Secure Access Workstation (SAW) による特権アカウントの保護

Secure Access Workstation (SAW) による特権アカウントの保護

2024 年 11 月 8 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが、特権アカウントとタスクを保護するために特権アクセス ワークステーション (PAW) とも呼ばれるセキュア アクセス ワークステーション (SAW) を実装する際のガイドを目的としています。 SAW は、高度に安全で隔離されたコンピューティング環境を構築し、攻撃者にとって最も貴重なターゲットである高度な特権アカウントの侵害のリスクを最小限に抑えるように設計されています [1]。

はじめに

特権資格情報の侵害は、最も壊滅的な攻撃ベクトルの 1 つです。管理タスクと生産性タスク (電子メール、ブラウジング) に同じワークステーションを使用する従来のアプローチでは、特権資格情報が許容できないリスクにさらされます。 SAW は、クリーン ソース原則: セキュリティの高いシステムをセキュリティの低いシステムから管理してはならない [2] に従って、管理タスクのみに使用される専用の強化されたコンピュータであることで、この問題を解決します。

なぜ SAW が重要なのでしょうか?

  • 資格情報の分離: 特権資格情報が安全性の低い環境に公開されるのを防ぎます。
  • 攻撃対象領域の削減: 管理ワークステーションで利用可能な攻撃ベクトルを最小限に抑えます。
  • 厳密な制御: アプリケーション制御など、汎用ワークステーションでは現実的ではない厳密なセキュリティ ポリシーの適用を許可します。

前提条件

  1. ライセンス: Windows 10/11 Enterprise。管理には Microsoft Intune などのツールを強くお勧めします。
  2. 管理アクセス: セキュリティ ポリシー (GPO または Intune) を構成する権限。
  3. 専用ハードウェアまたは安全な仮想化環境: 物理コンピューターまたは分離された VM。

ステップバイステップ: SAW の実装

1. 階層化モデルの定義

Microsoft の特権アクセス モデルは、資産を階層に分類します。 SAW は最上位層へのアクセスを保護するために不可欠です。

  • Tier 0: インフラストラクチャの直接制御 (例: ドメイン コントローラー、Azure AD グローバル管理者)。
  • Tier 1: サーバーとミッションクリティカルなアプリケーション。
  • Tier 2: エンドユーザーのワークステーション。

Tier 0 SAW は、Tier 0 リソースの管理にのみ使用してください。

2. SAW のプロビジョニングと強化

  1. クリーン インストール: Windows 10/11 Enterprise のクリーン コピーをインストールします。不要なソフトウェアをインストールしないでください。
  2. アップデート: 最新のセキュリティ パッチをすべて適用します。
  3. Windows ファイアウォール: デフォルトですべての受信トラフィックをブロックし、管理タスク (特定のサーバーへの RDP、クラウド ポータルへのアクセスなど) に厳密に必要な送信トラフィックのみを許可するようにファイアウォールを構成します。
  4. 不要なサービスを無効にする: PowerShell を使用して、必須ではないサービスを無効にします。 ```パワーシェル # プリントスプーラーサービスを無効にする例 Set-Service -Name "Spooler" -StartupType 無効 サービスの停止 - 名前「スプーラー」 「」
  5. セキュリティ ベースラインの適用: Microsoft または CIS (Center for Internet Security) のセキュリティ ベースラインを使用して、GPO または Intune 経由で数百のセキュリティ設定を一度に適用します。

3. アプリケーション制御の実装

これは SAW の最も重要な制御の 1 つです。明示的に許可されたアプリケーションのみが実行できるようにする必要があります。

  • Windows Defender Application Control (WDAC): これは、推奨される最も安全なテクノロジです。 WDAC は、カーネル レベルで適用されるコード整合性ポリシーを作成し、無許可のソフトウェアやスクリプトの実行を防ぎます。構成はより複雑ですが、最高レベルのセキュリティを提供します [3]。
  • AppLocker: 管理は簡単ですが、既知のバイパスがあるレガシー テクノロジとみなされます。特定のシナリオで WDAC の補完レイヤーとして使用できます。

AppLocker を使用した基本的な実装 (GPO 経由):

  1. 「コンピューターの構成 > ポリシー > Windows 設定 > セキュリティ設定 > アプリケーション制御ポリシー > AppLocker」に移動します。
  2. ファイルの実行を許可する デフォルト ルールを作成します窓が吠える。
  3. 必要な管理ツール (「mmc.exe」、「リモート デスクトップ接続」など) の実行可能ファイル、スクリプト、およびインストーラーのみを許可するルールを作成します。
  4. 「Application Identity」サービスが自動的に開始されるように設定します。

4. インターネットおよびローカル リソースへのアクセスの制限

  • ネットワーク分離: SAW は、インバウンドおよびアウトバウンドのトラフィックを制御する厳格なファイアウォール ルールを備えた、分離された VLAN またはネットワーク セグメント上に存在する必要があります。
  • ブラウジング ブロック: インターネット アクセスはブロックするか、少なくともプロキシ サーバーまたはファイアウォールを介して信頼できるサイトのごく少数のリスト (例: 「portal.azure.com」、「portal.office.com」) に制限する必要があります。
  • リムーバブル メディアのブロック: デバイス ポリシーを使用して、USB ドライブやその他のリムーバブル ストレージの使用をブロックします。
  • アカウントの分離: SAW ユーザーは、ローカル管理者ではなく、マシン上の 標準ユーザーである必要があります。 SAW へのログインに使用するアカウントは、ドメインまたはクラウド権限を持つアカウントと同じであってはなりません。特権の昇格は、ターゲット リソースに接続するとき (例: 「runas」 を使用するとき、または管理ツールに資格情報を入力するとき) にのみ行われます。

5. SAW の管理とメンテナンス

  • 更新: SAW には、セキュリティ パッチを受信して適用するための厳格なプロセスが必要です。
  • 監視: SAW は、SIEM (Microsoft Sentinel など) および EDR ソリューション (Microsoft Defender for Endpoint) によって厳密に監視する必要があります。異常なアクティビティがある場合は、優先度の高いアラートを生成する必要があります。

日常的な使用例

  1. 管理者は、生産性タスク (電子メール、チーム) のためにユーザー ワークステーション (Tier 2) にログインします。
  2. 管理タスク (ドメイン コントローラーの管理など) を実行する必要がある場合、SAW (Tier 0) に物理的に移動するか、安全な方法で接続します。
  3. SAW では、標準の SAW ユーザー アカウントを使用してログインします。
  4. 管理ツール (例: 「Active Directory ユーザーとコンピュータ」) が開きます。ツールが実行され、ドメイン コントローラーに接続するときに、ドメイン管理者 (Tier 0) の資格情報が使用されます。
  5. タスクが完了したら、ツールを閉じて SAW からログアウトします。 Tier 0 認証情報は、SAW の外部で入力または公開されることはありませんでした。

結論

セキュア アクセス ワークステーションの導入は、組織の「王国への鍵」を保護するために不可欠な多層防御手段です。 SAW は、強化され厳密に制御された環境で管理タスクを分離することで、敵対者が権限を昇格させたり横方向に移動したりするために使用する攻撃チェーンを断ち切ります。計画と規律が必要ですが、安全な管理環境の構築に投資することは、組織が高度なサイバー攻撃から身を守るために実行できる最も重要な手順の 1 つです。

参考文献

[1] マイクロソフト。 (2023年)。 特権アクセスのセキュリティの概要。 [2] マイクロソフト。 (2023年)。 クリーンソース原則。 [3] マイクロソフト。 (2023年)。 Windows Defender アプリケーション コントロール (WDAC)。 [4] マイクロソフト。 (2023年)。 特権アクセス モデル