ユーザー ID の展開をセキュリティ保護するためのベスト プラクティス
Resolution
概要
ユーザー ID はサービスを有効にし、ユーザーの IP アドレスのマッピングはネットワーク管理者にパロ ・ アルト ネットワーク次世代ファイアウォールによってフィルター処理されたときに各ユーザーの許可を細かく制御を提供可能です。 同様に次のベスト ・ プラクティスと構成ガイドラインを削減し、潜在的なリスクを排除することができますユーザー ID を展開するとき、すべてのネットワーク サービスを有効にします。 この資料では、ネットワークを助けるため、セキュリティ管理者の設定ミスを避けるため、安全にネットワーク環境でユーザー ID サービスを有効にします。
詳細
のみ信頼済みゾーン上のユーザー ID を有効にします。
のみ内部および信頼されたゾーン上のユーザー ID を有効にする、インターネットに任意の潜在的な攻撃から保護されたこのサービスを維持するのに役立ちますこれらのサービスの露出はありません。 (インターネット) など外部の信頼されていないゾーンで有効にユーザー ID と WMI プローブ、プローブがユーザー ID エージェント サービス アカウント名、ドメイン名、および暗号化パスワード ハッシュの情報漏えいの保護されているネットワークの外部送信でした。 この情報には、ひび割れし保護されたリソースへの不正アクセスを得るために攻撃者によって悪用される可能性があります。 このため、信頼されていないゾーンでユーザー ID を有効にしないでください。
.
ユーザー ID を構成するときに、追加または除外のネットワークを指定します。
インクルードとエクスクルード リスト エージェントレスと同様、ユーザー ID エージェントで使用可能なファイアウォールの鍋上のユーザー ID を使用できるユーザ ID の範囲を制限するには 通常、管理者は自分の組織で使用されている IP アドレス空間の一部にかかわっているだけ。 付属またはユーザー ID から除外するネットワークを明示的に指定するには、我々 はことだけ信頼され、会社が所有する資産はプローブは、不要なマッピングが作成されることも予期せずことを確認に役立ちます。
.
WMI プローブ高セキュリティ ネットワークを無効にします。
WMI または Windows 管理インストルメンテーションは優先的にプローブを使用することができます機構管理 IP ユーザー マッピングを学ぶため、Windows システムです。 WMI の信頼データを調査報告のエンドポイントからため、それは高度なセキュリティ ネットワークでユーザー ID 情報を取得推奨方法ではありません。 それも通常必要はありません。 共通の固定ワークステーション、オフィス環境を見られるなどの比較的静的な IP ユーザー マッピングを含む環境では、アクティブな WMI プローブは必要はありません。 ユーザー ID を統合することによりアドレス間で移動する場合も、移動やその他のモバイル クライアントを簡単に識別することができます Syslog または XML API を使用して、同様の Windows 以外のプラットフォームからの IP ユーザー マッピングを取り込むことができます。 高感度と高セキュリティ ネットワークに WMI プローブの増加と、全体攻撃、管理者お勧めします WMI プローブを無効にし、代わりにドメイン コント ローラーより孤立した、信頼できるソースから取得したユーザー ID マッピングに頼る。解析広告セキュリティ イベント ログ、syslog メッセージ、または XML API ユーザー ID のマッピングを取得するユーザー ID エージェントを使用する場合、WMI プローブを無効にします。 非脱落型ポータル使用できますフォールバック メカニズムとしてユーザーの再認証にセキュリティ イベント ログ データが古くなっている可能性があります。
WMI プローブを使用する場合に有効にしないでください外部の信頼されていないインタ フェース ユーザー名、ドメイン名、およびユーザー ID エージェント用に構成されたサービス アカウントのパスワード ハッシュなどの機密情報を含むネットワークの外部に送信される WMI プローブの原因でしょう。 この情報は、さらにアクセスを得るためにネットワークを突き通すことができる攻撃者によって悪用される可能性可能性があります。
.
専用のサービス アカウントを使用して、必要な最小限の権限を持つユーザー ID サービス
サービスが正常に機能するために必要なアクセス許可の最小セットを含めるだけで強化できるは、ユーザー ID の展開。 これは、DCOM ユーザー、イベント ログ リーダー、およびサーバー オペレーターが含まれています。 ユーザー ID サービス アカウントが攻撃者によって悪用されないように、破壊の追加リスク、機密データの盗難にエンタープライズ管理者とその他の不要な特権さらします。 セキュリティイベントログを読み取るためにドメイン管理者権限とエンタープライズ管理アクセス権は必要ありません。
.
ユーザー ID サービス アカウントの対話型ログオンを拒否します。
ユーザー ID サービス アカウントは、特定のアクセス許可を読み取り、Active Directory セキュリティ イベント ログを解析するために必要ですが、それはサーバーまたはドメイン システムに対話的にログオンする機能は不要です。 この権限は、グループ ポリシーを使用して制限することができますまたはユーザ ID (を参照してください Microsoft Technet グループ ポリシーおよび管理されたサービス アカウントの構成の詳細について.) と管理されたサービス アカウントを使用して ユーザー ID サービス アカウントは、悪意のあるユーザーが危険にさらされるが場合、対話型ログオンを拒否することによって攻撃を受ける可能性を大幅削減でしょう。
.
ユーザー ID サービス アカウントに対してリモート アクセスを拒否します。
通常、サービス アカウントは使用してリモート アクセスを許可するセキュリティ グループのメンバーにしないでください。これは外部からネットワークにアクセスするアカウントを使用してから攻撃者を防ぐためユーザー ID サービス アカウントの資格情報が危険にさらされるなら、VPN を使用しています。
.
出口内部トラフィックのフィルタ リングを構成します。
(潜在的に不要なトラフィックをユーザー ID エージェントを含む) 任意の不要なトラフィックを防ぐ出口境界ファイアウォールのフィルタ リングを実装することにより、インターネットをあなたの保護されたネットワークを残してします。 敏感な環境でホワイト リストの信頼とビジネスの重要なアプリケーションの不要なトラフィックを許可する可能性を減少してまた敵陣データに使用できるベクトルの可能性を減らすことができます。
.
また見なさい
ユーザー ID の設定と設定の詳細については、次を参照してください。
.
所有者: ggarrison