こんにちは、村木ゆりかです。
今回は、マイクロソフト セキュリティ アドバイザリ 3062591 でお知らせしましたツール Local Administrator Password Solution (LAPS) についてご紹介します。
Local Administrator Password Solution (LAPS) とは?
このツールは、Active Directory (AD) に参加しているコンピューターの、ローカル管理者アカウントのパスワードを AD にて管理することができる無償のツールです。
攻撃者が組織に侵入する際、マルウェアなどを利用してまずはひとつのドメイン端末に侵入し、その後、Pass the Hash などの手法で同一のパスワードが設定されているその他のドメイン端末へ侵入を試みるなど、徐々に認証サーバーへ侵入するのに必要な高い権限を取得保持している可能性の高いアプリケーション・サービスを狙います。企業ではマスター イメージから複製展開する手法や、ヘルプデスク業務の効率化のために端末毎の管理者アカウントが同一になることが多く、このような場合は、一台がマルウェア感染すると他のすべての端末が侵害される可能性が高くなります。このように侵害を広げていく場合、脆弱性は不要であり、正規の認証を行い、正規の方法で不正なファイルが仕掛けられます。このような組織への侵入を阻止するためには、端末ごとの管理者アカウント パスワードの使い回しをしないことが重要になります。
この LAPS ツールを利用する事で、ドメイン端末のローカル管理者アカウントのパスワードをランダムなものにし、管理を行うことができます。これにより、万が一組織内への攻撃者の侵入があった場合でも、組織内への攻撃の広がりや侵入拡大を防ぐためのセキュリティを強化することができます。
LAPS でのパスワード更新と管理
LAPS を利用することで、各ドメイン端末のローカル管理者アカウントに、自動でランダムなパスワードを設定・定期的に更新し、AD に保存することができます。また、特定の端末のローカル管理者アカウントのパスワードをリセットするなどの管理を行うことができます。もちろん、既定の Administrator 以外のローカル管理者アカウントも管理可能です。
LAPS は AD 環境でグループ ポリシーを利用して管理でき、端末から AD へパスワードを保存する際には、Kerberos V5 のプロトコルを利用し、AES で暗号化しており、AD に保存されたパスワードの情報は、特定の権限を持ったユーザーでないと閲覧することができないよう ACL で管理することができます。
Local Administrator Password Solution (LAPS) の入手
LAPS ツールは、ダウンロード センターから入手できます。
利用方法や展開方法、アーキテクチャを説明したドキュメント (英語) も、同時にダウンロードできます。
また、Ignite イベントで行われたセッションで LAPS ツールの説明やデモが行われています。ぜひ、ビデオをチェックしてみてください。