ADManager Plus

ゾーホージャパンのManageEngine ADManager Plusは、Windows Active Directory上のID管理を効率化する、Active DirectoryのID管理ソフトです。 Visit:

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

この記事の所要時間: 約 3分

2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。

報道発表:サイバーセキュリティ対策促進助成金

当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。

弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。

以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。

【助成対象「中小企業」とは?】

助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。


・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人

・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人

・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人

・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人


ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。

(1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している

(2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している

(3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している

また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。

【対象製品・サービスは?】

助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。

(1) UTM
(2) ファイアウォール
(3) VPN…

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read

今、Active Directoryが危ない!セキュリティ対策のすすめ

この記事の所要時間: 約 3分

標的型攻撃が横行する昨今、企業内ネットワークに侵入した攻撃者によってActive Directoryのドメイン管理者アカウントが狙われるケースが多数報告されています。

例えば、2015年5月に起きた日本年金機構の個人情報流出事件でも、Active Directoryのドメインコントローラーとローカルの管理者権限が奪われました。

Active Directoryのドメイン管理者アカウントは、業務用端末や各種サーバーへの横断的なアクセスが可能なため、攻略できればマルウェアの感染拡大や機密情報の流出が容易に行えます。このため、攻撃者の攻略目標となりやすいのです。

攻撃の兆候は、ログを定期的に監査することで事前に検知できると言われています。2017年3月には、 JPCERT/CC( Japan Computer Emergency Response Team Coordination Center )からも対策方法を解説した資料が公開されました。

ログを活用したActive Directoryに対する攻撃の検知と対策


【どんな対策をすればいいか?】

Active Directoryのセキュリティ対策と言っても、具体的にはどのような対策を実施すればいいのでしょう。以下で、その内容を簡単にまとめます。

<ログ監査>

JPCERT/CCが公開した解説書では、Active Directoryのイベントログを活用した攻撃の検知方法が記されています。注視すべきID番号とその詳細も説明されているため、これらを参考にログ監査を実行すると良いでしょう。

また、日々の認証ログの調査を行い、接続元端末やアカウント名、ログイン成功/失敗の時間帯や回数に不審な点が無いかを調べることも重要です。

<特権ID管理>

Active Directoryのドメイン管理者アカウントは、その権限範囲の広さから「特権ID」と言えます。従って、パスワードを不用意に共有し、「いつ/誰が」アクセスしたか分からないという状況を作らず、厳重に管理することが求められます。

なお、特権IDを活用する場合のルールを定義し、運用に乗せることで、どのようなログの状態が「正常」なのかを明確に定義できるため、結果として異常ログの速やかな検知につながるという効果もあります。

また、管理者アカウントの認証情報が保存される端末は攻撃者の標的となりやすいため、JPCERT/CCの解説書では管理者アカウントを使う端末と他の作業を行う端末と分離し、インターネットへのアクセスやアプリケーションの実行を制限する事が望ましいとされています。

※例えばManageEngineで提供している特権ID管理ソフト「Password Manager Pro

ADAudit Plus , ADManager Plus , Password Manager Pro , セキュリティ 1 min read

ADへ一度もログオンしていないユーザーを見つける方法とは?

この記事の所要時間: 約 2分

Active Directoryデータベースには少なくとも1つのユーザーアカウントが作成されていますが、1度もログオンしていないアカウントが存在している可能性もあります。利用者がログオンしないことは、様々な要因が考えられます。しかし、ログオンされていないアカウントが存在するのは問題です。 それがなぜ問題なのかと思うかもしれません。
そこでユーザーアカウントの作成時のいくつかの一般的な設定の流れを振り返ってみます。

  1. ユーザーアカウントは、従業員が入社する前に数時間前あるいは数日前に作成します
  2. 作成時には、共通のパスワードを初期パスワードに設定します
  3. 入社後すぐにファイルサーバーや必要なリソースへアクセスするための権限を付与します

これらの設定が行われているため、攻撃の起点として使用される可能性のあるユーザーアカウントになっているということを認識しておく必要があります。 既知の共通したパスワードを持つユーザーアカウントが存在するという事は、重大なセキュリティ懸案事項であるため、ログオンしていないユーザーアカウントは何らかの方法で対処する必要があります。

本ブログでは、こういったアカウント情報を収集する方法をご紹介します。

Active Directory ユーザーとコンピューター(ADUC)のクエリ保存機能

ADUCは普段、アカウント作成やOU変更などADを運用する際に通常利用する画面になりますが、ADUCは、事前に定義した条件に一致するオブジェクトを繰り返し表示する方法として、「クエリを保存」するオプションがあります。
例えば、期限が設定されていないパスワード、n日間ログオンしていないユーザーアカウントなどを表示するためのクエリが事前に定義されています。
また、図1のようなカスタムクエリを作成して、ログオンしていないユーザーアカウントを表示することも可能です。

図1.クエリの画面

この方法は、定期的に確認する際に、効率よく確認できます。 しかし、この方法を使用する場合、致命的な問題があります。ログオンしていないアカウントかどうかを知ることは重要ですが、同時にアカウントの作成時期を知ることも重要です。 これにより、管理者は、アカウントがログオンを待っている期間についての洞察を得ることができます。わずか数日または数週間であれば、ユーザーは引き続きアカウントを使用する可能性がありますが、アカウントが1か月以上前に作成された場合、アカウントが使用される可能性は低くなります。 致命的な問題というのは、この保存したクエリからは、各ユーザーの作成日を同時に取得するのは困難であるということです。

ADManager Plus

ADManager Plusは、Microsoftの「クエリ保存」で出来ないことが可能です。 図2のように、ADManager Plusでは、「一度もログオンしていないユーザー」のレポートに
アカウント名とそのアカウントが作成された日時を同時に表示することが可能です。


図2. ADManager Plus – 「一度もログオンしていないユーザー」レポート

また、アカウントの状態(有効または無効)も、同時に確認できます。これらの詳細はすべて、管理者にとって、アカウントがセキュリティ上のリスクであるかどうかの判断することに役立てられます。 リスト化したアカウントは、このレポートから直接無効化/有効化、移動、削除などの操作を行なうことが可能です。

もし、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

ADManager …

ADManager Plus 1 min read

Active Directoryのユーザーアカウント作成とは?【連載:ADについて学ぼう~導入編(1)~】

この記事の所要時間: 約 6分

Active Directoryの代表的なオブジェクトには、「ユーザーアカウント」「グループアカウント」「コンピューターアカウント」などがありますが、今回の記事では、まず初めに作成するであろう「ユーザーアカウント」について、以下の3つの作成方法をご紹介していきたいと思います。

■■□―――――――――――――――――――□■■

1.Microsoftが提供している管理ツールを使用
2.コマンドラインを使用
3.弊社製品の「ADManager Plus」を使用

■■□―――――――――――――――――――□■■

1.Microsoftが提供している管理ツールを使用

ユーザーアカウントを作成する際に、おそらく最も多くの方が使用している方法が、Microsoft提供の管理ツールなのではないでしょうか。なお、使用可能な管理ツールには、従来からある[ユーザーとコンピューター]と、Windows Server2012R2から追加された[管理センター]の2つがあります。

1-1. [ユーザーとコンピューター]を使用した場合

[コントロール パネル] -> [管理ツール] から、[Active Directory ユーザーとコンピューター] を起動します。そして、ユーザーを作成するOUを右クリックすると、[新規作成] -> [ユーザー]と選択します。

(1)ユーザーの姓を入力します。
(2)ユーザーの名を入力します。
(3)ミドルネームのイニシャルを入力します。
(4)ユーザーのフルネームを入力します。
※デフォルトでは、上3つで入力した内容が、連結された状態で表示されます。
(5)Active Directoryの認証で使用するユーザーログオン名を入力します。
(6)Windows2000以前で使用するユーザーログオン名を入力します。

(4)ログオン認証の際に使用する、パスワードを入力します。
(5)(4)で入力したパスワードを再度入力します。
(6)ユーザーに対してオプションの設定をします。

1-2. [管理センター]を使用した場合

[サーバーマネージャー] …

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?

この記事の所要時間: 約 5分

急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや
VPN接続ができないといった経験はないでしょうか。

また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は
ないでしょうか。

本ブログでは、エンドユーザー(社員)から依頼のあるActive Directoryのパスワードリセット要求に対して
なぜ対応に時間がかかってしまうのか問題点を確認した上で、ManageEngine ADSelfService
Plus、ADManager Plusを使用した場合のパスワードリセットにかかる時間について紹介いたします。

Active Directoryのパスワードリセットは管理者権限やリセット権限が付与されたユーザーでのみ実行
できる処理です。一般のエンドユーザー(社員)権限では自己解決できないため、Eメール、電話、
紙ベースでの申請・問い合わせがおこなわれます。この問い合わせこそ、もっとも時間がかかります。
もちろん、リセット後にエンドユーザーに新しいパスワードをお伝えする必要がある点でも時間がかかる
でしょう。

もう1点が、実際にリセットを実行するヘルプデスク担当者や管理者のおこなうリセット作業の時間です。
ドメインコントローラーにアクセスし、Active Directoryが提供するコンソールから実行する場合はそれなりに
時間がかかります。以下の実行手順の場合、2分弱の時間を要します。

【Active Directoryユーザーとコンピューター(ADUC)のコンソールの場合】
 1. ドメインコントローラーに管理者アカウントでログイン
 2. ADUCを開く
 3. 対象ユーザーを検索して10文字のパスワードでリセット

<結果> 1分 48秒
 ログインに時間がかかり、2分弱をかかる結果になりました。

上記をまとめますと以下の問題点(2つ)があります。

● 問い合わせに時間がかかる/リセット後の回答に時間がかかる
● リセット処理の開始から完了までに時間がかかる…

ADManager Plus , ADSelfService Plus 1 min read

ADManager Plus 6.5(ビルド: 6530)をリリースしました

この記事の所要時間: 約 1分

10月26日にADManager Plus 6.5(ビルド: 6530)をリリースしました。
本ブログでは、NTFS/共有レポートの機能拡張について紹介します。

ADManager PlusのNTFS/共有レポートでは、ファイルサーバーの各フォルダーの
アクセス権設定をコンソールから必要に応じてレポートとして確認することができます。

NTFS/共有レポート

ファイルサーバー関連のレポートは「レポート」 → 「NTFS/共有レポート」からアクセスします。

フォルダーの選択

ビルド6530では、「フォルダーへアクセスできるアカウント」レポートの検索対象のサーバー、フォルダーを選択する画面に次のオプションを追加しました。
1. 複数のサーバーを選択するオプション
2. 複数のホームフォルダーのアクセス権設定を取得するオプション

これにより、複数のファイルサーバーのレポート結果をまとめることができるようになりました。
またユーザーのホームフォルダーの情報を取得できるようになったため、フォルダー
アクセス権管理の幅が広がりました。

出力結果

こちらは「フォルダーへアクセスできるアカウント」レポートの出力結果です。
より詳細な情報は「詳細」リンクより確認できます。

その他、追加した機能拡張については、リリースノートをご参照ください。

ADManager Plus 6.5 リリースノート
https://www.manageengine.jp/support/kb/ADManager_Plus/?p=508

少しでもご興味を持っていただけましたら、
「30日間の無料トライアル(評価版)」を是非お試しください。
評価期間中は、技術サポートもご利用可能です。

ADManager Plus – 製品ホームページ
https://www.manageengine.jp/products/ADManager_Plus/

ADManager Plus 1 min read

連載:ADについて学ぼう ≪目次≫

この記事の所要時間: 約 0分

ook161100444_tp_v

連載:ADについて学ぼう~基礎編~

基礎編(1) Active Directoryとは?
基礎編(2) Active Directoryの認証の仕組み
基礎編(3) Active Directoryの基本構成
基礎編(4) サイトとは何か? -サイトの必要性をご紹介-
基礎編(5) Active DirectoryにおけるDNSの役割
基礎編(6) グループポリシーとは?
基礎編(7) アカウントポリシーの構成
基礎編(8) グループアカウントの種類と運用方法
基礎編(9) セキュリティ監査のためのグループポリシーの設定

連載:ADについて学ぼう~導入編~

導入編(1) 新しいユーザーアカウントの作成

連載:ADについて学ぼう~応用編~

応用編(1) OUの委任 -権限委任で管理者の負担を軽減しよう!-
応用編(2) ダイナミックアクセス制御と設定方法
応用編(3) FSMOの役割
応用編(4) FSMOの確認方法

ADAudit Plus , ADManager Plus , ADSelfService Plus , 一般 1 min read

Active Directoryの監査ポリシーとは?【連載:ADについて学ぼう~基礎編(9)~】

この記事の所要時間: 約 2分

今までの投稿を見返してみると、Active Directoryの設定の中で最も基本的かつ重要な設定である「監査ポリシー」についてあまり触れていなかったことに気が付いたので、今回の記事では「監査ポリシー」についてご紹介していきたいと思います。

標的型攻撃といった高度な攻撃手法が横行する現代において、攻撃の兆候をいち早く察知し、攻撃を阻止することが求められています。そのための手段の一つとして、Windowsに標準搭載されているイベントビューアーの確認が挙げられます。

イベントビューアーはコントロールパネルの「管理ツール」から、あるいはコマンドプロンプトから”eventvwr“と実行して起動しますこのイベントビューアーに残されているログの中でも「セキュリティログ」と呼ばれるログをこまめに確認することが大切になります。

セキュリティログにはユーザーのログオンログオフの記録やオブジェクトに対するアクセス履歴などが記録されるのですが、すべてのログが最初から記録されているというわけではありません。管理者がどのログを記録するのかを、予め設定する必要があるのです。(すべてを記録するよう設定してしまうと、大量のログが出力されサイズが大きくなるのはもちろん、重要なログを見落としてしまう可能性が高くなります。)

そしてどのログを記録するのかを決定するのが、今回ご紹介する「監査ポリシー」なのです!

監査ポリシーを設定するには、グループポリシー管理エディターを開き設定を行いたいGPOを右クリックして「編集」を実行後、以下のように移動してください。

「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-
「ローカル ポリシー」-「監査ポリシー」

WS000816

※グループポリシー管理エディターを開くにはコマンドプロンプトから以下のコマンドを実行してください。
≪ドメインコントローラーの場合≫ gpmc.msc ≪メンバーサーバーの場合≫ gpedit.msc

監査ポリシーには以下の9つの項目があります:

cat2

例えばログオンイベントに関するログを記録したい場合、「アカウント ログオン イベントの監査」をクリック後[これらのポリシーの設定を定義する]チェックボックスを選択して、[成功]と[失敗]にチェックを入れます。
そうすることで、アカウントのログオンの成功/失敗時に監査エントリが生成されます。

またWindows Server 2008以降からは、より細かい設定が可能な「監査ポリシーの詳細な構成」が設定可能です。監査ポリシーの詳細な構成を開くには、GPOを右クリックして「編集」を実行後、以下のように移動してください。

「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「監査ポリシーの詳細な構成」-「監査ポリシー」

policy10

詳細な構成の監査ポリシーには以下の10つの項目があります:

cat

各ポリシーの内容については、ポリシー名をダブルクリック後
「説明」タブに移動することで詳細な説明文を表示することが可能です。

change

そして監査ポリシーを設定後は、コマンドプロンプトから以下のコマンドを実行することで全てのコンピューターに対して即座にグループポリシーの更新を行うことが可能です。
gpupdate /force

また現在設定されている監査ポリシーの一覧を表示するには、コマンドプロンプトから以下のコマンドを実行します。
auditpol /get /category:*

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryのFSMOとは?[2]【連載:ADについて学ぼう~応用編(4)~】

この記事の所要時間: 約 2分

前回の連載「第十二回 FSMOの役割」ではFSMOの役割についてご紹介しましたが、今回はそれぞれのFSMOの確認方法、さらに強制移動の方法をご紹介したいと思います!

  1. スキーママスターの確認と転送
  2. ドメイン名前付けマスターの確認と転送
  3. RIDマスター/PDCエミュレーター/インフラストラクチャマスターの確認と転送
  4. 操作マスターの役割の強制移動

<スキーママスターの確認と転送>

 
1.[Active Directory スキーマ]を起動します。
2.左側のウィンドウから[Active Directory スキーマ]を右クリックして、[操作マスター]をクリックします。

schema2

3.表示されているサーバーが現在スキーママスタの役割を持つサーバーです。
4.スキーママスターの役割を転送するには[変更]をクリックします。

注意!
Active Directory スキーマ スナップインを使用するには、”Schmmgmt.dll”ファイルを登録する必要がある場合があります。
登録するにはコマンドプロンプトを開き、以下のコマンドを実行します:
regsvr32 schmmgmt.dll

<ドメイン名前付けマスターの確認と転送>

 
1.[Active Directory ドメインと信頼関係]を起動します。
2.左側のウィンドウから[Active Directory ドメインと信頼関係]右クリックして、[操作マスター] をクリックします。
3.表示されているサーバーが現在ドメイン名前付けマスターの役割を持つサーバーです。
4.ドメイン名前付けマスターの役割を転送するには[変更]をクリックします。…

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read

Active DirectoryのFSMOとは?【連載:ADについて学ぼう~応用編(3)~】

この記事の所要時間: 約 3分

ドメインやフォレスト内には、いくつかの特別な役割を持ったドメインコントローラーが存在しており、このようなドメインコントローラーは、「FSMO」や「操作マスター」と呼ばれます。
*FSMO = Flexible Single Master Operation

ではなぜそのようなドメインコントローラーが必要なのでしょうか?

例えば、複数のドメインコントローラーが存在するドメインで、あるユーザーのパスワードが変更された場合、全てのドメインコントローラーに変更情報が行きわたるまで、時間が掛かる場合があります。こんな時、変更情報がまだ届いていないドメインコントローラーからユーザーがログオンしようとすると、パスワードが間違っていると判断され、ユーザーがログオンできないという状態になってしまいます。

このような状況を防ぐため、Active Directoryではパスワードが変更された際、まず特別な役割を持つドメインコントローラーに情報を伝えます。そして、ドメインコントローラーとユーザーの入力した認証情報が異なる場合、特別な役割をもつドメインコントローラーに問い合わせを行うことで、ユーザーがログインできる、という仕組みなのです!

●操作マスターの種類と役割●

では具体的に特別な役割をもつドメインコントローラーというのが何なのか、ご紹介していきます。

操作マスターには5つの種類があり、さらに以下の2つに分けられます。

  • フォレスト全体で1台必要なもの
  • ドメインごとに1台必要なもの

master

≪スキーママスター≫
*「スキーマ」・・Active Directoryドメイン内の各オブジェクトに対するデータ型の定義情報。
例えばユーザーアカウントのスキーマならばユーザー名、ログオン名、パスワード等の属性が定義されています。

スキーマは必要に応じて拡張することが可能ですが、この変更を行うことができるのは「Schema Admins」グループに所属するユーザーのみです。スキーマを変更できるドメインコントローラーは、フォレストで1台のみとなります。そしてこのスキーマの原本をもつドメインコントローラーを「スキーママスター」と呼びます。

≪ドメイン名前付けマスター≫
ドメインを追加したり削除したりする際に必要となるドメインコントローラーです。ドメインの追加、削除の際には必ずドメイン名前付けマスターと通信ができる状況である必要があります。

≪RIDマスター≫
RIDマスターではSIDを構成するために必要な「RID」情報を保持しているドメインコントローラーです。SIDは「ドメインSID + RID」で構成されており、どのドメインのどのオブジェクトかという情報を表します。

RID

▼ドメインSID

ADAudit Plus , ADManager Plus , ADSelfService Plus 1 min read