ネットワークを守る最善の方法の 1 つは、実際にはネットワークを完全に守ることはできず、ある時点で攻撃者によって侵入されることを想定することです。この「侵入を想定する」アプローチにより、ネットワーク上の資産、特にドメイン サーバーなどの価値の高いターゲットを保護することが求められます。
理想的には、権限昇格を必要とする管理タスクを実行する必要があるときは、常にドメインアカウントを使用してサーバーにログインします。そうすれば、パスワードルールで管理できるからです。しかし、ネットワークやドメインへの接続が失われたマシンのトラブルシューティングにはこの方法は使えません。実際、ドメインに参加しているコンピューターでも、ローカル管理者アカウントを持っていることがよくあります。多忙なITチームの作業を簡素化するため、これらのアカウントのパスワードはすべてのマシンで同じであることが多いのですが、覚えやすく変更されない、比較的弱いパスワードになっていることがよくあります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
これは、パスワードの変更は手動で個別に行う必要があり、さらに、PASSWORDS.XLS スプレッドシートなど、攻撃者が見つけられる場所にパスワードを保存せずに、各サーバーの一意の最新の強力なパスワードを全員が最新の状態に保つ方法を見つける必要があるためです。
ローカル管理者パスワードソリューションは、まさにこの問題に対処するツールで、Microsoftが2015年から提供しています。このソリューションは、パスワードの複雑性に関するポリシーに基づいて、ドメイン内のすべてのコンピューターのローカル管理者アカウントに一意かつ強力なパスワードを生成し、Active Directoryに保存します。そして、パスワードの有効期間に関するポリシーに基づいて、自動的に新しいパスワードに置き換えます。デフォルトでは14文字のパスワードが設定されており、30日ごとに変更されますが、数字、大文字、特殊文字などの特定のルールを適用したより長いパスワードを選択したり、変更スケジュールを変更したり、ログインせずに個々のシステムで強制的に変更したりすることも可能です。
AD内の適切なセキュリティグループに属している限り、ITスタッフはPowerShellコマンドまたはLAPS GUIツールを使用して、管理タスクの実行に必要なパスワードを取得できます。ただし、パスワードは属性ごとのアクセスリストによって保護されているため、一般ユーザーはこれらの詳細を確認できません。たとえ攻撃者がLAPSで保護されたサーバーに侵入できたとしても、LAPSツールやリモートサーバー管理ツールなどを実行しても、ADから管理者パスワードを取得することはできません。ましてや、他のシステムのパスワードを読み取ることはできません。
LAPSが組み込まれており準備完了
LAPSは確かに便利ですが、グループポリシーのクライアント側拡張機能とPowerShellモジュールと共に、各コンピューターにインストールする必要がありました。さらに、各コンピューターのパスワードとパスワード有効期限のタイムスタンプを保存するための新しい属性でADスキーマを拡張するADMXテンプレートを追加する必要がありました。そのため、経験の浅い管理者は、実際には管理者アカウントのみを保護するにもかかわらず、LAPSをすべてのマシンに展開したと勘違いしてしまう可能性がありました。
現在、Microsoft は最終的に LAPS を Windows 11 と次期バージョンの Windows Server の両方に統合しています。プレビューは、Windows 11 Insider Preview Build 25145 と Windows Server Preview Build 25151 の一部です。
ただし、管理対象PCではLAPSアプリは表示されなくなります。今後はPowerShell(およびグループポリシーエディター)から操作することになります。これは良いことかもしれません。というのも、やや古いアプリのフォントでは大文字のIと小文字のlの区別がつきにくく、多くの管理者がパスワードをコピーしてメモ帳に貼り付けていたからです。既にPowerShellでLAPSを使っている場合は、一部のコマンドの名前が新しくなっているのでご安心ください。
ADスキーマの更新は引き続き必要ですが、新しいLAPS PowerShellモジュール(以前はUpdate-AdmPwdADSchema)のUpdate-LapsADSchemaコマンドレットを実行することで実行できます。また、承認されたユーザーとグループに保存されたパスワードの参照権限を付与するために、これらの属性の権限を構成する必要があります。管理対象のコンピューターでSet-LapsADComputerSelfPermissionコマンドレットを実行し、パスワード管理に必要な設定を含むグループポリシーを作成します。
すべての設定は、グループポリシーエディターの「コンピューターの構成」>「管理用テンプレート」>「システム」>「LAPS」にあります。まず、新しいLAPSグループポリシーオブジェクトを追加し、「パスワードバックアップディレクトリを構成する」設定を有効にして、バックアップの保存場所をActive Directoryに設定します。
通常の GPO 更新間隔を待たない場合は、gpupdate /target:computer /force コマンドを実行するか、Invoke-LapsPolicyProcessing PowerShell コマンドレットを使用して新しいパスワードを生成してバックアップし、Get-LapsADPassword コマンドレットで取得することができます。
パスワードが保存されたかどうかはイベントログで確認できます。この新しいイベントログ機能は、イベントをストアに送信するなどの回避策を必要としていた、以前のややノイズの多いログ記録と監査のアプローチを改善したものです。
新しいLAPS機能
LAPSには、管理者がログインして変更を加えた後(ただし、即時ではありません)、管理者パスワードのリセット、コンピュータの再起動、管理者アカウントのログオフなど、便利な新機能が追加されました。感染の恐れがあるため、昇格された認証情報でコンピュータを実行したままにしておくのは避けたいものです。そのため、認証後アクションポリシーによってクリーンアップが自動化されます。また、トラブルシューティングの途中で作業中のマシンからログオフしたり再起動されたりするのは避けたいものです。そのため、数時間後にクリーンアップが行われる猶予期間を設定することもできます。
LAPS がパスワードを循環するように設定されている場合は、ローカル管理者アカウントを定期的に使用するリモート ワーカーが接続されていない場合にアクセスできなくなることを心配する必要はありません。パスワードは、PC がドメイン コントローラーにアクセスできる場合にのみ変更されます。
また、LAPS で管理するローカル管理者アカウントの名前を設定することもできます。
当初、Microsoftは、管理者にとって暗号化スキームの管理が複雑であること、そしてADは通常パスワードを保護するのに十分なセキュリティが確保されているという前提に基づき、LAPSがADに保存する管理者パスワードを暗号化しないことを決定しました。多層防御をお求めの場合は、これらのパスワードを暗号化し、復号化を許可するユーザーとグループを選択できるようになりました。
これを機能させるには、必要な特権アクセス管理を取得するための Windows Server 2016 機能を備えたドメイン コントローラーが必要です (ただし、Windows Server のそれ以降のバージョンを実行できます)。暗号化を処理できない古いドメイン コントローラー セットアップで [パスワードの暗号化を有効にする] グループ ポリシーをオンにすると、パスワードはまったく保存されません。
暗号化による保護が強化されたことで、LAPS はローカル管理者パスワードだけでなく、他の種類のアカウントパスワードも管理できるようになりました。特に、ドメインコントローラーを Active Directory の修復または復元が可能な特別なモードで起動するためのディレクトリサービス復元モードの管理者パスワードが役立ちます。DSRM パスワードは、サーバーをドメインコントローラーに昇格させる際に初めて設定しますが、非常に強力でありながら使用頻度も低いため、緊急事態が発生するまで意識することのない資格情報となる可能性があります。
Windows Server 2008以降では、DSRM管理者パスワードをドメインユーザーアカウントに同期できるようになりましたが、NTDSUTILコマンドを使って手動で行う必要があります。LAPSは、「DSRMアカウントのパスワードバックアップを有効にする」グループポリシーを設定すると、パスワードを保存し、定期的にローテーションできますが、暗号化を有効にする必要があります。
暗号化を必要とするもう 1 つの便利な新しいオプションでは、各コンピューターの以前のパスワードを AD にいくつ保存するかを選択できます。LAPS がパスワードをローテーションする前に作成されたバックアップを使用してマシンをロールバックする必要がある場合、それ以降に更新された古い管理者パスワードを AD から取得するには、同じ期間の AD バックアップも保持している必要があります。その場合、コンピューターを回復するには、Microsoft Diagnostics and Recovery Toolset などのツールが必要でした。今では、「暗号化されたパスワード履歴のサイズを構成」を使用して、保存する古いパスワードの数をバックアップ ポリシーに合わせて調整できます。コンピューターのバックアップを 6 か月分または 1 年分保存している場合は、その数だけのパスワードも確実に保存できます。
しかし、LAPSの最大の変更点は、パスワードの保存にオンプレミスのADしか利用できなくなることです。Azure ADをご利用の場合は、パスワードのバックアップストアとしてAzure ADを設定できるようになりますが、現時点ではWindows Insidersプログラムに参加している一部の組織でのみ利用可能です。
