AD監査の負荷をツールで大幅軽減!【6】 管理者権限を持つグループへのユーザ追加を監査

ADAudit Plus | February 7, 2017 | 1 min read

Reading Time: 1 minutes

情報セキュリティの3要素として、OECDの情報セキュリティガイドラインでは、「機密性」「完全性」「可用性」の3つを定義しており、それらを総称して「CIA」と呼びます。このCIAは、ISO/IEC 27001でも重要視されており、セキュリティ対策を行う上で、バランスよく対策を施すことが求められます。一方で、様々な情報がデータ化される現代において、このCIAを脅かす攻撃も多様化しています。この脅威に対する代表的な考え方として、Microsoft社が提唱する「STRIDE」というものがあり、これは脅威に対する以下の6つの分類名の頭文字から成り立っています。

・ Spoofing(なりすまし)
・ Tampering(改ざん)
・ Repudiation(否認)
・ Information Disclosure(情報漏えい)
・ Denial of Service(サービス拒否)
・ Elevation of Privilege(特権の昇格)

この「STRIDE」の一つに、Elevation of Privilege(特権の昇格)があります。これは、OSなどの脆弱性により、許可されていないユーザーが特権を取得してしまうことをいい、管理者権限を持つグループへのユーザー追加などにより、コンピューターの制御が完全に奪われる危険もあります。

では、管理者権限を持つグループに対して、不正なユーザーの追加が行われていないかということを、どうやって監査すれば良いでしょうか。定期的に、標準MMCスナップインの「Active Directory ユーザーとコンピューター」を使用した目視での確認や、以下のようなコマンドから確認する、というのも方法も一つです。

dsquery group -name Administrators | dsget group -members

しかし、この方法だと手間がかかり、また管理者権限を持つグループにユーザーが不正に追加された際に、即座に検知することは困難です。

そこで、検知する手段としてドメインコントローラーのイベントログを監査する方法がありますが、ドメインコントローラーに出力されるイベントログは大量に出力されており、どのログを見る必要があるのか経験値に基づくナレッジが必要となります。しかし、ADAudit Plusはこれらのナレッジを予め定義しており、効率良くActive Directoryドメインの状態を監査することが可能です。

ADAudit Plusが提供するレポートの一つに、「最近のセキュリティグループへのメンバー追加」があります。このレポートでは、指定した期間内に、セキュリティグループに対して追加されたメンバーの一覧を表示することができ、「誰が」「いつ」「どのユーザーを」「どのグループに追加したのか」などの情報を確認できます。また、検索機能を使用することで、「Administrators」や「Domain Admins」に対して追加されたユーザーを、簡単に抽出することも可能です。

図1 検索機能

さらに、以下の手順から、アラート設定を行うことで、管理者はADAudit Plusに毎回ログインして確認する必要がなく、管理者権限を持つグループへのユーザーの追加を検知することができます。

【レポートプロファイルの追加】

  • [構成]タブの[グループ変更]に移動し、「+新規レポートプロファイル」を選択します。
  • [カテゴリ]として「グループ変更」を選択します。
  • [アクション]として「セキュリティグループへのメンバー追加」を選択します。
  • [グループを選択する]の右にある+マークをクリックして、「Administrators」と「Domain Admins」などの管理者権限グループを追加します。
  • 保存します。

図2 レポートプロファイルの作成

【アラートプロファイルの追加】

  • [アラート]タブに移動し、「+新規アラートプロファイル」を選択します。
  • [カテゴリ]として、先ほど作成したレポートプロファイルを選択します。
  • メールによる通知を行う場合は、[メール通知]にチェックを入れます。
  • 保存します。

図3 アラートプロファイルの作成

このように、ADAudit Plusを使用することで、管理者が作業にかける時間を減らし、より効率良く、またリアルタイムで、管理者権限を持つグループへのユーザー追加を監査できるようになります。

もし、少しでもADAudit Plusにご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

※本記事にて掲載しているスクリーンショットは、ADAudit Plusビルド5021に基づいています。

製品ホームページ  >> Active Directoryログ監査レポート・ログ管理ツール | ADAudit Plus
ADAudit Plus無料評価版のダウンロードはこちらから >> ADAudit Plus 評価版ダウンロード

( → 次のページへ移動 )

 

☆☆導入から設定までを解説したスタートアップガイドはこちら
☆☆☆ADAudit Plusの概要を紹介した資料はこちら


Tags : Administrators / アラート / レポートプロファイル
ManageEngine事業部

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。

Comments are closed.