優先サーバのセキュリティに関する推奨事項

優先サーバ構成のセキュリティに関する推奨ベスト プラクティス

この記事では、環境内の更新のセキュアで効率的な適用を確保できるよう優先サーバを構成するための、重要なセキュリティ推奨事項について説明します。 これらのガイドラインは、HTTPS および SMB プロトコルの使用、適切な認証方法、FQDN (完全修飾ドメイン名) 要件、および安全でない接続に伴うリスクを最小限に抑える構成について規定しています。

主なセキュリティ推奨事項

1. IP アドレスの使用を避ける

   優先サーバは、未加工の IP アドレスではなく完全修飾ドメイン名 (FQDN) を使用するように構成する必要があります。 これにより、プロトコル間の互換性とセキュリティが保証されます。

   • HTTPS の場合:

     • 証明書はサーバの FQDN と一致する必要があります。 サーバ URL に IP アドレスを使用すると、証明書が無効になります。

     • 無効な証明書はデータの整合性を損ないます。また、証明書の検証を無効にすると、中間者攻撃を許すことで、リスクが大幅に増大します。

     • 常に証明書を検証し、一致しない場合は、セキュリティを維持するために接続をブロックします。

   • SMB (UNC パス) の場合:

     • Kerberos 認証 (推奨される方法) には、FQDN を使用する必要があります。 これがないと、認証は NTLM にフォールバックされ、安全性が低下します。

2. Kerberos 認証を優先

   Kerberos は、NTLM よりも安全であるため、可能な限り既定の認証方法であるべきです。

   • Kerberos が優れている理由:

     • パスワードがターゲット サーバに送信されることはありません。 代わりに、Kerberos はドメイン コントローラによって検証された署名済みチケットを使用して、サーバ アクセスを付与します。

     • チケットはサーバ固有のものであり、他のコンピュータへのアクセスに再利用することはできません。これにより、認証資格情報が悪用されるリスクが低減されます。

   • NTLM へのフォールバック:

     • NTLM v1は、ハッシュ クラッキングなどの攻撃に対して非常に脆弱であるため、絶対に使用しないでください。

     • NTLM v2はフォールバックとして使用できますが、Kerberos ほど安全ではありません。 パスワードの長さを長くすると、ブルート フォース攻撃に対する NTLM v2保護を強化できます。

3. SMB プロトコルのバージョンと構成

   SMB プロトコルのバージョンと構成は、ファイル転送の保護において重要な役割を果たします。 次のガイドラインに従ってください。

   • SMB v1を無効化:

     • 古く、安全ではなく、最新システムでは既定で無効になっています。 SMB v1は有効化または使用しないでください。

   • SMB 署名を有効化 (SMB v2):

     • すべてのメッセージが検証されるようにすることで、リプレイ攻撃から保護します。

   • 暗号化ありの SMB v3を優先:

     • SMB v3は署名と暗号化の両方をサポートしています。 暗号化は転送中のデータを保護するため、同じネットワーク上のユーザでもファイルの内容を表示できません。

4. 書き込み対 読み取りの認証資格情報

   優先サーバを構成するときに、書き込み認証資格情報 (同期エージェントによって使用される) と読み取り認証資格情報 (エンドポイントによって使用される) を区別します。

   • 書き込みの認証資格情報:

     • 同期エージェントによる優先サーバへのファイルのアップロードを可能にする認証資格情報であるため、より慎重に扱うべきです。 書き込み操作には、常に安全な構成 (Kerberos や暗号化ありの SMB v3など) を適用してください。

   • 読み取りの認証資格情報:

     • エンドポイントが更新を取得するために使用します。 安全な構成が推奨されますが、安全なプロトコルのみに限定すると、古いシステムとの互換性の問題が発生する可能性があります。 セキュリティ要件と運用ニーズのバランスを取ってください。

5. 既定のセキュリティ モード

   環境で優先サーバ構成が保護されるよう、次の既定のセキュリティ設定を推奨します。

   • 書き込み操作にはセキュア接続を強制する:

     • 同期エージェントは、優先サーバに書き込むときには、安全な SMB 構成のみを使用する必要があります。 SMB v1や NTLM v1などの安全でない設定は受け入れないでください。

     • 管理者が安全でない SMB 接続を許可することを選択した場合、リスクが高まります。

   • 読み取り操作に安全でない接続を許可する (任意):

     • 読み取り認証資格情報を使用するエンドポイントでは、レガシー システムやパッチが適用されていないシステムに対応するために必要であれば、セキュリティの低いプロトコルの使用を許可します。 ただし、これは特定のシナリオに限定し、リスクがあることに注意してください。

6. パスワードと認証資格情報のセキュリティ

   強力な認証プラクティスを行う:

   • NTLM v2のブルート フォース パスワード クラッキングを軽減するために、複雑なパスワード (15文字以上が望ましい) を使用します。

   • ユーザ名やパスワードをプレーン テキストまたは base64エンコーディングで送信するなど、基本認証の方法は避けてください。

概要

上記の推奨事項に従うことで、組織全愛の互換性を維持しながら、セキュリティ リスクへのエクスポージャを減らすことができます。 常に Kerberos 認証を優先し、FQDN を使用し、SMB v3暗号化を強制し、証明書を慎重に検証して、安全な優先サーバ設定を達成してください。

詳細については、Ivanti サポートにお問い合わせください。