安全な User-ID 展開のためのベスト プラクティス

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Best practices for securing User-ID deployments
https://live.paloaltonetworks.com/t5/Learning-Articles/Best-practices-for-securing-User-ID-deploymen...

 

概要

User-ID サービスはユーザーに対してIP アドレスのマッピングを可能にし、有効にした場合はPalo Alto Networks 次世代ファイアウォールによってフィルタするときにネットワーク管理者にユーザー単位のきめ細かな制御を提供します。あらゆるネットワーク サービスを有効にする場合と同様に、次のベスト プラクティスと設定ガイドラインは User-ID の展開を行うときに潜在的なリスクへの露呈を減らしたり取り除くことを助けます。この記事はネットワークおよびセキュリティ管理者が設定ミスを避け、安全に User-ID サービスを有効にするのに役立つことを目的とします。

 

詳細

トラスト ゾーンのみで User-ID を有効にする

内部およびトラスト ゾーンでのみ User-ID を有効にすることにより、インターネット上へのこれらのサービスがさらされることなく、潜在的な攻撃から User-ID サービスの保護を維持することに役立ちます。もし User-ID と WMI プローブが外部のアントラスト ゾーン (インターネットなど) で有効にされていると、プローブは結果として User-ID エージェントのサービス アカウント名、ドメイン名、暗号化されたパスワード ハッシュの情報開示となりうる通信を保護されたネットワークの外部に送信することができます。この情報は保護されたリソースへの不正アクセスを得るために、攻撃者によってクラックや悪用に用いられる可能性があります。この重要な理由から User-ID はアントラスト ゾーンで有効にすべきではありません。

 

.

 

User-IDを設定する際の許可および除外ネットワークの指定について

User-ID エージェントでは PAN ファイアウォール上のエージェントレス User-ID と同様に User-ID の範囲を限定するために許可および除外リストが利用可能です。一般的に自組織内で使用している IP アドレス空間の一部に管理者達は関心を持つだけです。User-ID から含まれるか除外されるかを明示的にネットワークを指定することで、信頼されたものや会社保有の資産にのみプローブさせ、不要なマッピングが予期せず作成されないようにすることを、より確実にします。

 

.

 

ハイ セキュリティ ネットワークにおける WMI プロービングの無効化

Windows Management Instrumentation (WMI) は Windows 管理対象システムの IP とユーザーのマッピングを学習するためにアクティブ プローブを使用することができるメカニズムです。WMI プロービングはエンドポイントから信頼されたデータを受け取るため、ハイ セキュリティ ネットワーク内の User-ID 情報を取得するための推奨される方法ではなく、通常必須ではありません。固定されたワークステーションなど一般的なオフィス環境によくあるスタティック IP-User マッピングを含む環境では、動的な WMI プロービングは必要ありません。ローミングやその他のモバイル機器が移動することでIPアドレスが変動したときなどに、 Syslog 統合の User-ID やXML APIを利用することで、Windows 以外の機器からでも同様に IP とユーザーのマッピングを取得することで簡単に識別することができます。センシティブかつハイ セキュリティなネットワークでは、 WMI プロービングは全体的な攻撃面を増加させるので、管理者は WMI プロービングを無効にし、代わりにドメイン コントローラーのような、より単離され信頼できる送信元から取得したユーザーとIPのマッピング情報を利用することをお勧めします。User-ID マッピングを取得するためにAD セキュリティ イベント ログやsyslog メッセージ、またはXML API を解析するために User-ID エージェントを使用している場合は、WMI プロービングを無効にするべきです。キャプティブ ポータルはセキュリティ イベント ログが古くなった場合にユーザーの再認証のためにフォールバック メカニズムとして使用することができます。


WMI プロービングを使用している場合、WMI プロービングはネットワークの外に User-ID エージェントが使用するためのユーザー名、ドメイン名、パスワード ハッシュなどの機密情報を含んだサービス アカウント設定を送信するため、外部の信頼されないインターフェースでは有効にするべきではありません。この情報は潜在的にネットワークに侵入するための更なるアクセスを得ようとする攻撃者に悪用される可能性があります。

 

.

 

User-ID サービスのための必要最小限な権限を持った専用サービス アカウントを使用します

User-ID の展開はサービスが正しく機能するための必要最小限の権限をのみを含むことで強固にすることができます。これは DCOM ユーザー、イベントログの読み取り、サーバー オペレーターが含まれます。User-ID サービス アカウントが攻撃者によって侵害された場合、管理者権限や他の不必要な権限を有していると機密データの破壊や盗難の付加的なリスクを企業が公開することになります。セキュリティ イベント ログの読み取りに必須ではないため、ドメイン管理者とエンタープライズ管理者の権限は付与されるべきではありません。

 

.

 

User-ID サービス アカウントに対する対話型ログオンを拒否する

User-ID サービス アカウントはActive Directory のセキュリティ イベント ログを読み取り、解析するために特定の権限を必要としますが、それは対話的にサーバやドメイン システムへログインするための機能を必要としません。この権限は User-ID 用のグループ ポリシーや、管理サービス アカウントを使用することによって ( グループ ポリシーと管理サービス アカウントの設定についてより多くの情報を得るためにMicrosoft Technet をご参照ください。) User-ID サービス アカウントが不審なユーザーによって侵害された場合でも、対話的なログオンを拒否することによって潜在的な攻撃面は大幅に減少させることができます。

 

.

 

User-ID サービス アカウントに対するリモート アクセスを拒否する

一般的に、サービス アカウントはリモート アクセスの許可するために使用される全てのセキュリティ グループのメンバーであるべきではありません。これはUser-ID サービス アカウントの資格情報が侵害された場合、VPNを使用し外部からネットワークにアクセスしようとする攻撃者を防止することができます。

 

.

 

アウトバウンド インターフェース通信に出力フィルタリングを設定する

境界ファイアウォールに出力フィルタリングを実装することによって(潜在的に不要な User-ID エージェントのトラフィックを含む)不要なトラフィックが保護されたネットワークからインターネットへ送出されることを防ぎます。センシティブな環境では、信頼されたホワイトリストやビジネス アプリケーションを使用することで不要なトラフィックが許可される可能性を減少させ、またデータを抜き出すために使用可能なベクトルを減少させること役立ちます。

 

.

 

参照

User-IDのセットアップや 設定についての情報を得るためには以下を参照してください: