【Microsoft Defender for Identity】gMSAに必要な権限とそれぞれの設定方法

前回はMicrosoft Defender for Identity(以下MDI)の前提条件に含まれる、ディレクトリサービスアカウントの種類とgMSAの作成方法について説明しました。

今回は、gMSAに必要な権限とそれぞれの設定方法について説明します。

• gMSAとは
• gMSAに必要な権限
  • サービスとしてログオン
  • ネットワーク経由でのアクセス
  • AD内の全てのオブジェクトに対する読み取りアクセス許可
  •  SAMデータベースへのアクセス
• gMSAをMDIポータルに登録する
• おわりに

gMSAとは

MDIがドメインコントローラーに接続するためには、ディレクトリサービスアカウント(以下DSA)と呼ばれるサービスアカウントを、監視対象であるオンプレミスの Active Directory Domain Service(以下AD)上に作成する必要があります。

DSAには、gMSAと通常のドメインユーザーアカウントの2種類がありますが、セキュリティリスクの低さや管理の容易さからgMSAを選択することが推奨されています。

gMSAに必要な権限

以下にgMSAに必要な権限一覧を記載します。

No.	権限	内容
1	サービスとしてログオン	常時マシン上で継続動作するサービスやネットワークサービスの起動を許可する権限
2	ネットワーク経由でのアクセス	SAM-Rのアクセス※2を実施するため、DSAからドメイン内のコンピュータへのアクセスを許可する権限
3	AD内の全てのオブジェクトに対する読み取りアクセス許可	AD内の全てのオブジェクトに対する読み取りアクセス権限(削除済みオブジェクトコンテナー含む)
4	SAMデータベースへのアクセス	横移動※1パス検出を可能にするため、クライアント側でSAMをリモート呼び出し※2する権限

※1 攻撃者によってまずは機密性の低いユーザーにアクセスし、コンピューター間を移動して機密性の高いユーザーの資格情報を取得する攻撃手法

※2 横移動パスを検出するために必要なアクセス

以下より、上記4点の設定方法を説明します。

サービスとしてログオン

※未定義になっている場合は、設定不要です。

1. ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
2. [サーバー マネージャー] > [ツール] > [グループポリシーの管理] > [フォレスト] > [ドメイン] > [ドメイン名] > [Domain Controllers] の順に選択します。
3. [Default Domain Controllers Policy]にて右クリックし、[編集]を選択します。
4. [コンピュータの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー] > [ユーザー権利の割り当て] > [サービスとしてログオン]の順に選択します。

   

5. [これらのポリシーの設定を定義する]にチェックを入れ、[ユーザーまたはグループの追加]を選択します。

   

6. [参照]を選択します。

   

7. 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。

   

ネットワーク経由でのアクセス

※Default Domain Policyやその他のポリシーにて未定義になっている場合は、設定不要です。

1. ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
2. ドメインコントローラー以外のコンピューターが所属するOUを準備します。
3. [サーバー マネージャー] > [ツール] > [グループポリシーの管理]の順に選択します。
4. [グループ ポリシー オブジェクト] を右クリックして[新規] を選択し、任意のGPO 名を付けます。
5. 作成したGPOを右クリックし、[編集] を選択します。
6. [コンピューターの構成] - [ポリシー] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [ユーザー権利の割り当て] - [ネットワーク経由でのアクセス]の順に選択します。
   
7. [これらのポリシーの設定を定義する]にチェックを入れ、[ユーザーまたはグループの追加(U)]を選択します。

   

8. [参照]を選択します。

   

9. 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。

   

AD内の全てのオブジェクトに対する読み取りアクセス許可

1. ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
2. コマンドプロンプトを管理者権限で起動し、以下のコマンドを実行します。

   dsacls "CN=Deleted Objects,DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力]" /takeownership

3. 次に以下のコマンドを実行します。

   dsacls "CN=Deleted Objects,DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力],DC=[ドメイン名を.区切りで入力]" /G [ドメイン名]\[gMSA名]$:LCRP

4. 手順3を実施後、[Access list:]にgMSA名が表示されたら完了です。

 SAMデータベースへのアクセス

1. ドメイン管理者権限のアカウントでドメインコントローラーにアクセスします。
2. [サーバー マネージャー] > [ツール] > [Active Directoryユーザーとコンピュータ] > [ドメイン] > [ Users ] > [Domain Admins]の順に選択します。

   

3. [メンバー]を選択し、[追加]を選択します。

   

4. 作成したgMSA名を入力し、[名前の確認(C)]を選択します。正しく入力できたことを確認したら、[OK]を選択して完了です。

   

gMSAをMDIポータルに登録する

gMSAに必要な権限の設定が完了したら、gMSAをMDIポータルに登録します。

1. MDIポータルにサインインします。
2. [ディレクトリサービスアカウント] > [＋資格情報の追加]を選択します。

   

3. [アカウント名]にgMSA名$※を入力し、[グループ管理サービスアカウント]：チェックを入れ、[ドメイン]にドメイン名を入力したら、[保存]を選択して完了です。

   ※例：mdigmsa$

   

おわりに

今回は、gMSAに必要な権限とそれぞれの設定方法について説明しました。

以上でMDI利用の前提作業は完了です。

次回はMDIセンサーのインストール手順を説明予定です。