Posted in セキュリティ

ランサムウェアを含むサイバー攻撃対策2024、どうすれば?(4)

   2024年6月29日

(1)脆弱性(2)バランス(3)TCP3389

と記事を書きました。
(3) TCP3389は、Windowsサーバをリモートから接続するRDP(リモートデスクトップ接続)で利用されるTCPポート番号です。サイバー攻撃によって社内のネットワークへの侵入が成功したら、ラテラルムーブメント(横展開)をするために、RDPを利用するケースが多いです。そのために、運用が楽だからRDPを利用許可にしておく、というのは非常にリスクを生みやすいことを書きました。一方で、同一ネットワークセグメント内の場合、UTMでTCP 3389をUTMで制御しようにも制御できない問題があります。それをクリックで対応できる製品として、Nutanix AHVを利用していれば、Nutanix Flow Network Securityという機能を利用することで簡単に制御できますよ!ってなことを書きました。

今回は、どのような展開になるのかな。

 

ラテラルムーブメントによってActive Directory (AD) への接続を犯罪者は試みます。ADは、社内ネットワーク内にあるPCないしServerを占拠しさえすれば、AD名がなんなのか、ADのIPはなんなのか、簡単に調べられます。そのため、ADをいかに乗っ取られない、占拠されないようにすることが重要です。

Nutanixユーザーであれば、Nutanix Flowを利用すれば、VM(仮想マシン)の下、マイクロセグメンテーションでVMを不正通信から保護することができる!んです。ただ、Nutanix AHVは利用していないよ、どーするの?という場合、RDP接続を無効にしさえすればいいんです。

ADサーバはデータセンターにあって遠いんだよね、ユーザーIDやグループのメンテナンス必要なんだよね、というAD基本メンテナンスについて、色々とツールを探した結果、比較的安価!インストールは非常に簡単!お試し期間が1ヶ月ある!何度もPoCできる!という製品として、私はゾーホージャパンのManageEngine ADManager Plusを紹介します。

構築ベンダーさんには本当に申し訳ないけど、構築ベンダーさんに委託するまでもない。インストーラーをWクリックするだけでインストールできてしまいます。ドメインコントローラの設定を多少入れますが、公開されているマニュアルが数十ページ足らずで、画像ぶんだんにつかったマニュアルのため、日本語が読める人なら、本当に簡単にできてしまえる製品です。

インストールと環境構築は別の話ですが、自動化できる機能(勤務先では利用していませんが)は、人事異動が激しい会社さんにとっては便利な機能かもしれません。

 

サイバー攻撃を受けて、ユーザーのパスワードを一斉変更するのにあたって、バッチ作成とかを考えた場合、2〜3週間かかってしまいます。でも、ADManager Plusを利用すれば、1000 ID程度を数分でパスワードの自動生成から変更までやってくれます。確か、パスワードのリセットで一斉処理ができたと思います。色々とGUIで処理が可能です。

パスワードロック解除なんて、画面上を数クリックするだけ。非常に簡単です。トップ画面のダッシュボードに「ロック解除する」という枠があるため、そこからクリックして進むだけです。

グループ管理は、こんな感じです。ユーザー管理でもそうですが、テンプレートでの設定ができるので、作業者によって、ここまで入っている・ここしかは入っていないというばらつきさを解消できるので、便利かなと思います。

 

ファイルサーバー管理機能については、今ひとつ。すべてが完璧です!という製品はないのが一般的だと思いますが、ユーザー管理を行う上での一般的な業務(メンテナンス)については、このADManager Plusで対応できると思います。

これ、面白い機能ですが、アカウント毎に、ログイン(ログオン)できる時間帯を設定できる機能があります。ADサーバ上でGUIでは設定できないと思う機能です。ログインできない時間をグレーにするという機能です。

グループポリシー GPOの管理も可能です。単純に同じ画面が表示されるわけなのですが、設定情報を一覧で表示してくれないため、ここはADサーバを直接触った方が、操作しやすいですね。

スクショは省略していますが、マルチドメイン環境に対応しています。選択したドメインの情報が表示されるため、いちいち、コンソールを切り替える必要はありません。これは結構便利ではないかなと思います。

 

RDP(リモートデスクトップ接続)を無効にすると業務ができない!と苦情を持たれる方、ADをマイクロセグメンテーションで通信制御できない場合は、サイバー攻撃後の社内ネットワーク不正侵入対策として、少なくともADのRDPは無効にすべきです。無効にする代わりに、AD作業を代行してくれる製品、ManageEngine ADManager Plusを紹介してみました。そこの人間ではないですが、値段の割にいい製品を作ってくれています。

Author: 管理者