はじめに
企業ネットワークを理解するうえで避けて通れないのが「Windows Domain」です。
特にセキュリティやインフラ、あるいはレッドチーム領域に進む場合、
この仕組みを理解しているかどうかで実力差がかなり出ます。
本記事では、Windowsドメインの基本構造から、認証、そして攻撃・防御の観点まで整理します。
Windows Domainとは
Windows Domainは、
Microsoft Active Directory を中心とした
ユーザー・コンピュータ・権限を一元管理する仕組みです。
個別のPCごとに管理するのではなく、
中央サーバで全体をコントロールするのが特徴です。
基本構成
Domain Controller(DC)
ドメインの中核となるサーバです。
主な役割:
- ユーザー認証
- グループ管理
- ポリシー適用
- Active Directoryの提供
Active Directory(AD)
ドメインのデータベースです。
管理される情報:
- ユーザーアカウント
- コンピュータ
- グループ
- 権限
すべての認証や管理の中心になります。
OU(Organizational Unit)
オブジェクトを整理するための単位です。
例:
- 部署ごと(IT / HR / Sales)
- 用途ごと(User / PC)
フォルダのような構造で管理されます。
Group Policy(GPO)
ドメイン全体にルールを適用する仕組みです。
例:
- USBの使用禁止
- ソフトウェアのインストール制限
- パスワードポリシー強制
管理者が一括で設定できるため、大規模環境で重要です。
認証の仕組み(Kerberos)
Windowsドメインでは主にKerberos認証が使われます。
特徴:
- チケットベース認証
- パスワードを直接送信しない
- セキュアかつ効率的
基本の流れ:
- ユーザーがログイン
- Domain Controllerに認証要求
- チケット(TGT)を取得
- サービスアクセス時にチケットを提示
ワークグループとの違い
| 項目 | ドメイン | ワークグループ |
|---|---|---|
| 管理方法 | 中央管理 | 各PC個別 |
| 認証 | Domain Controller | ローカル |
| セキュリティ | 高い | 低い |
| 規模 | 大規模向け | 小規模向け |
攻撃者視点
Windowsドメイン環境では、最終的な目標は「Domain Admin」の取得です。
これを取得すると、ネットワーク全体を制御できます。
代表的な攻撃手法:
- Pass-the-Hash
- Kerberoasting
- Golden Ticket
- DCSync
- Lateral Movement
これらはすべて、認証や権限の仕組みを悪用しています。
防御の基本
ドメイン環境を守るためには、以下が重要です:
- 最小権限の原則(Least Privilege)
- 多要素認証(MFA)
- ログ監視(Event ID 4624 / 4769)
- 管理者アカウントの分離
また、権限の可視化や定期的な監査も不可欠です。
開発者視点での関係
アプリケーション開発でもドメインは関係します。
主な連携方法:
- LDAP認証
- 社内SSO
- クラウドID連携
→ Microsoft Entra ID
特に企業向けアプリでは、ドメイン連携が前提になることが多いです。
まとめ
Windowsドメインは:
- ユーザーとPCを一元管理する仕組み
- 認証とセキュリティの中心
- 企業ネットワークの基盤
- 攻撃者にとっての最終目標
この仕組みを理解することで、
インフラ・セキュリティ・開発すべての理解が一段上がります。