シャドウ管理者アカウントは、誤って割り当てられた過剰な特権を持つユーザー アカウントです。 ハッカーがシャドウ管理者アカウントを侵害した場合, これは会社のセキュリティに高いリスクをもたらします. Silverfort は、権限が高すぎるアカウントに対するベストプラクティスをリストしています.
攻撃者が特権アカウントをハイジャックしてターゲット システムにアクセスできる場合、ネットワーク全体が非常に危険にさらされます。 ただし、シャドウ管理者を特定してその権限を制限するのは簡単なことではありません。 以下では、影の管理者がどのように出現し、企業がこの隠れた危険を効果的に封じ込めるためにどのような手段を講じることができるかについて説明します。
これは、シャドウ管理者アカウントが作成される方法です
人的ミスまたはユーザー権利の不適切な管理
経験の浅い管理者は、誤って、または直接のアクセス許可の割り当ての影響を完全に理解していないために、シャドウ管理者を作成する可能性があります。 このようなシャドウ管理者アカウントの背後に悪意がなくても、機密リソースへのユーザーの不正アクセスを許可することで、環境にリスクをもたらす可能性があります。
取り消されていない一時的な権限
これは悪い習慣と考えられていますが、場合によっては、IT 管理者がアカウントに一時的なアクセス許可を付与し、後でそれらのアクセス許可を削除することを意図して、ユーザーをシャドウ管理者にすることがあります。 これにより差し迫った問題を解決できますが、これらのアクセス許可は保持されることが多く、これらのアカウントには管理者権限が無人のまま残されます。
攻撃者によって作成されたシャドウ管理者
攻撃者が管理者権限を取得すると、シャドウ管理者アカウントを設定して活動を隠すことができます。
上記の XNUMX つのケースのそれぞれで、シャドウ管理者は、許可されていない個人が実行してはならないアクティビティを実行できるようにするため、組織にリスクをもたらします。 これらのアカウントが監視されていないということは、企業がその存在を認識していないためにアクセスが制限されていないことを意味するだけでなく、不正なアクセスや変更が検出されない可能性があることを意味します. 場合によっては、そのような活動は、攻撃者が機密データを盗み出した場合など、すでに手遅れになっている場合にのみ発見されます。
シャドウ管理者の詳細
シャドウ管理者は、Active Directory (AD) 管理グループのメンバーではないユーザーです。 ただし、このユーザーには、さらに管理スキルを習得できる対応する権限があります。 これらには以下が含まれます:
- フル コントロール権限 (ユーザーまたはグループ)
- すべてのプロパティを書き込む (グループ用)
- パスワードのリセット (XNUMX ユーザー用)
- すべての拡張権利 (XNUMX ユーザー分)
- 権限の変更 (ユーザーまたはグループ)
- メンバーの書き込み (グループの場合)
- 書き込み所有者 (ユーザーまたはグループ)
- 実際の所有者 (ユーザーまたはグループ)
さらに、任意のレベルのシャドウ管理者を制御できるすべてのユーザーも、シャドウ管理者と見なされます。 例:
正当な管理者: Bob はドメイン管理者 (Domain Admins グループのメンバー) です。 これは、Bob が Active Directory への管理アクセス権を持っていることを意味します。
レベル 1 シャドウ管理者: アリスは、ドメイン管理者グループのメンバーではありません。 ただし、アリスにはボブのパスワードをリセットする機能があります。 したがって、Alice は Bob のパスワードをリセットし、Bob としてログインし、彼に代わってドメイン管理者権限を必要とするタスクを実行できます。 これにより、Alice がシャドウ管理者になります。
レベル 2 シャドウ管理者: Larry は Alice のパスワードをリセットできます。 これにより、彼は Alice としてログインし、Bob のパスワードを変更して、Bob としてログインし、ドメイン管理者権限を必要とするタスクを実行できるようになります。 これにより、Larry は第 XNUMX レベルのシャドウ管理者になります。 そして、それは Larry だけではありません。Larry のパスワードなどをリセットできる別のシャドウ管理者がいる可能性があります。 組織は、ネットワーク内に多数のシャドウ管理者を持つ可能性があります。
シャドウ管理者を追跡する方法
シャドウ管理者を特定することは、困難で複雑な問題です。 まず、管理者は管理者を特定する必要があります。つまり、管理者権限を付与された Active Directory グループに属するすべてのユーザーです。 「Domain Admin」グループのように、一部の AD グループは明らかです。 ただし、多くの組織がさまざまなビジネス目的でさまざまな管理グループを作成するため、一部のグループはそれほど多くありません。 場合によっては、ネストされたグループさえあります。 これらのグループのすべてのメンバーをキャプチャすることが重要です。 グループ メンバーシップのマッピングでは、メンバー リストに表示されるユーザー ID だけでなく、ユーザーのプライマリ グループ ID の構成も考慮する必要があります。
Active Directory の管理グループのメンバーを理解することは重要な最初のステップですが、ドメイン内のすべての特権アカウントを識別するには十分ではありません。 これは、シャドウ管理者がその XNUMX 人ではないためです。 シャドウ管理者を追跡するために、関係者は各アカウントに付与されたアクセス制御リスト (ACL) のアクセス許可を分析する必要があります。
ACL 権限を手動で分析する - 終わりのない作業
前述のように、シャドウ管理者を追跡するために、シャドウ管理者を追跡する責任者は、AD の各アカウントの ACL 権限を分析して、アカウントが管理グループまたは個々の管理者アカウントの権限を持っているかどうかを判断する必要があります。 これ自体、不可能ではないにしても非常に困難な手作業です。
Silverfort の DACH 地域セールス ディレクター、Martin Kulendik (画像: Silverfort)。
責任者がこの分析を実行できる場合、彼らはシャドウ管理者の第 XNUMX レベルを受け取ります。 しかし、それだけでは十分ではありません。すべての ACL を再分析して、これらの第 XNUMX レベルのシャドウ管理者を変更する権限を誰が持っているかを理解する必要があります。 このプロセスは、既存のシャドウ管理者のすべてのレベルが明らかになるまで継続する必要があります。 責任者がシャドウ管理者グループも見つけた場合、事態はさらに複雑になります。 肝心なのは、この分析は手動のタスクではないということです。
UIP: シャドウ管理者の自動識別
Unified Identity Protection は、組織の既存の IAM セキュリティ制御を統合し、それらを組織のすべてのユーザー、資産、および環境に拡張する新しいテクノロジです。 このソリューションは、エージェントレスおよびプロキシレス アーキテクチャを通じて、すべての資産と環境にわたってユーザーとサービス アカウントからのすべてのアクセス要求を監視し、高精度のリスクベースの分析、条件付きアクセス、および多要素認証ポリシーをハイブリッド エンタープライズ内のすべてのリソースに拡張できます。カバーする環境
保護措置は、以前は保護できなかった資産にも拡張できます。 これらには、たとえば、自社製およびレガシー アプリケーション、重要なインフラストラクチャ、ファイル システム、データベース、および PsExec などの管理者アクセス ツールが含まれ、現在、攻撃者はエージェント ベースの MFA をバイパスできます。
統合 ID 保護プラットフォーム
さらに、統合された ID 保護プラットフォームは、アクセス許可が正当かどうかを判断するために確認する必要があるシャドウ管理者アカウントを自動的に識別します。 このテクノロジは定期的に Active Directory にクエリを実行し、ドメイン内のすべてのオブジェクトのさまざまな ACL を取得します。 共通の管理者グループを自動的に識別します。 次に、このソリューションは、ACL を分析して、それらの管理者グループのメンバーと同じ権限を持つシャドウ管理者ユーザーおよびグループを探します。つまり、シャドウ管理者アカウント/グループを効果的に作成する権限です。 このプログラムは、必要に応じて ACL を分析して、すべてのレベルのシャドウ管理者アカウントとグループを特定し、責任者がこれらの潜在的に悪意のあるアカウントを完全に把握できるようにします。
次に、AD 管理者はこの包括的なリストを確認して、これらのシャドウ管理者アカウントとグループのアクセス許可が正当かどうか、およびそれらを制限または監視する必要があるかどうかを判断する必要があります。
すべてのアクセス要求の継続的な監視
さらに、統合された ID 保護ソリューションは、ドメイン内のすべてのアクセス要求を継続的に監視および分析します。 シャドウ管理者はリスクの高いアカウントと見なされます。 このテクノロジーは、ユーザーのパスワードをリセットしようとする試みなどの機密性の高いアクティビティを自動的かつリアルタイムで識別し、アラートを発行するか、多要素認証 (MFA) を使用して身元を確認するようにユーザーに求めます。パスワードのリセットを許可します。 これにより、ユーザー アカウントへの不正な変更や、ネットワーク上の機密リソースへの不正アクセスを防ぐことができます。
Unified Identity Protection を使用すると、組織は一貫したポリシーと可視性を使用して、すべての環境にわたってすべての資産を管理および保護し、シャドウ管理者によってもたらされるリスクを含む、複数の ID ベースの攻撃ベクトルに効果的に対抗できます。
詳細は Silverfort.com をご覧ください
シルバーフォートについて Silverfort は、エンタープライズ ネットワークとクラウド環境全体で IAM セキュリティ制御を統合して ID ベースの攻撃を軽減する、初の統合 ID 保護プラットフォームを提供します。 Silverfort は、革新的なエージェントレスおよびプロキシレス テクノロジーを使用して、すべての IAM ソリューションとシームレスに統合し、リスク分析とセキュリティ制御を統合し、自社開発およびレガシー アプリケーション、IT インフラストラクチャ、ファイル システム、コマンド ラインなど、以前は保護できなかった資産に対象範囲を拡大しました。ツール、マシン間アクセスなど。