを分離し、GPOでTier0アカウントのログオン制限をかけるところまでを手を動かして実装します。
Vol.3で実装すること
Tierモデル(Tier Model) Active Directory環境における特権アカウントを「管理する対象のレイヤー」で3階層に分離する設計手法。Tier0(ドメイン全体)・Tier1(サーバー)・Tier2(クライアントPC)に分け、アカウントの横断利用を禁止することで攻撃の横移動(ラテラルムーブメント)を防ぐ。
Vol.3では以下の4つのステップを順番に実装します。
ステップ① Tier構成のOU・グループ・アカウント設計
まず「どのOUに何を置くか」の設計から始めます。Tier0・Tier1・Tier2それぞれに対応したOU構造を作り、専用のグループと管理者アカウントを作成します。
現場でよくある「管理者アカウントが1つしかなく、誰が何をやったか追えない」という状態を根本から解消する設計です。
ステップ② アカウントをグループに追加する
作成した管理者アカウントを対応するグループに紐付けます。「誰がどのTierを管理するか」を明示することで、権限の可視性が一気に上がります。
ステップ③ GPOでログオン制限をかける
Vol.3のメインテーマです。Tier0管理者アカウントがTier1・Tier2の環境にログオンできないようGPOで制御します。
ログオン制限(Logon Restriction) グループポリシーの「ローカルへのログオンを拒否」や「リモートデスクトップ経由のログオンを拒否」などの設定を使って、特定のアカウントがログオンできる端末・サーバーを制限する仕組み。
GPOをOUにリンクし、Tier0アカウントで実際にログオンを試みて制限がかかることを検証するところまで確認します。
ステップ④ 動作確認とVol.4への準備
Tier構成が正しく機能しているかを最終確認し、Vol.4(攻撃者視点)に向けた環境整備を行います。
こんな方に向いています
- AD演習Vol.1・2を終えて、次のステップに進みたい方
- 「特権アカウント分離」や「Tierモデル」を概念だけでなく実際に設定したい方
- Pass-the-Hash・Kerberoastingなどの攻撃手法を学ぶ前に、防御側の設計を理解しておきたい方
なお、Vol.3はVol.1・2で構築したVirtualBox環境をそのまま引き継いで使用します。Vol.1・2未完了の方は先にそちらから始めることをおすすめします。
演習環境・前提条件
| 項目 | 内容 |
|---|---|
| 仮想化ソフト | VirtualBox(無料) |
| OS | Windows Server 評価版(無料) |
| 前提 | AD演習編 Vol.1・2の環境が構築済みであること |
| 有料ツール | 不要 |
有料ツール・クラウド環境は一切不要です。すべて無料で再現できる構成にしています。
AD演習編シリーズ全体のロードマップ
Vol.3はシリーズの中で「守れる設計の核心」に位置します。
| Vol | テーマ | 状態 |
|---|---|---|
| Vol.1 | VirtualBoxでAD環境をゼロから構築する | 販売中 |
| Vol.2 | OU・GPO・グループを設計して適用する | 販売中 |
| Vol.3 | 特権アカウントを設計してTierモデルを実装する | 販売中 |
| Vol.4 | 攻撃手法を体験する(Pass-the-Hash・Kerberoasting) | 準備中 |
| Vol.5 | イベントログで攻撃を検知・分析する | 準備中 |
Vol.4では今回構築したTier環境に対して実際に攻撃を仕掛けるシナリオを予定しています。Vol.3の環境が整っていることで、攻撃と防御の両面を体験できる構成になっています。
購入・詳細はこちら
AD演習編 Vol.3|特権アカウントを設計してTierモデルを実装する
あわせてご覧ください
コメント