Agentless_UID_Win2003_RevB

Agentless  User-‐‑‒ID  設定ガイド

Windows  Server  2003  編

May  27,  2014

 

(Rev.  B)

はじめに

本資料料は  PAN-‐‑‒OS  5.0  から統合された  User  ID  Agent  機能（Agentless）を利利

⽤用し

、

Windows  Server  2003  が稼働している  Active  Directory  環境での基本

的な設定⽅方法を記載しています

。

また

、

本資料料で⾏行行う  Agent  ⽤用のアカウントは

管理理者権限ではなく

、

新たにグループを作成して権限を与えています。

1.  セキュリティログ閲覧権限を持つグループを作成

Agent⽤用アカウントに対してセキュリティログの読み取り権限を与える場合、管理理者権限を持つグルー プ（Domain  Admins）を与えるのが⼀一般的です。管理理者権限を与えることができないといった場合に は、新たにグループを作成して権限を与えます。この例例では”SecurityLogReaders”というグループを 作成しています。 スタート  ＞  すべてのプログラム  ＞  管理理ツール  ＞  Active  Directory  ユーザとコンピュータ  ＞  指定ド メイン  ＞  Users  ＞  右クリックして新規作成  ＞  グループ  ＞  グループ名  “SecurityLogReades”

Windows  Server  2003の設定  -‐‑‒  Agent⽤用グループの作成①  

3 | ©2012, Palo Alto Networks. Confidential and Proprietary.

Windows  Server  2003の設定  -‐‑‒  Agent⽤用グループの作成②

2.  SecurityLogReadesrs  グループの  SID  調査

作成したグループに対し権限を与える際、グループ名に割り当てられている  SID  をルールとして記述し ます。SID  を調べる前にグループ名から  DN  を調べます。得られた  DN  を  dsget  コマンドの引数に⼊入 ⼒力力することで  SID  を取得することができます。ドメインコントローラ上のコマンドプロンプトから下記 コマンドを実⾏行行します。 ・SecurityLogReaders  グループの  DN  を調べる

C:\>dsquery  group  -‐‑‒name  SecurityLogReaders

"CN=SecurityLogReaders,CN=Users,DC=hogehoge,DC=local”

・SecurityLogReaders  グループの  SID  を調べる

C:\>dsget  group  "CN=SecurityLogReaders,CN=Users,DC=hogehoge,DC=local"  -‐‑‒sid    sid

   S-‐‑‒1-‐‑‒5-‐‑‒21-‐‑‒3173910810-‐‑‒2265679593-‐‑‒2667926107-‐‑‒1107

dsget  成功

※この値は環境毎に異異なります

Windows  Server  2003の設定  -‐‑‒  グループポリシーの変更更①

3.  sceregvl.inf  ファイルのバックアップ

セキュリティログの読み取り権限をグループポリシーで付与する為に“sceregvl.inf“ファイルを 編集する必要がありますが、編集ミスに備えファイルを適当なフォルダにバックアップしておき ます。 ・sceregvl.inf  ファイルの場所 C:\WINDOWS\inf¥sceregvl.inf

4.  sceregvl.inf  ファイルの編集

sceregvl.inf  ファイルに設定を追記してファイルを上書き保存します。 ・[Strings]セクションの上⽅方、MACHINE\Software\〜～のブロック⼀一番下に下記を追記 MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2 ・最終⾏行行に下記を追記

SecCustomSD="Event  log:  Specify  the  security  of  the  Security  log  in  Security  Descriptor  Definition  Language  (SDDL)  syntax”

Windows  Server  2003の設定  -‐‑‒  グループポリシーの変更更②

5.  編集した  sceregvl.inf  の反映

スタート  ＞  ファイル名を指定して実⾏行行  ＞  “regsvr32  scecli.dll”と⼊入⼒力力  ＞  “scecli.dll  の   DLLRegisterServer  は成功しました”のダイアログ  ＞  OK

Windows  Server  2003の設定  -‐‑‒  グループポリシーの変更更③

6.  グループポリシーに  SDDL  ⽂文字列列を⼊入⼒力力

グループポリシーを選択してルール（SDDL  ⽂文字列列）を設定しますが、環境に応じたグループポリシー に設定して下さい。ここの例例では  “Default  Domain  Policy”  に設定しています。

スタート  ＞  すべてのプログラム  ＞管理理ツール  ＞  ドメインセキュリティポリシー  ＞  Windows  の設定   ＞  セキュリティの設定  ＞  ローカルポリシー  ＞  セキュリティ  オプション  ＞  “Event  log:  Specify  the   security  of  the  Security  log  in  Security  Descriptor  Definition  Language  (SDDL)  syntax”  を選択   →  右クリックプロパティ  ＞  “このポリシーの設定を定義する”のチェックボックスを有効化  ＞  空欄に 下記  “ServerLogReaders”  の  SID  を組み合わせた  SDDL  を⼊入⼒力力  ＞  OK

(A;;0x1;;;S-‐‑‒1-‐‑‒5-‐‑‒21-‐‑‒3173910810-‐‑‒2265679593-‐‑‒2667926107-‐‑‒1107)

※  上記  SDDL  は、A=許可、0x1=読み取り、S-‐‑‒1〜～=SecurityLogReaders  グループの  SID  という意味になります

Windows  Server  2003の設定  -‐‑‒  グループポリシーの変更更④

7.  SecurityLogReaders  グループから  WMI  の許可

スタート  ＞  ファイル名を指定して実⾏行行  ＞  “wmimgmt.msc”  と⼊入⼒力力  ＞  OK  ＞  WMI  コントロールを右 クリックしてプロパティを表⽰示  ＞  セキュリティタブ  ＞  Root  ＞  CIMV2  を選択  ＞  右下のセキュリ ティボタンをクリック  ＞  追加  ＞  “SecurityLogReaders”  を追加  ＞  アカウントの有効化とリモートの 有効化のチェックボックスを有効  ＞  OK

Windows  Server  2003の設定  -‐‑‒  グループポリシーの変更更⑤

8.  gpupdateコマンドの実⾏行行

編集したグループポリシーを反映するため、コマンドプロンプトから下記コマンドを実⾏行行します。 C:\>gpupdate  /force

Windows  Server  2003の設定  -‐‑‒  Agent⽤用ユーザーの作成①

9.  Agent⽤用ユーザーアカウントを作成

PA  上で動作する  Agent  機能はこのアカウントを使⽤用してドメインコントローラにログオンすることに なります。 スタート  ＞  すべてのプログラム  ＞  管理理ツール  ＞  Active  Directory  ユーザとコンピュータ  ＞  指定ド メイン  ＞  Users  を右クリックして新規作成  ＞  ユーザー  ＞  ユーザ名    uia  ＞  次へ  ＞  パスワード⼊入⼒力力   ＞    完了了

Windows  Server  2003の設定  -‐‑‒  Agent⽤用ユーザーの作成②

10.  uia  ユーザをグループに登録

作成されたユーザを下記4つのグループに登録します。

スタート  ＞  すべてのプログラム  ＞  管理理ツール  ＞  Active  Directory  ユーザとコンピュータ  ＞  指定ド メイン  ＞  Users  ＞  uia  を選択して右クリック  ＞  所属するグループ  ＞  追加

11 | ©2014, Palo Alto Networks. Confidential and Proprietary.

・Distributed  COM  Users

・Domain  Users（デフォルトで登録済み）

・SecurityLogReaders

PAの設定  -‐‑‒  User  IDの有効化

11.  ゾーンでの  User  ID  設定有効化

ユーザ識識別を⾏行行うゾーンで設定を有効化します。

WebUI  から  Network  タブ  ＞  ゾーン  ＞  User  ID  を利利⽤用するゾーンを選択  ＞  “ユーザ  ID  の有効化” チェックボックスを有効  ＞  OK  

PAの設定  -‐‑‒  ユーザーマッピング設定①

12.  Palo  Alto  Networks  ユーザー  ID  エージェント設定

WebUI  から  Device  ＞  ユーザーID  ＞  ユーザーマッピング  ＞  Palo  Alto  Networks  ユーザーIDエー ジェント設定  右端の 　 　アイコンをクリック  ＞  WMI  認証タブ  ＞  ユーザ名とパスワードを⼊入⼒力力  ＞  OK ユーザー名は  “ドメイン名\ユーザ名“  のルールで⼊入⼒力力します

例例）hogehoge.local\uia

PAの設定  -‐‑‒  ユーザーマッピング設定②

13.  サーバーモニタリング設定

WebUI  から  Device  ＞  ユーザーID  ＞  ユーザーマッピング  ＞  サーバーモニタリング  ＞  追加  ＞  下記 パラーメータを⼊入⼒力力  ＞  OK  ＞  画⾯面左上の  Commit  ボタン 　 　 　 　で設定を反映  

14 | ©2014, Palo Alto Networks. Confidential and Proprietary.

・名前：サーバーの名前（適当な名前） ・内容：サーバーの説明（オプション）

・チェックボックス：有効化チェックボックス  ON ・タイプ：Microsoft  Active  Directory

・ネットワークアドレス：DC  の  IP  アドレス

14.  ドメインコントローラとのコネクティビティの確認

WebUI  から  Device  ＞  ユーザー  ID  ＞  ユーザーマッピング  ＞  サーバーモニタリング  ＞  状態

が”Connected”となっていればドメインコントローラと正常に接続ができています

。

15 | ©2014, Palo Alto Networks. Confidential and Proprietary.

ユーザーマッピングの状態確認②

15.  ユーザマッピングテーブルの確認

CLI  から”show  user  ip-‐‑‒user-‐‑‒mapping  all”コマンドでマッピングテーブルを確認できます。

admin@PA-‐‑‒200>  show  user  ip-‐‑‒user-‐‑‒mapping  all

IP      Vsys      From        User      IdleTimeout(s)  MaxTimeout(s) -‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒  -‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒  -‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒  -‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒  -‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒  -‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒ 10.128.63.7      vsys1    AD      hogehoge.local\user1      2645      2645 Total:  1  users  

16.  トラフィックログの確認

WebUI  から  Monitor  ＞  ログ  ＞  トラフィック  では下記のようにユーザがログに記録されます。

※  “hogehoge.local”というドメインの”user1”というユーザ

17.  送信元ユーザーを指定したポリシー設定

WebUI  から  Policies  ＞  セキュリティ  ＞  追加  ＞  ユーザー  ＞  追加  で送信元ユーザーを⼿手動で記述す ることにより、ユーザー単位での通信制御が可能になります。

PAの設定  -‐‑‒  グループマッピング設定①

18.  LDAP  サーバープロファイル設定

前項までの設定でユーザ単位での制御やログにユーザ名を記録することが可能になりますが、セキュリ ティポリシーの設定項⽬目でグループ単位でポリシーを記述したり、ユーザ名を検索索してリスト表⽰示させ たい場合、グループマッピングの設定を⾏行行います。設定を⾏行行う場合は最初に  LDAP  サーバプロファイル を作成します。

WebUI  から  Device  ＞  サーバープロファイル  ＞LDAP  ＞追加  >  下記パラメータを⼊入⼒力力  ＞  下記項⽬目を ⼊入⼒力力  ＞  OK •  名前：プロファイルの名前（適当な名前） •  サーバー：サーバーの名前（適当な名前） •  アドレス：DC  の  IP  アドレス •  ポート：LDAP=389,  LDAPS=636 •  タイプ：active-‐‑‒directory •  ベース：グループ情報を検索索する時のルートコンテキ スト •  バインド  DN：Agent  ⽤用アカウントのログイン名 •  パスワード：Agent  ⽤用アカウントのパスワード •  SSL：LDAPS  を使う場合はチェックボックスを有効 hogehoge.localの場合は 「DC=hogehoge,DC=local」と記述 hogehoge.localのUsersコンテナに存在するuiaというユーザの場合は 「cn=uia,cn=users,dc=hogehoge,dc=local」と記述

PAの設定  -‐‑‒  グループマッピング設定②

19.  グループマッピング設定  -‐‑‒  サーバープロファイル

作成した  LDAP  サーバプロファイルをグループマッピング設定で指定します。

WebUI  から  Device  ＞  ユーザID  ＞  グループマッピング設定  ＞追加  ＞  サーバープロファイル  ＞下記 項⽬目を⼊入⼒力力  ＞  OK •  名前：グループマッピング設定の名前（適当な名前） •  サーバープロファイル：作成した  LDAP  プロファイルを指定 •  Group  Objects •  オブジェクトクラス：group •  グループ名：name •  グループメンバー：member •  User  Objects •  オブジェクトクラス：person •  ユーザ名：sAMAccountName •  有効：チェックボックスを有効化

PAの設定  -‐‑‒  グループマッピング設定③

20.  グループマッピング設定  -‐‑‒  許可リストのグループ化

グループマッピングする必要最⼩小限のグループを指定します。指定しない場合は全てのグループに対し てマッピングが⾏行行われます。

WebUI  から  Device  ＞  ユーザ  ID  ＞作成したグループマッピング設定を選択  ＞  許可リストのグループ 化    ＞グループを追加  ＞OK  ＞  画⾯面左上の  Commit  ボタン 　 　 　 　で設定を反映  

グループマッピングの状態確認①

21.  グループマッピングの状態確認

CLI  から”show  user  group-‐‑‒mapping  state  all”コマンドでグループマッピングの状態やグルー プ情報を確認できます。

admin@PA-‐‑‒200>  show  user  group-‐‑‒mapping  state  all

Group  Mapping(vsys1,  type:  active-‐‑‒directory):  DC_̲Group_̲Mapping      Bind  DN        :  cn=uia,cn=users,dc=hogehoge,dc=local

     Base      :  DC=hogehoge,DC=local      Group  Filter:  (None)

     User  Filter:  (None)

     Servers        :  configured  1  servers      10.128.51.134(389)

     Last  Action  Time:  1080  secs  ago(took  0  secs)      Next  Action  Time:  In  2520  secs

     Number  of  Groups:  3

     cn=marketing,cn=users,dc=hogehoge,dc=local      cn=tech,cn=users,dc=hogehoge,dc=local

     cn=sales,cn=users,dc=hogehoge,dc=local

グループマッピングの状態確認②

22.  ユーザーが所属するグループの確認

CLI  から”show  user  user-‐‑‒IDs”コマンドでユーザーが所属するグループを確認できます。ま た、”match-‐‑‒user”オプションでユーザーを検索索することも可能です。

admin@PA-‐‑‒200>  show  user  user-‐‑‒IDs User  Name      Vsys        Groups

-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒

hogehoge\user1      vsys1      cn=marketing,cn=users,dc=hogehoge,dc=local hogehoge\user2      vsys1      cn=sales,cn=users,dc=hogehoge,dc=local hogehoge\user3      vsys1      cn=tech,cn=users,dc=hogehoge,dc=local Total:  3

admin@PA-‐‑‒200>  show  user  user-‐‑‒IDs  match-‐‑‒user  user1 User  Name      Vsys        Groups

-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒-‐‑‒

hogehoge\user1      vsys1      cn=marketing,cn=users,dc=hogehoge,dc=local Total:  3

グループマッピングの状態確認③

23.  セキュリティポリシー設定のグループ表⽰示

WebUI  から  Policies  ＞  セキュリティ  ＞  追加  ＞  ユーザー  ＞  追加  でグループがプルダウ

グループマッピングの状態確認④

24.  セキュリティポリシー設定のユーザーリスト表⽰示

WebUI  から  Policies  ＞  セキュリティ  ＞  追加  ＞  ユーザー  ＞  追加  で検索索⽂文字列列を⼊入⼒力力す