ナビゲータのEVEです。
昨日は、朝8:00に起きて、途中で仮眠は取りましたが、夜は、1:00過ぎに寝ることができたようです。
布団に入ったと思って、ふと目を開けたら朝でした。時間は7:00・・・。今朝は寒く布団から出るのに時間がかかりましたが、ほぼ自分が理想と考えている状況です。
今日、明日と現状を維持し、来週から、夜勉をやめ、朝勉ができるように、早く寝ることにします。
サラリーマン時代は、夜寝ることができないということがたびたびありましたが、本当に久しぶりでした。意外とつらいものです。サラリーマン時代はもっとつらかったですが・・・。
では、本日は、日曜日ということで、セキュリティの日です。先週の話の続きを進めましょう。
[先週までは]
先週までは、ウイルスの権限昇格を防ぐ方法を以下のように列記し、「サーバー間通信を“許可制(Allowlist)”にする」まで話をしました。本日は、先週の続きで、「SMB/RDPなど横展開に使われるプロトコルを制限する」から話を進めましょう。
①権限設計(Privilege Design)で求められること管理者権限を分離する(Tierモデル)ローカル管理者パスワードを端末ごとにバラバラにする(LAPS)サービスアカウントの権限を最小化するドメイン管理者は日常利用しないログオンできる場所を制限する(Logon Restrictions)→ 1つの端末を取られても、ドメイン管理者権限に到達できない構造を作る。- ②ネットワーク構造(Network Segmentation)で求められること
ネットワークを分割する(VLAN / セグメント)管理ネットワークを分離するバックアップネットワークを分離するサーバー間通信を“許可制(Allowlist)”にする- SMB/RDPなど横展開に使われるプロトコルを制限する
- → 攻撃者が侵入しても、横展開できず、重要サーバーに到達できない構造を作る。
[SMB/RDPなど横展開に使われるプロトコルを制限する]
先週は、サーバーに限定した話でしたが、今回は、クライアントを含めたすべてのコンピュータの通信制御の話になるようです。
SMBとは、ファイルサーバーなどを利用するときに使用するプロトコルで、WindowsというOSがこの世に出た当初からあるプロトコルだと記憶してます。ただ、RDPって何だったでしょうか?ちょっと、記憶が定かではないので、SMBを含めて、単語及びなんで、このことが権限昇格に有効なのかCopilotに聞いてみたいと思います。
- ■SMB、RDPとは?
- 1. SMB(Server Message Block)
-
- ・何をするプロトコルか
- Windows のファイル共有・プリンタ共有・IPC(プロセス間通信)を行うプロトコル。
-
- ・ 主な用途
- ファイルサーバへのアクセス
- NAS へのアクセス
- 共有フォルダの読み書き
- プリンタ共有
- Windows 認証(NTLM)との連携
-
- ・ 使用ポート
- TCP 445(現行)
- 旧式:TCP 139(NetBIOS over TCP/IP)
-
- ・ SMB の特徴
- Windows ネットワークの基盤
- 認証方式として NTLM/Kerberos を利用
- SMBv1 は脆弱(WannaCry などの攻撃に悪用)
-
- ・ セキュリティ上の注意
- SMBv1 は必ず無効化
- インターネットに公開してはならない
- 社内でもセグメントを分け、アクセス制御を行う
- 認証情報が盗まれると横展開(Lateral Movement)に使われる
- 2. RDP(Remote Desktop Protocol)
-
- ・ 何をするプロトコルか
- Windows の画面を遠隔操作するためのリモートデスクトップ用プロトコル。
-
- ・ 主な用途
- サーバ管理
- 遠隔操作
- テレワーク
- GUI ベースのリモート接続
-
- ・ 使用ポート
- TCP 3389
-
- ・ RDP の特徴
- 画面転送(GUI)
- キーボード・マウス操作を遠隔で実行
- 暗号化されているが、設定次第で脆弱になる
-
- ・ セキュリティ上の注意
- インターネットに直接公開すると攻撃されやすい
- ブルートフォース攻撃の主要ターゲット
- NLA(Network Level Authentication)を必ず有効化
- VPN 経由でのみアクセスさせる
- 多要素認証(MFA)を併用する
| 項目 | SMB | RDP |
| 用途 | ファイル共有 | リモート操作(画面転送) |
| ポート | 445 | 3389 |
| 認証 | NTLM/Kerberos | NLA(+Windows認証)//Kerberos |
| 危険性 | SMBv1 が特に危険 | インターネット公開が危険 |
| 攻撃での利用 | 横展開(Lateral Movement) | 不正ログイン・乗っ取り |
| 防御策 | SMBv1無効化、セグメント分離 | VPN必須、NLA、MFA |
- ■ランサムウェア対策としての位置づけ(あなたの文脈に最重要)
- ・SMB
- 侵入後の 横展開(Lateral Movement) に使われる
- 共有フォルダを暗号化される
- NTLM 認証情報が盗まれると危険
- ・RDP
- 外部からの侵入経路として最も狙われる
- ブルートフォース攻撃の標的
- 乗っ取られると内部ネットワークに自由にアクセスされる
→ SMB と RDP を制御すると、攻撃者が「より高い権限を持つアカウントの認証情報」を盗む機会を奪えるため、権限昇格を防げる。
以上の通りです。以上の内容で気を付けなければならないのは、NTLMです。このプロトコル、Windowsがこの世に出てきた時からあったプロトコルで、1980年後半から1990年代前半にかけて使用されてきた認証方式になります。攻撃耐性が弱いため、現在は非推奨のプロトコルですが、まだ多くの企業で使用されていることが確認されています。もし、自社で使用していることが確認された場合は、Kerberosに変更したほうがいいです。
そして、SMBと以上で一言で言っていますが、SMB1は絶対に使用してはいけないプロトコルになります。今なら、当然SMB3を導入すべきです。まっ、SMB3は、2012年からサポートしているプロトコルで、Windows8以降のOSに適用しています。っということで、新しいパソコンを利用していれば、問題ないと思われます。なお、SMBも認証方式では、NAL+Windows認証でも現時点は十分ですが、NLA+Kerberosを使用したほうがより安全になります。
[あとがき]
権限昇格を防ぐための方法として、ちょっと調べるつもりで始めたことでしたが、かなりの時間を要してしまいました。そのため、そもそもの趣旨を忘れそうです。そこで、来週ですが、今までの検討を振り返りたいと思います。
では、また!!!
コメント
コメントを投稿