ADAudit Plus

ゾーホージャパンのManageEngine ADAudit Plusは、Active Directory管理者の変更操作チェック、IT統制、J-SOX対応の業務負荷軽減に貢献する、AD監査レポートツールです。 Visit:

第7回 操作マスター【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ 操作マスター(FSMO)の種類と役割について解説 これまでのコラムでは、ドメインコントローラーの展開方法や複製のしくみについて解説してきました。複数台のドメインコントローラーを展開することで、Active Directoryデータベースの内容は複製され、どのドメインコントローラーからもデータベースに対して変更することができます。しかし、Active Directoryには操作マスターと呼ばれる特別な権限があり、その操作マスターが割り当てられたドメインコントローラーだけが実行できる操作が存在します。今回のコラムでは、その操作マスターについて解説します。 ■ 操作マスターとは 操作マスターとは、特定の1台のドメインコントローラーだけに割り当てられる「特別な権限の総称」です。操作マスターは、その特性からFSMO(Flexible Single Master Operation)と呼ばれることもあります。操作マスターには全部で5種類の権限があり、フォレスト内の特定の1台だけに割り当てられる2種類の操作マスターと、ドメイン内の特定の1台だけに割り当てられる3種類の操作マスターがあります。 操作マスター(FSMO) フォレスト ドメイン ・ スキーママスター ・ ドメイン名前付けマスター ・...

ADAudit Plus , セキュリティ , 一般 1 min read

第7回 Azure ADによるクラウドサービスの管理(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ SAMLプロトコルを使用しないSaaS型クラウドサービスとの間で、SSOを実現する方法について解説 ・ 例として、TwitterへのSSOを実現する方法について解説 前回はSAMLプロトコルを利用して、Azure ADとSaaS型クラウドサービスの関連付けを行い、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。今回はAzure ADとクラウドサービスの関連付けを行う方法の第2弾として、SAMLプロトコルをサポートしないSaaS型クラウドサービスとの間でシングルサインオンを実現する方法について解説します。 SAMLプロトコルをサポートしないクラウドサービスとの間でシングルサインオンを実現する場合、クラウドサービスにアクセスするためのユーザー名とパスワードをAzure ADにキャッシュさせておき、クラウドサービスにアクセスするタイミングになったときに自動的に提示することで、シングルサインオンを実現します。 では、ユーザー名とパスワードを自動入力することでクラウドサービスへのアクセスがシングルサインオン化する、Azure ADとクラウドサービスの関連付け方法についてみていきます。ここでは例としてTwitterを利用してAzure ADと関連付けします。 クラウドサービスの関連付けはSAMLプロトコルをサポートするクラウドサービスと同様にAzure Active Directory管理センター (https://aad.portal.azure.com/) の[エンタープライズ アプリケーション]を使います。[+新しいアプリケーション]から新しく関連付けるクラウドサービスとしてTwitterを選択すると、TwitterとAzure...

ADAudit Plus , セキュリティ , 一般 1 min read

【目次】 連載:ADについて学ぼう

Reading Time: 1 minutesこの記事の所要時間: 約 0分 ADについて学ぼう~基礎編~ 基礎編(1) Active Directoryとは? 基礎編(2) Active Directoryの認証の仕組み 基礎編(3) Active Directoryの基本構成 基礎編(4) Active Directoryのサイトとは何か? 基礎編(5) Active DirectoryにおけるDNSの役割 基礎編(6) Active Directoryのグループポリシーとは? 基礎編(7) Active Directoryのアカウントポリシーとは? 基礎編(8) グループアカウントの種類と運用方法 基礎編(9) セキュリティ監査のためのグループポリシーの設定 ADについて学ぼう~導入編~ 導入編(1) 新しいユーザーアカウントの作成 ADについて学ぼう~応用編~ 応用編(1) Active Directoryの委任とは?権限委任で管理者の負担を軽減しよう!...

ADAudit Plus , ADManager Plus , ADSelfService Plus , 一般 1 min read

実は簡単!GPOのバックアップと復元方法【連載:ADについて学ぼう~応用編(6)~】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 【目次】 連載:ADについて学ぼう ◆ 目次 ・ バックアップの取得方法 ・ バックアップの復元方法(バックアップ元と同じGPOに復元する場合) ・ バックアップの復元方法(バックアップ元と異なるGPOに復元する場合)   「GPOを変更したら、予期していなかったところで影響がでてしまった・・。」 「ドメインコントローラーが故障してしまい、作成したGPOがすべて失われてしまった・・。」 そのような万が一の事態に備えて、GPOのバックアップを取得しておくに越したことはありません。この記事では、グループポリシー管理エディアを使用したGPOのバックアップ・復元方法についてご紹介します。GPOのバックアップ自体はとても簡単にできますので、大きな変更を加える前、あるいは保全のための定期的な作業として、取得しておくことをおすすめします。   ■ バックアップの取得方法 ———————————————————————————– 1.ドメインコントローラーからコマンドプロンプトを起動後、以下のコマンドを実行してグループポリシー管理エディタを開きます: gpmc.msc 図1. コマンドプロンプトの実行結果...

ADAudit Plus , ADManager Plus , ADSelfService Plus , 一般 1 min read

紙で勤怠管理の時代はもう終わり?ログを活用した勤怠管理という選択肢

Reading Time: 1 minutesこの記事の所要時間: 約 2分 皆さまの企業では、どのように勤怠管理をしていますか? ビジネスの収益性に大きく影響するのが従業員の「実務時間」、つまり日々の業務の中で、従業員がどれほどの時間を業務に費やしているかです。しかし、勤怠をタイムカードや出勤簿、あるいはエクセルシート等で管理していた場合、その正確性は従業員の裁量にゆだねられるため、提示された情報か正しいかどうかの判断が難しいという面があります。 東京都産業労働局が公開した「労働時間管理に関する実態調査(平成29年3月)」によると、以下の調査結果が報告されています。 労働時間の管理方法は、一般労働者については、「タイムカード・ICカード等」(62.2%)が最も多く、次いで、「自己申告」(19.9%)、「上司が確認・記録」(10.6%)となっている 管理職についても「タイムカード・ICカード等」(53.3%)が最も多く、「自己申告」(23.4%)がこれに続いている。 この結果からも見てわかる通り、現在でも従業員本人の申告に基づく勤怠管理を行っている企業が過半数を占めており、勤怠のつけ忘れ等といった人的ミスを防ぐための対策が必須となります。そこで、近年では社内PCの操作ログを取得し、コンピューターの起動時間、停止時間を集計することで、より正確な実務時間の把握を目指す企業が増加しています。 ADAudit Plusの「ユーザーアテンダンス」レポートでは、収集したイベントログを元に、従業員が実際にコンピューターを操作した時間を算出します。活動時間を算出する際はユーザーのログオン/ログオフ時間を追跡しますが、退勤の都度ログオフやシャットダウンを実施しないというユーザーのため、スクリーンセーバーの起動、画面のロック、リモートセッションの切断などの情報も加味して活動時間を算出します。これにより、従業員が実際に社内PCを操作していた時間を、正確に把握することが可能となります。 ADAudit Plusとは? Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。Windowsドメイン上で管理されている、ドメインコントローラー/ファイルサーバー/メンバーサーバー/PCなどのITリソース、およびユーザー/グループ/ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。   以下が、ADAudit Plusの実際のレポート画面です。 さらに、[詳細]リンクをクリックすると、以下のようにスクリーンセーバーの起動やロック時間を除いた、実際の勤務時間が一覧で表示されます。 また、レポートはCSV/PDF/XLS/HTML形式でのエクスポートに対応しているため、定期的にローカルへ保存、あるいは担当者へメール送付することが可能です。 このように、ADAudit PlusではActive Directoryで発生した変更を可視化するだけではなく、ログに基づく従業員の勤怠管理にも対応しています。 なお、実際にADAudit Plusを操作して機能をご確認されたい場合は、30日間無料でフル機能をご利用いただける評価版もございますので、是非一度ご評価いただければと思います。...

ADAudit Plus 1 min read

第4回 Azure ADのユーザー・グループの管理(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 7分 ◆ 今回の記事のポイント ◆ ・ PowerShellでAzure ADへ接続する方法について解説 ・ CSVファイルのインポートによるAzure ADアカウントの一括登録方法について解説 ・ CSVファイルのインポートによるグループへの登録方法について解説 前回、Azure ADディレクトリの作成方法についてみてきました。Azure ADのディレクトリが作成できたら、オンプレミスのActive Directoryの時と同じように続いてユーザーとグループを作成します。そこで今回はユーザーとグループを効率よく管理するための方法について見ていきます。 最も簡単なAzure ADのユーザーとグループの作成方法はGUIの画面から作成することです。Office 365の管理画面であるMicrosoft 365 管理センター(https://portal.office.com/)や、Azure AD専用の管理画面であるAzure Active...

ADAudit Plus , セキュリティ , 一般 1 min read

Windowsのログオン成功イベントを監査【連載:ここに注目!セキュリティログをご紹介】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 Windowsのログオン成功イベントに注目 イベントビューア上に出力されるイベントID:4624は、ローカルコンピューター上で発生したログオン成功イベントを記録しています。このイベントは、アクセスのあったコンピューター上、言い換えればログオンセッションが生成されたコンピューター上に生成されます。対するイベントID:4625は、ログオン失敗イベントが発生した際に生成されるイベントログとなり、こちらについては次回で詳しくご紹介していきたいと思います。 イベントID:4624は、以下のOSに出力されます。 Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016 ※ Windows Server 2003以前の場合、同じ内容のイベントがイベントID:528・540として出力されます。...

ADAudit Plus 1 min read

Windowsのログオン失敗イベントを監査【連載:ここに注目!セキュリティログをご紹介】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 Windowsのログオン失敗イベントに注目 イベントビューア上に出力されるイベントID:4625は、ローカルコンピューター上で発生したログオン失敗イベントを記録しています。このイベントは、ログオンの試行があったコンピューター上に生成されます。 イベントID:4625が出力されるOSは、以下の通りです。 Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016 ※ Windows Server 2003以前の場合、同じ内容のイベントがイベントID:529・530・531・532・533・534・535・536・537・539として出力されます。...

ADAudit Plus 1 min read

ログの相関分析でサイバー攻撃の兆候をいち早く検知

Reading Time: 1 minutesこの記事の所要時間: 約 3分 増えつづけるサイバー攻撃 2017年に世界で猛威を振るった「WannaCry」を代表に、今年12月には実名制Q&Aサイトを運営する米Quoraで約1億人のユーザー情報が漏洩するなど、昨今、サイバー攻撃関連のニュースは注目を集めてきました。 攻撃が成功する要素は、大きく2つ挙げられます。1つはセキュリティホールといわれる抜け穴の存在、そしてもう1つは悪意ある内部関係者の存在です。この2つに対して、企業の大半はなんらかの対策を講じているにも関わらず、被害件数は一向に衰える気配をみせません。 以下は、NICTサイバーセキュリティ研究所がまとめた分析結果です。2017年に観測されたサイバー攻撃関連の通信は計1,504億パケットにも上り、1 IPアドレスあたり、年間約56万パケットが計測されている計算となります。中でも2016年以降から、その量が顕著に増え続けているのがグラフから明らかです。 【ダークネット観測統計 1 IPアドレスあたりの年間総観測パケット数】 出典:NICTER観測レポート2017の公開 組織で導入されているITインフラストラクチャは多岐にわたり、近年はクラウドとオンプレミスが混在した運用も珍しくありません。ITリソースには、スイッチ・ルーター・ファイアウォール・コンピューターなど、多様なネットワークデバイスが含まれます。そのすべてに対して、出力されるログを個々に監視し、攻撃の兆候を検知することは、システム管理者にとって簡単なことではありません。 ログをためて終わり、そんな状況になっていませんか? 「なにか問題が起きたときのため、とりあえずログをためておこう」 そのような考えの元、ひとまずログをためているという企業は少なくないかと思います。実際、有事の際に被害の発生経路や要因を調査するためのトレーサビリティを確保することは重要であり、JPCERT/CCでも最低1年間のログ保管が推奨されています。 【標的型攻撃対策におけるログ保管の種類と推奨期間】 ※ 「ログを活用した高度サイバー攻撃の早期発見と分析 (プレゼンテーション資料)」を参照の上、編集・加筆 しかし、ログの長期保管により攻撃が判明した時に調査を行うことができたとしても、攻撃を未然に、あるいは早期に検知し、被害を最小限に留める「セキュリティ対策面」までは対応できません。そこでSIEMのような相関分析に対応しているツールを使用することで、異なるデバイスのログを一元的に保管するだけでなく、それらのログを相関的に分析して攻撃の兆候を検知することが可能です。 < あわせてCHECK! > SIEMという選択(前編)...

ADAudit Plus , EventLog Analyzer 1 min read

AD監査の負荷をツールで大幅軽減!【2】 リアルタイムのログ収集

Reading Time: 1 minutesこの記事の所要時間: 約 2分 Active Directoryにて発生するイベントの中で、発生次第すぐに通知を受けたいイベントはありませんか?多くのIT担当者の方にとって、そのような要注意イベントは少なからず存在しているかと思います。そして発生次第すぐ、というのは、3分後、5分後のことをいっているのではなく、イベントが発生した「その瞬間」、という意味です。 多くのイベントログ収集ツールは、スケジュールベースで一定間隔ごとにドメインコントローラーからイベントを収集する仕組みを採用していますが、その場合、5分から30分ほどのインターバルのログ取得間隔が必要になります。つまり、たとえ特定のイベントに対する変更に関連付けたアラートを設定していたとしても、アラート通知は、実際のイベントが生成されてから最低でも5分以上かかる場合があり、時にその5分が致命的となる可能性があります。 ADAudit Plusはこの問題を解決するために、Windows Serverが採用している、Microsoft独自のアルゴリズムを使用した技術をベースに、リアルタイムのイベント収集・アラート通知を行うことが可能です。 この技術の仕組みとして、以前から使用されているAPI機能を活用した方法となりますが、各ドメインコントローラーのセキュリティログに「ステート変更」シグナル信号を送り続け、ADAudit Plusで定義している基準に一致したイベントが発生した場合に、プル サブスクリプションモデルを使用して、イベントを収集します。これにより、ADAudit Plusはリアルタイムでイベントの収集を行ったり、特定のイベントが発生した際には即座にアラート通知を行うこと可能となります。 この技術の最大のメリットとして、不要なログを取得しないためドメインコントローラーへの負荷軽減となり、エージェントも必要としないため構成変更を行なう必要もありません。また、ドメインコントローラーが停止した際に、復旧後にはその間に発生しているイベントもADAudit Plusサーバーが取得できるという点もメリットであります。 なおリアルタイム監査の有効化は、Webクライアント画面上の[ドメインコントローラー設定]から行うことが可能です。 図1 ドメインコントローラー設定画面 [ドメインコントローラー設定]画面には、[イベント取得間隔]を設定する項目があります。イベント取得間隔には2つのモードがあり、「リアルタイムモード」と「スケジュールモード」のいずれかから選択することが可能です。 図2 イベント取得間隔のモード ここで「リアルタイムモード」を選択することで、遅延のない、即座のイベントログ収集が可能になります。なお基本的にはリアルタイムモードでのログ収集を推奨していますが、「スケジュールモード」を選択することで、5分単位でのスケジュール設定を行うことも可能です。 図3 スケジュールモード もし、少しでもADAudit Plusにご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。 評価期間中は、技術サポートもご利用可能です。 ※本記事にて掲載しているスクリーンショットは、ADAudit...

ADAudit Plus 1 min read