Tableau サービスマネージャーで実行サービス アカウントを指定すると (実行サービス アカウントの変更トピックに記載)、Tableau サービスマネージャーによって、Tableau Server を実行中のコンピューターでローカル セキュリティ ポリシーが更新されます。Tableau サービスマネージャー はローカル セキュリティ ポリシーを更新し、"サービスとしてログオン" および "ローカルでログオン" パーミッションを実行サービス アカウントに付与します。これらのポリシーの強化は、実行サービス アカウントが Tableau Server アプリケーション マネージャー サービス (tabsvc) のセキュリティ コンテキストとして使用されるために必要です。
注: Tableau サービスマネージャーで指定した実行サービス アカウントがローカル管理者またはドメイン管理者のメンバーである場合、Tableau サービスマネージャー によってローカル セキュリティ ポリシーが更新されないことがあります。ローカルの管理者やドメイン管理者のメンバーであるアカウントに実行サービス アカウントを更新することは、優れたセキュリティ慣行ではありません。実行サービス アカウントにドメイン ユーザー アカウントを使用することをお勧めします。
場合によっては、実行サービス アカウントに対するセキュリティ ポリシーの手動設定が必要になる場合があります。たとえば、一部の組織では、ユーザー アカウントで設定された "サービスとしてログオン" または "ローカルでのログオンを許可" 権限を削除する Windows グループ ポリシーを実行している場合があります。または、組織が "サービスとしてのログオンを拒否" を指定することで、パーミッションの競合を生み出すポリシーを実行する場合があります。組織がこれを行っている場合は、実行サービス アカウントが影響を受けないようにグループ ポリシーを無効化または編集する必要があります。実行サービス アカウントを作成する際のベスト プラクティスについては、実行サービス アカウントの作成を参照してください。
次の手順は、セキュリティ ポリシーの [サービスとしてログオン] および [ローカルでのログオンを許可] を手動で構成する方法を説明しています。または、以下の手順を使用して、実行サービス アカウントにローカル セキュリティ ポリシー権限が適切に設定されていることを確認できます。たとえば、[サービスとしてのログオンを拒否] ポリシーで実行サービス アカウントが指定されていないことを検証する必要があります。
分散インストールを実行している場合、最初とすべての追加のノードの構成は同じにする必要があります。
ローカル セキュリティ ポリシーを検証または更新するには:
[スタート] > [コントロール パネル] > [管理ツール] > [ローカル セキュリティ ポリシー] を選択します。
ローカル セキュリティ ポリシーで [ローカル ポリシー] を開き、[ユーザー権限の割り当て] を選択します。
サービスとしてログオン ポリシーを検証または設定するには:
- [サービスとしてログオン] ポリシーを右クリックしてから、[プロパティ] をクリックします。
- [サービスとしてログオン] プロパティで、[ユーザーまたはグループの追加] をクリックします。
- Tableau Server の実行サービス アカウントとして <domain>\<username> を入力します (たとえば、MYCO\tableau_server)。次に、[名前の確認] をクリックします。
- アカウントが正常に解決されると、下線が挿入されます。[OK] をクリックします。
ローカルでのログオンを許可のポリシーを検証または設定するには:
- [ローカルでのログオンを許可] ポリシーを右クリックし、[プロパティ] をクリックします。
- 実行サービス アカウントが指定されていることを確認します。指定されていない場合は、上記の手順に従い実行サービス アカウントを追加します。
[サービスとしてのログオンを拒否] ポリシーで実行サービス アカウントが指定されていないことを検証するには:
- [サービスとしてのログオンを拒否する] ポリシーを右クリックし、[プロパティ] をクリックします。
- [サービスとしてのログオンを拒否] プロパティで、実行サービス アカウントがリストされていないことを確認します。リストされていた場合は、削除します。終了したら、[OK] をクリックします。
- [サービスとしてログオン] ポリシーを右クリックしてから、[プロパティ] をクリックします。
[OK] をクリックして、[ローカル セキュリティ設定] ウィンドウを閉じます。
資格情報の盗難と横移動
このトピックでは、あらゆる攻撃で重要な役割を果たす資格情報の盗難に焦点を当てます。EPM の高度な資格情報盗難防止機能は、Windows の資格情報や、一般的な Web ブラウザやファイルキャッシュの資格情報ストアに保存されている資格情報の盗難の試みを検出し、ブロックするのに役立ちます。
|
概要
EPMの「脅威からの保護」ポリシーは、ユーザーの企業パスワードと類似していることが多いユーザーパスワードを保持している環境への脅威を防ぎます。攻撃者は、管理者特権を必要とせずにこれらのパスワードを盗むことができ、横移動を達成するための容易な経路を提供します。
Microsoftは、パスワードや資格情報を多くの場所で保管しています。これらは、特にシングルサインオン (SSO) において、ユーザーを支援するために使用されます。シングルサインオンでは、ユーザーは1つの場所で認証し、再認証することなくさまざまなサービスにアクセスすることができます。これらの「脅威からの保護」ポリシーは、マイクロソフトの重要な資産を攻撃から守り、攻撃者がシステム内でエスカレートしたり横に移動したりするのを阻止します。
詳細は、潜在的なセキュリティ脅威の検出を参照してください。
ポリシー
「脅威からの保護」ポリシーで保護されるリモートアクセスおよびITアプリケーションは、WinSCPやmRemoteNGなど、IT担当者が組織の重要なインフラストラクチャを管理するために使用するものです。これらのアプリケーションは、これらの特権ユーザーの資格情報を保存しており、彼らはリモートでコードを実行したり、組織内のほとんどどこにでも接続することができます。攻撃者は、パスワードを盗むマルウェアを使ってこれらの資格情報にアクセスし、組織の最も重要な部分への特権アクセスを可能にします。
「脅威からの保護」ポリシーは、以下のグループで管理されます:
ブラウザーに保存された資格情報の盗難 | ユーザーが保存したブラウザの資格情報の自動入力を保護するためのポリシーです。 |
ITアプリケーションの資格情報の盗難 | 最も一般的なITアプリケーションに保存されている資格情報を保護するポリシーです。 |
リモートアクセスアプリケーションの資格情報の盗難 | 一般的に使用されているリモートアクセスアプリケーションに保存されている、リモートシステムの資格情報を保護するためのポリシーです。 |
不審なアクション | 疑わしい行為を防ぐためのポリシーです。これらの行動は攻撃中に起こる可能性がありますが、必ずしも攻撃を意味するものではありません。 |
脅威からの保護 | 疑わしいリクエストを防ぐためのポリシーです。 |
Windowsの資格情報の取得 | ローカルとドメインの両方の資格情報を含む、オペレーティングシステムの資格情報を保護するポリシーです。 |
脅威からの保護ルール
次の表は、マイクロソフトの資産を保護するために、EPM が展開するルールの一部です:
LSASS 資格情報収集 | Local Security Authority Subsystem Service (LSASS) は、システムのセキュリティポリシーを実施する役割を担っています。Windowsコンピューターやサーバーにログオンしているユーザーの確認、パスワード変更の処理、アクセストークンの作成などを行います。これは、ユーザーの資格情報をハッシュとクリアテキストの両方でメモリ内に保持するもので、主な攻撃ポイントとなっています。 | すべてのワークステーションとサーバー |
SAMハッシュ収集 | セキュリティアカウントマネージャー (SAM) は、ユーザーのパスワードを保存します。ローカルとリモートのユーザーを認証するために使用できます。資格情報はSAMにNTLMハッシュとして保存されますが、これは新しいコンピュータでは簡単に見破られてしまいます。 | すべてのワークステーションとサーバー |
ローカルキャッシュからのドメイン資格情報の盗難 | ドメイン資格情報キャッシュ(msvcachedv2)には、ドメインユーザーの資格情報のハッシュが含まれています。組織のネットワーク外からログインしたドメインユーザーを認証するために使用されます。 | すべてのワークステーションとサーバー |
サービスアカウントからの資格情報の盗難 | サービスは、異なる権限で、異なるユーザーを使って実行することができます。ユーザーが ログインしていなくてもサービスを開始できるようにするために、資格情報は マシンに保存されます。攻撃者は、これらの資格情報を使用して、サービスユーザーの権限で悪意のあるコードを実行することができます。 Microsoftのサービスには、ドメインユーザーの資格情報が含まれているものがあります。攻撃者は、ローカルセキュリティオーソリティ (LSA) のSecretsレジストリハイブから暗号化されたサービス資格情報を収集し、それを新しい悪意のあるサービスに注入することで、横方向への移動やドメインの完全な侵害を達成することができます。詳しくは、//www.cyberark.com/blog/cyberark-labs-research-stealing-service-credentials-achieve-full-domain-compromise/を参照してください。 | すべてのワークステーションとサーバー |
Agent Safe Protection | Windowsセーフモードは、PCとサーバーの両方のWindowsオペレーティングシステム(OS)に組み込まれています。 Windows 10では、セーフモードはマイクロソフトのVSM(Virtual Secure Module)をオフにします。攻撃者はリモートでセーフモードを起動して、エンドポイントのセキュリティ対策を回避・操作し、横方向への移動を実現し、資格情報を盗むことができます。 詳しくは、//www.cyberark.com/blog/cyberark-labs-from-safe-mode-to-domain-compromise/を御覧ください。 | すべてのワークステーションとサーバー |
Windows資格情報マネージャーからの資格情報の盗難 | Windowsの資格情報マネージャーで、ユーザーはウェブサイト(IEおよびEdgeブラウザ)、接続されたアプリケーション、およびネットワークへのログイン情報を保存することができます。攻撃者は、文書化されていないWindows APIを使用して、ユーザーの資格情報を簡単に取得することができます。 | すべてのワークステーションとサーバー |
Active Directoryデータベース(NTDS.DIT)からの資格情報の盗難について | Microsoft Active Directory Data Store (NTDS.dit)には、ユーザー、サービス、アプリケーションのディレクトリ情報を保存・管理するデータベースファイルとプロセスが含まれています。攻撃者は、ゴールデンチケット攻撃の前段階であるkrbtgtアカウントを盗み、組織のユーザーのハッシュをすべて収集して、組織のネットワークでパスザハッシュ攻撃や横移動を実行することができます。 | サーバー(DC) |
ローカルセキュリティオーソリティ(LSA)のシークレット収集 | LSA Secretsは、WindowsのLocal Security Authority(LSA)で使用される重要なデータのための特別な保護されたストレージです。その秘密には、ユーザーのパスワード、サービスアカウントのパスワード、RAS接続のパスワード、ユーザーの暗号化キーなどが含まれており、これらはすべて攻撃者にとって貴重なものです。 | すべてのワークステーションとサーバー |
Pass The Hash攻撃 | パスワードハッシュは、平文のパスワードと同等です。パスワードハッシュを入手した攻撃者は、そのハッシュを利用して、実際のパスワードを知らなくてもシステムにアクセスすることができます。このタイプの攻撃は「Pass The Hash」と呼ばれています。 | すべてのワークステーションとサーバー |
Crypto RSA マシンキー収集 | RSAは非対称の暗号化アルゴリズムです。秘密鍵は、認証、暗号化、署名、および SSL\TLS セッションの確立時の対称キー交換に使用できます。盗まれた秘密鍵は、Windowsの秘密鍵ストアに鍵を保存しているID管理ソリューションから認証トークンを盗むなど、さまざまなポストエクスプロイト攻撃に使用することができます。 ゴールデンSAML攻撃の詳細については、//www.cyberark.com/threat-research-blog/golden-saml-newly-discovered-attack-technique-forges-authentication-cloud-apps/を参照してください。 | サーバーのみ (ADFSやOktaなどのID管理ソリューション) |
Pass The Ticket攻撃 | Kerberosチケットは、ドメイン環境で使用される認証オブジェクトです。「Pass the ticket」とは、アカウントのパスワードにアクセスすることなく、Kerberosチケットを使ってシステムを認証するメソッドです。この攻撃では、有効なKerberosチケットが取得され、攻撃者のセッションのメモリに注入されます。 | すべてのワークステーションとサーバー |
Total Commanderの資格情報の盗難 | Total Comanderは、Windowsで人気のファイルマネージャーで、FTP接続も管理できます。 ユーザーはTotal Commanderを使用してFTPサーバーのパスワードをローカルに保存することができ、マシン上で実行されている潜在的な攻撃者に資格情報を公開してしまいます。 | すべてのワークステーションとサーバー |
PuTTyの資格情報の盗難 | PuTTyは、Windows用の人気の高いSSHクライアントです。このアプリケーションは、リモートサーバーへの資格情報として使用できるプライベートSSHキーを保存します。また、PuTTyでは、プロキシサーバーのパスワードをローカルに保存することができます。SSHのプライベートキーやプロキシのパスワードを保存すると、ユーザーの資格情報が攻撃者にさらされることになります。 PuTTyのバージョン0.7以降が必要です。 | すべてのワークステーションとサーバー |
Okta AD エージェント改ざん保護 | Oktaは、シングルサインオン体験を提供するアイデンティティ管理ソリューションです。これにより、ユーザーはOktaのサーバーに一度だけログインした後、資格情報を挿入することなく、他の多くのアプリケーションにログインすることができます。OKTAには、Active Directory環境からの接続を管理するAD Agentがあります。 エージェントは、攻撃者がドメインからユーザー資格情報を盗むために悪用できるドメインへのトークンを保存します。EPM は、このトークンとエージェントの秘密鍵(Crypto RSA Machine Keys Harvesting ルールを使用)が盗まれないように、AD エージェントが操作されないように、また、認証プロセスが改ざんされないように保護します。 | OKTA AD エージェントサーバー |
Git資格情報の盗難 | Gitは、ソフトウェア開発におけるソースコードの変更を追跡するためのバージョン管理システムです。ユーザーがGitサーバーの資格情報をローカルに保存すると、潜在的な攻撃者に資格情報が公開されてしまいます。 公式に署名されたGitツールが必要です。 | すべてのワークステーションとサーバー |
DbVisualizerの資格情報の盗難 | DbVisualizerは、主要なデータベースに対応したデータベース管理・分析ツールです。このアプリケーションでは、データベースの資格情報をローカルに保存するため、マシン上で動作する潜在的な攻撃者に資格情報が公開されてしまいます。 | すべてのワークステーションとサーバー |
WinLogonオートメーションからの資格情報の盗難 | WinLogon Automationは、コンピュータの起動時に自動的にログインできるWindowsの機能です。Windowsはパスワードを平文で保存するため、悪用が容易です。 | すべてのワークステーションとサーバー |
Composerの資格情報の盗難 | Composerは、PHPで依存関係を管理するためのツールです。プロジェクトが依存しているライブラリを宣言すると、それを管理してくれます。このアプリケーションでは、データベースの資格情報をローカルに保存するため、マシン上で動作する潜在的な攻撃者に資格情報が公開されてしまいます。 | すべてのワークステーションとサーバー |
TortoiseのSVN資格情報の盗難 | TortoiseSVNは、有名なバージョン管理クライアントです。ユーザーはSVNサーバーの資格情報をローカルに保存することができるため、潜在的な攻撃者に資格情報が公開されてしまいます。 | すべてのワークステーションとサーバー |
VMware Workstationの資格情報の盗難 | VMware Workstationは、Windowsシステム上で動作するホスト型ハイパーバイザーで、1台の物理マシン上に仮想マシンを設定し、実機とともに同時に使用することができます。VMware Workstationは、仮想マシンをホストするリモートサーバーへの接続を可能にします。このルールは、これらのサーバーに保存されている資格情報の収集からシステムを保護します。 | ワークステーション |
Open VPN | OpenVPNは、Windows用の一般的なVPNクライアントです。ユーザーは、サーバーの資格情報をローカルに保存することを選択できるため、そのマシン上で動作する潜在的な攻撃者に資格情報が公開されてしまいます。 | すべてのワークステーションとサーバー |
KeePass | KeePassは、一般的なオープンソースのパスワードマネージャーです。ユーザーはすべてのパスワードを一箇所に保存・管理することができます。パスワードデータベースはマシン上にローカルに保存されているため、このデータベースに保存されているすべての資格情報が、マシン上で実行されている潜在的な攻撃者にさらされる可能性があります。 | すべてのワークステーションとサーバー |
「常に昇格してインストールする」モードを設定するための疑わしいリクエスト | AlwaysInstallElevatedは、Windowsマシン上のすべてのユーザー(特に低権限のユーザー)が、あらゆるMSIファイルを昇格権限で実行できるようにする設定です。MSIは、Microsoftベースのインストーラーパッケージファイル形式で、プログラムのインストール、保存、削除に使用されます。このオプションは、完全な管理者権限を付与することと同じであり、重大なセキュリティリスクを引き起こす可能性があります。CyberArkはこの設定の使用を強く推奨しており、デフォルトではこのオプションはオフになっています。このルールは、悪意のある行為によってこのオプションが変更されることを防ぎ、システムを保護します。 | すべてのワークステーションとサーバー |
Azure CLI 資格情報の盗難(ベータ版) | Azureコマンドラインインターフェイス (Azure CLI) は、Azureリソースを作成・管理するためのコマンド群です。Azure CLIは、Azureを素早く使いこなせるように設計されており、攻撃者が抽出して悪用できる認証トークンが保存されています。このルールは、Azure CLIアプリケーションからのトークン収集から保護します。 | すべてのワークステーションとサーバー |
SolarWinds Orion(ベータ版)からの資格情報の盗難 | SolarWinds Orionは、インフラの監視・管理プラットフォームです。このアプリケーションは、リモートアクセスやAWS/Azureなどのさまざまなサービスの資格情報を保存しており、マシン上で実行されている潜在的な攻撃者に資格情報を公開しています。EPM は、SolarWinds Orionアプリケーションからの資格情報の採取から保護します。 | SolarWindsインストール済みサーバー |
Duo Integration Secrets Dump (ベータ版) | Duo MFAは、Windowsデバイスのログイン、Outlook on web (OWA)など、多くのアプリケーションとの統合が可能な、管理者とユーザー双方のための二要素認証ソリューションです。アプリケーションは、攻撃者がMFAを迂回するために悪用できる秘密鍵を保存しています。EPM は、この秘密鍵が盗まれたり、認証プロセスが改ざんされたりしないように保護します。 | Duo MFAを統合したすべてのワークステーションとサーバー |
ウェブブラウザからのクッキーの盗難について(ベータ版) | Webブラウザが保存するHTTPクッキーには、Webサイトやサービスの認証クッキーが含まれています。これらのクッキーは、攻撃者が抽出して悪用し、ユーザーに代わってアクションを起こしたり、ユーザーのセッションを乗っ取ったりすることができます。EPMは、一般的なブラウザ(Google Chrome、Mozilla Firefox、Opera、Microsoft Edge、Internet Explorer)のCookieストレージが盗まれたり悪用されたりしないように保護します。 | 一般的なブラウザ(Google Chrome、Mozilla Firefox、Opera、Microsoft Edge、Internet Explorer)を搭載したすべてのワークステーションとサーバー |
ChromiumベースのWebブラウザ(ベータ版)のメモリダンプ | Webブラウザは、Webサイトやサービスの認証クッキーを含め、資格情報やHTTPクッキーをプロセスメモリに保存します。これらの資格情報やクッキーは、ブラウザのメモリをダンプすることで抽出され、攻撃者がユーザーに代わってアクションを起こしたり、ユーザーのセッションを乗っ取ったりするために悪用される可能性があります。EPM エージェントは、Chromium ベースの Web ブラウザのメモリがダンプされないように保護します。 | ChromiumベースのWebブラウザ |
ポリシーグループの概要
「 Privilege Threat Protection 」ページのグリッドに、「脅威からの保護」ポリシーの概要が一目でわかるように表示されます。デフォルトでは、ポリシーグループ名が表示されます。グループを展開すると、そのグループ内のポリシーのステータスと、ポリシーが適用されているコンピュータが表示されます。
次の表は、各コラムの焦点を説明しています。
ステータス | 各グループ内のポリシーのステータスで、ポリシーが「 Block 」、「 Detect 」、「 Off 」のいずれに設定されているかを示します。グループを展開すると、各ポリシーの設定が表示されます。 |
コンピュータ | ポリシーが適用されるコンピュータです。グループを展開すると、特定のポリシーが適用されているコンピューターが表示されます。 |
最終更新日 | ポリシーが最後に修正された日付です。 |
エージェントバージョン | このポリシーをサポートする最初のEPM バージョンです。 |
ポリシーの詳細を表示
「ポリシーの詳細」ペインには、ポリシーのプロパティ、ターゲット、および除外されるアプリケーションが一目でわかるように表示されます。
ポリシー グループを展開し、特定のポリシーをクリックすると、「ポリシーの詳細」 ペインが「特権の脅威からの保護」グリッドの上にスライドします。
グローバルに除外されたアプリケーションを表示するには、「 Agent Configuration 」>「 Threat Protection 」>「除外されるアプリケーション」に移動します。 |
デフォルトポリシーの設定
「デフォルトポリシー」ページで、ワンクリックでデフォルトの「資格情報の盗難と横移動からの保護」ポリシーを設定することができます。
資格情報の盗難や横移動からの保護を検知 またはブロックに設定します。
「Yes」をクリックして、デフォルトの設定を受け入れます。
または、
「ポリシーオプションのカスタマイズ」をクリックすると、「特権脅威からの保護」 ページが表示され、設定がカスタマイズされます。
詳しくは、「特権脅威からの保護」をご覧ください。
ポリシーのカスタマイズ
ポリシーの編集は、「 Privilege Threat Protection 」ページから直接行うことも、ポリシーの概要から行うこともできます。
- をクリックしてポップアップメニューを表示し、「 Edit 」を選択して「 Edit policy 」ページを表示します。
ポリシーオプションで、以下を設定します。
オプション
説明
ステータス
ポリシーが「検出」または「ブロック」に設定されているか、または有効化されていないか指定します。
エンドユーザーへの通知
エンドユーザーに表示される通知のタイプ(存在する場合)。
「 Policy targets 」で、以下を設定します。
オプション
説明
ポリシーを以下に適用する
ポリシーを適用するターゲットです。これには、特定のコンピューター、Active Directoryのセキュリティグループ、OSのユーザーとグループが含まれます。
以下からポリシーを除外
ポリシーの対象外となるターゲットこれには、特定のコンピュータやActive Directoryのセキュリティグループが含まれます。
「除外するアプリケーション」で「ポリシーから除外する」をクリックし、ポリシーから除外するアプリケーションを指定します。
オプション
説明
ファイル名
ポリシーから除外するアプリケーションファイルの名前です。
場所
除外するアプリケーションの場所です。
パブリッシャー
アプリケーションを認証したパブリッシャーの名前です。
ポリシーのアクティブ化/非アクティブ化
ポリシーの有効化または無効化は、「 Privilege Threat Protection 」ページ、または「 Policy overview 」から直接行うことができます。
- をクリックしてポップアップメニューを表示し、ポリシーを「 Block 」または「 Detect 」に設定するか、または無効にします。
サマリーステータス
コンソールの「 Summary 」ページで、Set 内の脅威防御ポリシーのステータスを確認できます。
サマリーの状態を表示:
「脅威からの保護」をサポートしているエンドポイントとサポートしていないエンドポイントの数
非アクティブ、ブロックモード、検出モードになっている脅威からの保護ポリシーの数
保護されている、またはリスクのあるWindowsおよび非Windowsの資格情報の数