前回はMicrosoft Defender for Identity(以下MDI)の前提条件に含まれる、ディレクトリサービスアカウントの種類とgMSAの作成方法について説明しました。
今回は、gMSAに必要な権限とそれぞれの設定方法について説明します。
gMSAとは
MDIがドメインコントローラーに接続するためには、ディレクトリサービスアカウント(以下DSA)と呼ばれるサービスアカウントを、監視対象であるオンプレミスの Active Directory Domain Service(以下AD)上に作成する必要があります。
DSAには、gMSAと通常のドメインユーザーアカウントの2種類がありますが、セキュリティリスクの低さや管理の容易さからgMSAを選択することが推奨されています。
gMSAに必要な権限
以下にgMSAに必要な権限一覧を記載します。
No. | 権限 | 内容 |
1 | サービスとしてログオン | 常時マシン上で継続動作するサービスやネットワークサービスの起動を許可する権限 |
2 | ネットワーク経由でのアクセス | SAM-Rのアクセス※2を実施するため、DSAからドメイン内のコンピュータへのアクセスを許可する権限 |
3 | AD内の全てのオブジェクトに対する読み取りアクセス許可 | AD内の全てのオブジェクトに対する読み取りアクセス権限(削除済みオブジェクトコンテナー含む) |
4 | SAMデータベースへのアクセス | 横移動※1パス検出を可能にするため、クライアント側でSAMをリモート呼び出し※2する権限 |
※1 攻撃者によってまずは機密性の低いユーザーにアクセスし、コンピューター間を移動して機密性の高いユーザーの資格情報を取得する攻撃手法
※2 横移動パスを検出するために必要なアクセス
以下より、上記4点の設定方法を説明します。
サービスとしてログオン
※未定義になっている場合は、設定不要です。
- ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
- [サーバー マネージャー] > [ツール] > [グループポリシーの管理] > [フォレスト] > [ドメイン] > [ドメイン名] > [Domain Controllers] の順に選択します。
- [Default Domain Controllers Policy]にて右クリックし、[編集]を選択します。
- [コンピュータの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] > [サービスとしてログオン]の順に選択します。
- [これらのポリシーの設定を定義する]にチェックを入れ、[ユーザーまたはグループの追加]を選択します。
- [参照]を選択します。
- 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。
ネットワーク経由でのアクセス
※Default Domain Policyやその他のポリシーにて未定義になっている場合は、設定不要です。
- ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
- ドメインコントローラー以外のコンピューターが所属するOUを準備します。
- [サーバー マネージャー] > [ツール] > [グループポリシーの管理]の順に選択します。
- [グループ ポリシー オブジェクト] を右クリックして[新規] を選択し、任意のGPO 名を付けます。
- 作成したGPOを右クリックし、[編集] を選択します。
- [コンピューターの構成] - [ポリシー] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [ユーザー権利の割り当て] - [ネットワーク経由でのアクセス]の順に選択します。
- [これらのポリシーの設定を定義する]にチェックを入れ、[ユーザーまたはグループの追加(U)]を選択します。
- [参照]を選択します。
- 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。
AD内の全てのオブジェクトに対する読み取りアクセス許可
- ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
- コマンドプロンプトを管理者権限で起動し、以下のコマンドを実行します。
dsacls "CN=Deleted Objects,DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力]" /takeownership
- 次に以下のコマンドを実行します。
dsacls "CN=Deleted Objects,DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力]" /G [ドメイン名]\[gMSA名]$:LCRP
- 手順3を実施後、[Access list:]にgMSA名が表示されたら完了です。
SAMデータベースへのアクセス
- ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
- [サーバー マネージャー] > [ツール] > [Active Directoryユーザーとコンピュータ] > [ドメイン] > [ Users ] > [Domain Admins]の順に選択します。
- [メンバー]を選択し、[追加]を選択します。
- 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。
gMSAをMDIポータルに登録する
gMSAに必要な権限の設定が完了したら、gMSAをMDIポータルに登録します。
- MDIポータルにサインインします。
- [ディレクトリサービスアカウント] > [+資格情報の追加]を選択します。
-
[アカウント名]にgMSA名$※を入力し、[グループ管理サービスアカウント]:チェックを入れ、[ドメイン]にドメイン名を入力したら、[保存]を選択して完了です。
※例:mdigmsa$
おわりに
今回は、gMSAに必要な権限とそれぞれの設定方法について説明しました。
以上でMDI利用の前提作業は完了です。
次回はMDIセンサーのインストール手順を説明予定です。