ローカルにおける特権昇格の脆弱性
本ナレッジでは、ローカルにおける特権昇格の脆弱性について説明します。
※本ナレッジの内容はグローバル本社のナレッジベース(英語)を翻訳、一部加筆したものです。
[Guide to secure your AD360 installation]
https://download.manageengine.com/active-directory-360/securing-manageengine-ad360-installation.pdf
<目次>
・脆弱性について
・概要
・対応方法
・コンポーネント製品への影響
脆弱性について
Authenticated Usersグループに属している管理者以外のユーザーにより、<AD360_インストール ディレクトリ>を改ざんできる脆弱性になります。
概要
<AD360_インストール ディレクトリ>には、AD360が正常に機能するための重要なファイル(製品の起動/停止に使用するファイル、
ライセンスファイルなど)が含まれています。
AD360は、デフォルトでC:\ManageEngine配下にインストールされます。
これにより、Authenticated Usersグループに属する管理者以外のユーザーにも、<AD360_インストール ディレクトリ>内の
ファイル/フォルダーに対するフルコントロール権が付与されます。
つまり、Authenticated Usersグループに属するすべてのドメインユーザーがフォルダーにアクセスし、内容を変更できるため、
AD360を使用できなくなる可能性があります。
また、Authenticated Usersをアクセス制御リスト (ACL) から削除のみ行う場合、
管理者以外のユーザーは特権がないことが原因でAD360を起動できなくなるため、この手段は有効とは言えません。
対応方法
AD360がインストールされている場所により手順が異なります。該当する手順をご参照ください。
・「C:\ManageEngine」配下の場合
・「C:\Program Files」配下の場合
「C:\ManageEngine」配下の場合
デフォルトでは、WindowsクライアントOSのC: ディレクトリには、
サブフォルダーの変更権限を持つAuthenticated Usersが含まれています。
ただし、Windows Server OSのC: ディレクトリには、ACLにAuthenticated Usersがありません。
そのため、AD360がインストールされているOSによって手順が異なる場合があります。
a) AD360がクライアントOSにインストールされている場合
b) AD360がserver OSにインストールされている場合
a) AD360がクライアントOSにインストールされている場合
- C:\ManageEngine\AD360の継承を無効化
(詳細は、本ナレッジ下部の補足をご参照ください。) - フォルダーのACLからAuthenticated Usersを削除
(詳細は、本ナレッジ下部の補足をご参照ください。) - Authenticated Usersから下記フォルダーに対する権限を削除
・<AD360_インストール ディレクトリ>\bin\license
・<AD360_インストール ディレクトリ>\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- AD360を起動可能なユーザーにC:\ManageEngine\AD360に対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - AD360がWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで
設定したアカウントにフォルダの変更権限が割り当てられていることを確認
b) AD360がserver OSにインストールされている場合
- Authenticated Usersから下記フォルダーに対する権限を削除
・<AD360_インストール ディレクトリ>\bin\license
・<AD360_インストール ディレクトリ>\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- AD360を起動可能なユーザーにC:\ManageEngine\AD360に対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - AD360がWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで
設定したアカウントにフォルダの変更権限が割り当てられていることを確認
「C:\Program Files」配下の場合
- Authenticated Usersから下記フォルダーに対する権限を削除
・<AD360_インストール ディレクトリ>\bin\license
・<AD360_インストール ディレクトリ>\temp(詳細は、本ナレッジ下部の補足をご参照ください。)
- AD360を起動可能なユーザーにC:\ManageEngine\AD360に対する変更権限を付与
(詳細は、本ナレッジ下部の補足をご参照ください。) - AD360がWindowsサービスとしてインストールされている場合、サービスのプロパティの [ログオン] タブで
設定したアカウントにフォルダの変更権限が割り当てられていることを確認
ご要件や組織のポリシーに基づいて、別の場所を選択できます。
・本ナレッジに記載されている手順は、デフォルトで C:\ManageEngine配下にインストールされているすべてのManageEngine製品が対象です。
コンポーネント製品への影響
AD360に連携しているすべてのコンポーネント製品も、AD360同様Authenticated Users ACL を削除する必要があります。
各手順をご参照ください。
補足
継承を無効化する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[詳細設定]をクリック
- [監査]タブ→[継承の無効化]をクリック
- [適用]をクリック
- [OK]をクリック
Authenticated UsersグループをACL(アクセスコントロールリスト)から削除する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
- Authenticated Usersグループを選択
- [削除]をクリック
- [適用]をクリック
- [OK]をクリック
ユーザーまたはグループに権限を付与する手順
- フォルダーを右クリック→[プロパティ]→[セキュリティ]タブ→[編集]をクリック
- [追加]をクリック
- 追加したいユーザー名またはグループ名を入力
- [OK]をクリック
- [許可]列にて、該当ユーザーまたはグループに付与する権限にチェック
- [適用]をクリック
- [OK]をクリック