2015/01/22

リモートデスクトップ接続の RestrictedAdmin モードが既定で無効に変わってた

Windows 8.1 および Windows Server 2012 R2のリモート デスクトップ サービスの新機能の 1 つに、RestrictedAdmin モード (制限付き管理モード) による接続機能があります。

What's New in Remote Desktop Services in Windows Server > RestrictedAdmin Mode Remote Desktop
[URL] https://technet.microsoft.com/ja-jp/library/dn283323.aspx#BKMK_Admin

知らない間にこの機能の対応 OS の拡大と、Windows 8.1 および Windows Server 2012 R2 におけるこの機能の既定の動作の変更が行われていました。

KB287199: マイクロソフト セキュリティ アドバイザリ: 資格情報の保護と管理を強化する更新プログラム (2014 年 5 月 13 日) 
[URL] https://support.microsoft.com/kb/2871997
※RDP 8.0 以降に対応した Windows 7、Windows 8、Windows Server 2008 R2、および Windows Server 2012 に対して、 RestrictedAdmin モードのサポートを追加する更新プログラム


KB2973351: マイクロソフト セキュリティ アドバイザリ: 2919355 更新プログラムがインストールされた Windows ベースのシステムで資格情報の保護と管理を強化するレジストリの更新(2014 年 7 月 8 日) 
[URL]  https://support.microsoft.com/kb/2973351
KB2975625: マイクロソフト セキュリティ アドバイザリ: 2919355 更新プログラムがインストールされていない Windows システムで資格情報の保護と管理を強化するレジストリの更新(2014 年 7 月 8 日) 
[URL]  https://support.microsoft.com/kb/2975625
※ RestrictedAdmin の有効化/無効化を行うための DisableRestrictedAdmin レジストリを提供する更新プログラム。Windows 8.1 と Windows Server 2012 R2 は、既定で RestrictedAdmin モードが無効になる(以前は既定で有効だった)。

この変更を知らずに、RestrictedAdmin モードを使おうとすると、“アカウントの制限により、このユーザーはサインインできません。空のパスワードが許可されていない、サインイン時間が制限されている、またはポリシーによる制限が適用されたなどの理由が考えられます。” と表示され...

こんな感じで接続が拒否されます。





RestrictedAdmin モードを使用可能にするには、接続先のリモート コンピューターのほうで、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa に DisableRestrcitedAdmin (REG_DWORD) を作成し、データに 0 (有効) を設定します。DisableRestrictedAdmin 値が存在しない、または 1 の場合は無効です。Windows 7 とか、新たに RestrictedAdmin モードに対応した Windows も、RestrictedAdmin モードで接続可能にするにはこの設定が必要です。

コマンドプロンプトで設定するには...

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /t REG_DWORD /d 0

・・・
RestrictedAdmin モードは、リモート コンピューターに Administrators 権限を持つアカウントで利用でき、接続先のリモート コンピューターに再利用可能な資格情報を送信せずに接続します。

通常の RDP 接続の場合、例えば、ドメイン管理者の資格情報でリモート PC に接続すると、そこからドメイン内の別の PC の管理者共有 (Admin$ や C$) に認証なしで接続できます。

RestrictedAdmin モードで接続 (mstsc /restrictedadmin) すると、資格情報を再利用できないので、資格情報の入力が要求されます。
これが、RestrictedAdmin モードのセキュリティ向上機能です。

・・・

既定の動作が変更された理由については、以下のセキュリティ アドバイザリで説明されているんだと思うのですが、いまいち的を得ていません。

マイクロソフト セキュリティ アドバイザリ 2871997: 資格情報の保護と管理を改善する更新プログラム
[URL] https://technet.microsoft.com/ja-jp/library/security/2871997

簡単に言えば、RDP 接続のセキュリティ向上機能のはずが、逆にセキュリティを低下させることがあるからみたいです。

そもそも RestrictedAdmin モードは、(安全な)自分の PC から、安全でないかもしれないリモート PC に管理者権限で接続したときに、再利用可能な資格情報をリモート PC に送らないことで、リモート PC を起点とした攻撃 (Pass-the-Hash 攻撃) から自分の PC を保護できるというものでした。しかし、RestrictedAdmin モードを使うと、自分の PC からリモート PC の間については、Pass-the-Hash 攻撃が簡単にできてしまうんだそうです。詳しくは、以下。

参考:
New “Restricted Admin” feature of RDP 8.1 allows pass-the-hash
[URL]  https://labs.portcullis.co.uk/blog/new-restricted-admin-feature-of-rdp-8-1-allows-pass-the-hash/

Windows Update で最新の状態になっていて、DisableRestrictedAdmin レジストリを作成していないなら、RestrictedAdmin モードのセキュリティ問題について気にする必要はないかと。なお、Windows 10 Technical Preview と Windows Server Technical Preview も、DisableRestrictedAdmin レジストリを作成しない限り、RestrictedAdmin モードによる接続はできないようです。

0 件のコメント: