none
ActiveDirectoryデータベースのBitLocker暗号化について RRS feed

  • 質問

  • ActiveDirectoryデータベースを暗号化した場合の挙動について教えてください。

    システムをCドライブ、ActiveDirectory データベースをDドライブに指定して構築したドメインコントローラで

    DドライブをBitLockerで暗号化した場合、当該サーバにログオンすることが可能でしょうか。

    当該サーバ以外にドメインコントローラが存在しない前提です。

    また、当構成の場合にActiveDirectory データベースを復号化せずにログオンする方法が

    ありますでしょうか。

    よろしくお願いします。

    2015年1月26日 6:51

回答

  • チャブーンです。

    ひとまず答えの方ですが、Active Directory Database(NTDS.dit)のBitlocker暗号化は可能です。暗号化設定がONのままで使える、ということだそうです。

    http://blogs.technet.com/b/askpfeplat/archive/2012/09/26/what-can-be-used-to-keep-active-directory-data-secure.aspx

    あと、起動中のNTDS.ditに(何らかの方法で)直接アクセスし、中身を読まれる心配はないか、ということでしたら、起動中のNTDS.ditはシステム自身が排他制御しているため、他のいかなるユーザーも「外部から」アクセスすること自体ができません。ただし、ドメイン管理者(Administrator)であれば、管理ツール(Active Directoryユーザーとコンピューター)を使ってローカルログオンまたはネットワーク経由でデータベースをアクセスできます。当たり前ですが。

    その意味で、ドメイン管理者だけど(遠隔地用なので)特定サーバだけ中身にアクセスさせない、というのはふつうのドメインコントローラではムリです。この要件(厳密にはRODC専用管理者アカウントを用意しますが)をみたす唯一のドメインコントローラは「読み取り専用ドメインコントローラ(RODC)」になります。設定を適切に行えば「業務継続用」サーバとしては使えるかもしれません。ただしバックアップを喪失した前提での復旧用サーバとしては使えない(自分のデータベースを他のドメインコントローラに複製することができないため)点に注意が必要です。


    2015年1月26日 11:46
    モデレータ
  • チャブーンです。

    BitLockerは「ドライブ単位での暗号化」ソリューションです。この意味はハードディスクを取り外して、他のマシンからドライブ内部にアクセスさせないためのもので、対象OS(許可されたマシン)が正常起動している場合、そのOSにログオンできるユーザーは、(OSが復号しているので)ドライブ内部のファイルにアクセスできます。たとえばEFSのような「ファイル単位での暗号化」ソリューションではありません。NTDS.ditは暗号化とは別の理由で、動作中は別のユーザーが直接中身を参照する、といったことはできません(理由は前にお話ししました)。

    なお、NTDS.ditを直接利用するのはOS(の認証システム)であり、ログオンする利用ユーザからすれば、データベースが暗号化されているかどうかは意識されませんので、暗号化が理由でログオンできないということはありません。

    あと、余計なことですがBCPにおける「システムの復旧」とは以前のシステムが「完全に元通りになる」という意味合いと理解しています。ドメインコントローラを複製でなくCSVDE等でのデータエクスポートをした場合、パスワード情報はもちろんSIDも引き継げず「同じドメイン名/ユーザー名」の別システムを再構成することになります(プロファイル情報等ユーザ利用情報も全部作り直しです)。これは「完全に元通りとなる」とは似て非なるものになり、一般的には条件に合わない(ソリューションとしてふさわしくない)となると思います。


    2015年1月27日 2:59
    モデレータ

すべての返信

  • AD の D ドライブを Bitllocker をかける意図はなんでしょうか。

    通常、そのようなオペレーションをしてる方は少ないと思うので背景をうかがいたいと思います。

    2015年1月26日 9:39
  • 返信ありがとうございます。

    遠隔地に設置するサーバであるため現地作業員による操作が必要となるものの

    ActiveDirectoryデータベースにはアクセスさせたくないという意図があります。

    BCP対応用のサーバであるため、その他ドメインコントローラの停止が前提となっています。


    2015年1月26日 10:06
  • 遠隔地に設置するサーバであるため現地作業員による操作が必要となるものの

    ActiveDirectoryデータベースにはアクセスさせたくないという意図があります。

    通常、そのような場合はアクセス権を分けると思うのですが、そうした運用はされないのでしょうか?

    2015年1月26日 10:18
  • 説明不足ですみません。

    DドライブのBitLocker暗号化は理由が異なるため、こちらは前提条件になります。

    アクセス権による権限分離は、この状況でログオンができるのであればアリな話ですが、本環境下検討外です。

    お話を伺っている中で

    「ディスク全体を暗号化して、起動用のアカウントには、ActiveDirectoryデータベースの設置フォルダへのアクセス・管理ツールの起動等の操作を禁止する」

    というのが現実的な気がしてきました。


    2015年1月26日 11:19
  • チャブーンです。

    ひとまず答えの方ですが、Active Directory Database(NTDS.dit)のBitlocker暗号化は可能です。暗号化設定がONのままで使える、ということだそうです。

    http://blogs.technet.com/b/askpfeplat/archive/2012/09/26/what-can-be-used-to-keep-active-directory-data-secure.aspx

    あと、起動中のNTDS.ditに(何らかの方法で)直接アクセスし、中身を読まれる心配はないか、ということでしたら、起動中のNTDS.ditはシステム自身が排他制御しているため、他のいかなるユーザーも「外部から」アクセスすること自体ができません。ただし、ドメイン管理者(Administrator)であれば、管理ツール(Active Directoryユーザーとコンピューター)を使ってローカルログオンまたはネットワーク経由でデータベースをアクセスできます。当たり前ですが。

    その意味で、ドメイン管理者だけど(遠隔地用なので)特定サーバだけ中身にアクセスさせない、というのはふつうのドメインコントローラではムリです。この要件(厳密にはRODC専用管理者アカウントを用意しますが)をみたす唯一のドメインコントローラは「読み取り専用ドメインコントローラ(RODC)」になります。設定を適切に行えば「業務継続用」サーバとしては使えるかもしれません。ただしバックアップを喪失した前提での復旧用サーバとしては使えない(自分のデータベースを他のドメインコントローラに複製することができないため)点に注意が必要です。


    2015年1月26日 11:46
    モデレータ
  • BCP対応用のサーバなんですね。見落としてました。

    とすると、チャブーンさんのおっしゃられている通りかと思います。

    補足としては、複製が行えないので、その AD でオペレーションは難しいと考えられます。(CSVDE で吐き出せば、行けそうな気もしますが。)

    肝になるのは、対象のサーバーで何をするかということになりそうですね

    2015年1月26日 13:54
  • 回答いただきありがとうございます。

    暗号化設定がONのままで使える、というのは、AcriveDirectoryデータベースを含むDドライブを復号化せずに

    ログオンが可能ということでしょうか。ログオン時、認証で利用するDBが暗号化されている状態ではログオンできないのでは

    と心配しています。

    なお、「自動ロック解除」は無効の場合です。

    また、記載いただいた内容として、そもそもドメインコントローラにログオンできる時点でドメイン管理者(Administrator)であり、その場合、データベースがBitLocker暗号化されていても管理ツールが使えるから求めている構成自体が無意味という意味でしょうか。

    2015年1月26日 14:10
  • チャブーンです。

    BitLockerは「ドライブ単位での暗号化」ソリューションです。この意味はハードディスクを取り外して、他のマシンからドライブ内部にアクセスさせないためのもので、対象OS(許可されたマシン)が正常起動している場合、そのOSにログオンできるユーザーは、(OSが復号しているので)ドライブ内部のファイルにアクセスできます。たとえばEFSのような「ファイル単位での暗号化」ソリューションではありません。NTDS.ditは暗号化とは別の理由で、動作中は別のユーザーが直接中身を参照する、といったことはできません(理由は前にお話ししました)。

    なお、NTDS.ditを直接利用するのはOS(の認証システム)であり、ログオンする利用ユーザからすれば、データベースが暗号化されているかどうかは意識されませんので、暗号化が理由でログオンできないということはありません。

    あと、余計なことですがBCPにおける「システムの復旧」とは以前のシステムが「完全に元通りになる」という意味合いと理解しています。ドメインコントローラを複製でなくCSVDE等でのデータエクスポートをした場合、パスワード情報はもちろんSIDも引き継げず「同じドメイン名/ユーザー名」の別システムを再構成することになります(プロファイル情報等ユーザ利用情報も全部作り直しです)。これは「完全に元通りとなる」とは似て非なるものになり、一般的には条件に合わない(ソリューションとしてふさわしくない)となると思います。


    2015年1月27日 2:59
    モデレータ