こんにちは!
時間って本当にアッという間に過ぎていきますね!!
ということで今日もCNDの勉強をしていきます。
今回は「Windowsシステム」についてです。
長くなりますがお付き合いいただけますと幸いです。
Windowsシステムのプロセス
ユーザモード
リソースへの制限されたアクセス
カーネルモード
システムメモリや外部デバイスへの無制限アクセス
Windowsのセキュリティコンポネント
SRM
リソース(オブジェクト)へのユーザ(サブジェクト)のアクセスを制限する役割を担っています
LSASS
ユーザプロセスモードのことで、ユーザとグループに付与された権限のローカルセキュリティポリシーの実装、システムセキュリティ監査の設定、ユーザ認証、イベントログへのセキュリティ監査メッセージの送信を行っています
SAM
ローカルマシンで定義されたユーザ名とグループを格納しているデータベースを管理しています。SAMデータベースには、ローカルユーザとグループアカウントのログオン資格情報やそのハッシュが保存されています。
AD
Windowsのドメインネットワークのネットワークリソースへのアクセス権とアクセスを管理するためのディレクトリサービスのことです。ユーザ、グループ、アプリケーション、デバイスなどのオブジェクトとしてデータを保存します。また、サイトやドメインのような組織単位のオブジェクトをコレクションとして作成できるものをコンテナオブジェクトといい、ユーザやコンピュータ、プリンタなどの単一のオブジェクトをリーフオブジェクトを呼びます。
認証パッケージ
LSASSプロセスのコンテキストで実行され、認証ポリシーを実施するために使用されるDLLです。
インタラクティブマネージャ(Winlogon)
ユーザモードの実行プロセスであり、ユーザ認可セッションの管理を担当します。
ログオンユーザインターフェース(LogonUI)
ユーザモードで実行されるプロセスであり、認証用のユーザインターフェースをユーザに提示する役割を果たします。
CPs
LogonUIプロセスで実行されるインプロセスCOMオブジェクトです。パスワードやスマートカードPIN、生体認証データを抽出するために使用されます。
NetLogon
ユーザモードで実行されるプロセスで、ドメイン内のユーザとサービスを認証する役割を果たしています
KSecDC
カーネルモードセキュリティコンポネントがALPCを実行するために使用する関数のカーネルモードライブラリーであり、ユーザモードのLSASSと通信するために使用されます。
Windowsのセキュリティ機能
Windowsには下記のような多くのセキュリティの機能が存在します。
・オブジェクト保護
⇒Windowsカーネルオブジェクトマネージャ
・アクセスチェック
⇒SID
・整合性コントロール
⇒Windows Integrity Control / Wandatory Integrity Control
⇒Process Explorer
・仮想サービスアカウント
⇒SCツール
・安全なファイル共有
・セキュリティ監査
⇒ネットワークディフェンダー
セキュリティベースライン
セキュリティベースラインとは、Windowsを保護するためにマイクロソフトが推奨する一連の構成設定のことです。
SCTというネットワークディフェンダーがWindowsが推奨するセキュリティ構成ベースラインをダウンロード、分析、テスト、編集や保存するのに役立つツールのセットを使用することが推奨されています。
パスワード管理
管理者アカウント
システム内のすべてのファイルとフォルダに対して完全に制御し、アクセスが可能です
標準アカウント
制限されたアクセスが可能で、自分のリソースにのみアクセスできます
ゲストアカウント
読みとりと書き込みアクセスのみが可能です。
また、下記のような対策も必要です
・ゲストアカウント無効化
・不要なアカウントの無効化
・不要なローカル管理者アカウントの無効化
・パスワードポリシーの施行
・パスワードの有効期間
・パスワードの長さ
・パスワードの保護
⇒Credential Guard(ログイン資格情報を保護する)
パッチ管理
パッチ管理では、適切で更新されたパッチがシステムにインストールされているかを保証する役割を持っています。これにより、脆弱性を修正したりとセキュリティ機能を強化しているのです!
作業としては下記の手順で行っています
①パッチの選択
②前のバージョンのパッチを現在のバージョンのパッチに更新
③リポジトリやパッチのデポを容易に選択できるよう記憶
④適応されたパッチの割り当てと展開
Windowsのセキュリティ堅牢化
Windowsシステムのセキュリティをさらに堅牢化させるには下記のことを行うことを推奨されています。
・BIOSのパスワード設定
・WindowsがLAN Managerハッシュを保存しないようにする
・ソフトウェアのインストール制限
・不要なサービスの無効化
・Windows Defenderの導入
・Windows Defender Firewallの有効化
・Windowsレジストリの監視
Windows Active Directoryのセキュリティ
Active Directoryは、Windowsのユーザ管理として有名なサービスです。
これらをセキュアに運用していくには、下記のベストプラクティスを意識していかないとなりません
・ドメイン管理のクリーンアップ
・LAPSの使用で、ローカル管理者のパスワードを管理
・NTLMとv2のプロトコルを無効化し、ケルベロス認証を有効にする
・侵入の兆候がないかイベントを監視しておく
それ以外にも、一般的な事や管理者資格の管理、リソースの保護等運用方針を組織内で話し合い決めていかなくてはなりません。。
Windowsのネットワークサービスとプロトコルのセキュリティ
PS Remoting
有効にすると、ほとんどすべてにアクセスすることが可能になります。セッション構成の4つのエンドポイントが構成されて、デフォルトの状態だとシステムの管理者とリモート管理ユーザはすべてのエンドポイントにアクセスすることができます。
PSロギング
実行されたPSコマンドとスクリプト、コードや出力、トランスクリプトを記録できます。
RDP
RDPは、ポート番号3389のTCPプロトコルでシステム間の暗号化されたリモート接続を可能にしています
DNSSEC
要求された本物のアドレスでなく、だましたり悪意のあるアドレスなどの偽装されたDNSデータからインターネットユーザを守るように計画されています
まとめ
ここまでです。
Windowsシステムって、色々な技術が詰め込まれすぎてて、正直すべて理解するのはキツイですね。。なので、WindowsDefenderやActiveDirectoryとかの基本的な事を知っておけばとりあえずいいのではないかと主観的に感じてます
ここまで読んでいただきありがとうございました。