【Microsoft Defender for Identity】gMSAに必要な権限とそれぞれの設定方法

前回はMicrosoft Defender for Identity(以下MDI)の前提条件に含まれる、ディレクトリサービスアカウントの種類とgMSAの作成方法について説明しました。

今回は、gMSAに必要な権限とそれぞれの設定方法について説明します。

gMSAとは

MDIがドメインコントローラーに接続するためには、ディレクトリサービスアカウント(以下DSA)と呼ばれるサービスアカウントを、監視対象であるオンプレミスの Active Directory Domain Service(以下AD)上に作成する必要があります。

DSAには、gMSAと通常のドメインユーザーアカウントの2種類がありますが、セキュリティリスクの低さや管理の容易さからgMSAを選択することが推奨されています。

gMSAに必要な権限

以下にgMSAに必要な権限一覧を記載します。

No. 権限 内容
1 サービスとしてログオン 常時マシン上で継続動作するサービスやネットワークサービスの起動を許可する権限
2 ネットワーク経由でのアクセス SAM-Rのアクセス※2を実施するため、DSAからドメイン内のコンピュータへのアクセスを許可する権限
3 AD内の全てのオブジェクトに対する読み取りアクセス許可 AD内の全てのオブジェクトに対する読み取りアクセス権限(削除済みオブジェクトコンテナー含む)
4 SAMデータベースへのアクセス 横移動※1パス検出を可能にするため、クライアント側でSAMをリモート呼び出し※2する権限

※1 攻撃者によってまずは機密性の低いユーザーにアクセスし、コンピューター間を移動して機密性の高いユーザーの資格情報を取得する攻撃手法

※2 横移動パスを検出するために必要なアクセス

以下より、上記4点の設定方法を説明します。

サービスとしてログオン

※未定義になっている場合は、設定不要です。

  1. ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
  2. [サーバー マネージャー] > [ツール] > [グループポリシーの管理] > [フォレスト] > [ドメイン] > [ドメイン名] > [Domain Controllers] の順に選択します。
  3. [Default Domain Controllers Policy]にて右クリックし、[編集]を選択します。
  4. [コンピュータの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] > [サービスとしてログオン]の順に選択します。

  5. [これらのポリシーの設定を定義する]にチェックを入れ、[ユーザーまたはグループの追加]を選択します。

  6. [参照]を選択します。

  7. 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。

ネットワーク経由でのアクセス

Default Domain Policyやその他のポリシーにて未定義になっている場合は、設定不要です。

  1. ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
  2. ドメインコントローラー以外のコンピューターが所属するOUを準備します。
  3. [サーバー マネージャー] > [ツール] > [グループポリシーの管理]の順に選択します。
  4. [グループ ポリシー オブジェクト] を右クリックして[新規] を選択し、任意のGPO 名を付けます。
  5. 作成したGPOを右クリックし、[編集] を選択します。
  6. [コンピューターの構成] - [ポリシー] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [ユーザー権利の割り当て] - [ネットワーク経由でのアクセス]の順に選択します。
  7. [これらのポリシーの設定を定義する]にチェックを入れ、[ユーザーまたはグループの追加(U)]を選択します。

  8. [参照]を選択します。

  9. 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。

AD内の全てのオブジェクトに対する読み取りアクセス許可

  1. ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
  2. コマンドプロンプトを管理者権限で起動し、以下のコマンドを実行します。
    dsacls "CN=Deleted Objects,DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力]" /takeownership
  3. 次に以下のコマンドを実行します。
    dsacls "CN=Deleted Objects,DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力]" /G [ドメイン名]\[gMSA名]$:LCRP
  4. 手順3を実施後、[Access list:]にgMSA名が表示されたら完了です。

 SAMデータベースへのアクセス

  1. ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
  2. [サーバー マネージャー] > [ツール] > [Active Directoryユーザーとコンピュータ] > [ドメイン] > [ Users ] > [Domain Admins]の順に選択します。

  3. [メンバー]を選択し、[追加]を選択します。

  4. 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。

gMSAをMDIポータルに登録する

gMSAに必要な権限の設定が完了したら、gMSAをMDIポータルに登録します。

  1. MDIポータルにサインインします。
  2. [ディレクトリサービスアカウント] > [+資格情報の追加]を選択します。

  3. [アカウント名]にgMSA名$※を入力し、[グループ管理サービスアカウント]:チェックを入れ、[ドメイン]にドメイン名を入力したら、[保存]を選択して完了です。

    ※例:mdigmsa$

おわりに

今回は、gMSAに必要な権限とそれぞれの設定方法について説明しました。

以上でMDI利用の前提作業は完了です。

次回はMDIセンサーのインストール手順を説明予定です。

執筆担当者プロフィール
H.Dainin

H.Dainin(日本ビジネスシステムズ株式会社)

Csol本部に所属。主にMicrosoft 365製品を扱っています。

担当記事一覧