テクニカルペーパー:Citrix VDAオペレーティングシステム強化ガイド
概要
オペレーティングシステムを展開する場合、デバイスの動作と下位互換性が最も高いことを確認するために、設定は常に最も互換性のある設定を対象としています。Windows オペレーティングシステムも例外ではありません。最新のWindowsリリースには、20年以上前のリリースで機能するように設定されていますが、オペレーティングシステム内で実行できることにはほとんど制限がありません。
Windows には、ある程度の保護を可能にするファイアウォール、ウイルス対策、および更新設定が組み込まれています。それでも、ユーザーはアクセスできるものなら何でも起動でき、デフォルトでは、ローカル管理アクセスで保護されているもの以外はほとんどすべてにアクセスできます。
次のテクニカルペーパーでは、入門プランニングから、推奨ポリシーの設定、特権アクセスの制御、さらにはセキュリティベースの Windows 機能の設定まで、10 の推奨分野を取り上げています。ほとんどのセクションは、「最小セキュリティ」、「推奨セキュリティ」、「高セキュリティ」の 3 つのセクションに分かれています。最低限の推奨事項は、デフォルト設定またはデフォルト設定のそれ以上の開始点です。このガイダンスは、ある程度の保護機能を提供すると同時に、アプリケーションの互換性と使いやすさを最大限に高めます。推奨設定は、最も一般的なアプリケーションの互換性と操作性の要件を満たしながら、システムを保護し、一般的な攻撃方法の一部を防ぐことから始まります。また、セキュリティに関する推奨事項は、最も制限の厳しい操作性と対象を絞ったアプリケーション互換性を備えた、最も安全な導入オプションも提供します。
すべての設定をテストシナリオにデプロイし、IT チームが検証し、スケジュールを設定してテストユーザーにプロモートしてから、本番環境にプロモートします。推奨事項のレベルが上がるごとに、使い勝手やアプリケーションの互換性の問題を引き起こすリスクが高まり、さらなるテストや調整が必要になることがあります。
計画
計画は、VDAオペレーティングシステムを強化する前の最も重要なステップの1つです。以下の項目は、3 つの推奨レベル (最小、推奨、高セキュリティ) すべてに適用されます。これは、導入を成功させ、安全に導入するための基礎となるためです。
何が公開されるの
Citrix では、主に次の3つの方法でリソースを提供できます。
- 公開アプリケーション (単一アプリケーション)
- 公開デスクトップ (仮想デスクトップ)
- リモートPCアクセス接続(既存のVDAへの安全な接続)。
これらの公開方法はいずれもリモートでアクセスされるため、同じポリシーを各システムに適用できます。
ユーザーが使用できるシステムを作成するために、VDAに公開およびインストールする必要があるすべてのリソースのリストを作成することをお勧めします。このリソースリストは、システムのさらなる強化に役立つ情報を収集するのにも役立ちます。
例:
| 公開リソース | タイプ/用途 | | 公開アプリケーション | EMR | | 公開デスクトップ | EMR + Microsoft Office | | リモート PC アクセス | アカウンティングアプリケーション |
どのオペレーティングシステムのバージョンですか?
各オペレーティングシステムには一般的なセキュリティ推奨事項がありますが、特定のバージョンの特定の機能のみに基づいた具体的な推奨事項もあります。
各オペレーティングシステムと公開リソースごとのビルド番号のリストを作成することをお勧めします。通常、同じVDAイメージを複数のユースケースや複数の公開方法で使用できるため、重複する部分があります。このリストは、システムのさらなる強化に役立つ情報を収集するのにも役立ちます。
例:
| 公開リソース | OS タイプ | | 公開アプリケーション | Windows Server 2019、ビルド 1809 (EMR イメージ) | | 公開デスクトップ | Windows Server 2019、ビルド 1809 (EMR イメージ) | | リモート PC アクセス | Windows 10、ビルド 1909 (ファイナンスデスクトップ) |
ソフトウェア要件
どのオペレーティングシステムにもデプロイされているソフトウェアのバージョンは、推奨されるデプロイとデプロイされるセキュリティ設定に影響します。
ベンダーはソフトウェアをサポートしていますか? その答えによって、ベンダーのサポートがあるかどうか、問題があるかどうか、アップデートやセキュリティアップデートがリリースされているかどうかが決まります。レガシーソフトウェアを使用しなければならない場合もあり、企業はすでにそれを使用するリスクを受け入れています。 ソフトウェアは対象のオペレーティングシステムでサポートされていますか? これは、使用するオペレーティングシステムのバージョンと、サポートされているバージョンを実行するかどうかを決定する別のサポートレベルです。サポートされていないオペレーティングシステムを使用することは、導入環境で最もリスクの高い項目の 1 つです。オペレーティングシステムベンダーのサポートを受けていないと、問題が発生した場合にサポートを受けることができない場合があります。それでも、最も重要なのは、システムが攻撃に対して脆弱なままになる可能性のあるセキュリティパッチにアクセスできない可能性があることです。これにより、攻撃者がシステムを侵害する可能性があり、ベンダーはオペレーティングシステムのサポートなしでは責任を負いません。また、この脆弱性が原因で攻撃を受けた場合、サイバーセキュリティ保険の有効性やその他の法的影響にも影響する可能性があります。
例:
イメージ/デスクトップ | 要件 |
---|---|
EMR | Windows Server 2019 1809 から Windows 10 1909 以降でサポートされていますが、現在 20H2 では既知の問題が発生しています。Office 2016 以降のバージョンが必要です。Internet Explorerが必要です。 |
オフィス | Windows Server 2019 1809 から Windows 10 1909 以降でサポートされており、最新バージョンの Windows 10 または Windows Server では既知の問題はありません。 |
ユーザー要件
これらには、アプリケーションとCitrixリモートセッション以外のユーザーのニーズが含まれます。推奨設定の多くは、システムの操作性やセッションに必要なアプリケーションに影響を与える可能性があります。このレベルの計画は、ユーザーワークフローに及ぼす可能性のある影響に基づいて構成できる設定を決定するため、次のセクションで役立ちます。監査や新規導入が必要になったときにユーザー要件が文書化されるように、これらの項目が文書化されていることを確認してください。
オペレーティングシステムで許可されるには、このアプリケーション内でユーザーが何をする必要がありますか?これには、マップされたドライブ、コントロールパネルアプレット、スタートメニュー、デスクトップショートカットなど、Windows エクスプローラーなどのコアWindowsシステムやアプリケーションが含まれます。
アプリケーションには管理者権限が必要ですか? 一部のアプリケーションでは、コアオペレーティングシステムファイルまたはレジストリ項目へのアクセスが必要です。ベンダーからこれらの要件を監査するか、 Microsoft Promon などのツールを使用してデバッグして、アクセスされたプログラム、DLL、およびレジストリ項目と「アクセス拒否」になっているものを確認して、権限を調整できるようにすることをお勧めします。同じデリバリーグループエンタイトルメントグループを使用するか、これらの特定のアイテムにアクセスできるようにADグループを作成することをお勧めします。
そのアプリケーションは他のアプリケーションを開きますか? 多くのアプリケーションでは、アプリケーションワークフローを使用できるようにするために他のアプリケーションを起動する必要があります。コアオペレーティングシステムの項目が必要なものもあれば、インストールされている他のアプリケーションを開くものもあります。これらの依存関係を文書化しておくと、それらのアプリケーション関係の要件や考えられるサポートへの影響を理解するのにも役立ちます。
どのセッションチャンネルにアクセスする必要がありますか?最も一般的な要件は、セッション内の印刷、コピー\ ペースト、およびその他のデバイスへのアクセスです。各セッション項目には、Citrix内の関連ポリシーと一部のOSポリシーがあります。
例:
イメージ/デスクトップ | 要件 |
---|---|
公開アプリケーション-EMR イメージ | アプリケーション要件:Microsoft Excel、Internet Explorer (Internet Explorer.)、OS 要件、ファイル共有用のファイルエクスプローラー |
公開されたデスクトップ EMR イメージ | 前回と同じ |
リモートPCアクセス | アプリケーション要件:Microsoft Office、Webブラウザ(特に不要)、OS要件ファイル共有用のファイルエクスプローラー |
コンプライアンス要件
特定のコンプライアンス機関によっては、特定のオペレーティングシステムやアプリケーションに対して多くの設定が必要になるため、ビジネスやアプリケーションが推奨設定を大幅に変更する可能性があります。多くのコンプライアンス機関は、変更管理手順、ロギング、インシデント対応、およびその他のIT事業運営に重点を置いています。それでも、多くの場合、正確な設定を展開し、同じ設定を構成済みのポリシーと場合によってはレッドチームによるそれらの統制のテストによって監査できるようにする必要があります。
| **一般的なコンプライアンス機関** | | NIST | 米国標準技術研究所 | | CIS 統制 | インターネットセキュリティ管理センター | | ISO | 国際標準化機構 | | HIPAA | 医療保険の相互運用性と説明責任に関する法律/HITECH オムニバス規則 | | PCI-DSS | ペイメントカード業界データセキュリティ基準 | | GDPR | 一般データ保護規則 | | CCPA | カリフォルニア州消費者プライバシー法 | | AICPA | 米国消費者プライバシー法 | | AICPA | 米国協会公認会計士 | | SOX |
サーベンス・オクスリー法 | | COBIT | 情報および関連技術の統制目標 | | GLBA | グラム・リーチ・ブライリー法 | | FISMA | 2014 年連邦情報セキュリティ近代化法 | | FedRAMP | 連邦リスクおよび承認管理プログラム | | FERPA | 1974年の家族教育上の権利とプライバシー法 | | ITAR | 国際武器取引規制 | | COPPA | 児童のオンラインプライバシープロテクションルール | | NERC CIP スタンダード | NERC クリティカル
インフラ保護基準 |
最低限、各コンプライアンス機関のガイドラインに従うことが推奨されます。これらの要件に応じて、Microsoft、NIST、さらにはCISやHyTrustなどのサードパーティの一般的なフレームワークを評価して、ドメイン、デスクトップ、サーバーなどに関する具体的な推奨事項を検討してください。これらのフレームワークには、導入をより安全にし、攻撃対象領域を減らすためのオプションが多数用意されているだけでなく、監査の迅速化と調査結果の削減にも役立ちます。
攻撃対象領域の削減
攻撃対象領域を減らすための最初のステップの 1 つは、不要なソフトウェアやサービスを削除して攻撃対象領域を減らすことです。これを実現する最も簡単な方法は、2 つのアプローチです。最適化はユーザーとリソースのパフォーマンスにとって優れていますが、実行中のソフトウェアが少ないほどシステムの安全性が高まるため、セキュリティにとっても重要です。
最初に確認すべきことは、必要なソフトウェアのみがインストールされていることです。システムにインストールされている各ソフトウェアが、悪用される可能性のある脆弱性を生み出す可能性があります。
次に、ソフトウェアバージョンが、可能であればそのベンダーがサポートしている最新のものであることを確認します。ほとんどのソフトウェアにはセキュリティの脆弱性が発見され、最終的にはパッチまたはソフトウェアリビジョンで修正されます。
次に、OS オプティマイザを使用して、必要なサービスがオペレーティングシステムから無効になっていることを確認します。ほとんどの最適化は、VDI 展開では必要のない項目を無効化したり構成したりすることで、ユーザー密度の向上に役立ちます。同じコンポーネントを削除して構成することには、セキュリティ上の利点もあります。密度が最も高いメリットは、Windows プログラム (UWP) を削除し、Windows 10 オペレーティングシステムのスケジュールされたタスクを無効にすることです。Citrix Optimizer Toolを使用してください。これは、ユーザーのワークフローにほとんど影響を与えずに最大のメリットが得られるように調整されています。 Citrix オプティマイザーはこちらから入手できます。 他に人気のある VMware オプティマイザーが 2 つあり、BIS-F というコミュニティプロジェクトもニーズに合っているかもしれません。どのオプティマイザーでも、最適化の前後にテストして、ユーザーのワークフローが期待どおりに機能し、副作用がないことを確認する必要があります。
Windows ポリシー
Windows ポリシーの設定は、Windows オペレーティングシステムをセキュリティで保護するうえで重要です。オペレーティングシステムのデフォルトポリシーは、まず互換性と使いやすさに重点を置いており、セキュリティ設定を構成に追加する必要があります。このセクションでは、 Windowsが依然としてほとんどのCitrix Virtual Apps and Desktops 環境であるため、Linux VDA上のWindowsに焦点を当てます。グループポリシー設定は数千種類あり、ユーザーの要件に基づいてセクションごとに設定するのが最善の方法です。以下に、アプリケーションの種類と重点的に取り組むべき分野をいくつか示しますが、これらの設定をそれぞれ決定し、それがユーザーの要件を満たしていることを確認することもお勧めします。以下のセクションでは、グループポリシーの評価対象となる領域を、個別のポリシーではなく、いくつかの推奨事項とともに説明します。すべてのシステムに同様の効果的なポリシーを適用できるように、すべてのデスクトップとサーバに標準を設定することをお勧めします。他のポリシーや特定の OU におけるデバイスの配置によって設計できる偏差があります。「ポリシー拒否」の高度な権限を持つADグループを使用すると、管理上の逸脱が発生する可能性があるため、これらの設定は管理者には適用されません。
ポリシーレベル | ポリシーの種類 | 説明 |
---|---|---|
最小要件 | ファイルエクスプローラー | 管理者はファイルエクスプローラーのポリシーを評価して、お気に入り、ネットワークロケーション、その他のファイルロケーションなどの一部のメニューを非表示にすることが、対象のジョブプロファイルで必要ないかどうかを確認できます。ビデオ、ピクチャ、ミュージックなどの一部の項目は、通常、企業のオペレーティングシステムでは必要ありません。 |
[スタート] メニューのレイアウト | 管理者は、ユーザーが自分のジョブプロファイルに基づいて必要なショートカットのみにアクセスできるように努めることができます。必要なプログラムや管理者専用項目のショートカットが [スタート] メニュービューから削除されているか、非表示になっていることを確認してください。スタートメニュー全体を管理者が使用できるシステム上の安全なディレクトリにコピーするか、FSLogixを使用してこれらのショートカットをすべてユーザーのみに非表示にして、管理者だけがフルスタートメニューを表示できるようにします。 | |
デスクトップ設定 | ショートカットの編集/作成を許可。これにより、ユーザーは必要なデスクトップにショートカットを使用できますが、意図しない場所にアイテムを追加したり作成したりすることはできません。デスクトップでのこれらの項目の追加と編集を制御することで、そのようなことが起こらないようにすることができます。一部のユーザーがデスクトップを使用してすべてのドキュメントやその他のアイテムを保存している場合、これによって影響を受ける可能性があります。 ドキュメントフォルダーは 、ユーザーにとってドキュメントを格納するのに最も適した場所です。Citrix、Microsoft FSLogixなどのフォルダリダイレクトまたはプロファイルソリューションを使用して、ユーザーがアイテムをシームレスに保つのに役立ちます。これは、ショートカットのNTFSアクセス権でユーザーによる編集は許可しないが、アイテムの追加は許可するが編集はできないようにすることでも実現できます。 | |
レジストリ編集、GPO へのアクセスを禁止するか、ショートカットを非表示にする | これにより、ほとんどのジョブプロファイルでは必要ないレジストリエディターへのアクセスがなくなります。また、Microsoft FSLogix を使用して、ファイルシステム内で regedit.exe へのアクセスをショートカットとして隠したり、アクセスできないようにすることもできます。 | |
監査設定-ローカルログ保存 | VDA環境の設計では、プロビジョニング方法に関係なく、アプリケーション、システム、およびセキュリティログのローカルログをある程度保持できるようにする必要があります。トラブルシューティングのためのローカルログ保持は各VDAで重要ですが、Windowsイベントログ転送やSIEMエージェントがインストールされていない場合は重要になります。セキュリティインシデント発生時にログを記録しておくと、調査を実施できなくなり、コンプライアンス機関やサイバー保険によっては法的な意味合いが生じる可能性があります。ストレージ技術の急速な発展に伴い、ローカルでのログ保存の影響は大幅に減少しています。各ログタイプに 200 MG ~ 1 GB を使用し、システムの使用状況に応じてローカルで数時間から数日ログを保管することをお勧めします。 | |
推奨 | システム-指定したドライブを非表示 | ファイルエクスプローラーですべてのドライブを非表示にすることをお勧めします 。Windows システムのデフォルト権限では、ユーザーはファイルシステム内のさまざまな場所にアクセスしてアイテムに書き込むことができます。ほとんどの導入環境では、ドライブを非表示にし、マップされたドライブを使用して必要なファイルにアクセスできます。 |
[スタート] メニュー-[スタート] メニューから [実行] を削除 | [スタート] メニューから [実行] を削除すると、ファイルエクスプローラー、Internet Explorer/Edge、およびタスクマネージャーでコマンドを実行できなくなり、[スタート] メニューからも削除されます。この設定はユーザーのワークフローでテストできますが、ほとんどのジョブプロファイルは、インストールされているアプリケーションとショートカットを使用してナビゲートおよび起動するため、コマンド実行にアクセスする必要はありません。 | |
システム-コマンドプロンプト GPO へのアクセスを禁止するか、ショートカットを非表示にする | この設定により、ユーザーコンテキストの [スタート] メニューおよびファイルシステム内のコマンドプロンプトへのアクセスが削除されます 。これにより、誰かが.cmd ファイルまたは.bat ファイルを起動できなくなり、一部のログインスクリプトが実行されなくなる可能性もあります。可能であれば、ユーザー環境管理ソリューションを使用してユーザー個人設定スクリプトを実行することをお勧めします。システムによっては問題が発生する可能性があるため、この設定をテストしてください。これは、Microsoft FSLogix を使用して、ショートカットとして、またファイルシステム内で cmd.exe へのアクセスを隠したり防止したりすることでも実現できます。 | |
特定のコントロールパネル項目を非表示にする、またはコントロールパネルとPC設定へのアクセスを禁止する** | この設定では、必要に応じて特定のコントロールパネルアプレットへのアクセスを無効にしたり、すべてのアプレットを非表示にしたりできます。多くの場合、特にデバイスマッピングが関係する場合は、 ユーザーがコントロールパネルにまったくアクセスする必要がない場合や 、アプリケーションの構成やトラブルシューティングに役立つアプレットがあまりにも限定的である場合があります。 | |
ブラウザ設定 — インターネット\ イントラネットアクセスが必要 | 公開アプリケーションまたはデスクトップにインターネットとイントラネットアクセスが必要かどうかを評価することをお勧めします。多くの展開環境では、ローカルまたはグローバルにWebにアクセスする必要がないため、構成されているオプションに応じて、それらのユーザーまたはマシンカタログに対してプロキシまたはコンテンツ制御ソリューションを使用してアクセスをブロックすることをお勧めします。インターネットやイントラネットへのアクセスが不要な場合は、ブラウザでローカルループバックIPアドレスへの簡単なプロキシ設定を行うと、他のシステムなしではアクセスできなくなります。ほとんどの攻撃はメールや悪意のある Web サイトから発生するため、ユーザーの要件を調査して、一部またはすべてのユーザーのリスクを排除または軽減するうえで役立ちます。 | |
ブラウザ設定-コンテンツコントロール | 基本的な許可リストとブロックリスト、または既知の悪意のあるIPに対するDNS保護を使用して、何らかの形のコンテンツコントロールを確保することをお勧めします。このオプションには多くのオプションがあります。どのコンテンツコントロールソリューション、どのファイアウォールとライセンス機能、導入時に利用できるDNS保護によって能力が決まります。ベンダーやVDAの設置場所によっては、それぞれのオプションによってこの構成が簡単になったり難しくなったりします。ユーザーがこれらの設定をバイパスできないようにセキュリティ設定を評価することも推奨されます。 | |
ブラウザ設定-クッキー設定 | ビジネスウェブアプリケーションの Cookie 要件を評価し、その要件に合わせてブラウザの設定を調整することをお勧めします。クッキーは、ウェブサイトが認証に使用する便利なトークンですが、追跡にも使用され、悪意を持って使用される可能性があります。Cookie の処理標準を設定すると、エラーが発生したり、ビジネスアプリケーション以外の Web サイトが機能しなくなったりする可能性があります。ビジネス以外のウェブアプリケーション標準ポリシーは、IT チームと企業が共同で作成する必要があります。そうすると、サードパーティの Cookie を使用している可能性があるため、ビジネス以外のアプリケーションにアクセスする際にエラーが発生するリスクが高まります。また、ユーザーがセキュリティ設定をバイパスできないようにセキュリティ設定を評価することもお勧めします。 | |
ブラウザ設定-TLS 設定 | ビジネス Web アプリケーションに必要な最低限の暗号化標準を評価し、ブラウザの設定をその TLS\ SSL バージョンに合わせて調整することをお勧めします。新しい TLS\ SSL バージョンはほぼ毎年リリースされ、それぞれ暗号化による保護が強化されています。TLS\ SSL バージョン標準を設定すると、ビジネス以外のアプリケーションでエラーが発生したり、Web サイトが機能しなくなったりする可能性があります。ビジネス以外のウェブアプリケーション標準ポリシーは、IT チームと企業が共同で作成する必要があります。そうすると、ビジネス以外のアプリケーションでは低い TLS\ SSL バージョンを使用している可能性があるため、アクセス時にエラーが発生するリスクが高まります。ユーザーがこれらの設定をバイパスできないようにセキュリティ設定を評価することも推奨されます。 | |
ブラウザ設定-セキュリティ設定 | 設定の変更に関連するブラウザのセキュリティ設定を検討してください。ブラウザの設定を行う場合、ほとんどのブラウザには、それらのポリシーやその他の設定を変更できないようにするポリシーがあります。Web セキュリティのブラウジング標準を作成したら、特定のユーザーグループ以外のユーザーがこれらのポリシーから逸脱できないようにしたいと思うでしょう。 | |
サポートアプリケーションの更新とセキュリティ設定 | サポートしているアプリケーションの多くは、ポリシーに固有の設定を必要とし、それらを制御するために ADMX ファイルを読み込む必要がある場合があります。これらのアプリケーション設定は、全体的なメンテナンスだけでなく、デプロイメントのセキュリティにも大きな影響を与える可能性があります。 | |
アドビとJava-アップデート設定 | ほとんどのデプロイメントで最初に必要な設定の1つは、自動更新通知を無効にし、パッチのテンポに基づいて更新プロセスを設定することです。通常、これらの製品を最新の状態に保つことは、セキュリティリスクに直接関係しています。 | |
アドビとJava — セキュリティ設定 | これらの各製品には、操作を制御するセキュリティ設定があり、ユーザーの要件とワークフローに基づいて評価されます。これらの各ベンダーのポリシーガイドは、ADMX ファイルで何を構成すべきかを判断する際に役立ちます。これらの設定は、ユーザーのワークフローに影響を与えないように、ユーザーと一緒に検証する必要があります。 | |
Microsoft Office — マクロ設定 | Microsoft Office の設定は、多くの攻撃で最もよく利用されるエクスプロイトのエントリポイントの 1 つです。これらのポリシーは、マクロを実行できるさまざまなレベルを制御できます。少なくとも 1 年に 1 回は回避策や新しいエクスプロイトが見つかっています。無効にすることをお勧めします。マクロはすべてのユーザーを対象とし、侵害のリスクが高すぎるため、特定のユーザーのみが使用できます。 | |
高セキュリティ | システムは、明示的に許可されたスナップインのリストにユーザーを制限します | この設定では、許可される MMC スナップインを指定できます。このポリシーを空白のままにすると、MMC をロードできません。機密性の高い MMC の多くは、ユーザーがシステムに関する情報を公開したり、意図しないアイテムにアクセスしたりする可能性があります。 |
システム-指定したドライブへのアクセスを制限 | 指定されたドライブを非表示にすることは最初のステップとして最適ですが、可能であれば、指定されたシステムドライブへのアクセスを制限して、導入環境をさらに保護してください。Windows システムのデフォルト権限では、ユーザーはファイルシステム内のさまざまな場所にアクセスしてアイテムに書き込むことができます。これはより制限の厳しいシステム設定であり、アプリケーションやワークフローによっては影響を受ける可能性があり、さらにテストが必要になります。 | |
ファイルエクスプローラーのセキュリティ設定-メニューバー | これらの設定により、ファイル、Internet Explorer、およびオペレーティングシステムの他の領域の設定を操作して、これらの領域内のオプションを削除または非表示にすることができます。これらの項目は、OS 内で特定の操作を行えなくなるため、ユーザーと一緒にテストする必要があります。 | |
ファイルエクスプローラーのセキュリティ設定-[ヘルプ] メニュー | これは多くのアプリケーションで一般的なジェイルブレイクポイントです。グループポリシーでは、ヘルプから起動された実行ファイルをすべて実行できないようにするコンマ区切りの実行ファイルのリストを入力できます。少なくともこれらの一般的な管理用実行ファイルを結合して、実行されないようにすることをお勧めします。システムに他のブラウザがインストールされている場合は、それらの実行ファイルの名前を追加することをおすすめします。ほとんどのアプリケーションのヘルプ起動は、通常はワークフローには必要ないため、このポリシーで問題なく制限できます。 | |
Windowsロギング — Windowsイベントログ転送 | ローカルでのログ保存は良い出発点ですが、割り当てられるスペースの量やイベントの数によっては、適切なインシデント対応に十分な時間やイベントがない場合があります。優れたイベントログは、主にセキュリティインシデント対応などのトラブルシューティングに役立ちます。Windows イベントログ転送は組み込み機能で、ストレージ、サーバー、および Microsoft のガイドに記載されている構成リストが必要です。そこから、WEFを使用して、特定のイベントが発生したときにアラートを受け取るように、他のプロバイダーからのアラートを設定できます。多くのクライアントは既存のセキュリティ情報とイベント管理を行っており、WEFを使用してイベントをフィードしたり、クライアントに各システムからログを収集させたりできます。SIEMシステムの利点は、アラートを設定できることです。多くのシステムには、既知の不良イベント ID に対するダッシュボードとアラートが組み込まれています。 | |
Windowsロギング-PowerShell ロギングとトランスクリプション | PowerShell は Windows スクリプト言語として最も一般的に使用されるようになっており、開発者や管理者にも同様に人気がある一方で、攻撃手法としても広く使われています。SIEMによっては、ビルトインアラートが30文字を超える長いコマンドを検索する場合があります。SIEMに組み込まれていない場合は、システムから同様のアラートを設定することをお勧めします。繰り返し実行されるスクリプトによっては、このアラートをトリガーする文字数を調整または抑制する必要がある場合があります。他のアラートと同様に、できればアクション可能なアラートだけが送信されるように調整する必要があります。 | |
Windows ロギング — 詳細なログ設定 Windows ロギング — 高度なロギング設定 | イベントログの転送が有効になっていても、SIEM クライアントがインストールされていても、これらの詳細なログ設定が適切に設定されていないと、イベントはログに記録されません。ここでMicrosoftの推奨事項を確認することをお勧めします。Active Directoryのこれらの設定には特に注意してください。サイバー攻撃の多くはActive Directory yに集中するため、ロギングと検出が重要です。 | |
Microsoft オフィス — デフォルトのファイルを開く/保存する場所 | これらの設定は、Microsoft Office Documents がファイルを開いたり、ファイルを保存したりするディレクトリを制御します。これは、ファイルリダイレクトやプロファイルソリューションなどのドキュメント保持ソリューションでもうまく機能します。ファイルの保存時に [指定されたドライブを非表示にする] または [指定したドライブを制限する] が指定領域に設定されていない場合、非表示にした領域の外側の OS ドライブに移動する可能性があります。これらのアクションによるこのアクセスにより、ユーザーまたは攻撃者がファイルシステムを介して OS の意図しない領域にアクセスする可能性があります。また、他のアプリケーションを調べて、デフォルトの開いたり保存したりする場所がユーザープロファイルの外にあることや、ドキュメントの保存場所として指定した場所がないことを確認することをおすすめします。 | |
Microsoft Office — その他のセキュリティ設定 | 展開環境の Office グループポリシー設定に含まれる他の多くのセキュリティ設定も評価することをお勧めします。 |
セッションポリシー
ジョブプロファイルごとにどのセッションポリシーを設定する必要があるかを制御するために、ユースケースごとにセッション要件マトリックスを作成することをお勧めします。Citrix Virtual Apps and Desktopsの展開を開始するときは、 セキュリティと制御のポリシーテンプレートを使用してすべてのセッションポリシーに対してゼロトラストポリシーを作成し 、すべてのセッションチャネルがデフォルトでブロックされるようにします。いずれかのセッションポリシーを調整する必要があるとします。その場合は、ポリシーの逸脱ごとにポリシーを作成し、Active Directory グループを使用してデリバリーグループのエンタイトルメントグループをネストして、ユーザーにシームレスな単一グループエンタイトルメントを提供してください。
参考までに、Citrix のデフォルトポリシーと、セキュリティに関する推奨事項で重点的に取り上げるポリシーのリストは、 こちらにあります。
デフォルトポリシー | 設定 |
---|---|
クリップボードリダイレクト | 許可 |
クリップボードフォーマット | 制限なし |
オーディオアウト | 許可 |
マイク | 許可 |
クライアントドライブの自動接続 | 許可 |
クライアントドライブリダイレクト | 許可 |
クライアント固定ドライブ | 許可 |
クライアントフロッピードライブ | 許可 |
クライアントネットワークドライブ | 許可 |
クライアント用光学ドライブ | 許可 |
クライアント用リムーバブルドライブ | 許可 |
LPT を自動接続 | 禁止 |
COM を自動接続 | 禁止 |
クライアント印刷 | 許可 |
クライアント TWAIN デバイス | 許可 |
クライアント USB デバイス | 禁止 |
次の詳細なセッションポリシーアンケートを使用して、どのジョブプロファイルがどの仮想チャネルを必要とするかを判断してください。最も一般的な要件は、セッション内の印刷、コピー\ ペースト、およびその他のデバイスへのアクセスです。これらの各セッション項目には、Citrix内の対応するポリシーと一部のOSポリシーがあります。
ポリシーエリア | ポリシーに関する質問 | メモ |
---|---|---|
ハイレベルセッションポリシー | アプリケーションX/デスクトップYでは、キーボードとマウス以外に何が必要ですか? | この質問により、ユーザーは、リストされている各仮想チャネルについて質問するだけではなく、自分のワークフローについて考えるようになるはずです。 |
クリップボード | セッションに何かをコピーして貼り付ける必要がありますか? セッションからコピーアンドペーストする必要がありますか? クリップボードが必要な場合、テキストやその他の形式だけが必要でしょうか。次に、セッションの内外でどの方向性が必要ですか、それともセッション内だけで必要ですか。セッション外ですか? | |
ドライブマッピング | セッション内またはセッション外で、コンピュータ上のドライブから何かをコピー/移動する必要がありますか? ローカルの C ドライブ、コンピュータにマップされたネットワークドライブ、リムーバブルメディア、オプティカル (光学式)、またはフロッピーにアクセスする必要がありますか? | |
USB デバイス | セッション中に USB デバイスを使用する必要がありますか? | セッション中に USB デバイスを使用する必要がありますか? USB デバイスが必要な場合は、すべての USB デバイスタイプを有効にする代わりに、それらのデバイスの VID と PID を収集してください。 |
印刷 | 印刷する必要がありますか? | ほとんどのエンドユーザーは印刷機能を必要としています。ただし、請負業者やサードパーティ、または別のビジネスユニットに対して無効にする必要がある場合があります。 |
オーディオ | オーディオ出力またはマイク入力が必要ですか? | 音声バーチャルチャンネルがセンシティブになるのは、医療ディクテーションの役割を果たしている場合や、SEC やその他のコンプライアンスに関連する可能性のある機密性の高い会議の録音がある場合だけです。 |
その他。ポート | COM ポートまたは LPT ポートが必要ですか? | これらはあまり普及しなくなってきていますが、特定の業界では依然として必要です。 |
例:
イメージ/デスクトップ | セッション要件 |
---|---|
公開アプリケーション-EMR イメージ | コピー/貼り付けはセッション内のみ、クライアント印刷 (デフォルトプリンタセットはコントロールパネルは不要) |
公開されたデスクトップ EMR イメージ | セッションへのコピー/貼り付けのみ、クライアント印刷 (デフォルトプリンタセットはコントロールパネルは不要) |
リモートPCアクセス | セッションへのコピー/貼り付け、クライアント印刷(コントロールパネルはデフォルトプリンタセットは不要) |
オペレーション
オペレーティングシステムのパッチの欠落は、セキュリティ監査で最も多い結果の 1 つです。通常、パッチが定期的に行われない理由は2つあります。まず、毎月決まったスケジュールや時間が決まっていないことと、過去にパッチによるアプリケーション互換性の問題がありました。
OS とアプリケーションのパッチ適用スケジュール
Windowsのリリースサイクルに基づくと、少なくとも毎月オペレーティングシステムを更新することが期待できます。年に2回程度、重要なパッチを適用する必要があり、今後は、選択したバージョンにもよりますが、30~60か月ごとにOSをアップグレードする必要があります。その場合は、年に 12 回以上のアップデートを計画し、1 日に 1 つ以上の他のパッチを配布するプロセスを用意してください。オペレーティングシステムの更新が予定されているため、アプリケーション所有者が同じ時間枠にアクセスしてこれらの変更をテストおよび宣伝できるようにすることは有益です。IT チームと協力してプロセスと時間を作成することで、デプロイのセキュリティが強化されます。
目的に合わせた、更新可能な画像デザイン
問題が発生した場合のリスクと影響を軽減できるイメージ更新を実装および促進するためのプロセスを作成することが推奨されます。マシンカタログ、デリバリーグループ、およびホスティング設計に応じて、何が可能かが決まります。初期更新に適用するテストマシンカタログとデリバリーグループを用意し、その後、アプリケーション所有者のテストと検証用に品質保証(QA)カタログとグループにプロモートすることをお勧めします。そうすれば、本番デリバリーグループに実稼働前のマシンカタログを作成して、同じプロダクションデリバリーグループへの影響を軽減できます。1つのデリバリーグループ内で複数のマシンカタログを使用すると、特定の割合のVDAを最新バージョンに割り当てて、他のVDAを現在のバージョンに割り当てることができます。このアプローチの実現可能性は、アプリケーションの更新のニーズによって異なる場合がありますが、オペレーティングシステムの更新による影響は受けません。OS アップデートには、ロールアウトされて複数のユーザーが参加するまで見つからない、または負荷ベースの問題という問題がありました。そのため、追加の容量を用意する余裕があれば、セキュリティを強化しながらリスクを軽減できます。
アプリケーションコントロール
現在のサイバー脅威の状況では、アプリケーションコントロールソリューションを用意することが不可欠です。アプリケーションを起動できないようにすることは、OS セキュリティの基本です。ユーザーがアクセスできるものなら何でも実行できるのは危険なので、アプリケーション制御ソリューションの導入が推奨されます。アプリケーションコントロールソリューションの多くのオプションが Windows に付属しているか、有料のアドオンです。特定のアプリケーションまたはアプリケーションにアクセスするために特定のアプリケーションまたはデスクトップを公開する場合、ほとんどのユーザーはその特定のプログラムまたはプログラムを実行するだけで済みます。一部のアプリケーションは他のサポートアプリケーションを起動するため、アプリケーション制御ソリューションに含める必要があります。計画段階では、主要な実行ファイルとサポートする実行ファイルのリストを用意して、リストされているソリューションのテストを開始します。
アプリケーションコントロールの設定オプション
オプション | 説明 |
---|---|
Microsoft Windows AppLocker | 許可リストとブロックリストを含むポリシーベース。グループポリシーを使用して、これらのポリシーを作成、編集、OU に適用したり、アプリケーション制御のニーズに合わせて AD グループに基づいてフィルタリングしたりできます。 |
Windows ディフェンダーアプリケーションコントロール | これには Windows Defender による実行が必要です。システム上でスクリプトを実行して、信頼できるファイルやインストールされているファイルにマークを付け、それらのファイルのみ実行を許可します。 |
Citrix Workspace Environment Management | WEM はネイティブの Microsoft Windows AppLocker システムを使用しますが、同じコンテキストでこれらの設定を構成できます。 |
ウイルス対策 (サードパーティ) | ほとんどのアンチウイルスソリューションはアプリケーションの起動を制御できます。これにより、システムを管理しているユーザーによってはメリットがあります。同じコンソールを使用してこれらのポリシーを管理することもできます。 |
ポリシーパック、インバティなど (サードパーティ) | これらのソリューションはアプリケーションコントロールソリューションとしても使用でき、その他のメリットもあります。 |
ソリューションの選択
最初のステップは、チームに最適なアプリケーションコントロールソリューションを選択することです。これらのソリューションには、チームの専門知識、特権アカウント管理委任の設定方法、定義するアプリケーションの数、すでに所有しているソリューションによってさまざまな違いがあります。
監査専用モードでの実装
ソリューションが監査専用モードをサポートしている場合は、既存のVDAにデプロイして、許可リストに含まれるべき内容を確認することをお勧めします。これにより、計画段階で記録されていない他の実行ファイルをキャッチすることがよくあります。選択したソリューションによっては、Windows イベントログの転送が必要になる場合があります。検出される可能性のある実行ファイルのリストによって、定義するアプリケーションの数や、各アプリケーションを委任する必要があるグループの数によって、デプロイするソリューションが変わる場合もあります。
**ソリューションを有効にする-管理アプリケーションをブロック
アプリケーションコントロールソリューションの管理プログラムのブロック機能を有効にします。
ブロックするおすすめの管理者アプリケーション
ほとんどのデプロイメントでは、PowerShell (PowerShell.exe、PowerShell_ISE.exe) コマンドラインまたはエディターにユーザーがアクセスする必要はありません。現在、コマンドプロンプトと同等のPowerShellへのアクセスを禁止するGPOは1つもありません。他のプログラムを使用している場合は、それらも無効にすることをお勧めします。
[リストのみ許可]
テストと検証が終わったら、定義したアプリケーションをユーザーコンテキストでのみ実行できるようにソリューションを設定します。アプリケーションの数、デリゲーションの偏差の数、選択したソリューションによっては、このプロセスに時間がかかる場合があります。可能であれば、インストールするアプリケーションの数を最小限に抑えて、最も単純なイメージから作業することをお勧めします。すべてのイメージでのすべてのアプリケーションの起動を一度に制限することはお勧めしません。デリバリーグループの資格と同じグループを使用してポリシーをフィルタリングし、複数のグループまたは複数のイメージで同じイメージで起動できるアプリケーションを制御できるようにすることをお勧めします。
例:
イメージ/デスクトップ | 要件 |
---|---|
公開アプリケーション | EMR (デリバリーグループによるフィルターのみ) |
公開デスクトップ | EMR + Microsoft Office(デリバリーグループで絞り込み) |
リモートPCアクセス | 会計アプリケーション(デリバリーグループによるフィルタリングのみ) |
エンドポイント保護
エンドポイントの保護は、どのオペレーティングシステムでも最優先事項です。マルウェアの量が日々増え続けているため、どのベンダーのエンドポイント保護を受けていないシステムもリスクレベルが高くなります。この分野には多くのベンダーがあり、現在ではエンドポイント検出および対応システムの作成により、従来のEDRベースのシステムを使用する選択肢がさらに増えています。
最小要件
可能であれば、すべてのVDA、Citrix Infrastructureサーバー、その他すべてのシステムにソリューションを展開します。また、使用しているオペレーティングシステムのビルドとペアになっている最新のクライアントであることを確認することもお勧めします。 除外事項とベストプラクティスも適用されていることを確認してください 。
高セキュリティ
可能であれば、EDR ベースのソリューションを導入して、ほとんどの EDR が備えている機能の一部を活用してください。ほとんどのEDRソリューションは、既知の悪意のあるファイルやプロセスを探しますが、ネットワーク上やUSB経由のローカルでの異常なデータ移動も検出します。
例:
イメージ/デスクトップ | 要件 |
---|---|
公開アプリケーション-EMR イメージ | Microsoft Defenderアンチウイルス |
公開されたデスクトップ EMR イメージ | Microsoft Defenderアンチウイルス |
リモートPCアクセス | Microsoft Defenderアンチウイルス |
ログ
適切なログ記録がなければ、適切なインシデント対応を行うことはできません。この問題は、非永続的な導入環境ではさらに深刻になります。永続ストレージに保存しなかったり、SIEMに転送したりしないと、再起動時にログが失われることが多いためです。ロギングには段階的なアプローチが必要です。また、記載されている他のシステムについても忘れないでください。以下は、ログの保持、転送、および重要なイベントのアラートを確実にすることを推奨する一般的なロギング優先度リストです。これらのシステムの多くはWindowsイベントログに依存していますが、Syslogを必要とするシステムもあるため、イベントタイプごとにソリューションが必要です。ロギングは、問題や障害が発生したときのトラブルシューティングやイベントの関連付けにも役立ちます。
- ネットワーク
- a. ファイアウォール
- b. スイッチ
- c. ワイヤレス
- d. コンテンツコントロール\ プロキシ
- e. ロードバランサー\ ゲートウェイ
- f. VPN サーバー
- ドメインコントローラー
- ファイルサーバー
- データベースサーバー
- ウェブサーバー
- バックアップサーバー
- ハイパーバイザーシステム
- VDI システム (ブローカー)
- 他のアプリケーションサーバー
- 従業員の主要コンピュータ
- a. 経営幹部
- b. ファイナンス
- c. 時間
- d. IT
- e. 特権アカウントワークステーション
- マネージャーとチームリーダー
- その他すべてのシステム
監視および警告の対象となる基本的な AD セキュリティ関連のイベントログイベント
次の表は、一般的にアラートに関連する既知のWindowsイベントIDを示しています。これらのIDは、ほとんどの人が選択する一般的な攻撃経路によるシステム侵害を示している可能性があるためです。詳細については、 以下を参照してください 。
イベント ID | 説明 | インパクト |
---|---|---|
1102/517 | イベントログはクリアされました | 攻撃者は Windows のイベントログを消去して自分の足跡を隠す可能性があります。これはWindowsイベントログの転送にも関係します。 |
4610, 4611, 4614, 4622, 4697 | ローカル・セキュリティ・オーソリティの変更 | 攻撃者は、多くの一般的な攻撃方法で LSA をエスカレーション/パーシスタンス用に改変する可能性があります。 |
4648 | 明示的な認証情報によるログオン | 通常、ログオンしているユーザーがリソースにアクセスするために異なる認証情報を入力する場合です。「標準」のフィルタリングが必要です。 |
4661 | オブジェクトへのハンドルがリクエストされました | SAM/DSA アクセス。ログに記録されるイベントの数が過負荷にならないように、「normal」のフィルタリングが必要です。 |
4672 | 新規ログオンに割り当てられる特別な権限 | 管理者権限を持つユーザーがいつログオンするかを監視します。これは管理者権限が必要なアカウントですか? 誰かまたは何かがいつ新しい特権を得ているかを知ることは懸念の原因です。 |
4723 | アカウントパスワードの変更が試みられました | 誰が、または何がこのユーザーのパスワードを変更しようとしたのですか? |
4964 | カスタムスペシャルグループログオントラッキング | 管理者と「関心のあるユーザー」のログオンを追跡します。これは、サービスアカウントと通常の特権アカウントがいつ使用されたかを知るための特権アカウント管理に関するものです。 |
7045, 4697 | 新しいサービスがインストールされました | 攻撃者は永続化のために新しいサービスをインストールすることが多く、誰かが何かをサービスとしてインストールしているのであれば、これを知っておく必要があります。 |
4698, 4699, 4702 | スケジュールされたタスクの作成/変更 | 攻撃者は、永続化のためにスケジュールされたタスクを作成または変更することがよくあります。Microsoft-Windows-TaskScheduler/Operational のすべてのイベントを取り出します。 |
4719, 612 | システム監査ポリシーが変更されました | 攻撃者はシステムの監査ポリシーを変更する可能性があります。 |
4732 | メンバーが (セキュリティが有効な) ローカルグループに追加されました | 攻撃者は新しいローカルアカウントを作成し、それをローカル管理者グループに追加する可能性があります。制限付きグループの役割は、その昇格が GPO の更新後も続かないようにするためです。 |
4720 | (ローカル) ユーザーアカウントが作成されました | 攻撃者は永続化のために新しいローカルアカウントを作成する可能性があります。 |
3065, 3066 | LSASS 監査-コード整合性チェック | LSA ドライバーとプラグインを監視します。デプロイする前に広範囲にテストしてください! |
3033, 3063 | LSA 保護-ドライバとプラグインをロードできませんでした | これにより LSA ドライバとプラグインが監視され、正しく署名されていないものはすべてブロックされます。 |
4798 | ユーザーのグループメンバーシップがカウントされました | これにより、ローカルグループメンバー列挙の偵察アクティビティを検出できます。これにより、ブラッドハウンドによく見られる権限昇格につながる可能性があります。通常のアクティビティを除外する必要があるかもしれません。 |
4769,4771 | アカウントログオン/Kerberos 認証サービス | デプロイするアプリケーションによっては、攻撃や特定のイベントによってトリガーされるまでは、雑談になったり、静かだったりします。多くの攻撃方法が Kerberos を認証手段として使用しているため、これが推奨されます。 |
4769 | アカウントログオン/Kerberos サービスチケット操作 | デプロイするアプリケーションによっては、攻撃や特定のイベントによってトリガーされるまでは、雑談になったり、静かだったりします。多くの攻撃方法が Kerberos を認証手段として使用しているため、これが推奨されます。 |
4741, 4742 | アカウント管理/コンピューターアカウント管理 | ドメインコンピュータアカウントで何かが作成または変更されたことを知るには、それが問題かどうかを調べるためにログに記録する必要があります。 |
4728, 4732, 4756 | アカウント管理/セキュリティグループ管理 | ドメイングループで何かがいつ作成または変更されたかを知るには、それが問題かどうかを調べるためにログに記録する必要があります。 |
4720, 22, 23, 38, 65, 66, 80, 94 | アカウント管理/ユーザーアカウント管理 | ドメインユーザーで何かがいつ作成または変更されたかを知るには、ログインして問題があるかどうかを判断する必要があります。 |
4962 | 詳細な追跡/DPAPI アクティビティ | これは、 ADのバックアップと復元に使用されるDPAPIバックアップキーのエクスポートを追跡するためです 。これは、ADデータベースをオフラインにしてパスワードやその他のパスワード関連のAD攻撃をクラッキングするために必要です。 |
4688 | 詳細な追跡/プロセス作成 | 実行中のものを追跡するとノイズが多い場合がありますが、一度フィルタリングすれば、特定のコンピューターで何が起こっているかを追跡する最良の方法になります。これはワークステーションでは難しいかもしれませんが、サーバーではノイズがはるかに少なくなり、何かがログに記録されたら、おそらく調査が必要になります。 |
4634 | アカウントログオフ用のイベントを収集 | 脅威の状況にもよりますが、特にサーバーやワークステーションでは、アカウントがログオフするタイミングを知っておく価値があります。 |
4624, 4625, 4648 | アカウントログオンのイベントを収集 | 脅威の状況にもよりますが、特にサーバーやワークステーションでは、アカウントがいつログオンするかを知っておく価値があります。 |
4964 | ログオン時に特定グループのイベントを収集 | 特別アカウントがいつログインしているかを知ることは、これらのアカウントが悪用されていることを示す重要な指標です。 |
4713, 4716, 4739 | トラストの変更に関連するイベントの収集 | 信託を知らないうちに、既存の信託を一方向の信託から双方向の信託に設定したり、変更したりすることはありません。 |
負荷分散、Webアプリケーションファイアウォール、Citrix Gateway、またはその他のサービスにもNetScalerを使用している場合は、 NetScaler Syslogガイドを参照することをお勧めします。
権限委任
IT の役割、VDI 導入の権限、および全体的な特権アカウントを定義することは重要です。権限委任の目的は、割り当てられた職務を遂行するために必要な適切な権限を管理者に確実に付与することです。デプロイする製品に応じて、必要に応じてグループを増やしたり減らしたりすることができます。これらは、一般的な委任ポイントのほんの一例にすぎません。推奨項目はVDA OSの強化タスク以外で行います。これらの基本原則の一部が導入されなければ、会社のリスクは増大します。詳細については、 Microsoft 特権アクセスアカウントをご覧ください 。
最小要件
個別の管理者アカウントドメインユーザー権限以上の権限を持つユーザーには 、必ず別のアカウントを持たせることをお勧めします。管理者が自分のアカウントを使ってメールをチェックしたり、ウェブを閲覧したりしたことが原因で、開始されたり拡大したりする攻撃が多すぎます。これらを権限が委任された保護された OU に配置して、カスタム委任グループ内のドメイン内の少数の個人以外のユーザーのアカウントが編集されないようにすることをお勧めします。また、監査に役立つように、共通のプレフィックスサフィックスを付けた命名規則を付けることも推奨されます。最も一般的なのは、「adm-」、「admin-」、「sa-」、「p」などのプレフィックスを使用することです。
サービスアカウント命名基準アカウントレビューを行う際には 、すべてのサービスアカウントに標準アカウントと区別するために命名基準を使用してください 。これらのアカウントを別の OU に配置して、これらのアカウントを編集するためのアクセスを制限します。最も一般的なのは、「svc-」、「service-」、「s-」、「s」などのプレフィックスを使用することです。また、パスワードのリセット時に参照しやすいように、アカウントの説明または共有ドキュメントに、各サービスの機能のリストを記載しておくことをお勧めします。
管理委任ごとにカスタムグループを使用する導入環境内のすべての管理者の役割を委任する場合は 、カスタム AD グループをお勧めします。Domain Adminsのようなデフォルトグループを使用して、システムへのリモートアクセス権の付与、特権システムの管理、ADのアカウントの管理、Citrixなどのシステムの管理を行わないでください。命名規則のあるグループを使用すると、監査やシステムへの適用が容易になるように、これらのグループを整理するのにも役立ちます。共通のプレフィックスは、各システムグループの他の命名標準でも最も一般的です。これらの役割を共通名で表す場合は、サービスデスク、VDI、AD、およびその他のシステムのすべてのグループを検索できます。また、「読み取り専用」や「フルコントロール」などの特定の権限で、これらのロールを検索して複数のシステムに適用する場合に便利です。各システム内に複数のグループを設定して、主要な役割の委任ごとに共有する必要がある場合があります。委任が複雑になると、必要なシステムや権限の数が増えるだけでなく、導入環境のセキュリティと柔軟性も向上します。
Citrix Custom Groups and Delegation adm-VDI-Full-Admins(管理者権限を持つユーザー)の例 :これらのユーザーは通常、すべてのCitrix Infrastructureサーバーの役割とVDAのローカル管理者であり、プロファイル共有を完全に制御でき、各Citrixコンポーネント内の管理者権限を持つことになります。また、対象範囲の仮想マシンをホストするハイパーバイザーに対する少なくともVM管理者権限も持っている必要があります。
adm-VDI-Image-admins マスターイメージのローカル管理者のみで、イメージの更新を担当するのはパッチ担当者のみかもしれません。アプリケーションチームを対象とする場合は、チームごとのカスタムグループがイメージごとにアプリケーションを管理することを推奨します。また、これらのイメージ VM をホストするハイパーバイザーに対して、少なくとも VM ユーザー権限を持っている場合もあります。
ADM-VDI-ServiceDeskは 、Citrix StudioのヘルプデスクまたはサービスデスクとDirector の役割を果たします。これにより、セッションの管理、Director内でのトラブルシューティング、Citrix Studio内の構成設定の表示が可能になります。ほとんどの展開環境では、サービスデスクはStoreFStoreFront サーバー、ライセンスサーバー、SQL、FASサーバーなどの他のCitrix Serverロールコンポーネントにアクセスする必要がない場合があります。WEMやProvisioning Serverに対する読み取り専用権限は、トラブルシューティングや問題の発見に役立つ場合があります。お客様がサービスデスクに与える特権の量は、当社のポリシーとその専門知識のみに基づいて決定されます。これらの各機能には複数のレベルのサブ権限がある場合もあります。
ADM-VDI-Readonly-director このユーザーに Citrix Director 内のアイテムを表示する権限を付与します。これは、アプリケーションオーナーが自分のシステムの使用状況を確認したり、経営陣がシステムの使用状況を追跡したりするうえで役立ちます。
ADM-VDI-Readonly-Studio これは、他のチームやアプリケーションオーナーによる構成検証に必要な場合があります。
推奨
ADのデフォルト特権グループからの移行管理者権限の昇格にデフォルトグループを使用すると 、ほとんどの場合必要以上の権限が付与されます。ユーザーやサービスアカウントは、機能していて簡単なため、Domain Admins に追加されることがよくあります。デフォルトグループの多くは、すべてのマシンとドメイン構造全体で明示的な権限を継承しています。デフォルト特権グループを監査して、そのグループに属している可能性のあるすべてのユーザー、契約者、およびサービスアカウントを特定します。デフォルトグループから管理者アカウントを削除すると、問題が発生する可能性があるため、お勧めしません。代わりに、アカウントを機密性の高い特権アカウントとして扱い、パスワードを定期的に変更して安全に保管してください。
継続的なアカウントレビュー監査 アクティブな従業員のみがアカウントを持っていることを確認するために、アクティブ従業員リストとADアカウントリストを使用して定期的なアカウントレビューをスケジュールすることをお勧めします。これらのベンダーとの有効な契約に基づいて、サードパーティのアカウントを確認することを検討してください。サービスアカウントを定期的に監査して、それらのアカウントがまだ必要であり、それらのロールに必要な権限だけがあることを確認します。
アカウントポリシー要件 の定義コンプライアンス機関に従ってアカウントポリシー基準を設定することをお勧めします。これらの設定は、ドメインのアカウントセキュリティを確保する上で重要な役割を果たし、最大限のセキュリティと使いやすさのバランスを取る必要があります。パスワードの有効期間、パスワードの複雑さ、長さの要件、パスワード履歴、ロックアウトのしきい値と期間、Kerberos チケット設定、ログオン制限など、さまざまな項目についてさまざまな基準があります。これらのポリシーは通常、すべてのユーザーとアカウントに対してドメインのルートで定義されます。より安全な基準を確保するために、特権アカウントと主要従業員には他のポリシーが適用される場合があります。
参照リンク アカウントポリシーリンク ドメインパスワード要件 Microsoft 365 パスワードポリシー
ユーザー割り当ての定義
デフォルトドメインポリシーのユーザー権限の割り当てを監査してください。多くのデフォルト設定は、カスタム設定を展開しなくても後方互換性と使いやすさを考慮して構築されています。Windows ポリシーと同様に、最も古いシステムが引き続き機能することを確認するには、そのシステムを把握することが不可欠です。これらのオプションをカスタムの特権グループに関連付けて、特定のユーザーのみがコンピューターをドメインに参加させたり、システムにリモートアクセスしたり、特定のシステムにログインしたりできるようにします。ユーザーごとに AD グループに権限を割り当てると、AD グループを特権グループにネストして特定のユーザーに特定の権限を与えることができると便利です。ユーザー権限の割り当ては、通常、デスクトップとサーバーの場所に加えて、ドメインのルートに対して行われます。
セキュリティオプションの定義
デフォルトドメインポリシーを確認して、これらのセキュリティオプションを監査してください。これらのオプションは、どのドメインのセキュリティにとっても中心的なものです。これらの設定は、ゲストアカウントと管理者アカウントの名前の変更、システム内の印刷ドライバーのインストールからSMBバージョンへの権限の変更、その他多くの設定により、ローカルマシンの動作を制御します。これらの設定にはそれぞれ、デフォルト以外の推奨設定がありますが、サポートする必要のある最も古いオペレーティングシステムにも基づいています。
高セキュリティ
特権ワークステーションの使用すべての管理作業は 、各管理者のワークステーションからではなく、専用のマシンから行うことをお勧めします。これにより、これらのシステムからのより包括的なロギングが可能になり、デプロイの変更をよりよく把握できるようになります。サードパーティの特権アカウント管理システムにより、このシステムを構築し、選択したベンダーに応じて、画面を均等に記録したり、ログの関連付けを行ったりして、これらのマシンへのアクセスを監査および制御できます。PAM ソリューションを購入する余裕がない場合は、段階的にシステムをデプロイしてください。特定の管理者だけが、入出力制御が可能な VLAN にリモート接続して専用にできる、可用性の高いサーバ/デスクトップのセットを導入することをお勧めします。これらのシステムへのログインには、可能な場合は多要素認証が必要です。これらのシステムを導入したら、対象となる管理者用の管理ツールをすべてインストールする必要があります。これらのシステムでは、ログの保持と可視化のためにログをローカルに保持し、SIEMに転送して、最終的にアラートを設定できるようにしてください。そして最後のステップは、アクセス制御リストを実装して、機密システムのソース管理者を、このVLANと、これらのシステムに障害が発生した場合にマシンを仮想的または物理的に緊急時に配置できる別の高度に制御されたVLANから制限することです。プライマリとセカンダリの特権アカウントワークステーション(PAW)のVLANを監査し、デバイスが追加された場合は担当チームメンバー全員にアラートを送信します。この最終段階では、これらのシステムをこれらのPAWからしか管理できないため、通常のユーザーは通常のクライアントネットワークやVDAからこれらのシステムの管理UIにアクセスすることすらできません。
難読化
デプロイが攻撃され、最初の足掛かりができたら、難読化を使用して攻撃者の速度を落とし、次のピボットの前に攻撃をキャッチできると期待されるシステムにログとアラートを送信できるという利点があります。難読化を開始する前に、関連性を追跡できるようにパスワードマネージャーまたは別のシステムを用意することを強くお勧めします。この難読化は、ADのユーザーと同じ名前ではない特権アカウントから始まる可能性があります。特権アカウントの難読化では、同じ一意の苗字を使用することも、通常は別の一意の名前の組み合わせを使用することもできるため、引き続き監査できます。サービスアカウントは、異なるプレフィックスや人名を使用して難読化することもできます。また、これらのアカウントを監査できるようにしたいことも覚えておいてください。機密性の高いサーバー名には、テストや開発用のプレフィックスや、ロールと関係のない名前を付けて難読化することもできます。最も強力な難読化はユーザー難読化です。アカウント名は通常、文字と数字を組み合わせた名前ですが、アカウント名には姓名は使用されません。ユーザーの難読化は最も混乱を招きますが、新しいユーザーに展開して徐々に導入することもできます。これは通常、セキュリティ修復計画の最後のステップの 1 つです。
Windows の機能
Windows には多くのセキュリティ機能が組み込まれており、導入時には評価する必要があります。このリストでは、一部の機能しか強調表示できません。それでも、Citrix Virtual Apps and Desktops の導入環境に最も重大なセキュリティ影響を与えるものを紹介しています。
ローカル管理者パスワードソリューション (LAPS)
ほとんどの環境では、管理者パスワードは「デフォルトドメインポリシー」でのみ定義されている可能性があるため、すべてのデスクトップとサーバーで同じです。多くの場合、ローカル管理者パスワードの標準がないことがあります。これは、異なるユーザーやイメージによって構築されたデスクトップやサーバーが別のパスワードを使用し、決まった標準がないためです。LAP を導入すると、そのポリシーが適用される各マシンには一意のパスワードが Active Directory 内に保存され、ACL によって保護されます。このソリューションを導入する際には、権限のあるユーザーだけがパスワードを表示して使用できるようにするために、役割間を適切に委任できる専用の特権アカウントを用意することが重要です。このソリューションは組織の OU 構造に基づいて段階的に展開できるため、すべてが想定どおりに機能し、Pass-the-Hash(Pass-the-Hash)認証情報リプレイ攻撃のリスクを軽減できます。
グループポリシーを使用してローカル管理者パスワードを変更する方法 LAPツールダウンロード
Windows イベントログの転送
SIEM を設定する必要がない場合は、Windows イベントログ転送を設定してください。このソリューションはWindowsのライセンスがあれば無料です。1 秒あたりのイベント数にもよりますが、主な要件はディスク容量と一部の Windows イベントコレクターサーバーです。この情報は、インシデント対応の調査やトラブルシューティングに役立つため、最初にすべてのドメインコントローラーでログ転送を有効にすることをお勧めします。可用性と安定性の観点から、WECサーバーの数、イベントの数、ディスク容量、I/Oに基づいてチューニングが必要になる場合があります。これらのシステムは、監査ポリシーと高度な監査ポリシーのグループポリシーで指定されたログを収集します。
WEFセットアップガイド 基本的なセキュリティ監査ポリシー 高度な監査ポリシー
マネージドサービスアカウント
マネージドサービスアカウントは、SQL や Exchange などのアプリケーションに自動パスワード管理を提供するように設計されています。これにより、これらのアカウントのサービスプリンシパル名の管理が簡略化され、Kerberos 攻撃の軽減に役立ちます。
[マネージドサービスアカウントのステップバイステップガイド?](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd548356(v=ws.10)(=MSDN からリダイレクト)
まとめ
このテクニカルペーパーでは、Citrix VDA/OSのセキュリティを確保するための10の推奨分野について説明しました。これには、入門計画、推奨ポリシーの構成、特権アクセスの制御、セキュリティベースのWindows機能の構成などが含まれます。このガイダンスでは、システムを保護し、一般的な攻撃方法を防ぐのに役立つ保護と推奨設定について説明しました。最初に推奨設定をテストシナリオに導入することをお勧めします。IT チームに検証してもらい、スケジュールを設定して、テストユーザーにプロモートしてから、本番環境に昇格させます。推奨事項のレベルが上がるごとに、使い勝手やアプリケーションの互換性の問題を引き起こすリスクが高まり、さらなるテストと調整が必要になります。